El Centro Nacional de Seguridad Cibernetica de Finlandia (NCSC-FI), que actúa como la Autoridad Nacional de Seguridad de las Comunicaciones de Finlandia, publicó una guía detallada sobre cómo proteger Microsoft Office 365 contra violaciones de datos y phishing de credenciales.
La guía de NCSC-FI se enfoca en mitigar el phishing de Microsoft Office 365 que puede conducir a credenciales robadas y perdidas financieras en caso de fraude fraudulento de Business Email Compromise (BEC) que usaría la información robada.
Para poner en perspectiva la gravedad de los ataques BEC, el Centro de Quejas por Delitos en Internet (IC3) del FBI recibió quejas de víctimas con respecto a 166,349 incidentes nacionales e internacionales entre junio de 2016 y julio de 2019, con una perdida total de dólares expuesta de más de $ 26 mil millones según un PSA emitido el 10 de septiembre.
El mismo día, el Departamento de Justicia de los Estados Unidos (DoJ) dijo en un comunicado de prensa que 281 personas fueron arrestadas durante un período de cuatro meses en los Estados Unidos y en todo el mundo como parte de Operation reWired , un esfuerzo coordinado a nivel mundial para interrumpir los esquemas de BEC.
Medidas de protección de Microsoft Office 365
El primer paso para proteger Office 365 contra el phishing y las infracciones de seguridad es proteger las identidades personalizando las páginas de inicio de sesión para que coincidan con el aspecto de la organización, utilizando contraseñas difíciles de descifrar, asegurando el Active Directory local, permitiendo la autenticación moderna, bloqueando los protocolos de correo electrónico heredados sin dos factores soporte de autenticación (2FA), habilitando 2FA, utilizando acceso condicional, y gestionando cuidadosamente los roles de administrador.
El siguiente en la línea es asegurar las cuentas de correo electrónico de Office 365 asegurando el enrutamiento del correo electrónico al rechazar los correos electrónicos que no se envían a traves de TLS y no son enviados por partes autenticadas mediante certificados.
Además, los usuarios deben estar protegidos contra basura, malware, correos electrónicos de phishing y ataques de día cero con la ayuda de Office 365 Advanced Threat Protection (Office 365 ATP) a traves de ATP Safe Attachments, ATP Safe Links y ATP Antiphishing.
Monitorear, analizar y alternar las respuestas automáticas a los registros de eventos de los usuarios utilizando soluciones como Azure Monitor integrado con un sistema de información de seguridad y gestión de eventos (SIEM) permite recopilar datos sobre inicios de sesión, creación de nuevos usuarios y otras acciones tomadas por usuarios y administradores para identificar intentos de phishing a medida que ocurren.
Tambien se recomiendan los informes de monitoreo utilizando el centro de administración de Microsoft 365, controlando y asegurando los dispositivos de los usuarios finales y brindando a los usuarios y administradores la capacitación adecuada como medidas necesarias para mejorar la seguridad de la información de Office 365.
NCSC-FI tambien aconseja seguir las instrucciones proporcionadas por Microsoft en su Protección contra el phishing por correo electrónico y las guías de etapas de implementación de la infraestructura de identidad de Microsoft 365 .
Por último, pero no menos importante, el inicio de sesión sin contraseña tambien es una mitigación importante contra el phishing, ya que elimina el objetivo de este tipo de ataques, ya que los usuarios ya no necesitan nombres de usuario y contraseñas para autenticarse (los objetivos de los phishers).
Mejores prácticas de seguridad de migración de Office 365
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) tambien emitió un conjunto de mejores prácticas diseñadas para ayudar a las organizaciones a mitigar las vulnerabilidades y los riesgos asociados con la migración de servicios de correo electrónico a Microsoft Office 365 .
CISA aconseja a todas las organizaciones que se aseguren de que sus activos de infraestructura de Office 365 esten protegidos contra los atacantes que podrían aprovechar las instalaciones mal configuradas durante las migraciones de servicios o despues.
Además, CISA enumeró las siguientes mitigaciones y mejores prácticas que deben implementar todos los administradores de Office 365:
- Utilice la autenticación multifactor. Esta es la mejor tecnica de mitigación para proteger contra el robo de credenciales para usuarios de O365.
- Habilite el registro de auditoría unificado en el Centro de seguridad y cumplimiento.
- Habilite la auditoría de buzones para cada usuario.
- Asegúrese de que la sincronización de contraseña de Azure AD este planificada y configurada correctamente, antes de migrar usuarios.
- Desactive los protocolos de correo electrónico heredados, si no es necesario, o limite su uso a usuarios específicos.