Microsoft 365 w firmie - 12 ustawień bezpieczeństwa do włączenia teraz
Większość firm korzysta z Microsoft 365, ale bez odpowiednich zmian w ustawieniach hakerzy mogą łatwo przejąć konta podpięte do systemu. Nie musisz wdrażać wielomiesięcznych projektów, by zabezpieczyć dostęp do organizacji. Wystarczy kilka zmian w panelu administratora, aby utrudnić życie cyberprzestępcom i zyskać spokój.
Tożsamość - włącz MFA i blokady
Większość włamań zaczyna się od przejętego konta użytkownika. Skoro login i hasło to za mało, musisz włączyć Uwierzytelnianie Wieloskładnikowe (MFA) dla wszystkich użytkowników. Często ogranicza się je tylko do kadry zarządzającej, zapominając, że szeregowy pracownik też ma dostęp do zasobów firmy
Jednak samo MFA nie wystarczy, jeśli zostawisz otwarte tylne furtki. Cyberprzestępcy często omijają nowoczesne zabezpieczenia, wykorzystując stare protokoły pocztowe (IMAP/POP3), które nie obsługują drugiego składnika logowania. Dlatego zablokuj Legacy Authentication w zasadach dostępu warunkowego. Zamykasz w ten sposób drogę dla automatów próbujących siłowo łamać hasła.
Użytkownicy często nieświadomie dają dostęp do danych podejrzanym aplikacjom. Jak tego uniknąć? Zabierz im uprawnienie do akceptowania aplikacji (User consent) i zostaw je tylko administratorom.
Skoro uszczelniłeś sposób logowania, przyjrzyj się lokalizacji. Jeśli Twoja firma działa tylko w Polsce i Europie, logowanie z Azji czy Ameryki Południowej powinno budzić podejrzenia. Dlatego skonfiguruj politykę blokowania logowania z krajów wysokiego ryzyka. To prosta zmiana, a odcina ogromną część zautomatyzowanego ruchu generowanego przez botnety.
Ochrona przed tym, co wpada do skrzynki
Mail pozostaje głównym wektorem ataku, więc skup się na filtrowaniu wiadomości. Ponieważ standardowe skanowanie antywirusowe przepuszcza wiele zagrożeń, włącz funkcję Safe Links (Bezpieczne łącza). Sprawdza ona adres URL w momencie, gdy użytkownik w niego klika. Nawet jeśli link był „czysty", gdy wiadomość dotarła, a po godzinie stał się złośliwy, system go zablokuje.
Podobnie zrób z załącznikami. Włącz Safe Attachments (Bezpieczne załączniki), a system otworzy i sprawdzi pliki w izolowanym środowisku (tzw. piaskownicy) przed dostarczeniem do skrzynki. Pracownik nawet nie zauważy zwłoki, a firma uniknie ataku ransomware.
Domyślne progi czułości bywają zbyt niskie. Jeśli podniesiesz poziom ochrony przed podszywaniem się (impersonation) pod kadrę zarządzającą oraz domeny własne, wychwycisz ataki typu Business Email Compromise, gdzie przestępca udaje prezesa proszącego o pilny przelew.
Kontroluj wypływ danych
Skoro zablokowałeś zagrożenia z zewnątrz, spójrz na dane wychodzące. Pracownicy często nieświadomie udostępniają pliki całemu światu. Aby temu zapobiec, zmień domyślne ustawienia udostępniania w SharePoint i OneDrive na „Tylko osoby w Twojej organizacji". Linki typu „Każdy z łączem" powinny wygasać automatycznie po kilku dniach lub być całkowicie zablokowane.
W kolejnym kroku włącz podstawowe reguły Data Loss Prevention (DLP). Potrafią one wykryć numery kart kredytowych czy PESEL w wysyłanych wiadomościach, po czym automatycznie je zablokować lub ostrzec nadawcę. Uczy to pracowników ostrożności i chroni firmę przed wyciekiem danych osobowych.
Hakerzy po przejęciu konta często ustawiają regułę forwardującą, by po cichu wykradać korespondencję. Zablokuj automatyczny forward wiadomości, a utniesz im drogę ucieczki z danymi.
Widoczność i reagowanie na incydenty
Nawet najlepsze zabezpieczenia nie zadziałają, jeśli nikt nie patrzy na logi. Na początek upewnij się, że Unified Audit Log (Ujednolicony dziennik inspekcji) jest aktywny. Bez niego, w przypadku incydentu, nie będziesz w stanie odtworzyć tego, co się stało.
Skonfiguruj też alerty administracyjne informujące o nietypowych zachowaniach, takich jak masowe usuwanie plików lub nadawanie uprawnień administratora nowemu użytkownikowi.
To może Cię zainteresować: Czym są incydenty naruszenia cyberbezpieczeństwa? Gdzie je zgłaszać?
Jednak ilość alertów z Microsoft 365 może przytłoczyć nawet sprawny dział IT. Taki nadmiar powiadomień prowadzi do alert fatigue. Właśnie w tym momencie warto rozważyć wsparcie zewnętrzne - cyberbezpieczeństwo dla firm sod Exea. Korzystamy z platformy SIRP, która automatycznie zbiera alerty z wielu źródeł, priorytetyzuje je i pozwala zespołowi SOC reagować szybciej.
Zamiast przekopywać się przez setki logów dziennie, otrzymujesz gotową informację o realnych zagrożeniach. Nasze skanery podatności dodatkowo sprawdzają, czy konfiguracja Twojej chmury i sieci lokalnej nie zawiera luk. Dzięki temu wiesz, gdzie dokładnie potrzebne są poprawki, zanim ktoś je wykorzysta.
Regularnie sprawdzaj i poprawiaj zabezpieczenia Microsoft 365, a unikniesz pierwszego włamania. Przejrzyj ustawienia i zrób listę zmian na ten miesiąc.
