Identifique errores comunes en la configuración de seguridad de Microsoft 365
Los problemas de seguridad de Microsoft 365 pueden duplicar el tiempo que lleva contener una brecha, según una nueva encuesta. Consulte las mejores prácticas y estrategias operativas para solucionarlos.
Nota del editor: En el primero de un artículo de dos partes sobre cómo operar o migrar de manera segura al conjunto de servicios Microsoft 365 (anteriormente Office 365) basado en la nube, la CEO y fundadora de Nemertes Research, Johna Till Johnson, analiza por primera vez las configuraciones erróneas de seguridad comunes que rodean a Microsoft 365 y las prácticas operativas de algunos de sus practicantes externos. La segunda parte analizará las mejores prácticas y estrategias operativas diseñadas para mitigar los riesgos de seguridad de Microsoft 365.
El uso y la migración a Microsoft 365 se puede hacer de forma segura, pero requiere esfuerzo y atención por parte de los tecnólogos empresariales. Los profesionales de TI no deben suponer que Microsoft ha incorporado automáticamente la seguridad de manera efectiva y adecuada en su conjunto de servicios en la nube. Para agravar el problema, los implementadores externos de Microsoft y los proveedores de alojamiento pueden aumentar el riesgo de seguridad a través de prácticas operativas menos que óptimas.
En el Estudio de Investigación de Nube y Seguridad Cibernética 2019-2020 de Nemertes, encontramos que confiar en Microsoft como socio estratégico de seguridad cibernética se correlacionó con duplicar el tiempo total medio para contener (MTTC) una brecha, que es la métrica operativa de seguridad primaria de Nemertes. El estudio incluyó 390 organizaciones de usuarios finales, que van desde grandes empresas y organizaciones sin fines de lucro, hasta pequeñas y medianas empresas en 11 países y en una variedad de mercados verticales.
Los resultados de la encuesta revelaron que las organizaciones que confían en Microsoft como socio estratégico de seguridad tienen un MTTC promedio de 360 minutos para contener un ataque, en comparación con un MTTC promedio de 180 minutos para las empresas que no lo hacen. En otras palabras, el uso de Microsoft como socio estratégico de seguridad se correlaciona con ser una organización menos segura, lo que indican los MTTC más largos.
Obviamente, la correlación no necesariamente indica causa y efecto, pero a lo largo de nuestras carreras como profesionales de tecnología en Nemertes, hemos visto una y otra vez que Microsoft no parece tener principios de seguridad cibernética integrados en su ADN como compañía de tecnología.
Un ejemplo reciente es el mal manejo de Microsoft en febrero de 2019 del ataque del estado-nación a los usuarios de SharePoint en el que la compañía emitió dos parches que no solo llegaron tarde, sino que fueron ineficaces. No fue hasta que se emitió el tercer parche, en abril de 2019, que se solucionó activamente la vulnerabilidad de un mes de duración.
Por ahora, es evidente que la confianza sin sentido en las iniciativas de seguridad de Microsoft no es un enfoque efectivo para los profesionales de TI de la empresa.
Problemas de seguridad de migración de Microsoft 365
En mayo de 2019, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó un informe (AR19-133A) que contiene las mejores prácticas diseñadas para ayudar a las organizaciones a mitigar los riesgos y vulnerabilidades asociados con la migración de sus servicios de correo electrónico a Microsoft 365. El descubrimiento de CISA provocó el informe de que muchas organizaciones tenían múltiples configuraciones erróneas de Microsoft 365, con valores predeterminados establecidos en configuraciones peligrosas que, por lo tanto, introdujeron vulnerabilidades de ciberseguridad.
Estas configuraciones incorrectas de seguridad incluyen las siguientes:
- Deshabilitar la auditoría del buzón de correo (predeterminado como desactivado antes de enero de 2019), lo que dificulta o imposibilita el análisis de la causa raíz de las brechas de seguridad relacionadas con el correo electrónico;
- Deshabilitar el registro de auditoría unificado, que tiene el mismo problema: hacer que el análisis de la causa raíz de las brechas de seguridad sea difícil o imposible;
- No utilizar la autenticación multifactor, particularmente en cuentas de administrador, lo que hace posible que los hackers ingresen en cuentas privilegiadas;
- Confiar en protocolos de correo electrónico desactualizados, lo que hace que sea imposible configurar la autenticación multifactor; y
- Habilitar la sincronización de contraseñas, lo que hace posible que los hackers se hagan pasar por administradores y obtengan acceso de usuario privilegiado.
Además de las preocupaciones de CISA, los terceros contratados por profesionales de TI de la empresa pueden introducir configuraciones erróneas y malas prácticas.
Finalmente, las implementaciones de Microsoft 365 pueden ser particularmente vulnerables a los ataques de phishing, dada la popularidad de la plataforma. Microsoft ha demostrado una falta de agilidad para responder a tales ataques. Por ejemplo, Barracuda Networks informó que las cuentas de Microsoft 365 a menudo son objeto de ataques de adquisición de cuentas y se ven comprometidas por ellos, y los ciberdelincuentes luego las utilizan para una amplia variedad de propósitos nefastos, que van desde el spear phishing hasta las campañas de publicidad maliciosa (malvertising). Esto significa que los tecnólogos empresariales deben estar preparados para intensificar sus esfuerzos antiphishing en términos de controles técnicos y conciencia de los empleados.