Microsoft Office 365 – ghid de bune practici in securitate

Pepas Cloud CISA

 

 

In luna mai CISA (Cybersecurity and Infrastructure Security Agency) a publicat un ghid de bune practici in ce priveste securitatea serviciului Cloud Microsoft Office 365.

 

Conform CISA, numarul de organizatii la nivel mondial ce foloseste Office 365 creste si odata cu aceasta apar si noi reguli ce ar trebui sa fie urmate. Odata ce marile companii trec la Office 365, automat un numar de furnizori si colaboratori fac acelasi lucru si asta atrage un risc si posibile probleme de securitate daca respectivele organizatii nu configureaza asa cum trebuie serviciile si daca nu respecta anumite standarde.

Incepand cu octombrie 2018 CISA a intrat in contact cu mai multe companii care au migrat la Office 365 folosind serviciile unor firme terte care s-au ocupat de migrarea in Cloud a datelor.

S-a observat ca o buna parte din aceste firme au avut o combinatie de configuratii care au redus nivelul de securitate. Functionalitati precum audit de mailbox, unified audit log, autentificarea in mai multi factori pentru conturile de administratori si multe alte optiuni nu erau activate, fapt ce a dus la crearea de multiple brese de securitate.

Exemplu de ce inseamna ca anumite functionalitati de securitate sa fie dezactivate:

  • MFA sau autentificarea cu mai multi factori pentru conturile de administrator nu este activata in mod implicit: administratorii globali din Azure Active Directory in mediul din Office 365 au cel mai inalt nivel de privilegii de administrator la nivel de platforma. Conturile de administrator sunt primele conturi create asa ca acest tip de utilizator poate incepe configurarea platformei Office 365 inclusiv migrarea datelor catre Cloud. Conturile trebuie securizate pentru ca sunt expuse direct la internet si pot reprezenta o bresa de securitate. Desigur, exista mia multe metode de a securiza un cont in Office 365, totul tine de planificare.

 

  • Auditul casutei postale dezactivat: aceasta optiune inregistreaza toate modificarile care se fac asupra unei casute postale de catre diferite categorii de utilizatori din Office 365. Un administrator trebuie sa poata verifica oricand schimbarile facut pe conturile de Office 365 si cine le-a initiat.

 

  • Sincronizarea parolei catre Cloud: prin intermediul Azure AD Connect organizatiile care au infrasturctura locala (propriul data center sau infrastructura on premise) pot sincroniza indentitatile din mediul local cu cele din Cloud iar infrasturctura locala devine autoritatea principala care controleaza tot ce se intampla la nivel de autentificare catre Cloud. Daca se creeaza un cont local si unul in Cloud si au aceleasi atribute acestea se vor sincroniza daca aveti optiunea de autentificare Password Sync activata iar parola din infrasturctura locala o suprascrie pe cea din Cloud. In acesta situatie, in caz ca un cont de administrator din infrastructura locala este compromis, atunci atacatorul ar avea cale libera spre infrastructura din Cloud. Microsoft a dezactivat aceasta optiune pentru conturile de administrator incepand cu octombire 2018. Cu toate acestea este posibil ca pana atunci sa se fi creat vreo bresa din sincronizarile anterioare.

 

  • Autentificarea neacceptata de protocoale vechi: Azure AD este metoda de autentificare utilizata de Office 365 pentru autentificarea cu Exchange Online, aplicatie ce ofera servicii de email. Exista o serie de protocoale care nu accepta metode de autentificare moderne cu functii de MFA. Aceste protocoale includ Post Office Protocol (POP3), Internet Message Access Protocol (IMAP) si Simple Mail Transport Protocol (SMTP). Protocoalele legacy sunt utilizate cu clientii de e-mail mai vechi, care nu accepta autentificarea moderna. Acestea pot fi dezactivate la nivel de platforma sau la nivel de utilizator. Cu toate acestea, in cazul in care o organizatie are nevoie de clienti de e-mail mai vechi ca o necesitate de business, aceste protocoale nu vor fi dezactivate. Acest lucru lasa conturile de e-mail expuse la internet si sunt protejate numai cu numele de utilizator si parola ca metoda de autentificare primara. O abordare de atenuare a acestei probleme este de a inventaria utilizatorii care incă mai au nevoie de utilizarea unui client de e-mail legacy si a protocoalelor de e-mail legacy. Utilizarea politicilor de acces conditionat Azure AD poate contribui la reducerea numarului de utilizatori care au capacitatea de a utiliza metode de autentificare a protocoalelor vechi. Odata facut acest pas, va reduce foarte mult suprafata de atac pentru organizatii.

 

CISA incurajeaza organizatiile sa implementeze o strategie Cloud la nivel de organizatie pentru a-si proteja infrastructura proprie prin apararea impotriva atacurilor legate de tranzitia lor la Office 365 si securizarea serviciului lor Office 365. In mod specific, CISA recomanda administratorilor sa implementeze urmatoarele masuri de atenuare si bune practici:

 

  • Folosirea autentificarii multi-factor. Aceasta este cea mai buna metoda de protectie care trebuie utilizata impotriva furtului de credentiale ale utilizatorilor de Office 365.
  • Activarea functiei de unified audit logging din Centrul de Securitate si Conformitate.
  • Activarea functiei de audit pentru casuta postala a fiecarui utilizator.
  • Fiti siguri ca functia de AD password sync este configurata corect dupa o planificare riguroasa inainte de a migra utilizatorii catre Cloud.
  • Dezactivati protocoalele de e-mail de tip legacy, daca nu sunt necesare, sau limitati utilizarea acestora pentru anumiti utilizatori.

 

Acestea fiind spuse, odata ce va hotarati sa treceti sau deja ati trecut la Office 365/Microsoft 365 fiti foarte atenti cu ce parteneri incepeti acest proces, ce metode vor utiliza si ce functionalitati au activat odata cu trecerea la solutiile de Cloud alese.

 

Copyright © PEPAS CLOUD 2019