Mobila (säkrade) scenarier

En av de största utmaningarna för många kunder/partners jag träffar är hanteringen av mobila produktivitetsverktyg för sina medarbetare. Dessutom är det ett område som ibland betraktas som en silolösning där MDM-verktyg med flest antal coola policies är den rätta vägen att gå. Under de kommande minuterna gör jag ett vågat försök att röra mig både på molnfri höjd och mellanlanda på jorden, för att därefter vara ”all over the place” (citatet paketeras i mycket värme och kärlek).

Kontexten med perimeter runt identiteten

I min förra artikel om identiteten som den nya säkerhetsperimetern satte jag grunden för ett tankesätt/metod för att flytta fram säkerhetspositionerna. Grunden i det tankesättet är att låta smarta algoritmer som exekveras av massiv datorkraft identifiera signaler som ”ser det som andra tekniker inte ser”. Ovanpå den förmågan finns ramverket med kontextbaserade bedömningar om risknivåer för samtliga medarbetare/partners/kunder som söker behörighet till din organisations IT-resurser. När vi nu umgås kring tankar om mobila scenarier behöver du ha identitetshistorien i ditt bakhuvud.

Vad är det för mobilt scenario?

Mobila arbetssätt och mångfalden i desamma är inget som är nytt och inte heller mångfalden i mobila arbetssätt. Varje initiativ som handlar om mobila säkra arbetssätt behöver därför ta hänsyn till en föränderlig värld och behovsbild. Några exempel på vanliga mobila scenarier:

  • Säker mobil åtkomst till organisationens e-post och data
  • Säker mobil produktivitet med Office 365
  • Erbjuda smartphones/plattor med en uppsättning verksamhetsapplikationer till medarbetarna
  • Erbjuda möjligheten att använda verksamhetsapplikationer på egna mobila enheter
  • Åtkomst via delade mobila enheter
  • Åtkomst via kioskliknande terminaler

Bra dokumentation som hjälper dig att göra en scenariomappning finns här.

Ett viktigt steg efter att du har skapat dig en översikt över de mobila scenarier som är lämpliga handlar om att göra en strategisk mappning hur enheterna ingår i en större helhet. Det handlar om ifall enheterna ska ingå i riskbedömningen som möjliggörs av conditional access i Azure Active Directory med paketeringen Enterprise Mobility and Security. En bra utgångspunkt är att läsa igenom beskrivningarna hur du kommer igång här.

conditionalaccess-overview

När du nu vet vilka mobila scenarior som ska hanteras är det bra att kolla igenom vilka strategier för att hantera enheterna som du vill använda. En guide som beskriver det hela finns här. Samtidigt är det viktigt att jobba nära dina kollegor som kan nätverk och kommunikation. Detta för att förstå vilka krav som kommer att ställas på trafikflöden under den period som mobila enheter ska sättas upp. Riktlinjer för de diskussionerna finns att hitta här.

När du har kommit så här långt kan du starta resan med att utforska vilka mobila tillämpningar som organisationen behöver. En första utgångspunkt som jag rekommenderar är att utgå ifrån guiden om app management. Dessutom finns en mycket bra informationsmängd på djupet hur du hanterar mängder av appar här. Slutligen vill jag även peka på information som beskriver den funktion som Microsoft kallar för Mobile Application Management, MAM. Bilderna nedan beskriver två olika scenarier med MAM. I den första är det en enhetspolicy satt med hjälpa av MDM via Intune (eller annan MDM) och sen är MAM-policyn tillämpad. I den andra bilden visas hur en ohanterad enhet styrs med hjälp av MAM-policies. Det som händer när MAM tillämpas är att enheten logiskt segmenteras i två ytor, en privat och en verksamhetsmässig. Det data som hanteras/lagras skiljs därmed mellan de båda så att en selektiv radering kan göras ifall någon medarbetare slutar eller kontrakt med underleverantör upphör. På det viset behålls all personlig information, samtidigt som applikationsåtkomst till verksamhetssystem och verksamhetsdata otillgängliggörs.

 

 

mam_byod_november

 

apps_with_mobile_app_policies

 

Slutord

Egentligen känns det helt fel att säga ”slutord”, men i den här kontexten är det en avslutning av artikel två i en serie om fem. Det jag vill att du tar med dig härifrån är tankesättet att mobilt arbetssätt är något som ingår i en större kontext. Att enbart titta på MDM-lösningar för att lösa det mobila scenariet kan innebär mängder av omtag och lägre verksamhetsnytta än om du gör ett helhetsgrepp. I Microsofts säkerhetsstory handlar det om att sätta en säkerhetsperimeter runt varje användare och dennes användning. Där är den mobila enheten en pusselbit i helheten.

Vi ses och hörs vidare både i den här kanalen och IRL.

Annonser

Identiteten som den nya perimetern

Hoten mot våra data, medarbetare och vårt framtida välstånd är numera en realitet även i styrelserum och ledningsgrupper. Jag tänker inte ägna någon tid åt ytterligare skrämsel. Istället lägger jag mitt fokus på den nödvändiga tankeförflyttningen som behövs för att inte vara i underläge mot de som inte vill vårt bästa. Det här blir den första, av fem, ”artiklar” som syftar till att stötta i den förflyttningen.

När skydden inte är svaret

Under de senaste två decennierna har hoten ständigt förfinats och utnyttjar både sårbarheter i standardprotokoll/system, samt i allt högre utsträckning användares godtrogenhet. I artikeln ”Cybersäkerhet en integrerad del av digitaliseringen”, skriven för 18 månader sedan, beskriver jag skiftet som har skett och fortsätter att ske. Artikeln ”Tre nya linjer till ett offensivare försvar”, som jag skrev för 17 månader sedan, beskriver hur maskinlärande och algoritmer behövs för att möta upp hoten.

Idag, efter nästan fem månader på Microsoft i min nuvarande roll, har jag kommit till en rad nya insikter som en fortsättning på mitt tidigare tänk. Den första insikten är också den som är tyngst i all sin enkelhet: Istället för att stå rotad i tankesättet att skydda sig mot hoten är det betydligt mer konstruktivt att alltid utgå ifrån att någon har skaffat sig obehörig åtkomst till dina system. Genom den positionsförflyttningen inser man snabbt hur viktigt det är med teknik och processer för att i realtid upptäcka när något har hänt. I den förflyttningen ryms, bland annat, dagens tema: Identiteten som den nya perimetern!

Perimeter med konfidens

Den stora majoriteten av organisationer har en extremt god kontroll över vilka medarbetare man har och vilka kontrakt som reglerar avtal med externa parter. Först när någon person har blivit anställd, eller fått ett kontrakt undertecknat, skapas användarens behörigheter till informations- och kommunikationssystem. På IT-språk kallas det för att någon har blivit en ”användare”. Den del som representerar en användare är en unik användaridentitet som presenteras via en, eller många, användarkatalog(er). I användarkatalogen skapas olika former av associationer till olika grupper (HR, Finance, Sales, Sektionschef, för att ta några exempel) och i många fall skapas även olika former av policies som styr användarens arbetsplats (traditionellt en dator, i allt större utsträckning en bärbar sådan).

Nu för tiden är många medarbetare rörliga i sina uppdrag, oavsett om det handlar om säljare, vårdpersonal, servicetekniker eller poliser. Dessutom ställs allt högre krav på fullödiga mobila arbetsverktyg som snabbt startar och gör medarbetaren produktiv. Det, i kombination med hotbilden gör att säkerhetslandskapet blir än mer komplext, precis som bild 1 visar.

Bild1

Bild 1. Komplext säkerhetslandskap.

På Microsoft har vi sett att identiteten lämpar sig extremt väl för att sätta en kontextuell perimeter kring. I ett första läge handlar det om att holistiskt sätta ett sammanhang kring användaren och dennes användning (enheter, appar, dataanvädning). Utifrån den holistiska vyn kan en kontextuell åtkomstbedömning (conditional access) skapas som baserat på identitetens vägda risk antingen ger åtkomst, ger begränsad åtkomst, kräver ytterligare bevis från användaren (Multifactor Authentication, MFA) eller blockerar åtkomsten. Hela perimetern med sin kontext bygger på intelligenta signaler från Microsoft Intelligent Security Graph där beteenden och heuristik genom maskinlärande ger rätt signaler till rätt beslut. Bild 2 sammanfattar de stegen.

 

Bild2

Bild 2. Identitet i ett säkerhetskontext.

I och med att grunden kring identitetens perimeter är förankrad är det tre konkreta steg som skapar precis beskrivna kontext (bild 3).

 

Bild3

Bild 3. Tre-stegsraket.

Skydda vid tröskeln

Första steget är att skapa ett intelligent skydd vid tröskeln. I den här processen är det användarkatalogen Azure Active Directory (AAD) och Azure AD Identity Protection som gör jobbet. Genom att använda sig av intelligens via Microsoft Intelligent Security Graph kan våra kunder skapa riskbaserade bedömningar för varje enskild användares åtkomstförfrågningar. Baserat på den riskpolicy som din organisation säter upp skapas en åtkomst efter de förutsättningarna. Dessutom skickas ständigt signaler ifall att något som verkar helt legitimt potentiellt kan vara ett fall av någon som använder stulna användarnamn/lösenord.

Ett exempel på det: En användare som ansluter med rätt användarnamn, lösenord och från ett trådlöst nätverk i Sverige får begränsad åtkomst endast till organisationens e-post via webben och intranätet. I Microsofts graph har vi identifierat att en inloggning hos en av våra kunder har skett, men att den har utförts från en IP-adress som är känd för att sprida elakheter. Då kan vi signalera att just den identiteten sannolikt är utsatt för en risk. Något som inga traditionella säkerhetsskydd skulle ha upptäckt. Bild 4 visar schematiskt hur det ser ut.

 

Bild4

Bild 4. Att skydda på tröskeln.

Att skydda data mot oavsiktliga fel

De allra flesta organisationer (kanske samtliga) har kreativa och duktiga medarbetare. Om IT-avdelningen inte levererar rätt verktyg är det vanligt att medarbetarna köper den tjänsten/funktionen ”på stan”. Utifrån ett IT-governanceperspektiv är det här grå-IT/osanktionerad IT/skugg-IT… Kärt barn har många namn. Funktionellt uppnår medarbetarna det de behöver för att göra sitt jobb, men kan helt oavsiktligt utsätta sin organisation för mängder av risker. Den mest uppenbara är att känsligt data hamnar i fel händer. Andra risker finns också. Att någon hackergrupp kapar användardatabasen hos en extern aktör och därigenom får en lista med användarnamn/lösenord att använda sig av är en uppenbar risk. En annan risk är när medarbetare slutar sin anställning så finns mängder av konton/organisationsdata kvar över många ställen.

För att kunna få synlighet i detta och skapa grunderna för ordning och reda ingår tjänsten Cloud App Security som en del i identitetsstoryn.

För de medarbetare som är helt mobila och inte enbart använder en dator som organisationen tillhandahåller uppstår andra utmaningar. Det handlar om mobila enheter där många samtidiga generationer av mobila operativsystem ska hanteras. I kontexten med kontextbaserad åtkomst har Microsoft utvecklat tjänsten Intune för att införliva enheten i identitetsskyddet. Genom Intune kan både enheterna, applikationerna på enheterna och informationen som hanteras på enheterna/apparna policystyras.

Azure Information Protection är en tjänst som på ett enkelt sätt gör det möjligt att klassificera och tillämpa skydd på information i e-post och dokument. Genom att koppla den här funktionen till övriga funktioner inom identitetsskyddet skapas en mycket kraftfull och sammhållen funktion för ett modernt skydd. Dessutom finns intelligensen som upptäcker risker och hot kopplade till identiteten. Bild 5 visar kort de olika beskrivna delarna.

Bild5

Bild 5. Att skydda data runt identiteten.

Upptäck attacker i realtid

Att i realtid upptäcka när en identitet har blivit utsatt för ett hot är en förutsättning för att motverka förluster av information, förvanskningar av information, sabotage, stillestånd eller utpressning i form av lösensumma för kapad/krypterad information (ransomware).

Advanced Threat Analytics är en teknik som nyttjar intelligent maskinlärande för att förstå när en användare har blivit utsatt för något som annars förblivit okänt för andra säkerhetsskydd. Den jobbar med olika former av beteendedetektering och heuristik för att ge signaler som har substans.

Bild6

Summering

Genom att använda sig av intelligenta maskinlärande algoritmer och koppla det till en sammanhållen enhet som syftar till att sätta en perimeter kring identiteten förflyttas skydden mot en mer hållbar framtid. När du även förändrar tankesätt och utgår ifrån att alltid vara utsatt för intrång öppnas möjligheten att jobba på flera nivåer. Dessutom lever du inte i en föresats om säkerhet som egentligen är falsk.

I och med den här första och grundläggande artikeln hoppas jag att du får tankeföda som hjälper dig att påbörja förflyttningen. I nästa artikel kommer jag att djupdyka ner i de mobila enheterna och ge lite mera tankeföda avseende den mobila utmaningen. Hoppas att du har fått nytta av investerad tid i att läsa detta. Pinga mig gärna med en kommentar.

Snart halvårsbokslut för förutspåelserna

Mot slutet av ett år och vid tröskeln in på nästa år inträffar fenomen som undertecknad är mycket förtjust i: Krönikor över året som har varit, men framförallt förutspåelser om vad som komma skall på andra sidan tröskeln. Hur roligt jag än tycker att det hela är så har jag varit usel på att följa upp allt material som jag slukade som en torr svamp. Nu tänkte jag göra en första dykning ner i en förutspåelse om 25 digitaliseringseffekter som ska (skulle) ske under 2016. Det är texten ”25 big tech predictions for 2016” från Business Insider som jag gör en kort granskning av. Alla data som återfinns som stöd för tittarna in i kristallkulan är baserade på USA.

BI har delat in skrivelsen i fem delar och beskriver fem förutspåelser per område. De fem områden som bevakas är:

  • Mobilitet
  • E-handel
  • Internet of things
  • Digitala medier
  • FinTech

Jag återger kortfattat mina tankar per område i den turordning som de presenteras i papperet.

Internet of Things

De fem förutspåelser som återfinns är:

  1. 2/3 av alla bilar som levereras i USA kommer att vara anslutna till Internet.
  2. Federala riktlinjer kommer att presenteras som ligger till grund för lagstiftning om självkörande bilar.
  3. Tillväxten av IoT kommer leda till nya cyberförsäkringsvillkor 2016.
  4. Oljebolagen kommer satsa mer på IoT till följd av fallande oljepriser.
  5. Försäkringsbranschen kommer omfamna IoT-anslutna hem och hälsoapparater för att sätta premier.

Det är inte så underligt att försäkringsbolagen affärsutvecklar nu när digitaliseringen ger dem hittills oanade datakällor att bygga sina statistiska analyser på. Den osäkerhet som finns i de modellerna är graden av påverkan som explosionen av internetanslutna enheter kommer att ha. Jag leker lite med tanken som privarperson med ett ”smart hem” och möjligheten att ge ”hälsodata” om mig själv: Hur svårt kan det vara att manipulera sensorerna och föda med ”rätt” data utifrån mitt perspektiv? Sen kommer den lite ”roligare” frågan: Hur svårt kan det vara att manipulera data hos de man inte gillar så mycket så att deras sensorer lämnar ifrån sig ”fel” data?

Tar jag mitt lilla personliga tankeexperiment till en högre nivå är insatserna än högre för alla parter inblandade.

Digitala medier

De fem förutspåelserna inom området är:

  1. Kriget om mobila videor trappas upp.
  2. Standardiseringsrace om videoformaten startar.
  3. Plattformsanpassade (native) annonser kommer att öka.
  4. Kabelbolagen ökar streaminginnehåll, men även priserna.
  5. Yahoo kommer att säljas till ett telekombolag.

Min första tanke är ”Yahoo, finns bolaget kvar?”. Skriver snabbt in adressen i min webbläsare och hamnar på nedanstående sida:

 

yahoo

Min andra tanke är ”Det är knappast den aktuella och högklassiga bevakningen som potentiella köpare är ute efter!”.

Skämt åsido. Det som är intressant i förutspåelserna är videokrigen som pågår. Vinnarna kan räkna med fortsatt god utveckling på en mognad marknad. Intressant att se om förlorarna kan uppfinna nya marknader.

Mobilitet

De förutspåelser som framförs är:

  1. Mobiloperatör och betal-TV-bolag kommer slås ihop.
  2. Indonesien nästa stora smartphonemarknad.
  3. Xiaomi säljer mobiltelefoner i USA.
  4. Smartphoneuppgraderingarna snabbas på – på bekostnad av bundna teleoperatörsavtal.
  5. Enterprise-appar i hög tillväxt.

Finns egentligen inte så mycket att orda om i de här förutspåelserna.

Fintech

De förutspåelser som är i den här kategorin:

  1. Blockchaintekniken blir stomme för transaktioner mellan banker.
  2. Apple, Google och Samsung utökar sin mobilbetalningsnärvaro i handeln.
  3. Smartare beslutsstödsappar i mobila PoS-terminaler.
  4. Mobila förorderappar blir viktig transaktionskanal för snabbmatsställen.
  5. Traditionella finansbolag i ökat partnerskap med FinTechbolag.

Det allra intressantaste i de här förutspåelserna är nummer ett, blockchaintekniken för traditionell bankverksamhet. Jag ser flera intressanta delar i detta. Det första och mest uppenbara är att blockchaintekniken visar sig vara ett hållbart alternativ för finansiella transaktioner. Något som kan bidra till att skapa en förtroendegrund för kryptovalutor framöver. Den andra betraktelsen jag gör är att en utveckling av blockchain kommer att ta än högre fart.

Jag är en intresserad novis på området kryptovalutor. Har följt området under 6 år, men det är bara på senare tid jag har fokuserat lite mera energi på detta. Just nu gör jag ett slutarbete på min utbildning ”Trendspaning i teori och praktik” där jag tittar på framtiden för digitala betalningar. Därav det uppenbara intresset för blockchain.

E-handel

De förutspåelser som presenteras:

  1. Amazon drar sig ur avtal med sina distributionspartners.
  2. Facebook blir en nyckelspelare för e-handel.
  3. Beacons blir vardagsmat.
  4. Affiliatemarknadsföring exploderar.
  5. Alibaba tar över ett stort e-handelsföretag i USA.

Intressant att notera är Amazon som hela tiden hittar sätt att uppfinna sig själva på nytt. Imponeras över vilken förmåga till affärsutveckling Seattlejätten besitter. Dessutom känns det uppfriskande att Facebook nu ger sig in i arenan för att omsluta e-handeln inom sina domäner.

Egna slutord

Som den säkerhetsnörd jag på nytt är kan jag inte låta bli att imponeras över den digitalisering som pågår och vilka nya säkerhetshot som kommer att följa i eftersvallet. Finns enormt med utrymme för innovation i området och jag ser 2016 som året där flera större konsolideringar inom cybersäkerhetsområdet kommer att ske, med än större sådana under 2017.

Mobilitet och användarupplevelser

Läser med stor behållning ”Microsoft and Apple at Their Crossroads” på MIT Technology Review. Intressant betraktelse som får mig att tänka tillbaka till 1995 när Microsoft gjorde en helomvändning i fråga om Internet. Företagets satsning på Windows 8 är lika mycket på den kritiska linjen idag, som Internetfrågan för drygt 17 år sen.

Framgångsreceptet, enligt mig, är att göra en enterpriseupplevelse på samma sätt som Apple har lyckats med individens användarupplevelse. Microsoft har nu chansen att skapa en enterpriseanvändares totala mobila upplevelse genom ett enhetligt gränssnitt. Genom standarder som HTML 5, CSS och Javascript serveras en användarupplevelseplattform som många stora organisationer kan anamma. De flesta moderna systemstöd har gränssnitt för att hantera standarder, vilket gör att organisationer enkelt kan skapa standardiserade användargränssnitt för sina processer. Som därefter kan konsumeras i flera olika kanaler (PC, tablet, smart telefon). Ägandekostnaden bör med ett sådant tillvägagångssätt bli lägre och underhåll/förädling standardiserat.

En sådan utmanare till Apple och Google behövs och stärker våra valmöjligheter. I en förlängning ser jag att vi som slutanvändare kan bygga hållbara mobila strategier utan hänsyn tagen till en specifik plattform. Blir intressant att vara med på den resan.