Агентство по кибербезопасности и безопасности инфраструктуры Министерства внутренних дел США (CISA) опубликовало рекомендации по безопасности для организаций, которые могли ускорить развертывание Office 365 для поддержки удаленной работы во время пандемии коронавируса .
CISA предупреждает, что продолжает видеть организации, которые не смогли внедрить лучшие практики безопасности для своей реализации Office 365. Он обеспокоен тем, что спешные развертывания могут привести к важным упущениям в настройке безопасности, которые могут быть использованы злоумышленниками.
«В последние недели организации были вынуждены изменить методы совместной работы, чтобы обеспечить полноценную работу« на дому », — отмечается в новом предупреждении CISA.
СМ.: 10 советов для новых профессионалов в области кибербезопасности (бесплатный PDF)
«O365 предоставляет возможности электронной почты на основе облака а также возможности чата и видеосвязи с использованием команд Microsoft. В то время как резкий переход к работе на дому может потребовать быстрого развертывания облачных сервисов совместной работы, таких как O365, поспешное развертывание может привести к упущениям в настройках безопасности и подорвать звук O365- конкретная стратегия безопасности. "
Новый совет CISA аналогичен предупреждению, выпущенному в прошлом году после того, как подрядчики развернули O365 с плохими настройками безопасности. Этот документ содержит ссылки на соответствующие рекомендации Microsoft для безопасной настройки Azure AD и Office 365.
Первое, что нужно сделать организациям, — это заблокировать учетные записи глобального администратора Azure Active Directory (AD) в Office 365 с помощью многофакторная аутентификация (MFA).
Это учетная запись, используемая для настройки других учетных записей, и имеет самые высокие привилегии, эквивалентные администратору домена в локальной среде AD. MFA не включен по умолчанию для этой учетной записи, поэтому администраторы должны активировать его.
CISA указывает на параметры безопасности Microsoft по умолчанию, выпущенные в январе, чтобы помочь организациям защитить свои учетные записи на том же уровне, что и Microsoft защищает учетные записи потребителей от атак, таких как распыление паролей и фишинг.
Этот инструмент помогает администраторам использовать MFA. Ранее в этом году Microsoft сообщила, что 99,9% скомпрометированных учетных записей не используют MFA, и что только 11% предприятий включили MFA.
«Если не обеспечить немедленную защиту, злоумышленник может скомпрометировать эти облачные учетные записи [admin] и сохранить постоянство, когда клиент переносит пользователей в O365», — предупреждает CISA.
CISA говорит, что учетную запись глобального администратора следует использовать только в случае «крайней необходимости» и что важно назначать роли администратора с помощью контроля доступа на основе ролей.
«Использование множества других встроенных ролей администратора Azure AD вместо учетной записи глобального администратора может ограничивать назначение чрезмерно разрешающих привилегий законным администраторам. Применение принципа« наименьших привилегий »может значительно снизить влияние, если администратор аккаунт взломан ", отмечает CISA.
CISA рекомендует администраторам включить единый журнал аудита в Центре безопасности и соответствия требованиям для содействия расследованию инцидентов. Журнал аудита содержит события из Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI и других служб Office 365.
СМ.: DHS CISA: компании получают хакерские атаки даже после исправления защищенных VPN-сетей Pulse
Агентство также рекомендует включить MFA для всех пользователей, даже если у них нет повышенных разрешений. Кроме того, администраторам следует отключить устаревшие протоколы, особенно если они не поддерживают функции MFA, такие как протокол почтового отделения (POP3), протокол доступа к сообщениям в Интернете (IMAP) и простой протокол передачи почты (SMTP).
Однако CISA признает, что эти протоколы не будут отключены, если они требуются для старых почтовых клиентов. Он рекомендует организациям провести инвентаризацию пользователей, которым необходимо использовать устаревший почтовый клиент, и ограничить им доступ к этим протоколам.
«Этот шаг значительно уменьшит поверхность атаки организации», — говорится в сообщении CISA.
Наконец, CISA рекомендует использовать инструмент Microsoft Secure Score, предназначенный для измерения состояния безопасности организации для Office 365, и интегрированный Unified Audit Log с инструментом SIEM.