{"id":1711,"date":"2020-12-02T13:40:42","date_gmt":"2020-12-02T11:40:42","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=1711"},"modified":"2021-12-28T13:53:34","modified_gmt":"2021-12-28T13:53:34","slug":"cloud-email-security","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/cloud-email-security\/","title":{"rendered":"Considerazioni di Sicurezza – Cloud E-mail"},"content":{"rendered":"\n
\"Email<\/figure>
\n

Sempre pi\u00f9 organizzazioni decidono di migrare verso sistemi di posta elettronica in Cloud<\/strong> (Office365 <\/strong>e GMail<\/strong>), scelta presa per una serie di vantaggi tecnici e gestionali. Queste soluzioni offrono un importante livello di sicurezza e protezione, esistono tuttavia alcuni rischi che dovrebbero essere mitigati con l’implementazione di alcune contromisure tecniche.<\/p>\n\n\n\n

In questo post proviamo ad affrontare alcuni aspetti che riteniamo particolarmente importanti per rendere pi\u00f9 sicuri questi sistemi, con contromisure che permetterebbero di prevenire <\/strong>attacchi informatici, ridurre <\/strong>la superficie di azione dei criminali e dettagliare <\/strong>le attivit\u00e0 svolte dai criminali durante una compromissione. <\/p>\n<\/div><\/div>\n\n\n\n

\n\n\n\n

Contromisure tecniche<\/h3>\n\n\n\n

L’utilizzo di configurazioni predefinite su questi sistemi potrebbero impattare negativamente la postura difensiva aziendale nei confronti di Cyber Attack.
Nello specifico questo il riassunto delle contromisure da applicare:<\/p>\n\n\n\n

  • Abilitare <\/strong>autenticazione a pi\u00f9 fattori (obbligatorio per amministratori)<\/li>
  • Disabilitare <\/strong>protocolli legacy (POP3, IMAP e SMTP) <\/li>
  • Personalizzare <\/strong>le impostazioni Anti-Malware e Anti-Phishing <\/li>
  • Abilitare <\/strong>“Mailbox Auditing” (disabilitato di default su Office365)<\/li>
  • Valutazioni di sicurezza<\/strong> del Password Sync (O365) <\/li><\/ul>\n\n\n\n

    Riteniamo strategici tutti gli aspetti elencati, in quanto vulnerabilit\u00e0 sfruttate attivamente da diversi cyber criminali.<\/p>\n\n\n\n

    Dettagli tecnici<\/h5>\n\n\n\n

    Di seguito la descrizione in dettaglio delle vulnerabilit\u00e0 e delle contromisure da poter adottare:<\/p>\n\n\n\n

    • Autenticazione a pi\u00f9 fattori<\/strong>: l’autenticazione a pi\u00f9 fattori \u00e8 una funzionalit\u00e0 che permette di aggiungere un ulteriore livello step al processo di autenticazione. L’approccio consigliato \u00e8 quello di implementare questa funzionalit\u00e0 su tutti gli utenti.
      Qual ora questo non fosse possibile, si consiglia l’attivazione della Multi-Factor authentication per gli amministratori della piattaforma<\/strong>, che hanno il livello pi\u00f9 alto di privilegi a livello di tenant.
      L’autenticazione a pi\u00f9 fattori (MFA) non \u00e8 abilitata per impostazione predefinita per questi account<\/em>.<\/span><\/span> L’amministratore globale deve abilitare esplicitamente questo criterio per abilitare l’MFA.

      <\/li>
    • Utilizzo di protocolli legacy<\/strong>: Esistono numerosi protocolli, attivi di default, per l’autenticazione alla posta elettronica ormai ritenuti obsoleti. Questi protocolli includono POP3 <\/strong>(Post Office Protocol), IMAP <\/strong>(Internet Message Access Protocol) e SMTP <\/strong>(Simple Mail Transport Protocol) e vengono utilizzati da client di posta elettronica meno recenti, che non supportano l’autenticazione moderna. Ci\u00f2 lascia gli account di posta elettronica esposti a Internet con solo il nome utente e la password come metodo di autenticazione principale, esponendo l’Azienda ad attacchi di tipo Brute Force non facilmente monitorabili. Disabilitare i protocolli legacy \u00e8 un operazione che riduce notevolmente la superficie di attacco.
      I protocolli legacy possono essere disabilitati a livello di tenant o a livello di utente. <\/span><\/em>

       <\/li>
    • Sia in ambiente O365 <\/strong>che GSuite <\/strong>\u00e8 possibile personalizzare le impostazioni di sicurezza relative alla gestione, identificazione e trattamento della posta elettronica potenzialmente malevola<\/strong>. Utilizzare delle policy adeguate per prevenire la ricezione di messaggi di questo tipo all’utente finale, abilitando le notifiche opportune per segnalare casi di tipo falso positivo

      <\/li>
    • Mailbox Auditing<\/strong> (O365): l’auditing delle cassette postali di O365 registra le operazioni <\/strong>eseguite dai proprietari, dai delegati e dagli amministratori delle cassette postali. Prima di Gennaio 2019 Microsoft non abilitava questo controllo per impostazione predefinita.
      I clienti che hanno acquistato il proprio ambiente O365 prima del 2019 devono abilitare esplicitamente il controllo delle cassette postali.
      Per gli ambienti pi\u00f9 recenti, non risulterebbe invece abilitato il registro di controllo unificato. Il registro di controllo unificato contiene eventi di Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI e altri servizi di O365.
      Abilitare il registro di controllo unificato nel Centro sicurezza e conformit\u00e0.<\/span><\/em>

      <\/li>
    • Valutazioni Password Sync<\/strong> (O365 pre-2018): Azure AD Connect integra gli ambienti locali con Azure AD quando i clienti migrano a O365. Questa tecnologia offre la capacit\u00e0 di creare identit\u00e0 di Azure AD da identit\u00e0 di locali o di abbinare identit\u00e0 di Azure AD con identit\u00e0 di AD locali. Le identit\u00e0 locali diventano le identit\u00e0 autorevoli nel cloud<\/strong>. Per abbinare le identit\u00e0, l’identit\u00e0 locale AD deve corrispondere a determinati attributi. Se corrisponde, l’identit\u00e0 di Azure AD viene contrassegnata come gestita in locale. Pertanto, \u00e8 possibile creare un’identit\u00e0 AD che corrisponda a un amministratore in Azure AD e creare un account locale con lo stesso nome utente.
      Una delle opzioni di autenticazione per Azure AD \u00e8 “Sincronizzazione password”. Se questa opzione \u00e8 abilitata, la password locale sovrascrive la password in Azure AD. In questa particolare situazione, se l’identit\u00e0 AD locale \u00e8 compromessa, un utente malintenzionato potrebbe spostarsi lateralmente nel cloud dal momento della sincronizzazione.
      Info: Microsoft ha disabilitato la capacit\u00e0 di abbinare determinati account amministratore a partire da ottobre 2018. Tuttavia, le organizzazioni potrebbero aver eseguito la corrispondenza dell’account amministratore prima che Microsoft disabilitasse questa funzione, sincronizzando cos\u00ec le identit\u00e0 che potrebbero essere state compromesse prima della migrazione. Inoltre, gli account utente normali non sono protetti dalla disattivazione di questa funzionalit\u00e0.<\/li><\/ul>\n\n\n\n

      Soluzioni Fortgale – MDR<\/strong><\/h3>\n\n\n\n

      Come “Security Service Provider”, Fortgale <\/strong>supporta le Aziende nella prevenzione, gestione e intervento in caso di Cyber Attack<\/strong>, con una serie di servizi di monitoraggio<\/strong>, rilevamento <\/strong>e risposta <\/strong>e con l’integrazione di attivit\u00e0 specialistiche di Cyber Threat intelligence<\/strong> e Threat Hunting<\/strong>.<\/p>\n\n\n\n

      \n