Calendly testen av din M365 sikkerhet

Tematikk:

Skyen ER usikker. Ferdig snakka. Det er ditt og deres ansvar å gjøre den sikker. Og det er et stort ansvar man må ta på høyeste alvor. Hvor hadde suksessen til SaaS (M365 og mer) vært om den var sikker i utgangspunktet? Tenk situasjonen der M365 ikke fungerte i det hele tatt ved oppstart, og forsvarlig bruk krevde kursing, planlegging, arkitektur, design, testing og så produksjon. Virkeligheten er nok dessverre mer at man kjøper en løsning som er enkel å aktivere og bruke, og så fortsetter man arbeidet med andre ting. Sikkerheten? Vel. Og det er synd, da stadig flere og større verdier plasseres i slike løsninger.

Calendly testen

De fleste er vel allerede kjent med VG testen, hvorfor den er relevant, og hvordan adressere den. Flere har nok også fått med seg RDP testen med forståelse om hvorfor og hvordan. Begge disse testene er med utgangspunkt i antagelsen om uvedkommende inne i systemene.

Hvordan man kommer inn i systemer kan være forskjellig. Ser man på SaaS er API en inngangsport mange glemmer. SaaS er for de fleste synonymt med en tjeneste på internet man når via browser med https, eller via en app på telefonen. API er fantastisk med tanke på muligheter for integrasjon mellom SaaS løsninger, eller for annen integrasjon og automasjon. Intensjonene er gode og mange.

Gå inn på https://calendly.com/. Calendly er en snill tjeneste som leverer en praktisk funksjon. For å få den til å fungere trenger man en kobling mellom Calendly og din e-post løsning, M365 eller G-Suite. Denne koblingen skjer via API. Legg inn mail adressen din og følg prosedyren. Skyen ER usikker fordi det aller meste er tillatt i utgangspunktet. Dette gjelder også API i en e-post løsning. Om Calendly testen resulterer i at du kan koble til din e-post løsning suksessfullt med brukernavn, passord og MFA, er mest sannsynlig din løsning åpen og liberal uten optimalisering av sikkerhet. Ingen skade har skjedd her, men spørsmålet er hvor mye annet som er koblet via API med lese og skriverettigheter. Be din administrator om innsyn i alle etablerte tilkoblinger, for du kommer til å bli overrasket. Jeg har opplevd dette, og det er skremmende. Brukere finner app’er til telefonene, fra tilfeldige utgivere, kobler disse til M365 og G-suite, med fulle rettigheter, fordi de kan, og gjerne ikke forstår risikoen. Husk at dette gjelder de aller fleste SaaS applikasjoner.

Hva kan gjøres?

Microsoft og Google leverer gode dokumenter for optimalisering av sikkerhet. Men hva med alle andre? Man må huske Shared Responsibility, og alle som kjøper en tjeneste er ansvarlig for en stor del. Microsoft leverer en compliance modul med nærmere 300 kontroller for sikring av løsningen. Anbefaler på det sterkeste alle om å få en rapport på tilstanden fra administrator umiddelbart. Derifra starter jobben med optimalisering av sikkerheten til kanskje en av de viktigste verdiene hos de fleste foretak.

God tur mot en sikrere hverdag

Ha en god ferd mot en sikrere hverdag. De som sier skyen er enkel forsøker å lure deg. Kan skyen bli sikrere enn ditt tradisjonelle datasenter? Tja. Kommer an på mange ting. Det er mange produkter og løsninger der ut, fra utallige leverandører. Kvaliteten, seriøsiteten, sikkerhetsfokuset og shared responsibility holdning er meget variabel. Gjør god risikovurdering før valg av løsning, for du kan bli sittende med svarteper (som administratortilgang uten støtte for MFA, noe jeg jobber med nå). Kjøp av de seriøse, ta ditt ansvar, sikre løsningen.

Hjelper kunder med risikovurdering

Jeg jobber med oppsett og gjennomføring av risikovurdering for kunder, og har identifisert mange gammeldagse løsninger som er kopiert fra datasenter til skyen. Dette er en stor risiko, da forutsetningene endres mye, og risikoen vil i mange tilfeller øke. Dette har stor innvirkning på sikkerheten. Tilfredsstillende å identifisere ukjente risikoer og sårbarheter, for da kan forbedringsarbeidet starte.

 

Picture of Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er ikke enkelt. Men

Leverandørkontroller

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester “Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten,

Calendly testen av din M365 sikkerhet

Facebook
Twitter
LinkedIn

More to explorer

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er