Microsoft 365 原生安全的权衡

保护企业最大的攻击面

无意中，我们为提高组织内部效率而采用的技术往往会对试图获取访问权限的恶意行为者产生同样的影响。

Microsoft 365 和 Google Workspace 等商业生产力和协作套件就是这种权衡的极佳示例。这些套件包括异常丰富的应用程序，易于访问、使用和并在其中移动数据，这同时形成了一个巨大的攻击面，便于掌握方法的攻击者在其中横向移动并进行非法访问。

随着这些应用套件日益普及，攻击者在其中寻找漏洞的动机越来越大。最新 Okta 调查显示，Microsoft 365 拥有的客户两倍于竞品，因而成为特别有价值的目标。

这不是避免使用 Microsoft 365 的理由。Microsoft 在安全方面进行了大量投资，并作为 365 套件的一部分提供原生安全。相反，Microsoft 的流行——以及随之而来的风险——是以额外安全服务对该套件进行增强的理由，正如其共享责任模型中所建议的那样。这样做将加强组织的安全态势，以防范孤立的 Microsoft漏洞和更系统性的弱点。

最重要的初始步骤是什么？组织又应该如何在不损害 Microsoft 365 所提供的效率前提下采取这些步骤呢？

第一步：加强网络钓鱼防范

根据最近的研究，绝大多数网络攻击都是从钓鱼开始的——超过 90%。

为了防止网络钓鱼，Microsoft 365 使用原生的电子邮件扫描来过滤恶意消息。数据显示，这项服务将不能阻止每一个攻击。Cloudflare 发现，在 2020 年，Microsoft 365 电子邮件用户有超过 90 万封钓鱼电子邮件成功通过原生安全检查。在这些被忽视的电子邮件中，大约 50% 涉及新近创建的域名，另外 15% 包含恶意 URL。

此外，和大多数云电子邮件提供商一样，Microsoft 电子邮件容易受到其他类型的攻击：

• 延迟钓鱼：攻击者发送的电子邮件所含链接最初指向一个无害的网站。一旦电子邮件到达目标收件箱，攻击者就会将 URL 重定向到恶意站点。

• Microsoft 的恶意使用：攻击者使用 Microsoft 的云服务托管恶意页面。这种策略偶尔能规避 Microsoft 的电子邮件扫描检测。

按照 Microsoft 的”共同责任”理念，可能需要额外的保护层来防范攻击。一个重要的起点是：

• 电子邮件链接隔离： 旨在保护用户以防成功避开检测或替代无害链接的恶意链接。Microsoft 提供通用的浏览器隔离作为插件，但在本地运行隔离需要大量内存，可能影响用户体验。取而代之，考虑一种更健壮的服务，其运行于云端，不使用高流量的屏幕串流，防止用户进行潜在的危险操作，例如在未经批准的网站输入登录信息。

• 高级云电子邮件安全：包括情绪分析、发件人信任图谱、自动拦截和其他工具，这些工具可进行校准，以捕获 Microsoft 365 已知错过的恶意电子邮件。

第二步：改善恶意软件扫描

防止钓鱼是一个重要的安全步骤，但它远非唯一的安全步骤。其他攻击类型可被用于在端点设备和必不可少的网络基础设施上安装恶意软件。这可以通过电子邮件、在自动触发下载的恶意网站上，或通过其他方式发生。

Microsoft 365 的主要反恶意软件服务名为 Defender，安装在端点设备上。浏览器插件 Application Guard 也可帮助安全隔离恶意网站——以及任何恶意软件。

为了符合 Microsoft 对安全的更广泛承诺，Defender 在恶意软件检测方面并不懈怠。然而，一些研究显示其检测率落后于相似产品。其他，其功能的某些元素造成潜在漏洞：

• 该服务允许用户将系统上的位置排除在恶意软件扫描之外——这对使用非标准代码的应用程序而言是常见做法，但仍然是一个潜在的风险。此外，安全研究人员发现，某些版本的 Windows 操作系统中以不安全的方式储存排除位置列表。这意味着具有本地访问权限的攻击者可以看到在哪些系统位置安装恶意软件可避免检测。

• 1Defender 默认仅在 Microsoft Edge 浏览器上工作。它提供用于其他浏览器的插件。但如果用户出于某种原因没有安装该插件，其他浏览器也可能成为薄弱环节。

关于 Application Guard，存在同样的插件问题，而且本地浏览器隔离通常会导致设备性能下降，因而有可能被用户直接关闭。

要加强这些保护，组织应该考虑以下几种做法：

• 补充端点保护：由尽可能最佳的威胁情报支持，且规则集和阻止列表不那么容易被用户禁用。

• 多因素身份验证 (MFA)：使用除用户名/密码组合以外的更多因素验证用户的应用访问请求。其他身份验证“因素”包括硬件安全令牌和发送到用户手机的一次性代码。如果攻击者可安装恶意软件，MFA 可阻止他们使用该恶意软件来访问企业应用。

• 电子邮件链接隔离：如前所述，隔离 Web 活动应该在云中运行，易于与任何浏览器一起工作，并使用现代技术来避免破坏站点。

第三步：预防特权提升

即使有强大的电子邮件和恶意软件防护，组织也应该做好准备，以防攻击者对 Microsoft 365 实例获得某种形式的访问权限。这种准备是现代安全的一个核心原则——通常可以概括为一个 Zero Trust 原则：对网络中任何位置之间移动的请求“从不信任，始终验证”。

Microsoft 365 提供了几种服务来管理用户拥有的访问权限和许可。然而，根据 BeyondTrust 研究，近年来，特权提升一直是 Microsoft 365漏洞的最常见形式。在这些事件中，攻击者获得了对用户帐户的访问，并扩展了它可以访问的各种系统和设置，从而便于横向移动、盗窃凭据和入侵目标应用程序。

预防的一个重要步骤是组织问题——从尽可能多的用户手中移除管理员权限。负担过重的 IT 部门可能会倾向于向用户授予过多的访问权限，以提高效率并减少支持工单。然而，尽管短期内这看起来很有帮助，授予用户尽可能少的访问权限是现代安全的另一个重要原则。此外，上述 BeyondTrust 研究发现，移除管理员权限也可以更广泛地减少支持工单，并指出”当你没有权限破坏电脑时，它们只会工作得更好。”

组织也可考虑云访问安全代理(CASB)系统，这种系统允许组织了解和控制用户如何访问 Microsoft 365 等云服务，包括用户共享哪些文件和数据。Microsoft 没有提供原生 CASB 服务。但各组织可能希望选择第三方 CASB，其内置于更广泛的 Zero Trust 平台中，允许与其他 Zero Trust 服务集成，并将单独的威胁情报体应用于其安全态势。

最小化对效率的影响

组织通常采用 Microsoft 365 来提高整体团队生产力和技术效率。因此，这些组织很可能会想，上述建议是否会给用户的工作日增加繁重的步骤，减慢他们的互联网使用速度，或完全阻止他们使用某些应用程序。

完全依赖 Microsoft 的集中式原生安全似乎是最高效的方法。但适当的增强服务将在不损害效率的情况下填补挥之不去的漏洞。组织应该寻找提供具有如下特性的安全服务：

这些特性向组织及其员工提供灵活性和强大的网络性能，并显著简化安全现代化的过程。

前进的道路

Cloudflare 提供了上述众多安全功能，作为其更广泛的 Zero Trust 安全服务的一部分，包括云电子邮件安全、电子邮件链接隔离、云访问安全代理以及与 MFA 提供商的集成。

但是，如前所述，补充 Microsoft 365 的原生安全性也需要专注于保持效率。Cloudflare 具备独特的架构以实现这种效率，这得益于：

• 一个高度互联的网络，与 95% 的互联网用户距离在数十毫秒内，确保任何地方的办公人员都能快速、直接访问 Microsoft 服务器。

• 一个同质的网络结构，其中每项安全服务都可以在任何地方运行，确保通过 Cloudflare 传输流量不会产生额外延迟。

• 与 Microsoft 建立了强有力的合作关系，确保 Cloudflare 安全服务与 Microsoft 365 工具无缝集成。

详细了解 Cloudflare Zero Trust，以探索我们的独特架构如何使安全与业务效率齐头并进。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。

Microsoft 和 Microsoft 365 为 Microsoft 集团公司的商标。

关键要点

阅读本文后，您将能够了解：

• 攻击者如何利用网络钓鱼来规避 MFA

• MFA 破坏如何为数据盗窃和其他攻击打开大门。

• 防止 MFA 漏洞利用的关键策略

相关资源

• Zero Trust 架⁠构⁠路⁠线⁠图

• 什么是零信任安全？

• 绕过多因素身份验证

• 长期保护分布式企业的安全