Microsoft 365 原生安全性之取捨
保護企業最大的攻擊面
我們會採用一些技術來提升組織內的作業效率,而這些技術往往會在無意中對試圖獲取存取權的惡意人士產生同樣的影響。
商業生產力和共同作業套件(如 Microsoft 365 和 Google Workspace)可以提供一些極好的範例來說明這種取捨。這些套件包括各種各樣的應用程式,旨在方便存取、使用和移動資料,因此,也產生了較大的攻擊面,便於橫向移動,以及讓任何攻擊者進行非法存取。
隨著這些應用程式套件的採用率越來越高,攻擊者受到更大的激勵去尋找其中的弱點。根據 Okta 最近的一項調查,Microsoft 365 的客戶數量大約是競爭產品的兩倍,因此,它是一個價值特別高的目標。
我們並不會因為這一點,就不使用 Microsoft 365 了。Microsoft 不僅在安全性方面投入了大量資金,還在 365 套件中提供了原生安全性。相反,正是因為 Microsoft 非常熱門,以及隨之而來的風險,才需要為套件補充共同責任模型中所建議的其他安全服務。這樣做會強化組織的安全狀態,以防範隔離的 Microsoft弱點以及更系統化的弱點。
首先必須採取什麼步驟?組織如何採取這些步驟而不降低 Microsoft 365 最初提供的高效率?
第 1 步:改善網路釣魚保護
最新研究表明,絕大多數網路攻擊 (90% 以上) 都是從網路釣魚開始的。
為了防止網路釣魚,Microsoft 365 使用原生電子郵件掃描來篩除惡意郵件。資料顯示,此服務不會阻止每一次攻擊。Cloudflare 發現,2020 年,Microsoft 365 電子郵件使用者有超過 900,000 封網路釣魚電子郵件僥倖逃過了原生安全性。在這些被忽視的電子郵件中,約有 50% 包含最近建立的網域,另有 15% 則包括惡意 URL。
此外,Microsoft 電子郵件,像大多數雲端電子郵件提供者一樣,也很容易受到其他類型的攻擊:
延遲的網路釣魚:攻擊者傳送的電子郵件中包含一個最初指向良性網站的連結。在電子郵件到達目標收件匣後,攻擊者會讓 URL 重新導向至惡意網站。
Microsoft 基礎架構的惡意使用:攻擊者使用 Microsoft 的雲端服務來代管惡意網頁。我們偶爾發現,這種策略能夠通過 Microsoft 的電子郵件掃描功能。
根據 Microsoft 的「共同責任」理念,可能需要額外增加一層保護來防止攻擊。首先必須採取:
電子郵件連結隔離:保護使用者免受惡意連結攻擊,這些連結或者僥倖逃過破解,或者在事後替換良性連結。Microsoft 以外掛程式的形式提供一般瀏覽器隔離,但在本機執行隔離會佔用大量記憶體,從而降低使用者體驗。相反,考慮一下更穩健的服務 — 它在雲端執行,不使用流量較大的螢幕串流,並可防止使用者採取潛在的危險動作,例如,將登入資訊輸入未核准的網站。
進階雲端電子郵件安全性:這包含情緒分析、寄件者信任圖表、自動封鎖,以及經過校正可攔截 Microsoft 365 已知遺漏的惡意電子郵件的其他工具。
第 2 步:改善惡意軟體掃描
防止網路釣魚是一項非常重要的網路安全措施,但遠非唯一的措施。其他攻擊類型用於將惡意軟體安裝到端點裝置,以及不可或缺的網路基礎架構。這些攻擊可透過電子郵件發生、在自動觸發下載的惡意網站上發生,或者透過其他方法發生。
Microsoft 365 的主要反惡意軟體服務稱為 Defender,安裝於端點裝置上。應用程式防護是一個瀏覽器外掛程式,也可以確保惡意網站,以及任何惡意軟體,在沙箱中安全執行,從而提供協助。
根據 Microsoft 更廣泛的網路安全承諾,Defender 在惡意軟體偵測方面可是一把好手。然而,一些研究卻發現,它的偵測率落後於同類產品。此外,其功能的某些元素也會造成潛在的差距:
該服務允許使用者不對一些系統位置進行惡意軟體掃描 — 這種做法通常用於使用非標準程式碼的應用程式,但仍然存在潛在的風險。此外,網路安全研究人員還發現,在特定版本的 Windows 作業系統中,已排除位置清單的儲存並不安全。這意味著,具有本機存取權的攻擊者可以看到要安裝惡意軟體的系統位置以避免偵測。
依預設,Defender 僅適用於 Microsoft Edge 瀏覽器。其他瀏覽器可以使用外掛程式。但如果使用者出於任何原因未安裝外掛程式,則其他瀏覽器也可充當弱式連結。
對於應用程式防護,適用同樣的外掛程式查問,並且本機瀏覽器隔離通常會導致裝置效能較差,從而導致使用者乾脆將其關閉。
為了增強這些保護措施,組織應考慮以下幾種做法:
額外的端點保護:盡量獲得最佳的威脅情報,並且使用者要停用其規則集和封鎖清單不太容易。
多重要素驗證 (MFA):不僅僅是透過使用者/密碼組合來提供應用程式存取。其他驗證「要素」包括硬體安全性權杖和傳送至使用者手機的一次性代碼。如果攻擊者可以安裝惡意軟體,則 MFA 會禁止他們使用該惡意軟體存取公司應用程式。
電子郵件連結隔離:如前文所述,隔離的 Web 活動應在雲端執行,輕鬆適用於任何瀏覽器,並使用現代技術來避免破壞網站。
第 3 步:防止權限提升
即使採取了強大的電子郵件和惡意軟體保護,組織也應做好準備,以防攻擊者以某種形式存取 Microsoft 365 執行個體。這類準備是現代網路安全的中心原則 — 通常總結為 Zero Trust 原則,即「從不信任,始終驗證」在網路中任何位置之間移動的要求。
Microsoft 365 提供了幾種服務來管理使用者的存取權和權限。然而,BeyondTrust 研究表明,近年來,權限提升已成為最常見的 Microsoft 365 弱點形式。在這些事件中,攻擊者可存取使用者帳戶並擴展其可存取的系統和設定種類,從而便於橫向移動、認證竊取和目標應用程式入侵。
一個非常重要的防護措施是後勤 — 移除盡可能多的使用者的管理員權限。一個負擔過重的 IT 部門可能會試圖為使用者提供過多的存取權,以提升工作效率並減少支援票證 — 儘管在短期內似乎很有幫助,但是,為使用者提供盡可能少的存取權卻是另一個非常重要的現代網路安全原則。此外,前述的 BeyondTrust 報告還發現,移除管理員權限也會更廣泛地減少支援票證,並指出「當您沒有破壞權限時,電腦運作反而更好」。
組織還可以考慮使用雲端存取安全性代理程式 (CASB) 系統,該系統支援查看並控制使用者如何存取 Microsoft 365 等雲端服務 — 包括使用者共用的檔案和資料。Microsoft 確實提供原生 CASB 服務。但組織不妨選取一個內建於更廣泛的 Zero Trust 平台的協力廠商 CASB,從而與其他 Zero Trust 服務整合,並對安全狀態套用獨立的威脅情報機構。
最大限度減小效率影響
組織通常採用 Microsoft 365 來提高整體團隊生產力和技術效率。同樣,這些組織可能很想知道,上述建議是否會給使用者的日常工作增添負擔、降低網際網路使用速度,甚至讓他們完全無法使用一些應用程式。
僅僅依賴 Microsoft 的集中式原生安全性似乎是最有效的方法。但適當的補充服務會縮小長期存在的差距,而不會降低效率。組織應尋找提供以下特質的安全服務:
CAPABILITY | PRODUCTIVITY | TECH EFFICIENCY |
Direct ‘any-to-any’ connectivity between offices, users, applications, ISPs, Internet exchange points, cloud instances, etc. | Reduced latency between geographically distant users and servers, resulting in better user experiences | Easy compatibility with any corporate application |
All security and networking services — i.e. link isolation, ZTNA, CASB, WAN — live on a single homogenous network fabric, requiring no backhauling | No additional latency is required to pass traffic through multiple security services, resulting in better user experiences | Simplified onboarding and management for IT |
Updatable with new features as networking needs change over time — rather than constrained by prior architectural decisions | Users are not restricted from accessing undeveloped applications further down the road | IT and Security are not precluded from adopting new protocols and services |
總之,這些特質不僅為組織及其員工提供了極大的靈活性和強大的網路效能,還大大簡化了實現網路安全現代化的過程。
前進的道路
Cloudflare 在更廣泛的 Zero Trust 安全服務中,提供了很多上述網路安全功能,包括雲端電子郵件安全性、電子郵件連結隔離、雲端存取安全性代理程式以及與 MFA 提供者整合。
但是,正如我們所討論的,補充 Microsoft 365 的原生安全性還需要將重點放在保持效率上。Cloudflare 的獨特架構能夠滿足這種效率要求,這要歸功於:
高度互連的網路,只需數毫秒即可連線至 95% 的網際網路使用者,從而確保員工無論位於何處,都能快速直接地存取 Microsoft 伺服器。
同質網路網狀架構,每個安全服務都可以在任何位置執行,從而確保透過 Cloudflare 傳遞的流量不會增加延遲。
與 Microsoft 穩固的合作關係,確保了 Cloudflare 安全服務可與 Microsoft 365 工具無縫整合。
深入瞭解 Cloudflare Zero Trust ,探索我們的獨特架構如何確保網路安全和業務效率齊頭並進。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
Microsoft 和 Microsoft 365 均為 Microsoft 公司集團的商標。
重點
閱讀本文後,您將能夠瞭解:
Microsoft 365 的 原生網路安全保護
Microsoft 的 共同責任模型
旨在鞏固 Microsoft 365 的 網路安全基礎的策略,不會對員工效率產生任何影響