Grondige verdediging voor Microsoft 365

Hebt u een defense-in-depth strategie nodig voor Microsoft 365?

MS 365, de nieuwe naam voor Office 365, de cloud-gebaseerde kantoorproductiviteitssuite van Microsoft, bedient meer dan driekwart van de zakelijke e-mailgebruikers in de VS, volgens analisten, [1] en met meer werknemers die telewerken en zaken doen vanuit huis als gevolg van de COVID-19 pandemie, zal de zakelijke afhankelijkheid van e-mail alleen maar toenemen.

Deze alomtegenwoordigheid maakt e-mail echter ook tot het meest frequente doelwit voor kwaadwillenden en het startpunt voor 94 procent van alle cyberaanvallen. [2] Niet geheel toevallig is Microsoft het nr. 1 gespoofed merk. [3]

Microsoft is zich hier terdege van bewust en biedt een robuuste set beveiligingstools voor MS 365. Dus waarom zou je overwegen om te investeren in extra tools van derden om een defense-in-depth strategie voor de office suite op te bouwen? Het antwoord heeft te maken met de onvermijdelijke hiaten in Microsoft's uitgebreide eigen verdedigingssysteem. Ik zal er hier een aantal beschrijven - en u kunt meer te weten komen over MS 365 beveiligingsgaten en hoe u ze kunt dichten op Mimecast's Cyber Resilience Summit , die online plaatsvindt op 23-24 juni 2020. Registreer hier .

Uitgebreide inheemse beveiliging

De beveiligingsmechanismen die in MS 365 zijn ingebouwd, zijn uitgebreid. In sommige gevallen overtreffen ze de beveiligingscontroles die in veel on-premise datacenters van bedrijven worden aangetroffen. Native bescherming tegen bedreigingen voor Microsoft Outlook, bijvoorbeeld, gaat verder dan spam, virussen en malware en omvat ook:

• Een functie genaamd Veilige Bijlagen, die gebruik maakt van sandboxing om bescherming te bieden tegen nog niet eerder geïdentificeerde bedreigingen.
• Real-time bescherming die kwaadaardige URL's identificeert en blokkeert.
• Robuuste URL-tracering en rapportage waarmee organisaties kunnen vaststellen wie in hun gelederen het doelwit is van malware, welke e-mails zijn geblokkeerd vanwege een mogelijke bedreiging en de bron van schadelijke URL's.

Microsoft helpt bedrijven ook om man-in-the-middle-aanvallen, afluisterpraktijken en andere vormen van gegevensinterceptie tegen te gaan door hun gebruikers versleutelde gegevens te laten verzenden en ontvangen. Om de acties die gebruikers kunnen uitvoeren bij het delen van bedrijfsgegevens te beperken, kunnen beveiligingsprofessionals van bedrijven aangepaste beleidsregels toepassen op de versleuteling. Zij doen dit via de Rights Management Service (RMS) van Microsoft Azure, die bij MS 365 is inbegrepen.

Het potentiële addertje onder het gras is dat om het cloud-georiënteerde Azure RMS te kunnen gebruiken, Microsofts on-premises Active Directory RMS eerst moet worden gemigreerd naar Azure. Dit kan een wegversperring zijn voor grote ondernemingen die met veel zakenpartners werken, omdat om versleutelde bestanden te delen met deze organisaties, zij ook moeten migreren naar Azure.

Er zijn nog andere beperkingen aan de beveiligingsfuncties van MS Office die zakelijke gebruikers blootstellen aan een groot aantal verschillende risico's. Enkele van de belangrijkste zijn:

Beperkte app discovery en risicobeoordeling. Eindgebruikers hebben de neiging om blindelings toestemmingen te verlenen wanneer daarom wordt gevraagd door toepassingen van derden, zonder rekening te houden met het potentiële risico. Hoewel Microsofts Cloud App Security-functie de veiligheidsrisico's van meer dan 16.000 cloud-apps in de gaten houdt en beoordeelt, volgt de versie in MS 365 er slechts ongeveer 750. [4] Corporate IT blijft blind voor de manier waarop gebruikers cloud-apps gebruiken en welke gegevens ze delen met alle cloud-apps die buiten dit relatief kleine assortiment vallen.

Beperkte DLP-mogelijkheden. De bescherming van klantgegevens is tegenwoordig voor de meeste bedrijven een topprioriteit. De oplossing van MS 365 voor het voorkomen van gegevensverlies is echter alleen beschikbaar voor bedrijven met een E3-abonnement en hoger. Hierdoor hebben vooral kleinere bedrijven die voor een betaalbaarder MS 365-abonnement hebben gekozen, geen bescherming tegen gegevenslekken.

Beperkte detectie van bedreigingen en anomalieën. In dezelfde geest biedt Microsoft zijn geavanceerde bedreigingsbeheersdiensten alleen aan MS 365-klanten met een E5-abonnement. Klanten met lagere abonnementsniveaus ontvangen alleen basismailfiltering en anti-malwaretools.

Beperkte back-up en herstel. Met OneDrive for Business kunnen MS 365-klanten beschadigde bestanden herstellen, maar alleen gedurende maximaal 30 dagen en alleen voor bestanden die op OneDrive waren opgeslagen. Andere MS 365-diensten vallen zelfs niet onder deze beperkte herstelmogelijkheid.

Verdediging in de diepte

Dat brengt ons bij defense in depth, een gelaagde aanpak van cyberbeveiliging die, wanneer gebruikt in combinatie met de reeds robuuste native beveiligingscomponenten van MS 365, gaten kan dichten en (tot op zekere hoogte) de nalatigheid van eindgebruikers bij het zakendoen via e-mail kan compenseren.

Bij een DiD-strategie wordt, als de ene verdediging faalt, een andere gebruikt om het gat op te vullen. Door verschillende beschermingsmechanismen van verschillende leveranciers te integreren, elimineert het DiD-model beveiligingsgaten waar bedreigingen doorheen kunnen vallen.

Enkele van de belangrijkere elementen van een "verdediging in de diepte" strategie zijn:

Netwerkbeveiligingscontroles de eerste verdedigingslinie bij het beveiligen van een netwerk is het analyseren van het verkeer. Firewalls blokkeren de toegang op basis van een reeks beveiligingsregels die gedeeltelijk van deze analyse zijn afgeleid. Intrusiebeveiligingssystemen kunnen samenwerken met een firewall om potentiële bedreigingen te identificeren, eveneens op basis van deze analyse.

Anti-malware beschermt tegen virussen en andere vormen van malware. De beste van deze programma's gaan verder dan detectie op basis van handtekeningen en omvatten heuristische functies die scannen op verdachte patronen en activiteiten.

Data integrity analysis software gebruikt de controlesom van een bestand om de bron en de gebruiksfrequentie te verifiëren en zo afwijkingen op te sporen. Inkomende bestanden die volledig uniek zijn voor het systeem kunnen als verdacht worden gemarkeerd. Oplossingen voor gegevensintegriteit kunnen ook het IP-adres van de bron controleren om er zeker van te zijn dat dit bekend en vertrouwd is.

Gedragsanalyse software is de gordel van de DiD-bretels. Wanneer de firewall of inbraakbeveiligingsoplossingen hebben gefaald, neemt gedragsanalyse het over en kan het waarschuwingen versturen of automatische controles uitvoeren om een inbreuk te stoppen. Maar om gedragsanalyses effectief te laten werken, moeten organisaties een basislijn vaststellen voor "normaal" gedrag.

De kern van de zaak

MS 365 biedt bedrijven een krachtige set productiviteitsapps, waaronder een gebruiksvriendelijk e-mailplatform met een aantal goede beveiligingsfuncties. Bedrijven moeten zich echter bewust zijn van de hiaten in de beveiligingsdekking die Microsoft biedt en dienovereenkomstig compenseren. Een uitgebreide manier om dit te doen is door het aannemen van een defense-in-depth beveiligingsstrategie en het gebruik van een reeks vertrouwde beveiligingsoplossingen van derden.

[1] "Understanding Office 365 Security Concerns," Osterman Research

[2] "2019 Data Breach Investigations Report," Verizon

[3] "Phishing Activity Trends Report", AntiPhishing Working Group

[4] " Wat zijn de verschillen tussen Microsoft Cloud App Security en Office 365 Cloud App Security? ," Microsoft