Rozwiązania Microsoft 365 zmniejszają ryzyko zagrożeń dla firmy

10 listopada 2021

Microsoft notebook

Ryzyko, o którym decyduje biznes

Osoby na wysokich stanowiskach w strukturach organizacyjnych firm, współodpowiedzialne za całościowe zarządzanie organizacją, często podchodzą do zagadnień bezpieczeństwa IT w sposób zakładający minimalizację wysiłków i nakładów finansowych, ze względu na posiadanie już w infrastrukturze IT określonych rozwiązań, które do tej pory działały bez większych incydentów.

Z kolei firmy, które doświadczyły niedogodności związanych z np. atakami ransomware, zwracają zwykle uwagę na bezpieczeństwo informacji w znacznie większym stopniu.

W świecie IT funkcjonuje pogląd, że bezpieczeństwa nie da się zapewnić w 100%. Każdy system w jakimś stopniu jest narażony na ryzyko. To właśnie od osób decyzyjnych w firmach zależy, czy ryzyko zostanie zmniejszone do poziomu akceptowalnego, co związane jest z inwestycjami w oprogramowanie i rozwiązania sprzętowe.

Bezpieczeństwo informacji zależy od kilku czynników

Najsłabsze ogniwo to ludzie

Zdarza się, że użytkownicy nie mają świadomości wartości informacji, z którymi pracują. Poziom ostrożności w trakcie pracy z informacjami też bywa zróżnicowany. Wdrożenie modelu pracy zdalnej spowodowało wzrost ryzyka związanego z zachowaniem użytkowników. Regułą jest, że domowe urządzenia sieciowe są zwykle słabo zabezpieczone.

Częstym problemem są również hasła. Użytkownicy potrafią zapisywać hasła na kartkach lub w niezabezpieczonych plikach, przekazywać innym osobom lub zapamiętywać w przeglądarkach internetowych. Zależnie od polityki haseł w organizacji, użytkownicy dążą do ustawiania prostych do zapamiętania haseł. Zdarza się również, że używają takich samych haseł w różnych usługach (co do których nie zawsze jest pewność w zakresie ustawień bezpieczeństwa).

Łatwość dostępu do narzędzi hackerskich

Niestety, w Internecie dostępna jest ogromna liczba narzędzi, które nawet zaawansowany użytkownik może wykorzystać do ataków lub innych działań, które mogą zagrozić bezpieczeństwu danych w firmie. Dobrze chroniona infrastruktura IT będzie raczej bezpieczna w kontekście aktywności takich osób, ale firmy niepoświęcające wystarczającej uwagi na bezpieczeństwo IT, mogą być potencjalnie narażone na negatywne konsekwencje poczynań początkujących hackerów.

Łatwość dostępu do narzędzi hackerskich

Mniejsze firmy są również celem ataków

W dzisiejszych czasach ataki są realizowane w odniesieniu do wszystkiego, co może zostać zaatakowane. Ataki są zautomatyzowane, więc można przyjąć, że najczęściej cele nie są ręcznie wybierane przez atakujących. Dopiero, gdy atak zakończy się sukcesem, przestępca sprawdza możliwości wykorzystania uzyskanych informacji. Czasami przejęty przez hackerów serwer w firmie może posłużyć jako miejsce, z którego realizowane jest włamanie do infrastruktury innej organizacji komercyjnej lub rządowej.

Stosowanie nieaktualnych rozwiązań

Każde rozwiązanie wprowadzane na rynek jest zaprojektowane z myślą o zagrożeniach, które są aktualne w czasie oferowania urządzeń lub oprogramowania wraz ze zdefiniowanym czasem wsparcia w formie aktualizacji bezpieczeństwa. Jeśli rozwiązania funkcjonują w swojej pierwotnej postaci, nie są aktualizowane lub znajdują się poza okresem wsparcia producenta, to łatwiej przeprowadzić atak na taką infrastrukturę IT nieposiadającą właściwej ochrony. Pojawiające się nowe ataki i niebezpieczeństwa powodują, że nie zawsze wystarczy tylko opieranie się na rozwiązaniach sprzed kilku lat, które jeszcze mają wypuszczane aktualizacje.

Dostęp do specjalistów bezpieczeństwa IT

Większość dużych firm nie posiada w swojej kadrze inżynierów z wieloletnim doświadczeniem, którzy będą w stanie w kompleksowy sposób spojrzeć na zagadnienia bezpieczeństwa informacji i zapewnić optymalne rozwiązania.

Informatycy w firmach najczęściej dążąc do zapewnienia funkcjonowania usług świadczonych przez infrastrukturę informatyczną, traktują bezpieczeństwo drugoplanowo – szczególnie jeśli wyższy poziom bezpieczeństwa mógłby wpłynąć utrudniająco na korzystanie z usług zapewnianych przez systemy IT.

Rozwiązaniem w takiej sytuacji może być wsparcie doświadczonego partnera IT, który przeprowadzi audyt IT lub przygotuje propozycje zmian w infrastrukturze IT, pozwalające na uzyskanie odpowiedniego poziomu bezpieczeństwa przy zachowaniu ciągłości oraz ergonomii pracy użytkowników korzystających z usług.

Eliminacja zagrożeń związanych z hasłami użytkowników

MFA w chmurze Microsoft 365

Chmura Microsoft 365 dla firm pozwala na szybkie wdrożenie rozwiązania, które skokowo podnosi bezpieczeństwo kont użytkowników. MFA (uwierzytelnianie wieloskładnikowe) pozwala użytkownikowi w firmie na dostęp do konta lub usług po zrealizowaniu określonych czynności służących potwierdzeniu tożsamości. Innymi słowy, MFA chroni użytkowników przed skutkami kradzieży tożsamości, czyli potencjalnym nieautoryzowanym logowaniem na konto pracownika firmy.

Uwierzytelnianie wieloskładnikowe wymaga, by użytkownik znał swoje hasło oraz miał świadomość odpowiedzialności za swoje urządzenie osobiste (np. służbowy smatfon). Co ważne, administrator IT może ustawić wyjątki MFA, m. in. brak wymagania drugiego składnika dla użytkownika pracującego z firmowej sieci LAN.

Zależnie od wdrożenia MFA, warstwy ochrony mogą również wykorzystywać dane biometryczne (np. odcisk palca) przy logowaniu na konto. Funkcjonalność Multi Factor Authentication jest automatycznie włączona dla nowych użytkowników chmury Microsoft 365.

MFA w chmurze Microsoft 365

Passwordless authentication

Azure Active Directory odpowiedzialne za uwierzytelnianie w chmurze Microsoft 365 pozwala na rezygnację z ustawiania haseł. Dostępnych jest kilka opcji, które mają swoje wymagania, funkcje i zakresy. Proces przejścia na uwierzytelnianie bez hasła powinien być realizowany stopniowo, a ochrona hasłem powinna być utrzymywana do czasu zakończenia procesu.

Jedną z możliwości jest zarejestrowanie urządzenia mobilnego jako urządzenia użytkownika. Podczas uwierzytelnienia na ekranie wyświetli się kod, a aplikacja Authenticator wyświetli kilka liczb do wyboru. Użytkownik musi wybrać właściwą liczbę i jednocześnie potwierdzić tożsamość za pomocą odcisku palca.

Drugą możliwością rezygnacji z ustawiania haseł jest wykorzystanie klucza sprzętowego. Użycie zgodnego klucza sprzętowego oraz dodatkowych danych pozwala na zalogowanie się na konto.

Kolejną możliwością jest oparcie logowania tylko na danych biometrycznych.

Konfiguracja federacji między lokalnym AD a Azure AD, pozwala na rozszerzenie opcji uwierzytelniania. Wówczas do uwierzytelniania można używać kart inteligentnych.

Zapobieganie atakom phishing

Cenne jest to, że rezygnacja z wykorzystywania hasła do uwierzytelniania jest w stanie zabiegać wielu atakom typu phishing, których celem jest uzyskanie haseł użytkowników.

Użytkownik, który zobaczy monit o wprowadzenie hasła nabierze podejrzeń ze względu na fakt, że firma nie używa haseł. Pewnym aspektem związanym z wygodą pracy użytkowników jest też brak konieczności okresowego zmieniania hasła (skoro nie korzystamy z haseł).

Zaawansowane funkcje bezpieczeństwa w Azure AD

Azure AD pozwala na opcję dostępu warunkowego. Opcja ta może być używana do włączania MFA, wymagania od użytkowników zmiany haseł, uniemożliwiania logowania się z urządzeń osobistych. Jednym z atrybutów, który jest w pierwszej kolejności brany pod uwagę przez administratorów jest ograniczenie możliwości logowania z niezaufanych geolokalizacji. Administrator może stworzyć białe i czarne listy lokalizacji na podstawie publicznych adresów IP.

Ciekawą funkcją działającą dla kont w chmurze, jak również integrującą się z lokalnym AD, jest możliwość blokowania słów, które nie powinny być używane jako hasło (np. nazwa firmy, nazwisko użytkownika, itp.).

W celu odciążenia działów IT z pracy związanej z resetowaniem haseł użytkowników, możliwe jest wdrożenie resetowania hasła przez samych użytkowników przy użyciu alternatywnych metod logowania. Metody resetowania dostępne dla użytkowników można ustalić samodzielnie (SMS, aplikacja mobilna, pytania zabezpieczające, osobisty adres e-mail), przy czym można wymagać jednej metody lub jednocześnie dwóch. Opisywana funkcja integruje się z lokalnym AD.

Cenną funkcjonalnością Azure Active Directory (podobnie jak w lokalnym Active Directory) jest możliwość przechowywania kluczy odzyskiwania do funkcji Bitlocker. Dzięki szyfrowaniu dysków, nawet utrata komputera lub dysku z ważnymi danymi nie spowoduje potencjalnego wycieku danych.

Zaawansowane funkcje bezpieczeństwa w Azure AD

Bezpieczna poczta Exchange Online

Analiza zachowania załączników wiadomości e-mail

Każdy załącznik wiadomości e-mail w Exchange Online sprawdzany jest pod kątem bezpieczeństwa zanim zostanie dostarczony do użytkownika.

Załącznik analizowany jest w zakresie zachowania. Dzięki temu unikamy niebezpieczeństw związanych ze złośliwym oprogramowaniem (malware) przesyłanym w formie załączników wiadomości, które mogłyby uruchomić się na komputerze użytkownika, uruchomić makro wysyłające dane lub szyfrujące inne dokumenty, itp.

Złośliwe linki w wiadomościach e-mail

Organizacja posiadająca wdrożony Microsoft 365 i korzystająca z usług i aplikacji oferowanych w ramach planów dla firm korzysta z zaawansowanej ochrony przed zagrożeniami przy użyciu Office 365. Każde kliknięcie w link w wiadomości e-mail lub w dokumencie pakietu Office jest sprawdzane. Linki prowadzące do złośliwych witryn są blokowane. Baza informacji dotyczących złośliwych linków jest na bieżąco aktualizowana w Microsoft.

Ataki ransomware

Kontrolowany dostęp do folderów pozwala zapobiegać zapisywaniu danych w określonych folderach na dysku przez niezaufane procesy, powiązane np. z atakami ransomware. Próby wprowadzenia zmian przez nieznane procesy w systemie operacyjnym są blokowane. Konfiguracja opisywanej w tym miejscu funkcji zależy od ewentualnego korzystania z programów antywirusowych innego producenta.

Dzięki synchronizacji dokumentów w Windows 10 z magazynem OneDrive dla firm w chmurze, wzmacniamy dodatkowo ochronę przed ewentualnymi skutkami ataków ransomware lub efektami działań użytkowników, którzy usuwają ważne dane i niekoniecznie robią to celowo. Pliki synchronizują się natychmiast po zapisaniu ich w dedykowanym katalogu na komputerze, oraz co ważne, poprzednie wersje dokumentów również są zapisywane. Jeśli pliki zostaną zaszyfrowane, usunięte lub zmodyfikowane, posiadamy możliwość przywrócenia plików bez względu na to, ile zmian w nich wprowadzono.

Wyciek danych – zapobieganie dzięki chmurze

Azure Information Protection

Usługa Azure Information Protection pozwala chronić dokumenty dzięki szyfrowaniu i przypisywaniu praw dostępu dla użytkowników. Skonfigurowane ograniczenia dostępu zostają zachowane nawet jeśli dokumenty wydostaną się poza firmę.

Azure Information Protection integruje się z aplikacjami Office, co pozwala użytkownikom szyfrować pliki z poziomu Worda lub w trakcie korzystania z poczty Exchange Online. Oprócz ręcznego szyfrowania, możliwe jest korzystanie automatyczne zgodnie ze zdefiniowanymi zasadami (np. wysłanie wiadomości z określonym typem załącznika poza firmę, do określonych adresatów, itp.).

Usługa pozwala na ograniczenie dostępu do dokumentów w taki sposób, by osoby postronne nie mogły zobaczyć informacji, które nie są dla nich przeznaczone.

Technologia może być również wykorzystana w przypadku zaawansowanych zadań wymagających wstępnego klasyfikowania dokumentów oraz zapewnienia ochrony, zgodnie z wymaganiami określonymi w przepisach.

Microsoft 365 DLP

Microsoft 365 DLP to zestaw zasad ochrony informacji poufnych dla usług Exchange Online, SharePoint, OneDrive oraz Teams.

Zasady mogą blokować różne operacje związane z informacjami poufnymi, np. przekazywanie poza organizację lub pobieranie na lokalny komputer. System pozwala na tworzenie szablonów niestandardowych informacji poufnych na podstawie słów kluczowych, wyrażeń regularnych, układów dokumentów, itd. Administrator może skonfigurować zasady blokowania wychodzących wiadomości e-mail zawierających dane paszportowe lub inne dane osobowe.

Microsoft 365 DLP dla Teams

W przypadku Teams, zasady dotyczą wiadomości w konwersacjach i kanałach prywatnych. Ponieważ dokumenty publikowane za pomocą Teams znajdują się w usłudze OneDrive i programie SharePoint, objęte są zakresem zasad DLP dla usługi OneDrive i programu SharePoint.

Cloud App Security

Usługa Office 365 Cloud App Security to broker zabezpieczeń dostępu do chmury. Office 365 CAS potrafi monitorować działania użytkowników w Exchange Online, SharePoint oraz OneDrive. Możliwe jest np. sprawdzenie który użytkownik pobrał określony plik, utworzył link, usunął wiadomość e-mail. Działania administratorów również są rejestrowane. Zasady mogą służyć do powiadamiania o niektórych działaniach, a nawet do blokowania określonych rodzajów działań.

Użytkownicy ze specjalnymi uprawnieniami

Funkcja Azure AD Privileged Identity Management służy do bezpiecznego delegowania uprawnień i jednocześnie pozwala uniknąć konieczności korzystania z wielu kont. Administrator ma prawa zwykłego użytkownika, a wszystkie wyższe uprawnienia są aktywowane w razie potrzeby.

Aktywacja ról związanych z wyższymi uprawnieniami wymaga m.in. dodatkowej weryfikacji za pomocą uwierzytelniania wieloskładnikowego, określany jest czas obowiązywania podwyższonego uprawnienia, uzyskiwana może być zgoda wskazanej osoby zatwierdzającej. Opisywana funkcja jest częściowo znana z lokalnej usługi AD i nosi nazwę PAM (Privilleged Access Management).

Microsoft 365 DLP dla Teams