Identiteten som den nya perimetern

Hoten mot våra data, medarbetare och vårt framtida välstånd är numera en realitet även i styrelserum och ledningsgrupper. Jag tänker inte ägna någon tid åt ytterligare skrämsel. Istället lägger jag mitt fokus på den nödvändiga tankeförflyttningen som behövs för att inte vara i underläge mot de som inte vill vårt bästa. Det här blir den första, av fem, ”artiklar” som syftar till att stötta i den förflyttningen.

När skydden inte är svaret

Under de senaste två decennierna har hoten ständigt förfinats och utnyttjar både sårbarheter i standardprotokoll/system, samt i allt högre utsträckning användares godtrogenhet. I artikeln ”Cybersäkerhet en integrerad del av digitaliseringen”, skriven för 18 månader sedan, beskriver jag skiftet som har skett och fortsätter att ske. Artikeln ”Tre nya linjer till ett offensivare försvar”, som jag skrev för 17 månader sedan, beskriver hur maskinlärande och algoritmer behövs för att möta upp hoten.

Idag, efter nästan fem månader på Microsoft i min nuvarande roll, har jag kommit till en rad nya insikter som en fortsättning på mitt tidigare tänk. Den första insikten är också den som är tyngst i all sin enkelhet: Istället för att stå rotad i tankesättet att skydda sig mot hoten är det betydligt mer konstruktivt att alltid utgå ifrån att någon har skaffat sig obehörig åtkomst till dina system. Genom den positionsförflyttningen inser man snabbt hur viktigt det är med teknik och processer för att i realtid upptäcka när något har hänt. I den förflyttningen ryms, bland annat, dagens tema: Identiteten som den nya perimetern!

Perimeter med konfidens

Den stora majoriteten av organisationer har en extremt god kontroll över vilka medarbetare man har och vilka kontrakt som reglerar avtal med externa parter. Först när någon person har blivit anställd, eller fått ett kontrakt undertecknat, skapas användarens behörigheter till informations- och kommunikationssystem. På IT-språk kallas det för att någon har blivit en ”användare”. Den del som representerar en användare är en unik användaridentitet som presenteras via en, eller många, användarkatalog(er). I användarkatalogen skapas olika former av associationer till olika grupper (HR, Finance, Sales, Sektionschef, för att ta några exempel) och i många fall skapas även olika former av policies som styr användarens arbetsplats (traditionellt en dator, i allt större utsträckning en bärbar sådan).

Nu för tiden är många medarbetare rörliga i sina uppdrag, oavsett om det handlar om säljare, vårdpersonal, servicetekniker eller poliser. Dessutom ställs allt högre krav på fullödiga mobila arbetsverktyg som snabbt startar och gör medarbetaren produktiv. Det, i kombination med hotbilden gör att säkerhetslandskapet blir än mer komplext, precis som bild 1 visar.

Bild1

Bild 1. Komplext säkerhetslandskap.

På Microsoft har vi sett att identiteten lämpar sig extremt väl för att sätta en kontextuell perimeter kring. I ett första läge handlar det om att holistiskt sätta ett sammanhang kring användaren och dennes användning (enheter, appar, dataanvädning). Utifrån den holistiska vyn kan en kontextuell åtkomstbedömning (conditional access) skapas som baserat på identitetens vägda risk antingen ger åtkomst, ger begränsad åtkomst, kräver ytterligare bevis från användaren (Multifactor Authentication, MFA) eller blockerar åtkomsten. Hela perimetern med sin kontext bygger på intelligenta signaler från Microsoft Intelligent Security Graph där beteenden och heuristik genom maskinlärande ger rätt signaler till rätt beslut. Bild 2 sammanfattar de stegen.

 

Bild2

Bild 2. Identitet i ett säkerhetskontext.

I och med att grunden kring identitetens perimeter är förankrad är det tre konkreta steg som skapar precis beskrivna kontext (bild 3).

 

Bild3

Bild 3. Tre-stegsraket.

Skydda vid tröskeln

Första steget är att skapa ett intelligent skydd vid tröskeln. I den här processen är det användarkatalogen Azure Active Directory (AAD) och Azure AD Identity Protection som gör jobbet. Genom att använda sig av intelligens via Microsoft Intelligent Security Graph kan våra kunder skapa riskbaserade bedömningar för varje enskild användares åtkomstförfrågningar. Baserat på den riskpolicy som din organisation säter upp skapas en åtkomst efter de förutsättningarna. Dessutom skickas ständigt signaler ifall att något som verkar helt legitimt potentiellt kan vara ett fall av någon som använder stulna användarnamn/lösenord.

Ett exempel på det: En användare som ansluter med rätt användarnamn, lösenord och från ett trådlöst nätverk i Sverige får begränsad åtkomst endast till organisationens e-post via webben och intranätet. I Microsofts graph har vi identifierat att en inloggning hos en av våra kunder har skett, men att den har utförts från en IP-adress som är känd för att sprida elakheter. Då kan vi signalera att just den identiteten sannolikt är utsatt för en risk. Något som inga traditionella säkerhetsskydd skulle ha upptäckt. Bild 4 visar schematiskt hur det ser ut.

 

Bild4

Bild 4. Att skydda på tröskeln.

Att skydda data mot oavsiktliga fel

De allra flesta organisationer (kanske samtliga) har kreativa och duktiga medarbetare. Om IT-avdelningen inte levererar rätt verktyg är det vanligt att medarbetarna köper den tjänsten/funktionen ”på stan”. Utifrån ett IT-governanceperspektiv är det här grå-IT/osanktionerad IT/skugg-IT… Kärt barn har många namn. Funktionellt uppnår medarbetarna det de behöver för att göra sitt jobb, men kan helt oavsiktligt utsätta sin organisation för mängder av risker. Den mest uppenbara är att känsligt data hamnar i fel händer. Andra risker finns också. Att någon hackergrupp kapar användardatabasen hos en extern aktör och därigenom får en lista med användarnamn/lösenord att använda sig av är en uppenbar risk. En annan risk är när medarbetare slutar sin anställning så finns mängder av konton/organisationsdata kvar över många ställen.

För att kunna få synlighet i detta och skapa grunderna för ordning och reda ingår tjänsten Cloud App Security som en del i identitetsstoryn.

För de medarbetare som är helt mobila och inte enbart använder en dator som organisationen tillhandahåller uppstår andra utmaningar. Det handlar om mobila enheter där många samtidiga generationer av mobila operativsystem ska hanteras. I kontexten med kontextbaserad åtkomst har Microsoft utvecklat tjänsten Intune för att införliva enheten i identitetsskyddet. Genom Intune kan både enheterna, applikationerna på enheterna och informationen som hanteras på enheterna/apparna policystyras.

Azure Information Protection är en tjänst som på ett enkelt sätt gör det möjligt att klassificera och tillämpa skydd på information i e-post och dokument. Genom att koppla den här funktionen till övriga funktioner inom identitetsskyddet skapas en mycket kraftfull och sammhållen funktion för ett modernt skydd. Dessutom finns intelligensen som upptäcker risker och hot kopplade till identiteten. Bild 5 visar kort de olika beskrivna delarna.

Bild5

Bild 5. Att skydda data runt identiteten.

Upptäck attacker i realtid

Att i realtid upptäcka när en identitet har blivit utsatt för ett hot är en förutsättning för att motverka förluster av information, förvanskningar av information, sabotage, stillestånd eller utpressning i form av lösensumma för kapad/krypterad information (ransomware).

Advanced Threat Analytics är en teknik som nyttjar intelligent maskinlärande för att förstå när en användare har blivit utsatt för något som annars förblivit okänt för andra säkerhetsskydd. Den jobbar med olika former av beteendedetektering och heuristik för att ge signaler som har substans.

Bild6

Summering

Genom att använda sig av intelligenta maskinlärande algoritmer och koppla det till en sammanhållen enhet som syftar till att sätta en perimeter kring identiteten förflyttas skydden mot en mer hållbar framtid. När du även förändrar tankesätt och utgår ifrån att alltid vara utsatt för intrång öppnas möjligheten att jobba på flera nivåer. Dessutom lever du inte i en föresats om säkerhet som egentligen är falsk.

I och med den här första och grundläggande artikeln hoppas jag att du får tankeföda som hjälper dig att påbörja förflyttningen. I nästa artikel kommer jag att djupdyka ner i de mobila enheterna och ge lite mera tankeföda avseende den mobila utmaningen. Hoppas att du har fått nytta av investerad tid i att läsa detta. Pinga mig gärna med en kommentar.

Annonser

Reinvent 2015 – nyorientering mot cybersäkerhet

När jag startade bloggen it-strategen för snart fyra år sedan var tanken att servera matnyttiga strategiska tankar om it och verksamhetsnytta. Jag tog avstamp från ett holistiskt/funktionalistiskt tankesätt där varje enskild komponent påverkar helheten. Lite som kaosteorierna om fjärilseffekten. Under 2015 har jag ägnat massor av tanketid åt livet, digitaliseringen, verksamhets-/samhällsutvecklingen och kunskap/förmågor i omvälvningen som pågår med hyperfart.

Idag är tiden mogen att göra något konkret inom ramen för ”Reinvent 2015”. En sådan konkret handling är att orientera om ”it-strategen” mot området cybersäkerhet. Jag klär nu på mig mina tidigare chefssäkerhetsrådgivarkläder med tillbehör och gör strategiska resor genom de digitala autostradorna. Synliga, såväl som mera dolda på djupet.

Orsak – verkan

Under projektet med min senaste bok, ”Svenska IT-säkerhetshandboken 1.0”, hade jag den stora förmånen att umgås med planetens skarpaste hjärnor inom sina specifika kunskapsområden. Efter bokens lansering har helt nya former av hot mot samhället sett dagens ljus:

  • Statsfinansierade trojaner som ger sig på fabriker för anrikning av uran
  • Attacker mot myndigheter och regeringar från aktivister som sympatiserar med någon de anser vara orättvist behandlad
  • Massavlyssning av data- och telefontrafik
  • Stöld av intellektuell egendom
  • Och en hel del annat…

Vi befinner oss vid en brytpunkt där begreppet cyberbrottslighet behöver pensioneras och det gamla hederliga begreppet ”brottslighet” ta dess plats. Jag ser att det pågår arbete i den riktningen, men det kan vara för sent om det arbetet inte tar fart på allvar.

Som effekt av allt detta väljer jag nu att fokusera på frågor som rör cybersäkerhet och då utifrån ett intelligensbaserat perspektiv. Säkerhet på djupet, lager-på-lager-säkerhet, multi-perimeter-säkerhet och all annan form av teknisk säkerhet hjälper lite om det inte finns ett ramverk som bygger på datainsamling, analys och intelligenta beslut.

Måndag den 5 oktober kommer jag att publicera min första artikel som tittar just på en övergång mot intelligence-led cybersecurity. Till dess önskar jag trevlig helg.

Länkar

FBI – Cyber Crime

Polismyndighetens arbete mot it-brott

Department of Homeland Security

National Cybercrime Unit

Internetsweden

6 egenskaper hos riktiga strategiska tänkare

Jag är en extremt intensiv användare av LinkedIn och hittar ett stort värde i den kontexten. Ofta hittar jag tankeväckande artiklar och ibland riktiga guldkorn. Idag hittade jag artikeln ”The 6 Habits of True Strategic Thinkers” och känner att jag måste dela med mig av den. Företaget bakom är Decision Strategies International.

I artikeln finns ett antal egenskaper som jag har adresserat i mina blogginlägg här på it-strategen, men det finns även ett antal områden som jag ännu inte har dykt ner i. Det absolut mest intressanta området är att fira framgångar och misstag där organisationen har fått med sig värdefulla lärdomar. Här finns det mycket att göra för att fostra fram en förändringskultur baserad på att våga.

Slutligen kan jag rekommendera en liten Quiz på ämnet som får dig att fundera.

 

Döda bekvämlighetsfantomen

Sitter just nu på en dragning om molnets strategiska modeller och får ett tankeuppslag som kräver ett kort inlägg. Så långt jag kan minnas har jag följt en kvällsritual som går ut på att smida storslagna planer för morgondagen. Från gång till annan har jag inte kunnat sova av spänd förväntan. Följande morgon har jag klivit upp full av uppbyggd energi och tänd till max inför dagens omvälvande förändringar. Under många år har jag jobbat hårt under extremt långa arbetsdagar uppburen av den uppbyggda energin. För att varva ner tankeverksamheten har jag tagit mig tid att smida nya storslagna planer för kommande dag. På så vis har jag under decennier hittat min bekvämlighetszon byggd på tankar, visioner , resultat och utveckling. Nu är tiden mogen att riva zonen och flytta kraften till nya bosättningar.

Att förändra en stor organisation kräver att hålla vision och värderingar långt framför sig och hitta förhållningssätt som är förenliga med den långsiktiga visionen. Att smida storslagna och viktiga planer för kommande år och aldrig tappa bort omgivningen på väg mot målet. Konsekvenser för mig:

  • Har blockerat en halv arbetsdag varje vecka i kalendern för rent strategiskt/visionärt tankearbete.
  • Jobbar medvetet med att inte smida kvällsplaner för morgondagen.
  • När arbetstimmarna blir för många lär jag en larmklocka att ringa och ställa frågan: Är det långsiktigt rätt? Bör någon annan ledas mot att lösa just den här uppgiften?

Nu är det dags att skifta fokus mot konferensen här och nu.

Utveckla en sensorisk förmåga

Strategiskt arbete är spännande och lite skrämmande på samma gång. Ett helhetsseende, med öga för detaljer, utan att tappa historiska perspektivet och konsten att hitta varje vinkel för att leverera värde. Dessutom modet att våga ifrågasätta och utmana. För egen del har jag ställt upp ett antal kriterier att stämma av mot:

  • Fokus på uppgiften, utan att kapitulera den strategiska blicken
  • Entusiasm i stort, smått och oproportionerligt
  • Ta dialogen med erfarna människor med olika kompetenser
  • Lova aldrig det du inte kan leverera – och överträffa alltid förväntningarna
  • Var inte rädd att ta risker – så länge de är lagliga
  • Undvik att ge bort tid till energi- och tidstjuvar
  • Nej är kvitto på att du inte har tänkt strategiskt riktigt
  • Våga ta plats och ståndpunkt – speciellt när inget facit finns
Har skaffat mig ett antal lärdomar genom åren som med all säkerhet kommer att vara goda minnen senare på ålderns höst. Vissa tankar/idéer/modeller fastnar mer än andra. En sådan är tanken om ”strategic thinking as seeing”. Modellen är utarbetad av Henry Mintzberg och finns beskriven helt kort här. För egen del försöker jag ständigt utveckla min sensoriska förmåga. Att alltid ha känselspröten ute och ständigt registrera omgivning, omvärld och låta sinnena ta emot informationen. Uppslag, idéer, lösningar och annat roligt kultiveras i det omedvetnas medvetenhet och manifesteras när man ägnar sig åt något annat. Själv har jag en förmåga att få uppslagen under långa skogspromenader med min hund. Röstinspelaren är min bästa vän vid de tillfällena.
Nästa utvecklingsfas är att etablera rätt implementeringsmodeller för att sätta rätt saker på rätt plats till gagn för verksamheten. Att våga leda och styra strategiskt i högre tempo.