[Assessments] ShadowIT Assessment

Aus der Serie "Microsoft Security Assessments" diesmal das Thema ShadowIT Assessment:

Ziel:

Mit dem ShadowIT Assessment soll die aktuelle Nutzung von allen (!) Cloud Apps aufgezeigt werden, insb. geht es dabei darum dem Kunden ein umfängliches Bild vorzulegen, welches neben den bekannten Apps (z.B. Exchange Online) auch unbekannte oder ungewollte Apps (z.B. Cloud Storage Apps wie Dropbox oder Google Drive u.a.) und den Umfang der tatsächlichen Nutzung (Quantität der Daten) darstellt.

Daraus abgeleitet eine (Implementierungs-) Roadmap für die nächsten 0-9 Monate.

Für den Partner sollten sich daraus die Chanc für ein Umsetzungsprojekt mit dem Ziel der Eindämmung der ungewollten Nutzung von Cloud Apps ergeben.

Inhalt:

  1. Shadow IT Assessment-Close-out Presentation-v1.0.pptx
    Zusammenfassung und Besprechung der nächsten Schritte.
  2. Shadow IT Assessment-Engagement Delivery Guide-v1.0.docx
    Die detaillierte Anleitung zur Ausführung des Assessments.
  3. Shadow IT Assessment-Introduction to CAS-v1.0.pptx
    Einführung in "Cloud App Security" (CAS), also das Tool, welches für die Analyse herangezogen wird.
  4. Shadow IT Assessment-Kick-off Meeting-v1.0.pptx
    PPT für das Kick-off Meeting
  5. Shadow IT Assessment-On-site Engagement Overview-v1.0.pptx
    Übersicht über das, was und wann im On-Site Workshop/Engagement passieren wird, sowie die Definition von "Erfolg" und die Möglichkeit für Fragen & Antworten.
  6. Shadow IT Assessment-Questionnaire-v1.0.docx
    Fragenkatalog zum allgemeinen Erfassen von Cloud und Cloudanbindung.
  7. Shadow IT Assessment-SoW Example-v1.0.docx
    Beispiel für ein Statement of Work (SOW).

Vorgehen

FYI: Ich habe im Modern Workplace ChampCall im Februar (ab ca. 26:40min) das Vorgehen kurz gezeigt, also schaut es euch gerne an, denn dort gebe ich auch ein, zwei Tipps, die aus der Doku nicht hervorgehen! ;)

Bei dem ShadowIT Assessment geht es ja darum (ungewollte) Cloud App Nutzung aufzuzeigen. Dazu bedarf es neben dem Verständnis, wie der Kunde zum einen mit dem Gesamtthema Cloud umgeht und und zum anderen wie die Infrastruktur zur (Cloud)App Nutzung aussieht (=> Questionnaire), auch Daten, welche die Analyse der Cloudnutzung möglich macht.

Hierzu werden "Realdaten" von z.B. Proxy oder Firewall zur Analyse benötigt. (Vgl. Liste der supporteten Logs/Appliances)

WICHTIG: da in diesen Daten typischerweise PII enthalten sind, die u.U. auch zu personellen Konsequenzen führen könnten, ist es unumgänglich, dass von vorne herein der Betriebsrat des Kunden eingebunden wird.  
Außerdem empfehlen wir für das Assessment das Anonymisieren der Daten zu aktivieren!

D.h. für den Erfolg des Assessments ist es notwendig, dass der Kunde für einen sinnvollen Zeitraum (z.B. 24.12.-6.1. ist nicht so sinnvoll ;) ) Logs bereitstellt.

Diese Logs müssen dann im Laufe des Assessments in eine Cloud App Security (CAS) Instanz hochgeladen und analysiert werden. Dies könnte entweder die bereits vorhandene CAS Umgebung des Kunden sein oder - wenn noch kein CAS beim Kunden genutzt wird und für das Assessment auch keine zusätzlichen Lizenzkosten eingegangen werden sollen, dann kann über eine CAS Test Instanz gegangen werden.

In CAS wird dann ein neuer Snapshot Report erstellt, in den dann die vorliegenden Daten hochgeladen werden.

Und hier noch einmal der eindringliche Hinweis das Thema "Anonymisierung" ernst zu nehmen und beim Hochladen darauf zu achten, dass der Haken auch korrekt gesetzt ist und der Betriebsrat/HR in das Procedere eingebunden werden!

Nachdem nun die Daten hochgeladen worden sind analysiert der CAS diese und zeigt diese dann in seiner UI entsprechend an (einzelne Snapshots können einzeln ausgewählt werden, ist für das Assessment aber i.d.R. nicht notwendig).

Dieses Ergebnis wird dann von dem ausführenden Partner konsolidiert und in die Ergebnispräsentation eingebettet, sowie wird daraus (in Bezug auch auf den Fragebogen) eine Roadmap für den Kunden erzeugt und entsprechend präsentiert.

 

Ergebnis/Outcome:

Dem Kunden wird in der Ergebnispräsentation der IST Stand seiner Schatten IT präsentiert und direkt daraus abgeleitet eine Handlungs/Umsetzungsempfehlung. D.h. das Ziel ist, dass daraus herausgehend die Beauftragung für die Umsetzung der Empfehlungen resultiert - und dies aufgeteilt in kurz-, mittel- und langfristige Tätigkeiten.

Ein wichtiges Ziel bei dem gesamten Unterfangen ist, dass diese Analyse nicht einmalig, sondern kontinuierlich durchgeführt wird, also eine Art "ShadowIT Analyse as a Service" bzw. darüber hinaus ein "Cloud Data Management as a Service" erreicht wird, welches idealerweise durch den Partner, der das Assessment durchgeführt hat, geleistet wird.

Call to action:

Wenn ihr als Microsoft Partner dieses (oder auch die anderen) Assessments durchführen möchtet und benötigt dazu (technische) Unterstützung, so sprecht bitte eure entsprechenden Partner Development Manager und Partner Technical Strategists an.

Grade bei diesem Assessment bietet sich die Chance dieses um entsprechende "on-premise" Dienste anzureichern. D.h., dass durch weitere Tools (Eigenentwicklungen, MAP, etc) die internen Apps/Datenquellen offen gelegt werden und diese entsprechend in die Empfehlungen mit eingearbeitet werden. Auch ein umfangreiches Master Data Management könnte ein entsprechender Outcome sein. Hier sind der Fantasie keine Grenzen gesetzt.

Auch kann und sollte dieses Vorgehen in eine GDPR/DSGVO Betrachtung mit einfließen, denn wenn ich nicht weiß "wo" ich (welche) Daten habe, werde ich nie in die Lage versetzt sein eine GDPR Compliance zu erreichen.

Last but not least hier noch der Link auf den Download der Assessment Unterlagen (aktuell nur auf engl. - wenn hier ein *wirklicher* Bedarf und Impact an einer Lokalisierung existiert, dann lasst es mich bitte wissen!)

 

Und nicht vergessen im "Microsoft Security Assessments" Post habe ich noch drei weitere Assessments beschrieben/verlinkt.