Naruszenia bezpieczeństwa w środowiskach Microsoft 365: ryzyko i rzeczywistość 

Przysłowie “Jesteś tak silny jak twoje najsłabsze ogniwo” jest szczególnie trafne w kontekście bezpieczeństwa IT. Choć możemy wdrożyć wiele zabezpieczeń, to jedno słabe hasło lub zainfekowane urządzenie może stanowić potencjalne zagrożenie. Dlatego warto dbać o każdy aspekt bezpieczeństwa, aby cały system działał sprawnie i bezpiecznie.   

Po przejściu na pracę zdalną organizacje są bardziej niż kiedykolwiek narażone na naruszenia bezpieczeństwa. Według ostatnich badań liczba cyberprzestępstw na godzinę podwoiła się od 2019 r., a ich koszty wzrosły trzykrotnie.  

Czym są naruszenia bezpieczeństwa?  

Naruszenia bezpieczeństwa obejmują nieupoważnione osoby, które uzyskują dostęp do danych, oprogramowania, aplikacji, urządzeń i sieci. Gdy osoby te ominą zabezpieczenia, mogą naruszyć, ukraść lub zniszczyć pliki i dane. Mogą nawet próbować sprzedać te informacje konkurencji lub przetrzymywać je dla okupu. 

Omawiając tę sytuację, można sobie wyobrazić, że jacyś podejrzani cyberprzestępcy przeprowadzają skoordynowany atak na serwery firmy. Jednak zagrożenia te mogą być tak przyziemne, jak pracownik używający „password1234” jako danych logowania… ponownie. Jest to rodzaj praktyki, która obniża obronę każdej organizacji przed zagrożeniami zewnętrznymi i może prowadzić do tego, że cenne informacje dostaną się w niepowołane ręce.  

Ryzyko jest realne, a koszty są wysokie. Oto kilka statystyk, które pokazują, jak poważna jest to sprawa: 

• Według IBM globalny średni koszt naruszenia bezpieczeństwa danych w 2023 r. wyniesie 4,45 mln USD – 15% wzrost w ciągu 3 lat. Nie obejmuje to szkód pośrednich, takich jak utrata reputacji lub zaufania pracowników.  
• 85% firm korzystających z Microsoft 365 doświadczyło naruszenia bezpieczeństwa w 2021 roku.  
• Wydatki na rozwiązania cybernetyczne i bezpieczeństwa na pracownika wzrosły o około 50% od 2020 roku. 

Rodzaje naruszeń bezpieczeństwa 

Idea naruszeń bezpieczeństwa może być teraz dla Ciebie jaśniejsza, ale być może nadal nie wiesz, jak to wygląda, gdy faktycznie do nich dochodzi.  

Aby pomóc Ci lepiej zrozumieć tego rodzaju sytuacje, przeprowadzimy Cię przez najczęstsze naruszenia bezpieczeństwa w środowisku Microsoft 365, jak one wyglądają i jaki mają wpływ na Twoją organizację. 

Naruszenia bezpieczeństwa kont  

Ponieważ platformy oparte na chmurze, takie jak Microsoft 365, mają wiele punktów wejścia, są podatne na ataki. Oznacza to, że cyberprzestępcy mogą wkraść się na konta pracowników za pośrednictwem Internetu, integracji lub udostępnionych aplikacji.  

Cyberprzestępcy mogą wykorzystać następujące słabe punkty w systemie, aby dostać się do kont:   

•     Luki w kodzie oprogramowania  
•     Luki w konfiguracji  
•     Kwestie bezpieczeństwa fizycznego  
•     Ograniczone metody weryfikacji użytkowników  
•     Słabe punkty sieci  
•     Nieodpowiednie szyfrowanie 

Po wejściu do środka cyberprzestępcy mogą wykorzystać konto pracownika jako odskocznię do uzyskania dostępu do bardziej uprzywilejowanych i wrażliwych obszarów. Mogą wysyłać e-maile do współpracowników z prośbą o informacje lub dodatkowe uprawnienia.   

Ale na szczęście ten ruch również ich zdradza. Ofiara może zauważyć nietypową aktywność urządzenia, taką jak zmiany w plikach lub logowanie z kraju, w którym nigdy nie była. Inni mogą stać się podejrzliwi, gdy członek ich zespołu przestanie zachowywać się jak on sam i pojawi się w obszarach Microsoft 365, które nie mają nic wspólnego z ich pracą.  

Utrata i wyciek danych  

Poza obawami o cyberprzestępców, musisz martwić się o to, że poufne informacje wydostaną się na zewnątrz. Jeśli tajemnice firmy zostaną ujawnione, może to dać przewagę konkurencji. Możesz również stracić zaufanie pracowników i klientów, jeśli przypadkowo udostępnisz ich prywatne dane. 

W najgorszym przypadku możesz zostać ukarany grzywną w wysokości milionów dolarów, jeśli nieświadomie udostępnisz uprzywilejowane informacje o pracownikach lub klientach, a tym samym naruszysz wytyczne RODO lub HIPAA (Health Insurance Portability and Accountability AcT). 

Zgodnie z dokumentacją Microsoft, Microsoft 365 ma na celu poinformowanie użytkowników o naruszeniu w ciągu 72 godzin. Nie można podjąć działań, jeśli dane wydostaną się z powodu nieostrożności lub niedopatrzenia. Mówimy tu o członkach zespołu przypadkowo wysyłających wiadomości e-mail lub udzielających uprawnień niewłaściwym osobom. 

Czasami pracownicy mogą ujawnić poufne informacje w naprawdę dziwacznych sytuacjach, takich jak robienie selfie z komputerem w tle lub wyrzucanie sprzętu biurowego bez czyszczenia pamięci. W jednym z badań zbadano nawet, w jaki sposób cyberprzestępcy mogą odczytywać poufne informacje odbite w okularach.  

Wyzwanie polega na tym, że utrata i wyciek danych nie zawsze pozostawiają cyfrowy ślad, więc firmy mogą nie odkryć problemu, dopóki nie będzie za późno. 

Zagrożenia związane z pocztą e-mail: Złośliwe oprogramowanie, ransomware, phishing  

Wielu przestępców nakłania użytkowników do podania swoich danych logowania za pośrednictwem poczty elektronicznej lub komunikatorów. Ofiara otrzymuje coś, co wygląda jak zwykła wiadomość od współpracownika lub klienta. Gdy jednak kliknie załącznik, na jej komputerze pojawia się złośliwe oprogramowanie. 

W zależności od intencji cyberprzestępcy, złośliwe oprogramowanie może:   

•     Monitorować aktywność użytkownika i naciśnięcia klawiszy  
•     Niszczyć lub zakłócać działanie plików  
•     Rozprzestrzeniać się na inne konta  
•     Przekierowywać użytkowników na strony internetowe  
•     Zbierać poufne informacje 

Możesz być zaskoczony, że ktoś jeszcze daje się nabrać na te oszustwa. Jednak w miarę jak cyberprzestępcy stają się coraz bardziej wyrafinowani, liczba ofiar pozostaje wysoka. W rzeczywistości 27% światowej populacji padło ofiarą oszustw e-mailowych i SMS-owych w 2022 roku.  

Przynajmniej złośliwe oprogramowanie jest często łatwe do wykrycia. Klasyczne oznaki zainfekowanego urządzenia to powolne działanie, częste awarie i nadmierne wyskakujące okienka. Użytkownicy mogą również zauważyć nowe paski narzędzi lub rozszerzenia, które są złośliwym oprogramowaniem ukrywającym się na widoku.  

Jeśli wiadomość e-mail zawiera oprogramowanie ransomware, haker zablokuje lub odszyfruje konto. Następnie, jak sama nazwa wskazuje, wyśle wiadomość z żądaniem okupu w zamian za odwrócenie szkód. 

Kradzież danych uwierzytelniających  

Niektórzy cyberprzestępcy wolą dostać się do systemu w staromodny sposób. Uzyskują dostęp do kont poprzez łamanie haseł, podsłuchiwanie rozmów i kradzież urządzeń firmowych. Mogą też nakłonić użytkowników do ujawnienia swoich danych uwierzytelniających w ramach tak zwanej „inżynierii społecznej”.  

Jedną z popularnych taktyk jest udawanie, że istnieje problem z kontem ofiary Microsoft i że musi ona podjąć natychmiastowe działania. Spanikowany użytkownik może powiedzieć hakerowi, jak zalogować się na konto, aby rozwiązać problem. 

Inni cyberprzestępcy wykorzystują boty do przeprowadzania brutalnych ataków na konta. Polega to na tym, że oprogramowanie zgaduje tysiące kombinacji nazwy użytkownika i hasła, dopóki nie znajdzie prawidłowej. Według Nordpass, boty mogą złamać podstawowe siedmioliterowe hasła w mniej niż 30 sekund.  

Przestępcy mogą też wykorzystywać złośliwe oprogramowanie i ataki phishingowe opisane w poprzedniej sekcji. Często prowadzą one ofiarę do witryny, która powoduje pobranie wirusa lub wprowadzenie danych uwierzytelniających do fałszywego pola logowania. 

Po ataku pracownicy mogą zauważyć, że nie mogą uzyskać dostępu do swoich kont, ale zbyt łatwo jest im pomyśleć: „Och, znowu zapomniałem hasła!”. Mogą zmienić swoje dane logowania, ale atakujący używają wpisów typu backdoor, aby pomóc im utrzymać kontrolę nad kontem. 

W ten sposób haker może uzyskać dostęp do systemu i nikt się o tym nie dowie. Może wysyłać sobie płatności lub podszywać się pod użytkownika przez wiele miesięcy, zanim ktokolwiek to zauważy. 

Nadużywanie uprawnień  

Chociaż zagrożenia wewnętrzne stanowią jedynie około 5% naruszeń bezpieczeństwa, warto traktować je poważnie. Pracownicy mogą wyrządzić wiele szkód, jednocześnie unikając wykrycia, ponieważ mają dogłębną wiedzę na temat systemu i, w przeciwieństwie do cyberprzestępców, oczekują, że tam będą.  

Istnieją jednak pewne charakterystyczne oznaki nadużywania uprawnień, niezależnie od tego, czy są one złośliwe, czy przypadkowe. Użytkownicy mogą:   

•     Uzyskiwać dostęp do systemu poza normalnymi godzinami pracy  
•     Kopiować poufne informacje na autoryzowane urządzenie  
•     Logować się do obszarów systemu, do których normalnie nie mają dostępu  
•     Podejmować wiele nieudanych prób logowania do nieautoryzowanych obszarów  
•     Wprowadzać dużą liczbę zmian na dysku lub w dokumencie 

W przypadku celowych ataków pracownicy mogą zacierać ślady, usuwając dzienniki aktywności, tworząc fałszywe konta użytkowników lub udając ofiarę. Utrudnia to złapanie sprawcy i tworzy poczucie niepokoju, gdy członkowie zespołu wskazują na siebie nawzajem. 

Jak uniknąć naruszeń bezpieczeństwa w Microsoft 365  

W obliczu tak zniechęcających problemów pojawia się pokusa zablokowania dzierżawy Microsoft 365. Nic nie wejdzie, nic nie wyjdzie.  

Zablokowanie IT oznacza jednak, że pracownicy nie mają natychmiastowego dostępu do potrzebnych narzędzi i zasobów. Utracisz całą wydajność, elastyczność i oszczędności, które zyskałeś dzięki wdrożeniu Microsoft 365 w pierwszej kolejności. Idealne rozwiązanie powinno zwiększać bezpieczeństwo zdalnych zespołów bez spowalniania ich pracy.  

Co więcej, pracownicy będą sfrustrowani wszystkimi ograniczeniami i zwrócą się w stronę „hacków”, takich jak używanie niezatwierdzonego oprogramowania lub udostępnianie dostępu do kont. Może się to skończyć przegraną w sytuacji, w której istnieje tyle samo zagrożeń bezpieczeństwa, a praca jest wykonywana w mniejszym stopniu. 

Dzięki odpowiedniej kombinacji narzędzi i najlepszych praktyk w zakresie bezpieczeństwa można znaleźć najlepsze miejsce między ochroną firmy a umożliwieniem zespołom dobrego wykonywania swojej pracy. Oto, czego możesz użyć:   

• Zarządzanie: Konfigurowanie zasad i tworzenie kompleksowej strategii zarządzania jest podstawą skutecznego zarządzania platformą Microsoft 365. Pracownicy mogą jednak zapomnieć o różnych zasadach, jeśli po prostu przeczytają i podpiszą dokument. Możesz egzekwować zasady za pomocą etykiet wrażliwości na dokumentach, które określają, czy zawartość jest publiczna czy poufna.   
• Uwierzytelnianie wieloskładnikowe (MFA): Domyślne ustawienia zabezpieczeń Microsoft obejmują uwierzytelnianie wieloskładnikowe, dzięki czemu można dodać warstwę weryfikacji konta poza hasłami. Zespoły mogą używać przedmiotów fizycznych, wiedzy osobistej lub danych biometrycznych w celu potwierdzenia swojej tożsamości. Sprawdź, czy masz to włączone, a następnie uczyń to wymaganiem dla każdego użytkownika. 
• Zarządzane Zero Trust: Nigdy nie ufaj, zawsze weryfikuj. Nie oznacza to, że podejrzewasz swoich pracowników, ale raczej, że zakładasz, że każdy użytkownik, urządzenie i sieć stanowią zagrożenie, dopóki nie udowodnisz, że jest inaczej. Ustaw uprawnienia użytkowników, ograniczenia i uprawnienia oparte na rolach we wszystkich produktach Microsoft, aby wdrożyć zerowe zaufanie.   
• Zapobieganie utracie danych (DLP): Włącz zasady DLP w Microsoft Compliance Center, aby analizować zasoby cyfrowe pod kątem poufnych informacji. Użyj gotowych reguł lub utwórz je od podstaw, aby określić, które dane należy chronić i jakie działania należy podjąć. Na przykład narzędzia DLP mogą blokować użytkowników, jeśli próbują otworzyć uprzywilejowaną zawartość.   
• Microsoft Purview: Jak sama nazwa wskazuje, Purview pomaga lokalizować, klasyfikować i zarządzać wszystkimi zasobami cyfrowymi w produktach. Dzięki temu przeglądowi zyskujesz większy nadzór nad potencjalnymi zagrożeniami i kwestiami zgodności. Jest to idealne rozwiązanie do wykrywania nieodpowiednich lub nietypowych treści i śledzenia aktywności z powrotem do zagrożeń wewnętrznych.   
• Microsoft Defender: Wykrywaj i blokuj złośliwe oprogramowanie na urządzeniach firmowych za pomocą usługi Defender. Możesz szybko wdrożyć urządzenia klientów i partnerów, aby uniemożliwić cyberprzestępcom wykorzystanie ich do uzyskania dostępu do Twojego systemu. Defender wyszukuje również nowe punkty końcowe i urządzenia w sieci w celu ich zabezpieczenia.   
• Dzienniki audytu: Śledź aktywność użytkowników we wszystkich produktach i funkcjach Microsoft, aby zrozumieć aktywność użytkowników i wychwycić potencjalne zagrożenia, zanim eskalują w poważne problemy. Możesz użyć filtrów, aby zawęzić kryteria wyszukiwania, jeśli podejrzewasz naruszenie w określonym czasie lub uważasz, że obszar firmy może być podatny na ataki.  
• Raportowanie i monitorowanie: Codzienne kontrole pozwalają być proaktywnym, a nie reaktywnym. Zautomatyzuj raportowanie, aby zachować wydajność i mieć czas na skupienie się na krytycznych obszarach.  
• Automatyzacja: Powtarzalne zadania pozostawiają więcej miejsca na błędy ludzkie, takie jak stosowanie zbyt liberalnych ustawień lub przenoszenie ważnych plików do niewłaściwej lokalizacji. Są one również czasochłonne, co daje cyberprzestępcom długie okno czasowe podczas konfigurowania zabezpieczeń do przeprowadzenia ataku. Automatyzacja zadań związanych z bezpieczeństwem eliminuje te problemy, a także uwalnia więcej czasu na skupienie się na projektach o wartości dodanej. 

Kontrola, a nie ograniczenia  

Teraz, gdy firmy stały się zdalne, rozwiązania do zarządzania ad hoc nie wystarczą. Cyberprzestępcy mają bezprecedensowy dostęp do systemów i jest kwestią tego, kiedy, a nie czy, się do nich dostaną.   

Pojawia się więc pytanie, czy Twoja firma wolałaby radzić sobie z zagrożeniami bezpieczeństwa przed, czy po fakcie? Biorąc pod uwagę wysokie koszty naruszeń, zalecamy proaktywne podejście i dalsze inwestycje w zarządzanie. 

Dobre zarządzanie nie jest jednak sprawą jednorazową. Organizacje muszą aktywnie go śledzić, aktualizować i oceniać jego wykorzystanie. W przeciwnym razie stracą równowagę między zachowaniem bezpieczeństwa przy jednoczesnym utrzymaniu adaptacyjnych i wydajnych procesów zespołowych.