Por que você precisa fazer do Microsoft 365 uma prioridade de segurança 24 horas por dia

26

É fácil tirar proveito do serviço Microsoft 365, mas você está tomando as medidas para proteger adequadamente todos os dados que sua empresa está armazenando dentro dele?

Para as equipes de segurança, o cenário de ameaças mudou com o aumento do trabalho em casa desencadeado pela pandemia. As ameaças do PowerShell cresceram 208%, o malware da Microsoft 365 (M365) aumentou 199%, enquanto o malware direcionado a dispositivos móveis aumentou 118% entre o terceiro e o quarto trimestre de 2020. O malware e as ameaças relacionadas ao COVID-19 aumentaram 114%.

Uma grande parte dos ataques na nuvem no quarto trimestre teve como alvo as contas microsoft 365. Os ataques podem ser classificados como ataques de login distribuídos em centenas ou milhares de contas do Office 365 através de dispositivos de consumo comprometidos ou ataques direcionados a um pequeno número de contas potencialmente de alto valor.

Apesar da ampla gama de aplicativos e recursos na plataforma Microsoft 365, a principal ferramenta de comunicação e colaboração para a maioria dos usuários – e o núcleo da funcionalidade da Microsoft 365 – continua sendo o e-mail. De qualquer forma, o e-mail é sem dúvida o aplicativo mais desafiador para implantar, gerenciar e proteger. Ao mesmo tempo, a Microsoft adiciona novos recursos e opções de segurança a um ritmo alucinante.

Aqui está um resumo de dicas quentes, incluindo muitas novas da Microsoft que você precisa ter certeza de considerar.

Prevenir ataques

Ponto fraco – ambiente comprometido no local

O próprio ambiente de nuvem da Microsoft 365 se beneficia de uma extensa infraestrutura de monitoramento e segurança. Usando aprendizado de máquina e inteligência humana, a Microsoft olha através do tráfego mundial para detectar rapidamente ataques.

No entanto, se você implantou um modo híbrido para conectar a infraestrutura no local ao Microsoft 365, você provavelmente delegou confiança a componentes no local para autenticação crítica e decisões de gerenciamento de estado de objeto de diretório. Se o ambiente local for comprometido, essas relações de confiança dão aos atacantes uma avenida para colocar seu ambiente Microsoft 365 em risco.

Os dois principais vetores de ameaça são as relações de confiança da federação e a sincronização das contas. Ambos os vetores podem conceder a um invasor acesso administrativo à sua nuvem.

Harden Microsoft 365

Uma forma de proteger os ativos da sua empresa é aproveitando o que já está embutido e pago. Utilize o recurso Pontuação Segura disponível no Centro de Segurança. A partir de um painel centralizado, você pode monitorar e melhorar a segurança de suas identidades, dados, aplicativos, dispositivos e infraestrutura da Microsoft 365. Você recebe pontos para configurar recursos de segurança recomendados, executar tarefas relacionadas à segurança (como visualizar relatórios) ou abordar recomendações com um aplicativo ou software de terceiros.

Você pode reduzir consideravelmente sua superfície de ataque, independentemente do seu nível de assinatura com estes cinco passos:

  • Habilitar autenticação de vários fatores – Esta é a maneira mais fácil e eficaz de aumentar a segurança da sua organização. Protege contra roubo de senhas.
  • Use contas de administração dedicadas – Estes desfrutam de privilégios elevados e são alvos principais para atacantes. Use contas administrativas apenas para administração. Os administradores devem ter uma conta de usuário separada para uso regular e não administrativo e só usar sua conta administrativa quando necessário para completar uma tarefa associada à sua função de trabalho.
  • Bloqueie anexos de e-mail com tipos de arquivos comumente usados por malware – No Centro de Segurança & Conformidade, no painel de navegação esquerda, sob gerenciamento de ameaças, escolha Política > Anti-Malware
  • Proteja-se contra ransomware com regras de fluxo de e-mails – Crie regras de fluxo de e-mail para bloquear extensões de arquivos comumente usadas para ransomware ou para alertar os usuários que recebem esses anexos por e-mail.
  • Pare o encaminhamento automático de e-mails – Hackers que têm acesso à caixa de correio de um usuário podem exfiltrar e-mails configurando a caixa de correio para encaminhar automaticamente o e-mail. Isso pode acontecer mesmo sem a consciência do usuário. Evite que isso aconteça configurando uma regra de fluxo de e-mail.

Além das etapas acima mencionadas, você pode aproveitar esta lista de verificação de monitoramento do Microsoft 365 para garantir que você está fazendo tudo o que puder para proteger a plataforma Microsoft 365.

Publicações Relacionadas

Detectar ataques

Embora a Microsoft faça todos os esforços para proteger sua infraestrutura como um provedor de segurança como um serviço e manter o servidor funcionando sem problemas, cabe ao proprietário da conta Microsoft 365 gerenciar a segurança dos dados.

Atualmente, o Microsoft 365 suporta recursos reativos, como resposta a incidentes, Análise de Comportamento de Usuários e Entidades (UEBA), configurações de compartilhamento e prevenção de perda de dados. Respostas proativas incluem acesso condicional, criptografia e classificação de dados. Os recursos de conformidade incluem registro de auditoria, governança e detecção de dados.

Essas ferramentas fornecem uma excelente base para a segurança, mas são apenas o começo para bloquear o ambiente Microsoft 365 rico em dados. Para adotar uma postura de segurança forte, você deve adicionar mais medidas de prevenção e detecção para aproveitar os recursos atuais que a Microsoft fornece e preencher as lacunas que eles deixam para trás.

Monitore o ambiente M365 24 horas por dia, 7/07

O monitoramento 24 horas inclui alterações em todo o Diretório Ativo do Azure, Exchange, OneDrive, SharePoint e Equipes. Todo comportamento suspeito deve ser investigado, e quaisquer ameaças atenuadas o mais rápido possível.

Para o Azure Active Directory, isso pode significar monitorar ações administrativas, como adicionar ou excluir contas de usuários, aumentar as solicitações de privilégios, alterações incomuns em senhas ou políticas, rastrear atividades de login com geolocalizações e muito mais. Para o Exchange, isso inclui auditoria de atores administradores para criação/exclusão de caixas de correio, regras de encaminhamento ou alterações de políticas. E para OneDrive, SharePoint e Teams, isso significa monitorar sites adicionados, excluídos ou modificados, arquivos carregados e compartilhamentos com usuários externos.

DIY vs. soluções co-gerenciadas

A vigilância constante é necessária para ficar de olho em todas essas partes móveis, mas o pessoal e a manutenção de uma equipe de TI para este fim podem ser difíceis. Um Centro de Operações de Segurança externa (SOC) pode ajudar a preencher essa lacuna, fornecendo a mão-de-obra qualificada necessária para atender a essa demanda, muitas vezes a um custo menor do que empregar diretamente um SOC interno.

Responda a ataques com um plano de resposta a incidentes

Como diz o Departamento de Segurança Interna: “Se você vir alguma coisa, diga alguma coisa.” Quando a detecção revela um problema potencial, uma resposta ativa é necessária. Você deve estar ciente dos potenciais ataques que podem ser descobertos e ter um plano documentado de resposta a incidentes.

O plano deve incluir cartilhas que listam os procedimentos específicos a serem seguidos no caso de um tipo específico de ataque. Por exemplo, se há razões para suspeitar que as senhas administrativas foram comprometidas, quem irá redefini-las e verificar? Além disso, considere seu curso de ação se um usuário interno for detectado inesperadamente ou de forma incomum exfiltrando grandes quantidades de dados. Quais são os próximos passos?

Responsabilidade compartilhada

Microsoft 365 é SaaS fornecido pela Microsoft. No entanto, tornar-se um assinante deste serviço não o absolve de toda a responsabilidade de segurança. Há responsabilidade compartilhada pela segurança, conforme explicado neste artigo. Em particular, a responsabilidade pelas contas, identidades, informações/dados e dispositivos é sempre suportada pelo assinante.

Dada a riqueza do conjunto de recursos e a penetração do cenário de ameaças, pode ser esmagador abordar para não especialistas. Soluções co-gerenciadas podem ajudar trazendo não apenas tecnologia, mas também especialistas técnicos e disciplina de processos para domar a besta.

você pode gostar também