Sempre più organizzazioni decidono di migrare verso sistemi di posta elettronica in Cloud (Office365 e GMail), scelta presa per una serie di vantaggi tecnici e gestionali. Queste soluzioni offrono un importante livello di sicurezza e protezione, esistono tuttavia alcuni rischi che dovrebbero essere mitigati con l’implementazione di alcune contromisure tecniche.
In questo post proviamo ad affrontare alcuni aspetti che riteniamo particolarmente importanti per rendere più sicuri questi sistemi, con contromisure che permetterebbero di prevenire attacchi informatici, ridurre la superficie di azione dei criminali e dettagliare le attività svolte dai criminali durante una compromissione.
Contromisure tecniche
L’utilizzo di configurazioni predefinite su questi sistemi potrebbero impattare negativamente la postura difensiva aziendale nei confronti di Cyber Attack.
Nello specifico questo il riassunto delle contromisure da applicare:
- Abilitare autenticazione a più fattori (obbligatorio per amministratori)
- Disabilitare protocolli legacy (POP3, IMAP e SMTP)
- Personalizzare le impostazioni Anti-Malware e Anti-Phishing
- Abilitare “Mailbox Auditing” (disabilitato di default su Office365)
- Valutazioni di sicurezza del Password Sync (O365)
Riteniamo strategici tutti gli aspetti elencati, in quanto vulnerabilità sfruttate attivamente da diversi cyber criminali.
Dettagli tecnici
Di seguito la descrizione in dettaglio delle vulnerabilità e delle contromisure da poter adottare:
- Autenticazione a più fattori: l’autenticazione a più fattori è una funzionalità che permette di aggiungere un ulteriore livello step al processo di autenticazione. L’approccio consigliato è quello di implementare questa funzionalità su tutti gli utenti.
Qual ora questo non fosse possibile, si consiglia l’attivazione della Multi-Factor authentication per gli amministratori della piattaforma, che hanno il livello più alto di privilegi a livello di tenant.
L’autenticazione a più fattori (MFA) non è abilitata per impostazione predefinita per questi account. L’amministratore globale deve abilitare esplicitamente questo criterio per abilitare l’MFA. - Utilizzo di protocolli legacy: Esistono numerosi protocolli, attivi di default, per l’autenticazione alla posta elettronica ormai ritenuti obsoleti. Questi protocolli includono POP3 (Post Office Protocol), IMAP (Internet Message Access Protocol) e SMTP (Simple Mail Transport Protocol) e vengono utilizzati da client di posta elettronica meno recenti, che non supportano l’autenticazione moderna. Ciò lascia gli account di posta elettronica esposti a Internet con solo il nome utente e la password come metodo di autenticazione principale, esponendo l’Azienda ad attacchi di tipo Brute Force non facilmente monitorabili. Disabilitare i protocolli legacy è un operazione che riduce notevolmente la superficie di attacco.
I protocolli legacy possono essere disabilitati a livello di tenant o a livello di utente.
- Sia in ambiente O365 che GSuite è possibile personalizzare le impostazioni di sicurezza relative alla gestione, identificazione e trattamento della posta elettronica potenzialmente malevola. Utilizzare delle policy adeguate per prevenire la ricezione di messaggi di questo tipo all’utente finale, abilitando le notifiche opportune per segnalare casi di tipo falso positivo
- Mailbox Auditing (O365): l’auditing delle cassette postali di O365 registra le operazioni eseguite dai proprietari, dai delegati e dagli amministratori delle cassette postali. Prima di Gennaio 2019 Microsoft non abilitava questo controllo per impostazione predefinita.
I clienti che hanno acquistato il proprio ambiente O365 prima del 2019 devono abilitare esplicitamente il controllo delle cassette postali.
Per gli ambienti più recenti, non risulterebbe invece abilitato il registro di controllo unificato. Il registro di controllo unificato contiene eventi di Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI e altri servizi di O365.
Abilitare il registro di controllo unificato nel Centro sicurezza e conformità. - Valutazioni Password Sync (O365 pre-2018): Azure AD Connect integra gli ambienti locali con Azure AD quando i clienti migrano a O365. Questa tecnologia offre la capacità di creare identità di Azure AD da identità di locali o di abbinare identità di Azure AD con identità di AD locali. Le identità locali diventano le identità autorevoli nel cloud. Per abbinare le identità, l’identità locale AD deve corrispondere a determinati attributi. Se corrisponde, l’identità di Azure AD viene contrassegnata come gestita in locale. Pertanto, è possibile creare un’identità AD che corrisponda a un amministratore in Azure AD e creare un account locale con lo stesso nome utente.
Una delle opzioni di autenticazione per Azure AD è “Sincronizzazione password”. Se questa opzione è abilitata, la password locale sovrascrive la password in Azure AD. In questa particolare situazione, se l’identità AD locale è compromessa, un utente malintenzionato potrebbe spostarsi lateralmente nel cloud dal momento della sincronizzazione.
Info: Microsoft ha disabilitato la capacità di abbinare determinati account amministratore a partire da ottobre 2018. Tuttavia, le organizzazioni potrebbero aver eseguito la corrispondenza dell’account amministratore prima che Microsoft disabilitasse questa funzione, sincronizzando così le identità che potrebbero essere state compromesse prima della migrazione. Inoltre, gli account utente normali non sono protetti dalla disattivazione di questa funzionalità.
Soluzioni Fortgale – MDR
Come “Security Service Provider”, Fortgale supporta le Aziende nella prevenzione, gestione e intervento in caso di Cyber Attack, con una serie di servizi di monitoraggio, rilevamento e risposta e con l’integrazione di attività specialistiche di Cyber Threat intelligence e Threat Hunting.
Altre risorse e contatti
- Raggiungi i nostri canali social Twitter, LinkedIn, e YouTube
- Visita il nostro sito internet fortgale.com
