Kako zaštititi poslovne podatke?
Svakih39 sekundi negdje u svijetu dogodi se cyber napad. Ako tvoja tvrtka koristi Microsoft 365, imaš pristup jednom od najmoćnijih ekosustava za produktivnost, ali i jednom od najčešće napadanih okruženja na svijetu.
Problem je u tome što većina tvrtki koristi Microsoft 365 sa zadanim postavkama.
Te postavke su dizajnirane za funkcionalnost i pristupačnost, ali nisu optimizirane za maksimalnu sigurnost. Usporedba je kao da si kupio kuću s najmodernijim alarmnim sustavom, ali nikada ga nisi uključio.
Dobra vijest je da Microsoft 365 sigurnosne postavke koje moraš uključiti mogu dramatično smanjiti rizik od neovlaštenog pristupa, gubitka podataka i phishing napada.
Prema vlastitim Microsoftovim podacima, samo aktivacija višefaktorske autentifikacije blokira više od 99,9 posto napada na korisničke račune.
Bez obzira na to jesi li IT administrator, vlasnik malog biznisa ili osoba zadužena za usklađenost s regulativama, nakon čitanja ovog članka imat ćeš jasan plan za zaštitu poslovnih podataka u svojoj organizaciji.
Za početak preduvjeti i priprema
Microsoft 365 podržava napredne sigurnosne značajke
Nije svaki Microsoft 365 plan stvoren jednako kada je riječ o sigurnosti. Moramo znati razlikovati planove. Bez tog znanja ne možemo planirati cyber sigurnosne strategije.
Multi-Factor Authentication i Security Defaults dostupni su u svim planovima, uključujući Business Basic, Business Premium, E3 i E5. Conditional Access, Microsoft Defender za Office 365 Plan 1 i Data Loss Prevention dostupni su od Business Premium plana naviše.
Naprednije značajke poput Azure AD Identity Protection, Privileged Identity Management i Advanced Audit rezervirane su za E5 plan.
Za nešto manje tvrtke, Microsoft 365 Business Premium nudi najbolji omjer cijene i sigurnosnih mogućnosti.
Za one veće organizacije s kompleksnijim zahtjevima, plan E5 pruža kompletniju zaštitu.
Plan je posebno važan za HR odjele i cybersecurity timove koji upravljaju osjetljivim podacima zaposlenika jer razina zaštite izravno ovisi o licencnom modelu.
Potrebne administratorske dozvole
Za konfiguraciju sigurnosnih postavki trebat će ti uloga Global Administrator ili Security Administrator u Microsoft 365 admin centru.
Preporučujemo pristup sljedećim portalima:
- Microsoft 365 Admin Center na adresi admin.microsoft.com služi kao centralno upravljačko središte.
- Microsoft Entra Admin Center na adresi entra.microsoft.com, ranije poznat kao Azure AD portal, koristi se za upravljanje identitetima i pristupom.
- Portal Microsoft 365 Defender na adresi security.microsoft.com služi za upravljanje prijetnjama.
- Portal Microsoft Purview Compliance na adresi compliance.microsoft.com koristi se za usklađenost i zaštitu podataka.
Prije bilo kakvih promjena, napravi dokumentaciju trenutnih postavki i osiguraj da imaš break glass administratorski račun koji je isključen iz svih uvjetnih pravila pristupa.
Taj račun služi kao sigurnosna mreža u slučaju da se zaključaš iz sustava.
Obavezne sigurnosne postavke
1. MFA je najvažnija sigurnosna mjera
Ako ćeš implementirati samo jednu sigurnosnu postavku iz cijelog ovog vodiča, neka to bude MFA.
Višefaktorska autentifikacija zahtijeva od korisnika da prilikom prijave potvrdi svoj identitet putem drugog faktora, bilo da je to push obavijest u aplikaciji, jednokratni kod, poziv ili fizički sigurnosni ključ.
Bez MFA, napadaču je dovoljna samo kompromitirana lozinka da pristupi kompletnom sadržaju korisničkog računa.
Zlonamjerni akter vam može prići preko e-pošte, koristeći dokumente u OneDriveu, podatke u SharePointu, razgovore u Teamsu i sve ostale resurse.
U odjelima za ljudske resurse napadač može pristupiti osobnim podacima svih zaposlenika, ugovorima, platnim listama i povjerljivim komunikacijama.
Zato se zaštitite na vrijeme. Najjednostavnija metoda aktivacije je putem Security Defaults.
Prijavi se na portal entra.microsoft.com s administratorskim računom, u lijevom izborniku pronađi Identity i odaberi Overview, klikni na Properties, odaberi Manage Security defaults, postavi prekidač na Enabled i spremi.
Ova metoda automatski zahtijeva MFA od svih korisnika i blokira zastarjele protokole autentifikacije.
Za organizacije s Business Premium ili višim planom, preporučujem korištenje Conditional Access politika jer pružaju granularnu kontrolu.
U Microsoft Entra Admin Centru idi na Protection pa na Conditional Access, kreiraj novu politiku, pod Users odaberi All users uz isključenje break glass računa, pod Target resources odaberi All cloud apps, pod Grant označi Require multifactor authentication i najprije postavi politiku u Report-only mod za testiranje.
Treća opcija je Per-user MFA, starija metoda dostupna kroz Microsoft 365 Admin Center pod Users i Active users, gdje možeš pojedinačno omogućiti MFA za svakog korisnika.
Što se tiče najboljih praksi, koristi Microsoft Authenticator aplikaciju kao primarnu metodu jer su push obavijesti sigurnije od SMS kodova koji mogu biti presretnuti putem SIM swapping napada.
Omogući Number Matching u postavkama Authenticator aplikacije jer ta značajka traži od korisnika da unese broj koji vidi na ekranu prijave, čime se sprječavaju MFA fatigue napadi.
Registriraj minimalno dvije metode autentifikacije za svakog korisnika kako bi imali rezervnu opciju. Za administratore i VIP korisnike, FIDO2 sigurnosni ključevi poput YubiKey uređaja predstavljaju najsigurniju opciju.
Osiguraj break glass račun koji ima isključen MFA, ali koristi iznimno dugu i složenu lozinku pohranjenu na sigurnom fizičkom mjestu.
2. Sigurnosne zadane postavke
Security Defaults je Microsoftova unaprijed konfigurirana razina sigurnosti namijenjena organizacijama koje nemaju premium licence ili resurse za složene sigurnosne konfiguracije.
Kada su aktivirane, automatski zahtijevaju MFA registraciju za sve korisnike unutar 14 dana. Uz to, zahtijevaju MFA za administratore pri svakoj prijavi, zatim MFA od svih korisnika kad sustav procijeni da je potrebno i blokiraju zastarjele protokole autentifikacije poput POP3, IMAP i SMTP Auth.
Security Defaults su odličan izbor za organizacije na Business Basic ili Standard planu koje nemaju licenciju za Azure AD Premium P1.
Međutim, ako imaš Business Premium, E3 ili E5 plan, preporučujemo da koristiš Conditional Access politike.
Naime, daju potpunu kontrolu nad time tko, kada, odakle i pod kojim uvjetima može pristupiti resursima. Security Defaults i Conditional Access ne mogu biti aktivni istovremeno.
Glavna ograničenja Security Defaults su nemogućnost izuzimanja određenih korisnika ili aplikacija iz MFA zahtjeva, nedostatak kontrole nad pouzdanim lokacijama i uređajima.
Zatim, nemogućnost granularnog upravljanja po skupinama korisnika i nemogućnost kombiniranja s Conditional Access politikama.
3. Upravljanje lozinkama po modernim standardima
Politika lozinki u tvojoj organizaciji mora balansirati između sigurnosti i korisničkog iskustva. Moderna preporuka, koju podržavaju i NIST i sam Microsoft, značajno se razlikuje od starih praksi koje su desetljećima dominirale IT sigurnošću.
Zvuči kontradiktorno, ali istraživanja su pokazala da prisilno mijenjanje lozinki svakih 30, 60 ili 90 dana zapravo smanjuje sigurnost.
Korisnici počnu koristiti predvidljive uzorke poput Lozinka1, Lozinka2, Lozinka3 ili ih zapisuju na papiriće zalijepljene na monitor. Microsoft sada preporučuje ukidanje obveznog isteka lozinki uz uvjet da su implementirani MFA i detekcija rizičnih prijava.
Za konfiguraciju idi na Microsoft 365 Admin Center, odaberi Settings pa Org settings, klikni na Security and privacy i Password expiration policy, označi opciju Set passwords to never expire i spremi promjene.
Azure AD Password Protection je značajka koja blokira korištenje najčešćih slabih lozinki uključujući varijante naziva tvoje organizacije.
U Microsoft Entra Admin Centru pod Protection i Authentication methods odaberi Password protection, omogući Custom banned passwords i dodaj pojmove specifične za tvoju organizaciju poput naziva tvrtke, imena proizvoda i gradova u kojima su uredi, te postavi Mode na Enforced.
Self-Service Password Reset omogućuje korisnicima da sami resetiraju lozinku bez pozivanja helpdeska. U
U Microsoft Entra Admin Centru pod Protection i Password reset, odaberi All ili specifičnu grupu, konfiguriraj minimalno dvije metode autentifikacije i omogući Writeback ako koristiš hibridno okruženje s lokalnim Active Directoryjem. Ova značajka je posebno korisna za HR odjele i veće organizacije jer značajno smanjuje opterećenje IT podrške.
Zaštita identiteta i pristupa
Conditional Access politike: srce cyber sigurnosti
Conditional Access je najmoćniji alat za upravljanje pristupom u Microsoft 365.
Funkcionira na principu if-then logike. Korisnik koji ispunjava određene uvjete, dobije dopuštenje ili ograničenje na pristup.
Možeš ga zamisliti kao inteligentnog čuvara koji donosi odluke na temelju konteksta svake prijave.
Prva politika koju moraš implementirati je blokiranje legacy autentifikacije.
Zastarjeli protokoli poput POP3, IMAP i SMTP Auth ne podržavaju MFA, što ih čini lakom metom za napadače. Kreiraj novu Conditional Access politiku, pod Users odaberi All users uz isključenje break glass računa, pod Target resources odaberi All cloud apps, pod Conditions i Client apps označi Exchange ActiveSync clients i Other clients, pod Grant odaberi Block access i aktiviraj politiku.
Druga ključna politika je zahtijevanje MFA za sve administratore. Administratorski računi su najvrjednija meta za napadače jer imaju najviše privilegija.
Pod Users i Include odaberi Directory roles, označi sve administratorske uloge uključujući Global Administrator, Exchange Administrator, SharePoint Administrator, Security Administrator i User Administrator, pod Target resources odaberi All cloud apps, pod Grant označi Require multifactor authentication.
Treća politika je blokiranje pristupa iz rizičnih lokacija. Ako tvoja tvrtka posluje samo u Hrvatskoj i regiji, nema razloga dopuštati prijave iz država s visokim rizikom cyber prijetnji.
Najprije kreiraj Named locations u Conditional Access postavkama, definiraj pouzdane lokacije poput IP raspona tvog ureda i VPN-a, kreiraj novu politiku i pod Conditions i Locations konfiguriraj Include Any location i Exclude Trusted locations, te pod Grant odaberi Block access ili Require multifactor authentication.
Četvrta politika je zahtijevanje sukladnog uređaja za pristup osjetljivim podacima. Ova politika osigurava da samo uređaji koji zadovoljavaju tvoje sigurnosne standarde, a to znači da su ažurirani, imaju aktivan antivirus i enkriptirani su, mogu pristupiti poslovnim podacima. Pod Grant označi Require device to be marked as compliant.
Nikada ne aktiviraj novu Conditional Access politiku izravno u produkciji.
Uvijek postavi politiku u Report-only mod, prati logove prijava minimalno 7 do 14 dana, analiziraj koliko bi korisnika bilo pogođeno, prilagodi politiku prema rezultatima i tek tada prebaci na aktivan status.
Identity Protection za automatsku detekciju prijetnji
Azure AD Identity Protection koristi strojno učenje za automatsku detekciju sumnjivih aktivnosti povezanih s korisničkim identitetima. Dostupan je s Azure AD Premium P2 licencom koja je uključena u Microsoft 365 E5.
Sign-in risk politike reagiraju na sumnjive pokušaje prijave u realnom vremenu.
Prikazat ćemo neke primjere:
Moguća je prijava s anonimnih IP adresa, neočekivano putovanje poput prijave iz Zagreba i sat vremena kasnije s drugog kontinenta, prijava s inficiranog uređaja ili prijavu s IP adrese povezane s poznatim botnetom.
Za konfiguraciju u Microsoft Entra Admin Centru pod Protection i Identity Protection odaberi Sign-in risk policy, pod Users odaberi All users, postavi Sign-in risk level na Medium and above, pod Controls odaberi Require multifactor authentication i aktiviraj politiku.
User risk politike detektiraju korisnike čiji su računi vjerojatno kompromitirani, primjerice ako su im lozinke pronađene na dark webu. U istom odjeljku odaberi User risk policy, postavi User risk level na High, pod Controls odaberi Require password change uz MFA i aktiviraj politiku.
Predlažemo:
Redovito pregledavaj izvještaj Risky users u Identity Protection odjeljku. Kada sustav označi korisnika kao rizičnog, istraži uzrok, resetiraj lozinku, zahtijevaj ponovnu MFA registraciju i potvrdi da račun nije kompromitiran prije nego što odbaciš upozorenje.
Privileged Identity Management
PIM rješava fundamentalni problem pretjeranih administratorskih privilegija. Umjesto da korisnik ima trajnu ulogu Global Administratora, PIM omogućuje just-in-time pristup.
Ukratko, administrator aktivira svoju povlaštenu ulogu samo kada mu treba, na ograničeno vrijeme.
Za implementaciju u Microsoft Entra Admin Centru idi na Identity governance i Privileged Identity Management, odaberi Azure AD roles i za svaku administratorsku ulogu konfiguriraj postavke.
Postavi maksimalno trajanje aktivacije na 4 do 8 sati, zahtijevaj obrazloženje za aktivaciju, zahtijevaj MFA za aktivaciju i za najkritičnije uloge omogući opciju odobrenja gdje drugi administrator mora odobriti zahtjev.
Zatim prebaci postojeće trajne administratore u Eligible status.
Za rezultat dobiješ značajno smanjena površina napada jer čak i ako napadač kompromitira administratorski račun, neće imati aktivne privilegije sve dok ih eksplicitno ne zatraži i ne prođe sve potrebne provjere.
Zaštita podataka: DLP, oznake osjetljivosti i enkripcija
Iz nastavka teksta saznajte kako možete zaštiti svoje podatke.
1. Data Loss Prevention politike
Data Loss Prevention politike sprječavaju nenamjerno ili namjerno dijeljenje osjetljivih podataka izvan organizacije.
DLP automatski prepoznaje i štiti osjetljive informacije poput brojeva kreditnih kartica, OIB-ova, brojeva bankovnih računa i drugih povjerljivih podataka.
Za HR odjele koji svakodnevno rukuju osobnim podacima zaposlenika, ovo je jedna od najvažnijih sigurnosnih mjera.
Za kreiranje DLP politike idi na portal Microsoft Purview Compliance. U lijevom izborniku odaberi Data loss prevention i Policies, klikni Create policy i odaberi predložak ili kreiraj prilagođenu politiku.
Za početak preporučujem predložak GDPR Enhanced ili Financial data. Imenuj politiku jasno i opisno, odaberi lokacije primjene uključujući Exchange email, SharePoint stranice, OneDrive račune te Teams chat i kanale.
Konfiguriraj pravila detekcije definiranjem tipova osjetljivih informacija i pragova. Postavi akcije tako da sustav prikaže upozorenje korisniku, zahtijeva obrazloženje za nastavak dijeljenja, blokira dijeljenje bez mogućnosti nadjačavanja za najosjetljivije kategorije i obavijesti administratora o incidentu.
Najprije aktiviraj politiku u test modu i nakon minimalno dva tjedna praćenja aktiviraj blokiranje.
DLP politike zahtijevaju fino podešavanje. Prestrogo konfigurirana politika generirat će previše lažno pozitivnih detekcija i frustrirati korisnike, dok preblaga politika neće pružiti adekvatnu zaštitu.
2. Sensitivity Labels za klasifikaciju podataka
Sensitivity Labels omogućuju klasifikaciju i zaštitu podataka na razini dokumenta. Zamislji ih kao digitalne pečate koji putuju s dokumentom kamo god da ide, bilo da je pohranjen na SharePointu, poslan e-poštom ili skinut na lokalni uređaj.
Preporučena hijerarhija oznaka za većinu organizacija uključuje četiri razine. Javno označava informacije koje se slobodno mogu dijeliti s bilo kime.
Interno označava standardne poslovne dokumente namijenjene zaposlenicima. Povjerljivo označava osjetljive poslovne informacije s ograničenim pristupom. Strogo povjerljivo označava najosjetljivije podatke s punom enkripcijom i kontrolom pristupa.
Za kreiranje oznaka u Microsoft Purview Compliance portalu idi na Information protection i Labels, klikni Create a label, imenuj oznaku i dodaj opis, konfiguriraj opseg primjene za datoteke, e-poštu, grupe i stranice.
Za oznake Povjerljivo i Strogo povjerljivo omogući enkripciju, definiraj tko može pristupiti dokumentu, postavi dozvole pristupa i opciju isteka pristupa. Konfiguriraj vizualna označavanja poput zaglavlja, podnožja ili vodenog žiga i objavi oznake kroz label policy.
Za organizacije s E5 licencom moguće je konfigurirati automatsko označavanje koje ne ovisi o tome hoće li korisnik sam označiti dokument.
Definiraj uvjete poput pravila da ako dokument sadrži više od 3 OIB-a automatski primijeni oznaku Povjerljivo i testiraj pomoću simulacije prije aktivacije.
3. Enkripcija e-pošte i kontrola pristupa dokumentima
Information Rights Management proširuje zaštitu izvan granica tvoje organizacije. U Microsoft 365 Admin Centru pod Settings, Org settings i Services odaberi Microsoft 365 Message Encryption, konfiguriraj predloške Encrypt Only i Do Not Forward i opcijski prilagodi branding enkriptirane poruke.
Primatelji izvan tvoje organizacije mogu pročitati enkriptirane poruke putem jednokratnog koda ili Microsoft računa.
IRM zaštita na SharePoint bibliotekama sprječava preuzimanje, printanje ili kopiranje dokumenata neovlaštenim korisnicima.
Na željenom site-u pod Library Settings odaberi Information Rights Management i konfiguriraj dozvole prema potrebama tvoje organizacije.
Zaštita od prijetnji: Microsoft Defender za Office 365
Safe Links i Safe Attachments
Microsoft Defender za Office 365 štiti tvoju organizaciju od sofisticiranih prijetnji koje prolaze kroz osnovne filtere. Dostupan je u dva plana, Plan 1 uključen u Business Premium i Plan 2 uključen u E5.
Safe Links provjerava URL-ove u e-pošti i Office dokumentima u realnom vremenu. U Microsoft 365 Defender portalu pod Email and collaboration, Policies and rules i Threat policies odaberi Safe Links.
Ključne postavke koje treba omogućiti uključuju provjeru poznatih zlonamjernih poveznica, primjenu na poruke unutar organizacije, skeniranje sumnjivih URL-ova u realnom vremenu, čekanje na završetak skeniranja prije isporuke poruke i blokiranje pristupa čak i ako korisnik pokušava zaobići upozorenje.
Safe Attachments otvara priloge e-pošte u izoliranom sandbox okruženju prije isporuke. Pod Threat policies odaberi Safe Attachments, kreiraj novu politiku i pod Safe Attachments unknown malware response odaberi Dynamic Delivery
Ova opcija isporučuje e-poštu bez privitka odmah, a privitak dodaje nakon završetka skeniranja. Omogući preusmjeravanje sumnjivih priloga na sigurnosni poštanski sandučić za daljnju analizu i uključi Safe Attachments za SharePoint, OneDrive i Teams.
Napredna zaštita od phishinga
Phishing ostaje najučinkovitiji vektor napada i posebna prijetnja za HR odjele koji redovito primaju životopise i dokumente od vanjskih pošiljatelja.
Pod Threat policies odaberi Anti-phishing i konfiguriraj Impersonation protection dodavanjem ključnih korisnika koje napadači često imitiraju poput direktora, financijskog odjela i HR-a. Dodaj domene koje želiš zaštititi od imitiranja i postavi karantenu za detektirane imitacije.
Omogući Mailbox intelligence jer sustav uči komunikacijske obrasce svakog korisnika i detektira anomalije. Konfiguriraj Spoof settings s uključenim Spoof intelligence za automatsku detekciju lažnih pošiljatelja.
Pod naprednim postavkama postavi pragove za phishing e-poštu na razinu 3 Aggressive ili razinu 4 Most Aggressive za maksimalnu zaštitu.
Istraga prijetnji i automatski odgovor
Threat Explorer dostupan s Planom 2 pruža detaljni pregled svih prijetnji u tvojoj organizaciji.
U Defender portalu pod Email and collaboration i Explorer koristi filtere za analizu phishing pokušaja i malware detekcija, istraži specifične prijetnje koristeći Campaign view i prati životni ciklus sumnjivih poruka kroz Email timeline.
Automated Investigation and Response automatski istražuje i odgovara na detektirane prijetnje.
U Action centru pregledavaj automatski pokrenute istrage i odobravaj ili odbijaj preporučene akcije poput brisanja e-pošte, blokiranja URL-ova i resetiranja kompromitiranih računa.
Attack Simulation Training omogućuje testiranje otpornosti zaposlenika na phishing napade, što je posebno relevantno za HR cybersecurity training programe.
U Defender portalu kreiraj simulaciju, odaberi tip napada, odaberi ili kreiraj predložak phishing e-pošte i ciljaj specifične korisnike ili odjele.
Nakon simulacije, analiziraj rezultate i dodijeli ciljanu edukaciju korisnicima koji su pali na simulirani napad. Preporučujem provođenje simulacija najmanje jednom mjesečno jer kontinuirani trening značajno povećava otpornost organizacije na stvarne napade.
Sigurnost je proces, ne jednokratni projekt
Zaštita Microsoft 365 okruženja nije nešto što napraviš jednom i zaboraviš.
Cyber prijetnje se konstantno razvijaju, a tvoje sigurnosne postavke moraju držati korak. Implementacija opisanih mjera dramatično smanjuje rizik, ali zahtijeva kontinuirano praćenje, testiranje i prilagodbu.
Počni s najkritičnijim koracima. Aktiviraj MFA za sve korisnike odmah jer to je jedna mjera koja blokira više od 99,9 posto napada na račune.
Zatim implementiraj Conditional Access politike za blokiranje legacy autentifikacije i zaštitu administratorskih računa. Konfiguriraj DLP politike za zaštitu osjetljivih podataka, posebno ako tvoja organizacija obrađuje osobne podatke zaposlenika ili klijenata.
Aktiviraj Microsoft Defender za Office 365 s pravilno konfiguriranim Safe Links, Safe Attachments i anti-phishing politikama. Pokreni redovite Attack Simulation Training kampanje za podizanje svijesti zaposlenika.
Svaka od ovih mjera jača ukupnu sigurnosnu poziciju tvrtke.
Ne čekaj da se dogodi incident jer cijena prevencije je uvijek niža od cijene sanacije proboja podataka. Pregledaj svoje trenutne postavke danas i počni s implementacijom.
