På bakgrunn av trussel- og sårbarhetsbildet er det NSMs vurdering at faren har økt for vellykkede angrep mot kritisk digital infrastruktur.

NCSC har derfor i samarbeid med Microsoft laget råd om hvordan virksomheter kan sikre Exchange og Office 365.

Råd:

  • Krev multifaktorautentisering for autentisering.
  • Lås hvilke applikasjoner som er tillatt og blokkér klienter som ikke støtter moderne autentisering. Støttes ikke moderne autentisering støttes heller ikke MFA.
  • Skru av legacy autentiseringsmekanismer: Legacy autentiseringsmekanismer støtter ikke MFA og vil dermed utgjøre en bakdør i et ellers godt etablert MFA-miljø.
  • Standardiser på én mailapplikasjon, som støtter multifaktorautentisering .

Exchange ActiveSync: Det anbefales å ikke lenger bruke ActiveSync. ActiveSync betraktes som en legacy-protokoll som blant annet ikke støtter moderne autentisering og MFA. Å bruke ActiveSync eller å ha denne protokollen 'enablet' i løsningen vil dermed medføre en bakdør og en vei rundt MFA-kravene.

Native mail applikasjoner: En native mail app er ikke nødvendigvis en sikker mailklient. For eksempel støtter ikke eldre versjoner av iOS Apple mailapp moderne autentisering og MFA. Android tilbyr ikke en native mailapp og det er dermed opp til hver enkelt hvilken applikasjon som benyttes.

For å sikre at alle benytter en sikker mailapp som støtter moderne autentisering og MFA bør det standardiseres på en sikker mailapp på tvers av iOS og Android. Ett eksempel er Microsoft Outlook for mobile enheter.

For ytterligere informasjon, retningslinjer og tiltak, se NSMs grunnprinsipper for IKT-sikkerhet knyttet til e-postsikkerhet, punkt 1.2.2 og 2.8.3.

Relevante referanser fra Microsoft: