Wiele osób rozpoczyna nowy rok od łatania oprogramowania Windows; to jednak nie wystarczy, aby zapewnić ochronę Microsoft 365. Zanim wydamy pieniądze na narzędzia innych firm, które już na pewno uchronią nas przed wszystkimi możliwymi zagrożeniami, a przynajmniej tak obiecują ich producenci, rzućmy okiem na narzędzia, które już mamy.

Zabezpieczenie przed atakami ransomware

Łatanie systemu operacyjnego często nie wystarcza, aby chronić firmę przed atakami ransomware. Nawet w pełni załatane systemy operacyjne mogą być podatne na ataki, jeśli napastnicy namierzają użytkowników za pomocą ataków phishingowych. Edukacja użytkowników końcowych może być najlepszym sposobem zapobiegania atakom, jeśli zabezpieczenia technologiczne nie działają lub są omijane przez napastników. Po pierwsze więc, oceń, czy Twoje rozwiązania zawierają wystarczającą ilość logów, aby określić, czy napastnik ukrywa się w Twojej sieci i w jaki sposób uzyskał dostęp. Ostatnie badania FireEye pokazują, że mediana czasu przebywania dla ransomware wynosi 72,75 dni. Wszystkie inne ataki mają średni czas przebywania 56 dni. Osoby stojące za atakiem ransomware mogą przebywać w Twojej sieci maksymalnie 547,49 dni. Założę się, że Twoje logi nie sięgają 547,49 dni wstecz. Wiem, że moje nie, ale mogę starać się rejestrować 72,75 dni. Z taką ilością logów możliwe jest cofnięcie się do archiwów, aby ustalić, w jaki sposób napastnicy uzyskali dostęp do sieci.

Zobacz również:

• Najlepsze bezpłatne alternatywy dla pakietu Microsoft (Office) 365
• Pishing metodą na e-TOLL. MF i KAS ostrzegają przed próbą wyłudzenia
• Co trzecia firma w Polsce z cyberincydentem

Maksymalne wykorzystanie narzędzi bezpieczeństwa w licencji Microsoft 365

Microsoft 365 oferuje w wiele narzędzi zabezpieczających Na blogu Ruairidh Campbell pokazał scenariusze, w których można wykorzystać Microsoft 365 do ochrony informacji. Choć najlepszym rozwiązaniem byłoby zakupienie licencji Microsoft E5 dla wszystkich użytkowników Microsoft 365, trudno uzasadnić licencję E5 dla każdego. Możesz mieszać licencje w zależności od swoich potrzeb. Ja często przypisuję licencję 365 o wyższych zasobach bezpieczeństwa tym użytkownikom w moim biurze, którzy albo wykonują bardziej ryzykowne obowiązki, albo są bardziej celem ataków.

Zmniejszenie ryzyka związanego z dostępem konsultantów do kont w chmurze

Campbell ma listę kontrolną elementów, które należy przejrzeć, aby upewnić się, że chronisz się przed atakami. Zaczyna od ryzyka związanego z konsultantami, którzy mają prawa administratora do Twojej sieci. Największy problem może wynikać z tego, że konsultanci chcą mieć uprawnienia administracyjne dostawcy usług w chmurze (CSP) do lokatora. Zaleca on, aby nie zapewniać konsultantowi uprawnień administratora delegowanego przez CSP. Zaleca raczej zakup pełnego konta użytkownika dla konsultanta, ponieważ pozwala to na bardziej granularne polityki haseł. Jak zauważa Campbell, granularne uprawnienia delegowanego administratora znajdują się na mapie drogowej Microsoftu. Alternatywnie, można dodać konsultanta w razie potrzeby i usunąć konto po zakończeniu projektu. Zawsze upewnij się, że każde konto administracyjne ma włączone uwierzytelnianie wieloczynnikowe (MFA). Jeśli spodziewasz się sprzeciwu ze strony użytkowników, licencja Azure P1 pozwala na białą listę statycznych adresów IP, aby ci, którzy logują się z określonych lokalizacji, które zostały zweryfikowane i zaufane, nie potrzebowali monitów MFA.

Alternatywa dla VPN

Jestem zdania, że za bardzo polegamy na technologiach VPN i nie są one taką ochroną bezpieczeństwa, za jaką niektórzy je uważają. Dla przedsiębiorstw, niezałatane oprogramowanie VPN jest często punktem wejścia do sieci. Oprogramowanie VPN często nie jest oparte na systemie Microsoftu i narzędzia do łatania mogą nie zdążyć go zaktualizować. Podobnie jak Campbell, zalecam odejście od rozwiązań VPN i szukanie alternatywnych rozwiązań. Rozważ użycie proxy aplikacji Azure AD, jeśli potrzebujesz zdalnego dostępu do zasobów. Jeśli twoja sieć jest taka, że masz starsze aplikacje, które nie mogą korzystać z Azure AD, rozważ Remote Desktop Gateway z Duo jako obejście MFA, dopóki nie będziesz mógł przejść do rozwiązań opartych na Azure AD. Jeśli nadal nie używasz niczego poza serwerami lokalnymi i VPN dla zdalnego dostępu, nadszedł czas, aby przejrzeć swoje opcje i rozwiązania. Zweryfikuj swoje zaufanie do Group Policy i zarządzania konfiguracją oraz zweryfikuj możliwości zarządzania za pomocą Intune.

Przeanalizuj wybór przeglądarki i wtyczek

Złośliwe strony internetowe są często sposobem, w jaki ransomware dostaje się do naszej sieci. Wybór przeglądarki i dodatków często decyduje o bezpieczeństwie zarówno konsumentów, jak i przedsiębiorstw. Zalecam posiadanie kilku przeglądarek w systemie, ponieważ często okazuje się, że aplikacje internetowe preferują jedną przeglądarkę od drugiej. W środowisku biznesowym mądrze byłoby poświęcić energię i badania na zablokowanie przeglądarek lub przynajmniej sprawdzenie, jakie wtyczki zostały zainstalowane w przeglądarce. Wtyczki do przeglądarek są często sposobem, w jaki złośliwi aktorzy dostają się do systemów.

Sprawdź zasady dostępu

Wkrótce po tym, jak wiele lat temu moje biuro przeniosło się do systemu Microsoft 365, zauważyłam próby włamań z zagranicy. Natychmiast włączyłam dostęp warunkowy i zbudowałem regułę blokowania geograficznego. Ataki te były skierowane na bardziej administracyjne konta e-mail, takie jak poczmistrz, sekretarz lub inne ogólne aliasy, które mogą otrzymywać więcej spamu niż zwykle. Jeśli masz kluczowych pracowników, którzy mogą otrzymywać więcej ataków phishingowych i są celem ataków, zalecam dodanie Microsoft Defender for Cloud Apps. Zawiera on reguły oparte na ryzyku, które będą sprawdzać i monitorować nietypowe zachowania lub nielogiczne działania, takie jak logowanie z jednego kraju, a następnie logowanie z adresu IP innego kraju w przedziale czasowym, który logicznie nie mógłby wystąpić.

Skonfiguruj alerty dotyczące ruchu bocznego

Ruch boczny jest często pierwszą wskazówką, że napastnicy założyli sklep w Twojej firmie i przygotowują się do wyrządzenia szkód. Do śledzenia takich ruchów bocznych można użyć programu Microsoft Defender for Identity. Może on być używany do monitorowania pass-the-ticket, rozpoznania i kradzieży danych uwierzytelniających. Mam go skonfigurowanego tak, aby monitorował i codziennie wysyłał mi raport, jeśli takie działania zostaną wykryte.

Podsumowując, jeśli masz Microsoft 365, sprawdź swoje możliwości. Samo łatanie nie wystarczy, ale być może masz już w Microsoft 365 to, czego potrzebujesz, aby być bardziej bezpiecznym.

Źródło: CSO