Η CISA εξέδωσε μια ενημέρωση για βέλτιστες πρακτικές ασφαλείας στο Microsoft Office 365, ως μέρος μιας ειδοποίησης που κοινοποιήθηκε μέσω του Εθνικού Συστήματος Ευαισθητοποίησης στον κυβερνοχώρο των ΗΠΑ (CSIRT). Οι προτάσεις της CISA συντάχθηκαν για την αντιμετώπιση σφαλμάτων ασφαλείας στο Office 365, που μπορούν να αποδυναμώσουν την υγιή στρατηγική ασφαλείας ενός οργανισμού κατά την μετάβασή του σε ένα είδος εργασίας που βασίζεται σε cloud, ενόψει της πανδημίας του Κορωνοϊού. Συγκεκριμένα η CISA αναφέρει στην ειδοποίηση AA20-120A ότι καθώς πολλοί οργανισμοί προσαρμόζουν ή αλλάζουν τις συνθήκες και τις δυνατότητες της εταιρικής συνεργασίας για να ανταποκριθούν στις απαιτήσεις της τηλεργασίας, μεταβαίνουν στο Microsoft Office 365 (O365) και σε άλλες υπηρεσίες cloud. Η συγκεκριμένη ειδοποίηση είναι μια ενημέρωση στην αναφορά ανάλυσης AR19-133A της 13ης Μαΐου 2019 και περιέχει παρατηρήσεις ασφαλείας σχετικά με το Microsoft Office 365.
Ένα κακώς διαμορφωμένο Office 365 “ανοίγει τον δρόμο” για κυβερνοεπιθέσεις. Λόγω της ταχύτητας αυτών των εφαρμογών, οι οργανισμοί ενδέχεται να μην εξετάζουν πλήρως τα ζητήματα ασφαλείας αυτών των πλατφορμών.
Η CISA παρατηρεί περιπτώσεις όπου οργανισμοί και άλλοι φορείς δεν εφαρμόζουν βέλτιστες πρακτικές ασφαλείας στην εφαρμογή τους στο O365, με αποτέλεσμα να γίνονται ευάλωτοι σε κυβερνοεπιθέσεις. Η υπηρεσία ασφαλείας στον κυβερνοχώρο DHS δημιούργησε μία λίστα που περιλαμβάνει βέλτιστες πρακτικές ασφαλείας, δεδομένου ότι πολλοί οργανισμοί έχουν καταφύγει σε λύσεις συνεργασίας που βασίζονται σε cloud, όπως το Office 365, με ορισμένους από αυτούς να αναγκάζονται να το κάνουν αυτό για να υποστηρίξουν το εργατικό δυναμικό που δουλεύει εξ αποστάσεως. Η CISA, για να περιορίσει τις πιθανότητες χάκερς να εκμεταλλευτούν σφάλματα ασφαλείας στο Office 365, συνιστά τη λήψη των ακόλουθων μέτρων:
- Ενεργοποίηση ελέγχου ταυτότητας πολλών παραγόντων για λογαριασμούς διαχειριστή: αυτό απαιτείται επειδή η Microsoft δεν ενεργοποιεί το MFA από προεπιλογή.
- Αντιστοίχιση ρόλων διαχειριστή χρησιμοποιώντας τον έλεγχο πρόσβασης βάσει ρόλων (RBAC): οι οργανισμοί πρέπει να αλλάζουν πάντα από τον καθολικό διαχειριστή σε άλλους ενσωματωμένους ρόλους διαχειριστή με λιγότερα προνόμια, για να παρέχουν στους διαχειριστές τις άδειες που χρειάζονται για να εκτελέσουν την εργασία τους.
- Ενεργοποίηση Unified Audit Log (UAL): επιτρέπει στους διαχειριστές να αναζητούν ενδείξεις για τυχόν κακόβουλες ενέργειες ή ενέργειες που δεν συνάδουν με τις καθιερωμένες πολιτικές.
- Ενεργοποίηση ελέγχου ταυτότητας πολλών παραγόντων για όλους τους χρήστες: εμποδίζει εισβολείς να επιτεθούν χρησιμοποιώντας κλεμμένα credentials για τον έλεγχο των λογαριασμών των χρηστών.
- Απενεργοποίηση ελέγχου ταυτότητας του παλιού πρωτοκόλλου, όταν χρειάζεται: γιατί είναι σημαντικό ένας οργανισμός να μειώσει την επιφάνεια επίθεσης.
- Ενεργοποίηση ειδοποιήσεων για ύποπτη δραστηριότητα: για να λαμβάνουν οι οργανισμοί ειδοποίηση για κακόβουλες δραστηριότητες την ώρα που συμβαίνουν και να μειώνουν σημαντικά τον χρόνο μετριασμού.
- Ενσωμάτωση Microsoft Secure Score: που παρέχει συμβουλές στους οργανισμούς για την ενίσχυση της ασφάλειας του Office 365.
- Ενσωμάτωση αρχείων καταγραφής με το υπάρχον εργαλείο SIEM: βοηθά τους οργανισμούς να εντοπίζουν ταχύτερα μία ασυνήθιστη δραστηριότητα και να τη συσχετίζουν με οποιαδήποτε άλλη ασυνήθιστη δραστηριότητα στο Office 365.
Η Microsoft βελτιώνει επίσης τις δυνατότητες ασφαλείας του Office 365, όπως φαίνεται από την προσθήκη μιας νέας δυνατότητας Προηγμένης Προστασίας Απειλών (ATP) στο Office 365 που θα αποκλείει αυτόματα τους αποστολείς email εάν αποτυγχάνουν στον έλεγχο ταυτότητας DMARC.
Η Microsoft προσθέτει ακόμη νέες δυνατότητες που έχουν σχεδιαστεί για τον αποκλεισμό κακόβουλου περιεχομένου στο Office 365, ανεξάρτητα από τις προσαρμοσμένες ρυθμίσεις που έχουν ρυθμιστεί από διαχειριστές ή χρήστες. Το Office 365 ATP διαθέτει επίσης μια δυνατότητα που έχει σχεδιαστεί για να βοηθά τις ομάδες ασφαλείας να αναλύουν επιθέσεις ηλεκτρονικού phishing, να ανιχνεύουν τυχόν παραβιάσεις, να αποκαθιστούν τους παραβιασμένους λογαριασμούς και να διερευνούν ύποπτους χρήστες.
