Identifique erros comuns nas configurações de segurança do Microsoft 365
Os problemas de segurança do Microsoft 365 podem dobrar o tempo para conter uma violação, indica pesquisa. Conheça as melhores práticas e estratégias operacionais para corrigi-los.
Nota do Editor: Na primeira parte de um artigo, composto por duas partes, sobre como operar ou migrar com segurança para o pacote de serviços Microsoft 365 (antigo Office 365) baseado na nuvem, a fundadora e CEO da Nemertes Research, Johna Till Johnson, analisa pela primeira vez as configurações incorretas de segurança comuns que cercam o Microsoft 365 e as práticas operacionais de alguns de seus profissionais externos. A segunda parte analisa as melhores práticas e estratégias operacionais projetadas para mitigar os riscos de segurança do Microsoft 365.
O uso e a migração para o Microsoft 365 podem ser feitos com segurança, mas requerem esforço e atenção dos tecnólogos empresariais. Os profissionais de TI não devem presumir que a Microsoft incorporou automaticamente a segurança de forma efetiva e adequada no seu pacote de serviços na nuvem. Para agravar o problema, os implementadores externos e os fornecedores de hospedagem da Microsoft podem aumentar o risco de segurança por meio de práticas operacionais que estão abaixo do ideal.
No Estudo de Pesquisa de Nuvem e Cibersegurança de 2019-2020 da Nemertes, descobrimos que contar com a Microsoft como uma parceira estratégica de cibersegurança significava duplicar o tempo total médio para conter (MTTC) uma violação, que é a principal métrica operacional de segurança da Nemertes. O estudo incluiu 390 organizações de usuários finais, variando de grandes empresas e instituições sem fins lucrativos a pequenas e médias empresas em 11 países e em uma variedade de mercados verticais.
Os resultados da pesquisa revelaram que as organizações que dependem da Microsoft como uma parceira estratégica de segurança têm um MTTC médio de 360 minutos para conter um ataque, em comparação com um MTTC médio de 180 minutos para empresas que não o fazem. Em outras palavras, usar a Microsoft como uma parceira de segurança estratégica significa ser uma organização menos segura, o que é indicado por MTTCs mais longos.
Obviamente, a correlação não indica necessariamente causa e efeito, mas ao longo de nossas carreiras como profissionais de tecnologia na Nemertes vimos, repetidamente, que a Microsoft não parece ter princípios de segurança cibernética embutidos em seu DNA, como empresa de tecnologia.
Um exemplo recente é o tratamento incorreto dado pela Microsoft ao ataque de estado-nação em fevereiro de 2019 aos usuários do SharePointen, no qual a empresa lançou dois patches que não só atrasaram o processo, como foram ineficazes. Somente quando lançaram o terceiro patch, em abril de 2019, a vulnerabilidade de um mês foi corrigida ativamente.
Problemas de segurança de migração do Microsoft 365
Em maio de 2019, a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) publicou um relatório (AR19-133A) contendo as melhores práticas destinadas a ajudar as organizações a mitigarem riscos e vulnerabilidades associados à migração de seus serviços de e-mail para o Microsoft 365. A descoberta da CISA levou ao relatório de que muitas organizações tiveram várias configurações incorretas do Microsoft 365, com padrões definidos para configurações perigosas que, portanto, introduziram vulnerabilidades de segurança cibernética.
Essas configurações incorretas de segurança incluem o seguinte:
- Desabilitar a auditoria da caixa de correio (o padrão é desabilitado antes de janeiro de 2019), tornando difícil ou impossível analisar a causa raiz das violações de segurança relacionadas ao e-mail;
- Desabilitar a trilha de auditoria unificada que tem o mesmo problema, dificultando ou impossibilitando a análise da causa raiz das violações de segurança;
- Não usar a autenticação multifator, especialmente em contas de administrador, o que possibilita que os hackers acessem contas privilegiadas;
- Contar com protocolos de e-mail desatualizados, tornando impossível configurar a autenticação multifator;
- Habilitar a sincronização de senha, o que possibilita aos hackers se passarem por administradores e obter acesso de usuário privilegiado.
Além das preocupações da CISA, os terceiros contratados por profissionais de TI da empresa podem introduzir configurações incorretas e práticas inadequadas. Finalmente, as implementações do Microsoft 365 podem ser particularmente vulneráveis a ataques de phishing, dada a popularidade da plataforma. A Microsoft demonstrou falta de agilidade na resposta a esses ataques.
A Barracuda Networks, por exemplo, relatou que as contas do Microsoft 365 geralmente são alvejadas e comprometidas por ataques de controle de contas e, em seguida, usadas por cibercriminosos para uma ampla variedade de propósitos nefastos, que vão desde o spear phishing a campanhas maliciosas de publicidade (malvertising). Isso significa que os tecnólogos das corporações devem estar preparados para intensificar seus esforços antiphishing em termos de controles técnicos e conscientização dos funcionários.