A medida que las organizaciones adaptan o cambian sus capacidades de colaboración empresarial para cumplir con los requisitos del teletrabajo, muchas organizaciones están migrando a Microsoft Office 365 (O365) y otros servicios de colaboración en la nube. Debido a la velocidad de estas implementaciones, es posible que las organizaciones no estén considerando completamente las configuraciones de seguridad necesarias para estas plataformas.
Imagen vía Depositphotos
O365 proporciona capacidades de correo electrónico basadas en la nube, así como capacidades de chat y video usando Microsoft Teams. Si bien el cambio abrupto al trabajo desde el hogar puede requerir la adpción rápida de servicios de colaboración en la nube, como O365, la implementación apresurada puede conducir a descuidos en las configuraciones de seguridad y socavar una sólida estrategia de seguridad específica de O365.
La Agencia de Seguridad Cibernética e Infraestructura de Estados Unidos (CISA) continúa viendo casos en los que las entidades no están usando las mejores prácticas de seguridad con respecto a su implementación de O365, lo que resulta en una mayor vulnerabilidad a los ataques adversos.
Acciones a seguir
La siguiente lista contiene las configuraciones recomendadas al implementar O365:
Habilite la autenticación multifactor para las cuentas de administrador:
Los administradores globales de Azure Active Directory (AD) en un entorno O365 tienen el nivel más alto de privilegios de administrador en el nivel de inquilino. Esto es equivalente al Administrador de dominio en un entorno AD local. Los Administradores globales de Azure AD son las primeras cuentas creadas para que los administradores puedan comenzar a configurar su inquilino y eventualmente migrar a sus usuarios. La autenticación multifactor (MFA) no está habilitada de forma predeterminada para estas cuentas.
Microsoft se ha movido hacia un modelo «Seguro por defecto», pero incluso esto debe ser habilitado por el cliente. La nueva característica, llamada «Valores predeterminados de seguridad», ayuda a hacer cumplir el uso de MFA por parte de los administradores. Estas cuentas tienen acceso a Internet porque están alojadas en la nube. Si no se asegura de inmediato, un atacante puede comprometer estas cuentas basadas en la nube y mantener la persistencia a medida que un cliente migra usuarios a O365.
Asigne roles de administrador utilizando el control de acceso basado en roles (RBAC):
Dado su alto nivel de privilegio predeterminado, solo debe usar la cuenta de administrador global cuando sea absolutamente necesario. En cambio, el uso de otras numerosas funciones de administrador integradas de Azure AD en lugar de la cuenta de administrador global puede limitar la asignación de privilegios excesivamente permisivos a administradores legítimos. La práctica del principio de «privilegio mínimo» puede reducir en gran medida el impacto si una cuenta de administrador se ve comprometida. Siempre asigne a los administradores solo los permisos mínimos que necesitan para realizar sus tareas.
Habilitar registro de auditoría unificado (UAL):
O365 tiene una capacidad de registro llamada Registro de auditoría unificada que contiene eventos de Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI y otros servicios de O365. Un administrador debe habilitar el Registro de auditoría unificada en el Centro de seguridad y cumplimiento antes de que se puedan ejecutar consultas. Al habilitar UAL, los administradores pueden investigar y buscar acciones dentro de O365 que podrían ser potencialmente maliciosas o no dentro de la política de la organización.
Habilite la autenticación multifactor para todos los usuarios:
Aunque los usuarios normales en un entorno O365 no tienen permisos elevados, aún tienen acceso a datos que podrían ser perjudiciales para una organización si una entidad no autorizada accede a ellos. Además, los actores de amenazas comprometen las cuentas de usuario normales para enviar correos electrónicos de phishing y atacar a otras organizaciones que usan las aplicaciones y servicios a los que tiene acceso el usuario comprometido.
Deshabilite la autenticación de protocolo heredado cuando corresponda:
Azure AD es el método de autenticación que utiliza O365 para autenticarse con Exchange Online, que proporciona servicios de correo electrónico. Existen varios protocolos heredados asociados con Exchange Online que no son compatibles con las funciones de MFA. Estos protocolos incluyen el Protocolo de oficina postal (POP3), el Protocolo de acceso a mensajes de Internet (IMAP) y el Protocolo simple de transporte de correo (SMTP). Los protocolos heredados a menudo se usan con clientes de correo electrónico más antiguos, que no admiten la autenticación moderna. Los protocolos heredados se pueden deshabilitar a nivel de inquilino o de usuario. Sin embargo, si una organización requiere clientes de correo electrónico más antiguos como una necesidad comercial, presumiblemente estos protocolos no se deshabilitarán. Esto deja a las cuentas de correo electrónico accesibles a través de Internet con solo el nombre de usuario y la contraseña como método de autenticación principal.
Un enfoque para mitigar este problema es hacer un inventario de los usuarios que aún requieren el uso de un cliente de correo electrónico heredado y protocolos de correo electrónico heredados y solo otorgan acceso a esos protocolos para esos usuarios seleccionados. El uso de las políticas de acceso condicional de Azure AD puede ayudar a limitar la cantidad de usuarios que tienen la capacidad de usar métodos de autenticación de protocolos heredados. Dar este paso reducirá en gran medida la superficie de ataque de una organización.
Habilitar alertas para actividades sospechosas:
Habilitar el registro de actividades dentro de un entorno Azure / 0365 puede aumentar en gran medida la efectividad del propietario para identificar actividades maliciosas que ocurren dentro de su entorno y habilitar las alertas servirá para mejorar eso. Crear y habilitar alertas dentro del Centro de Seguridad y Cumplimiento para notificar a los administradores sobre eventos anormales reducirá el tiempo necesario para identificar y mitigar de manera efectiva la actividad maliciosa. Como mínimo, CISA recomienda habilitar alertas para inicios de sesión desde ubicaciones sospechosas y para cuentas que excedan los umbrales de correo electrónico enviado.
Incorporar Microsoft Secure Score:
Microsoft proporciona una herramienta integrada para medir la postura de seguridad de una organización con respecto a sus servicios O365 y ofrecer recomendaciones de mejora. Estas recomendaciones proporcionadas por Microsoft Secure Score NO abarcan todas las configuraciones de seguridad posibles, pero las organizaciones aún deben considerar el uso de Microsoft Secure Score porque las ofertas de servicios O365 cambian con frecuencia. El uso de Microsoft Secure Score ayudará a proporcionar a las organizaciones un panel centralizado para rastrear y priorizar los cambios de seguridad y cumplimiento dentro de O365.
Integre los registros con su herramienta SIEM existente: incluso con el registro robusto habilitado a través de la UAL, es fundamental integrar y correlacionar sus registros O365 con sus otras soluciones de administración y monitoreo de registros. Esto asegurará que pueda detectar actividad anómala en su entorno y correlacionarla con cualquier actividad anómala potencial en O365.
Resumen de soluciones
CISA alienta a las organizaciones a implementar una estrategia organizativa en la nube para proteger sus activos de infraestructura defendiéndose de los ataques relacionados con su transición a O365 y asegurando mejor los servicios de O365. Específicamente, CISA recomienda que los administradores implementen las siguientes mitigaciones y mejores prácticas:
- Use autenticación multifactor. Esta es la mejor técnica de mitigación para proteger contra el robo de credenciales para los administradores y usuarios de O365.
- Proteja a los administradores globales del compromiso y use el principio de «privilegio mínimo».
- Habilite el registro de auditoría unificado en el Centro de seguridad y cumplimiento.
- Habilite las capacidades de alerta.
- Integre con las soluciones organizacionales de SIEM.
- Desactive los protocolos de correo electrónico heredados, si no es necesario, o limite su uso a usuarios específicos.
Esta alerta es una actualización del Informe de análisis de mayo de 2019 de la Agencia de seguridad de ciberseguridad e infraestructura, AR19-133A: Observaciones de seguridad de Microsoft Office 365 , y reitera las recomendaciones relacionadas con O365 para que las organizaciones revisen y se aseguren de que su entorno recién adoptado esté configurado para proteger, detectar , y responder en contra serían los atacantes de O365.
Origen: Microsoft Office 365 Security Recommendations – National Cyber Awareness System
