Problemi di sicurezza di Microsoft 365 e come affrontarli

0
Letto 3.932 volte

Microsoft Office 365 (ora chiamato Microsoft 365) consente la collaborazione e la condivisione dei dati tramite soluzioni come SharePoint Online, MS Teams e OneDrive. Queste applicazioni godono di un uso diffuso, ma hanno problemi di sicurezza. Microsoft fa un lavoro eccezionale per proteggere i propri servizi cloud. Tuttavia, gli utenti del cloud devono assumersi la responsabilità di configurare e gestire l’accesso sicuro e la condivisione dei file per ridurre al minimo il rischio di perdita di dati.

Ecco i principali problemi di sicurezza:

Condivisione di file non autorizzata o esterna

Microsoft 365 consente ai tuoi utenti di collaborare con persone esterne alla tua organizzazione in applicazioni come Teams e SharePoint, nonché condividendo direttamente file e cartelle. Ogni volta che i file vengono condivisi all’esterno di un’organizzazione, diventano vulnerabili.

Abuso di privilegi

Gli utenti spesso si ritrovano con più autorizzazioni di quelle necessarie per svolgere il proprio lavoro. Diritti eccessivi aumentano il rischio di violazione dei dati perché gli utenti possono esporre o sottrarre accidentalmente o deliberatamente più dati di quanto dovrebbero. Allo stesso modo, software dannoso o hacker che assumono il controllo dell’account di un utente possono accedere a più dati e sistemi del necessario.

Violazioni dell’account dell’amministratore globale

Gli hacker e i criminali informatici spesso prendono di mira gli account amministrativi nei loro attacchi per ottenere l’accesso a privilegi elevati. Il modello di amministrazione centralizzata in Microsoft 365 consente a tutti gli amministratori di disporre di credenziali globali, che concedono l’accesso all’account e al contenuto di ogni utente. Se gli hacker riescono a impossessarsi di un account amministratore globale, possono modificare le impostazioni critiche, rubare dati preziosi e lasciare backdoor per entrare di nuovo.

Registri di controllo disabilitati

La registrazione dell’audit non è abilitata per impostazione predefinita in Microsoft 365; un amministratore deve attivare manualmente il controllo. Allo stesso modo, per controllare le caselle di posta elettronica, un amministratore deve abilitare il controllo. Tieni conto che il registro mostra solo gli eventi che si sono verificati dopo l’abilitazione del controllo.

Periodi brevi di conservazione dei log

Microsoft 365 archivia i log per un breve periodo, da soli 90 giorni a un massimo di un anno. Molti standard di conformità richiedono l’archiviazione dei registri di controllo per molto più tempo. Ad esempio, HIPAA richiede che i registri vengano conservati per sei anni. Il GDPR non specifica un periodo di conservazione, ma richiede alle organizzazioni di essere in grado di indagare sulle violazioni, che possono richiedere ben più di un anno per emergere. A quel punto, i log di controllo nativi sono spariti.

Come superare i problemi di sicurezza del cloud di Microsoft 365 

Il primo passaggio per proteggere i dati archiviati in Microsoft 365 consiste nell’utilizzare le funzionalità di sicurezza fornite dal Centro di sicurezza e conformità. In particolare, il Microsoft Secure Score Test analizza e monitora identità, applicazioni, dispositivi, dati e infrastruttura di Microsoft 365 e suggerisce miglioramenti. Ricevi i punti per:

  • Configurazione delle funzionalità di sicurezza consigliate
  • Esecuzione di attività relative alla sicurezza, come la visualizzazione dei report.
  • Utilizzo di applicazioni di terze partiMicrosoft 365 offre anche prevenzione della perdita di dati (DLP) e crittografia della posta elettronica integrate.

Gli strumenti DLP includono l’autenticazione a più fattori, account amministratore dedicati e protezione da malware e ransomware per la posta elettronica. La crittografia delle e-mail crea un altro livello di protezione. Ecco alcuni step chiave da eseguire per migliorare la sicurezza in Microsoft 365:

Abilita l’autenticazione a più fattori

Puoi configurare l’autenticazione a più fattori (MFA) nel Centro sicurezza e conformità. Tieni presente che MFA non è abilitato per impostazione predefinita per gli amministratori globali.L’autenticazione a più fattori richiede agli utenti di fornire due o più metodi di identificazione per accedere alle risorse, come una password più un codice monouso inviato al proprio dispositivo. L’autenticazione a più fattori è la tecnica di mitigazione più potente che puoi utilizzare per proteggerti dal furto di credenziali.

Classifica i tuoi dati

La classificazione dei documenti aiuta le organizzazioni a comprendere la posizione e il valore del loro contenuto, in modo che possano applicare i controlli di sicurezza appropriati. Ad esempio, è possibile identificare e contrassegnare i file che non devono essere condivisi con utenti esterni e quindi disabilitare la condivisione esterna per tali informazioni sensibili.

La sezione Classificazione dei dati dell’interfaccia di amministrazione fornisce alcune funzionalità di classificazione. Tuttavia, cerca una soluzione di terze parti come Netwrix Data Classification per tassonomie di classificazione predefinite, risultati altamente accurati, automazione completa del processo di rilevamento e classificazione, supporto per più repository di dati in locale e cloud e flussi di lavoro di riparazione automatizzati.

Riduci al minimo i privilegi

Per ridurre il rischio di abuso dei privilegi e ridurre al minimo il numero degli account compromessi, segui il principio del privilegio minimo per ogni account in Microsoft 365. Inoltre:

  • Identifica e revoca regolarmente autorizzazioni eccessive;
  • Disattiva i servizi di archiviazione di terze parti;
  • Imposta le date di scadenza sui link;
  • Utilizza gli account amministratore globale solo quando sono necessari per l’attività in questione.

Abilita registrazione controllo unificata

Usa soluzioni di terze parti come Netwrix Auditor per ottenere visibilità sulle attività nel tuo ambiente Microsoft 365, comprese modifiche critiche come l’escalation dei privilegi e gli eventi di accesso come la lettura di contenuti SharePoint. Controlla regolarmente quali utenti accedono ai documenti per assicurarti che non ti sfugga nessun uso non autorizzato. 

Abilita il controllo delle caselle email

Abilita il controllo delle caselle email per monitorare l’attività in Exchange Online. Il controllo delle caselle email non era abilitato per impostazione predefinita prima di gennaio 2019, quindi se la tua implementazione è precedente a quella, devi entrare e attivarlo. In particolare, monitora tutte le modifiche alle autorizzazioni e alle impostazioni, nonché l’accesso alle caselle email dei non proprietari. Tuttavia, ricorda che i log nativi vengono archiviati solo per un periodo di tempo limitato (da 90 giorni o fino a un anno, a seconda del log) e tieni presente che Microsoft 365 crea un unico audit trail difficile da cercare e analizzare eventi discreti.

Usa la protezione da malware

Microsoft 365 include una protezione dal malware. È possibile rafforzare ulteriormente la sicurezza bloccando i tipi di file comuni al malware.

Utilizza le regole del flusso di posta per bloccare le estensioni comunemente utilizzate per l’inserimento di ransomware, avvisare gli utenti degli allegati di posta elettronica che potrebbero essere infetti ed eliminare l’inoltro automatico della posta. Queste opzioni possono essere impostate nel Centro di amministrazione di Exchange.

 

Crittografa email

La crittografia dei messaggi di Microsoft 365 è attivata per impostazione predefinita. Consente agli utenti di inviare e ricevere messaggi di posta elettronica crittografati, sia all’interno che all’esterno dell’organizzazione. Message Encryption funziona con Outlook, Yahoo, Gmail e altri servizi di posta elettronica.

 

Microsoft 365 offre diverse funzionalità di sicurezza aggiuntive da sfruttare, tra cui:

  • Advanced Threat Protection (ATP), che include: allegati sicuri ATP (per bloccare gli allegati dannosi nelle e-mail di phishing),  collegamenti sicuri ATP (per la verifica al momento del click degli URL nei messaggi e nei documenti)
  • La possibilità di disabilitare i protocolli di posta elettronica legacy o di limitarli a utenti specifici
  • Cloud App Security, che include il rilevamento delle minacce basato sui log delle attività degli utenti; individuazione di app di shadow IT con funzionalità simili a Microsoft 365; controllo sulle autorizzazioni delle app in Microsoft 365; accesso alle applicazioni e controlli di sessione

 

Conclusione

Per affrontare i problemi di sicurezza di Microsoft 365, la tua organizzazione dovrebbe implementare una strategia completa per mitigare le vulnerabilità più critiche. Molte organizzazioni implementano soluzioni di terze parti per aiutarle a:

  • Ottenere una visibilità approfondita nel loro ambiente cloud o ibrido;
  • Utilizzare una singola console per gestire l’accesso ai dati sia in cloud che on premises;
  • Individuare e analizzare le minacce che potrebbero causare la perdita di dati;
  • Ottenere, mantenere e dimostrare la conformità alle normative.

 

Per ulteriore approfondimento puoi guardare la registrazione del webinar dedicato alla protezione dei dati in Microsoft 365.