I compromessi nella sicurezza nativa di Microsoft 365

Protezione della più ampia superficie di attacco dell'azienda

Inavvertitamente, le tecnologie che adottiamo per migliorare l'efficienza all'interno della nostra organizzazione possono spesso avere lo stesso effetto su malintenzionati che tentano di ottenere l'accesso.

Le suite di collaborazione e produttività aziendale come Microsoft 365 e Google Workspace forniscono ottimi esempi di questo compromesso. Queste suite includono un'impressionante varietà di applicazioni progettate per facilitare l'accesso, l'utilizzo e lo spostamento dei dati tra di loro che, di conseguenza, creano anche un'ampia superficie di attacco, facilitano il movimento laterale e l'accesso illecito per qualsiasi utente malintenzionato che trovi un modo per entrare.

Con una maggiore adozione di queste suite di applicazioni, gli autori di attacchi sono più incentivati a trovare le vulnerabilità al loro interno. Poiché Microsoft 365 vanta circa il doppio dei clienti rispetto alle offerte della concorrenza, secondo un recente sondaggio Okta, è un obiettivo di valore particolarmente elevato.

Questo non è un motivo per evitare di usare Microsoft 365. Microsoft investe molto nella sicurezza e offre sicurezza nativa come parte della suite 365. Piuttosto, la popolarità di Microsoft, e il relativo rischio, è un motivo per integrare la suite con servizi di sicurezza aggiuntivi, come suggerito nel suo modello di responsabilità condivisa. In questo modo rafforzerai la posizione di sicurezza della tua organizzazione sia rispetto alle vulnerabilitàMicrosoft che da debolezze più sistemiche.

Quali sono i primi passi più importanti? E in che modo le organizzazioni possono intraprendere questi passaggi senza compromettere l'efficienza che Microsoft 365 ha offerto loro in primo luogo?

Fase 1: Miglioramento della protezione dal phishing

Secondo una recente ricerca, la stragrande maggioranza degli attacchi informatici (oltre il 90%) inizia con il phishing.

Per prevenire il phishing, Microsoft 365 utilizza la scansione nativa della posta elettronica in modo da filtrare i messaggi dannosi. I dati mostrano che questo servizio non fermerà ogni attacco. Cloudflare ha rilevato che nel 2020 gli utenti di posta elettronica di Microsoft 365 hanno avuto oltre 900.000 e-mail di phishing che sono sfuggite alla sicurezza nativa. Di queste e-mail trascurate, circa il 50% riguardava un dominio creato di recente e un altro 15% includeva un URL dannoso.

Inoltre, la posta elettronica Microsoft, come la maggior parte dei provider di posta elettronica su cloud, è vulnerabile ad altri tipi di attacchi:

• Phishing differito: in cui gli aggressori inviano un'e-mail contenente un collegamento che punta inizialmente a un sito innocuo. Una volta che l'e-mail ha raggiunto la posta in arrivo mirata, l'autore dell'attacco reindirizza l'URL a un sito dannoso.

• Uso dannoso dell'infrastruttura Microsoft: in cui gli autori di attacchi ospitano pagine dannose utilizzando i servizi cloud di Microsoft. Questa tattica è stata occasionalmente trovata per superare la capacità di scansione della posta elettronica di Microsoft.

In linea con la filosofia della "responsabilità condivisa" di Microsoft, potrebbero essere necessari ulteriori livelli di protezione per prevenire gli attacchi. Un punto di partenza importante è:

• Isolamento dei link nei messaggi e-mail: per proteggere gli utenti da collegamenti dannosi che sfuggono ai crack o sostituiscono quelli benigni dopo l'evento. Microsoft offre l'isolamento del browser generale come plug-in, ma l'esecuzione dell'isolamento in locale richiede un uso intensivo della memoria e può rallentare l'esperienza utente. Considera invece un servizio più solido, che viene eseguito nel cloud, non utilizza lo streaming dello schermo ad alto traffico e impedisce agli utenti di intraprendere azioni potenzialmente pericolose come l'inserimento delle informazioni di accesso in siti non approvati.

• Sicurezza e-mail su cloud avanzata: questa opzione include l'analisi del sentiment, i grafici di attendibilità del mittente, il blocco automatico e altri strumenti che possono essere calibrati per rilevare e-mail dannose che si sa Microsoft 365 tende a perdere.

Fase 2: Miglioramento della scansione alla ricerca di malware

Prevenire il phishing è un passo importante per la sicurezza, ma non è l'unico. Altri tipi di attacco vengono utilizzati per installare malware sui dispositivi endpoint e sull'infrastruttura di rete integrale. Ciò può verificarsi tramite e-mail, su siti Web dannosi che attivano automaticamente i download o con altri metodi.

Il principale servizio anti-malware di Microsoft 365 si chiama Defender ed è installato sui dispositivi endpoint. Application Guard, un plug-in del browser, può aiutare anche inserendo i siti Web dannosi e qualsiasi malware in una sandbox sicura.

In linea con il più ampio impegno di Microsoft per la sicurezza, Defender non è un problema quando si tratta di rilevare malware. Tuttavia, alcunistudi hanno trovato che i suoi tassi di rilevamento sono inferiori a quelli di prodotti simili. Inoltre, alcuni elementi della sua funzionalità creano potenziali lacune:

• Il servizio consente agli utenti di escludere determinate posizioni sul sistema dalle scansioni per il malware, una pratica comune per le app che utilizzano un codice non standard ma comunque un rischio. Inoltre, i ricercatori di sicurezza hanno scoperto che, in alcune versioni del sistema operativo Windows, l'elenco delle posizioni escluse era memorizzato in modo non protetto. Ciò significava che gli autori di attacchi con accesso locale potevano vedere in quali posizioni di sistema installare malware per evitare il rilevamento.

• Per impostazione predefinita, Defender funziona solo con il browser Microsoft Edge. Per gli altri browser sono disponibili dei plug-in ma se gli utenti non li installano per qualsiasi motivo, anche quegli altri browser potrebbero rappresentare dei punti deboli.

Per quanto riguarda Application Guard, lo stesso problema di plug-in e isolamento del browser locale spesso causa scarse prestazioni del dispositivo che potrebbero comportare la semplice disattivazione da parte dell'utente.

Per rafforzare queste protezioni, le organizzazioni dovrebbero prendere in considerazione diverse pratiche:

• Protezione supplementare degli endpoint: supportata dalla migliore intelligence sulle minacce possibile e i cui set di regole e blocklist non sono troppo facili da disabilitare per gli utenti.

• Autenticazione a più fattori (MFA): che utilizza più di una semplice combinazione nome utente/password per fornire l'accesso alle applicazioni. Altri fattori di autenticazione includono token di sicurezza hardware e codici monouso inviati al telefono dell'utente. Se gli autori di attacchi possono installare malware, l'autenticazione a più fattori impedisce loro di utilizzare quel malware per accedere alle applicazioni aziendali.

• Isolamento dei link delle e-mail: come accennato in precedenza, l'attività Web isolata dovrebbe essere eseguita nel cloud, funzionare facilmente con qualsiasi browser e utilizzare la tecnologia moderna per evitare di danneggiare i siti.

Fase 3: Prevenire l'escalation dei privilegi

Anche con una solida protezione da posta elettronica e malware, le organizzazioni dovrebbero essere preparate affinché gli aggressori ottengano una qualche forma di accesso alla loro istanza di Microsoft 365. Tale preparazione è un principio centrale della sicurezza moderna, spesso riassunto dal principio Zero Trust di "mai fidarsi, sempre verificare" le richieste che si spostano tra qualsiasi posizione in una rete.

Microsoft 365 offre diversi servizi per la gestione degli accessi e delle autorizzazioni di cui dispongono gli utenti. Tuttavia, secondo quanto emerso dalla ricerca BeyondTrust, negli ultimi anni la "privilege escalation" è stata la forma più comune di vulnerabilità di Microsoft 365. In questi incidenti, gli aggressori ottengono l'accesso a un account utente ed espandono la varietà di sistemi e impostazioni a cui può accedere, facilitando il movimento laterale, il furto di credenziali e la compromissione di applicazioni mirate.

Un passo importante verso la prevenzione è logistico: rimuovere i diritti di amministratore al maggior numero possibile di utenti. Un reparto IT sovraccaricato potrebbe essere tentato di concedere agli utenti un accesso eccessivo per migliorare l'efficienza e ridurre i ticket di supporto, ma per quanto utile possa sembrare a breve termine, concedere agli utenti il minor accesso possibile è un altro importante principio della sicurezza moderna. Inoltre, il suddetto rapporto BeyondTrust ha rilevato che la rimozione dei diritti di amministratore potrebbe anche ridurre i ticket di supporto in modo più ampio, osservando che "i computer funzionano meglio quando non si hanno i privilegi per violarli".

Le organizzazioni possono inoltre considerare i sistemi cloud access security broker (CASB), che consentono visibilità e controllo sul modo in cui gli utenti accedono a servizi cloud come Microsoft 365, inclusi i file e i dati condivisi dagli utenti. Microsoft offre un servizio CASB nativo. Ma le organizzazioni potrebbero voler selezionare un CASB di terze parti integrato in una piattaforma Zero Trust più ampia, che consenta l'integrazione con altri servizi Zero Trust e applichi un corpo separato di informazioni sulle minacce alla loro posizione di sicurezza.

Minimizzare gli effetti sull'efficienza

Le organizzazioni spesso adottano Microsoft 365 per migliorare la produttività complessiva del team e l'efficienza tecnologica. Pertanto, tali organizzazioni potrebbero chiedersi se le suddette raccomandazioni aggiungeranno passaggi onerosi alla giornata lavorativa dei loro utenti, rallenteranno il loro utilizzo di Internet o impediranno loro di utilizzare del tutto alcune applicazioni.

Affidarsi esclusivamente alla sicurezza nativa centralizzata di Microsoft può sembrare l'approccio più efficiente, ma i giusti servizi supplementari colmeranno le lacune persistenti senza compromettere l'efficienza. Le organizzazioni dovrebbero cercare servizi di sicurezza che offrano:

Insieme, queste qualità offrono alle organizzazioni e ai loro dipendenti flessibilità, elevate prestazioni di rete e facilitano notevolmente il processo di modernizzazione della sicurezza.

La strada da percorrere

CloudFlare offre molte delle suddette capacità di sicurezza come parte dei suoi più ampi servizi di sicurezza Zero Trust, tra cui sicurezza e-mail su cloud, isolamento dei collegamenti nelle e-mail, un un cloud access security broker (CASB) e le integrazioni con i provider MFA.

Ma, come discusso, l'integrazione di sicurezza nativa di Microsoft 365 richiede anche un focus rapido sulla conservazione dell'efficienza. CloudFlare è architettato in modo univoco per offrire questa efficienza, grazie a:

• Una rete altamente interconnessa si trova a millisecondi del 95% degli utenti di Internet, che garantisce che le forze del lavoro mantengano un accesso rapido e diretto ai server Microsoft.

• Un tessuto di rete omogeneo in cui ogni servizio di sicurezza può funzionare ovunque, assicurando che il traffico che attraversa CloudFlare non soffra di una maggiore latenza.

• Una solida partnership con Microsoft, che garantisce che i servizi di sicurezza Cloudflare siano perfettamente integrati con gli strumenti Microsoft 365.

Scopri di più su Cloudflare Zero Trust per scoprire come la nostra architettura unica fa andare di pari passo sicurezza ed efficienza aziendale.

Questo articolo fa parte di una serie sulle ultime tendenze e argomenti che hanno un impatto sui decisori tecnologici di oggi.

Microsoft e Microsoft 365 sono marchi del gruppo di aziende Microsoft.

Punti chiave

Dopo aver letto questo articolo sarai in grado di capire:

• Protezioni di sicurezza native di Microsoft 365

• Modello di responsabilità condivisa Microsoft

• Strategie per integrare la base di sicurezza Microsoft 365 senza compromettere l'efficienza dei dipendenti

RISORSE CORRELATE

• Una roadmap verso l'architettura Zero Trust

• Cos'è la sicurezza Zero Trust?

• Bypassare l'autenticazione a più fattori

• Protezione dell'impresa distribuita a lungo termine