Kompromisse bei der nativen Sicherheit von Microsoft 365
Absicherung der größten Angriffsfläche des Unternehmens
Die Technologien, die wir zur Verbesserung der Effizienz in unserem Unternehmen einsetzen, können oft jedoch auch böswilligen Akteuren ermöglichen, sich einfacher Zugang zu verschaffen.
Produktivitäts- und Groupware-Suites für Unternehmen, wie Microsoft 365 und Google Workspace, sind gute Beispiele für diesen Kompromiss. Diese Produktreihen umfassen eine beeindruckende Zahl von Anwendungen, die leicht zugänglich und benutzbar sind und zwischen denen Daten übertragen werden können. Sie bieten daher auch eine große Angriffsfläche, erleichtern laterale Bewegungen und unerlaubten Zugriff für jeden Angreifer, der sich Zugang verschaffen kann.
Je weiter diese Anwendungssuites verbreitet sind, desto mehr Anreize haben Angreifer, Schwachstellen in ihnen zu finden. Da Microsoft 365 laut einer aktuellen Okta-Umfrage etwa doppelt so viele Kunden hat wie vergleichbare Produkte von Mitbewerbern, ist es ein besonders attraktives Ziel.
Dass ist kein Grund, Microsoft 365 nicht zu nutzen. Microsoft investiert stark in die Sicherheit und bietet als Teil der 365-Suite native Sicherheit. Vielmehr ist die Beliebtheit von Microsofts – und das damit verbundene Risiko – ein Grund, die Suite durch zusätzliche Sicherheitsdienste zu ergänzen, wie es in dem Modell der geteilten Verantwortung der Firma vorgeschlagen wird. Dadurch stärken Sie die Sicherheit Ihres Unternehmens sowohl vor isolierten Microsoft-Schwachstellen als auch vor systembedingte Sicherheitslücken.
Welche sind die wichtigsten ersten Schritte? Und wie können Unternehmen diese Schritte setzen, ohne dabei die von Microsoft 365 gebotene Effizienz zu gefährden?
Schritt 1: Phishing-Schutz verbessern
Die überwiegende Mehrheit der Cyberangriffe beginnt mit Phishing – mehr als 90 %, wie jüngste Untersuchungen zeigen.
Um Phishing zu verhindern, verwendet Microsoft 365 eine native E-Mail-Überprüfung, die bösartige Nachrichten herausfiltert. Die Daten zeigen, dass dieser Dienst nicht jeden Angriff stoppen kann. Cloudflare fand heraus, dass Nutzern von Microsoft 365 2020 über 900.000 Phishing-E-Mails durch die systemeigene Sicherheit geschleust wurden. Von diesen übersehenen E-Mails betrafen etwa 50 % eine kürzlich eingerichtete Domain und weitere 15 % enthielten eine bösartige URL.
Außerdem ist Microsoft E-Mail – wie die meisten Cloud-E-Mail-Anbieter – anfällig für andere Arten von Angriffen:
Deferred Phishing: Bei diesem Verfahren versenden Angreifer eine E-Mail mit einem Link, der zunächst auf eine harmlose Website verweist. Sobald die E-Mail den Posteingang der Zielperson erreicht hat, leitet der Angreifer die URL auf eine bösartige Website um.
Böswillige Nutzung der Microsoft-Infrastruktur: Dabei hosten Angreifer bösartige Seiten über die Cloud-Dienste von Microsoft. Es hat sich gezeigt, dass diese Taktik gelegentlich Microsofts E-Mail-Scanfunktionen umgehen kann.
Im Einklang mit der Microsoft-Philosophie der „geteilten Verantwortung“ können zusätzliche Schutzebenen erforderlich sein, um Angriffe zu verhindern. Ein wichtiger Ausgangspunkt ist:
E-Mail-Link-Isolierung: Um Nutzer vor bösartigen Links zu schützen, die entweder unbemerkt bleiben oder nachträglich gutartige Links ersetzen. Microsoft bietet eine allgemeine Browserisolierung als Plug-in an, aber die lokale Ausführung der Isolierung beansprucht viel Hauptspeicher und kann die Benutzerfreundlichkeit beeinträchtigen. Ziehen Sie stattdessen einen robusteren Dienst in Betracht, der in der Cloud läuft, kein Traffic-lastiges Screen-Streaming verwendet und Nutzer daran hindert, potenziell gefährliche Aktionen wie die Eingabe von Anmeldeinformationen auf nicht zugelassenen Websites durchzuführen.
Erweiterte Cloud-E-Mail-Sicherheit: Sie umfasst Sentiment-Analysen, Graphen der Vertrauenswürdigkeit des Absenders, automatisches Blockieren und andere Tools, die so kalibriert werden können, dass sie bösartige E-Mails abfangen, die Microsoft 365 bekanntermaßen entgehen.
Schritt 2: Malware-Scans verbessern
Phishing zu verhindern ist ein wichtiger Sicherheitsschritt, aber bei weitem nicht der einzige. Andere Angriffsarten dienen dazu, Malware auf Endgeräten und in der Netzwerkinfrastruktur zu installieren. Dies kann per E-Mail, auf bösartigen Websites, die automatisch Downloads auslösen, oder durch andere Methoden geschehen.
Der wichtigste Anti-Malware-Dienst von Microsoft 365 heißt Defender und wird auf den Endgeräten installiert. Application Guard, ein Browser-Plugin, kann ebenfalls helfen, indem es bösartige Websites – und jegliche Malware – sicher in einer Sandbox hält.
Im Einklang mit Microsofts allgemeinem Engagement für die Sicherheit ist Defender auch bei der Erkennung von Malware kein unbeschriebenes Blatt. EinigeStudien haben jedoch ergeben, dass seine Entdeckungsraten hinter denen ähnlicher Produkte zurückbleiben. Darüber hinaus schaffen bestimmte Elemente seiner Funktionalität potenzielle Lücken:
Der Dienst ermöglicht es Nutzern, Bereiche auf ihren Systemen von Malware-Scans auszuschließen – eine gängige Praxis für Anwendungen, die nicht standardisierten Code verwenden, aber dennoch ein potenzielles Risiko. Darüber hinaus fanden Sicherheitsexperten heraus, dass die Liste der ausgeschlossenen Orte in bestimmten Versionen des Windows-Betriebssystems ungesichert gespeichert wurde. Dies bedeutete, dass Angreifer mit lokalem Zugriff sehen konnten, an welchen Stellen des Systems sie Malware installieren konnten, um nicht entdeckt zu werden.
Defender funktioniert standardmäßig nur mit dem Microsoft Edge-Browser. Für andere Browser sind Plugins verfügbar. Aber wenn Nutzer das Plugin aus irgendeinem Grund nicht installieren, könnten auch diese anderen Browser als Schwachstellen fungieren.
Für den Application Guard gilt das gleiche Problem wie für die Plugins. Die lokale Browserisolierung verursacht oft eine schlechte Performance des Geräts, was dazu führen kann, dass der Nutzer sie einfach abschaltet.
Um diesen Schutz zu verstärken, sollten Unternehmen mehrere Praktiken in Betracht ziehen:
Ergänzender Endpunktschutz: Auf der Grundlage der bestmöglichen Bedrohungsdaten und mit Regeln und Blocklisten, die für Nutzer nicht allzu leicht zu deaktivieren sind.
Multi-Faktor-Authentifizierung (MFA): Die mehr als nur eine Kombination aus Benutzername und Passwort verwendet, um den Zugang zu Anwendungen zu ermöglichen. Andere Authentifizierungsfaktoren sind Hardware-Sicherheitstoken und Einmalcodes, die an das Telefon des Nutzers gesendet werden. Wenn Angreifer Malware installieren können, verhindert MFA, dass sie diese Malware für den Zugriff auf Unternehmensanwendungen verwenden können.
E-Mail-Link-Isolierung: Wie bereits erwähnt, sollten isolierte Web-Aktivitäten in der Cloud ausgeführt werden, problemlos mit jedem Browser funktionieren und moderne Technologien verwenden, um den Ausfall von Websites zu vermeiden.
Schritt 3: Eskalation der Berechtigungen verhindern
Selbst mit einem starken E-Mail- und Malware-Schutz sollten Unternehmen darauf vorbereitet sein, dass Angreifer sich in irgendeiner Form Zugang zu ihrer Microsoft 365-Instanz verschaffen könnten. Eine solche Vorbereitung ist ein zentraler Grundsatz der modernen Sicherheit – oft zusammengefasst durch den Zero Trust-Grundsatz „Niemals vertrauen, immer verifizieren“ bei Anfragen, die zwischen beliebigen Orten in einem Netzwerk übertragen werden.
Microsoft 365 bietet verschiedene Dienste zur Verwaltung der Zugriffsrechte von Nutzern an. Doch in den letzten Jahren war laut einer Untersuchung der Firma BeyondTrust die Rechteausweitung (Privilege Escalation) die häufigste Form von Sicherheitslücke in Microsoft 365. Bei diesen Vorfällen verschaffen sich Angreifer Zugang zu einem Nutzerkonto und erweitern die Zahl der Systeme und Einstellungen, auf die damit zugegriffen kann. Das erleichtert laterale Bewegungen, den Diebstahl von Anmeldedaten und die Kompromittierung von Zielanwendungen.
Ein wichtiger Schritt zur Vorbeugung ist logistischer Natur: Entfernen Sie die Administratorrechte von so vielen Nutzern wie möglich. Eine überlastete IT-Abteilung könnte versucht sein, Nutzern übermäßigen Zugriff zu gewähren, um die Effizienz zu steigern und die Zahl der Support-Tickets zu reduzieren. Aber so hilfreich dies kurzfristig auch erscheinen mag, ist es ein weiterer wichtiger Grundsatz moderner Sicherheit, Nutzern so wenig Zugriff wie möglich zu gewähren. Darüber hinaus hat der bereits erwähnte BeyondTrust-Bericht festgestellt, dass die Aufhebung von Administratorrechten auch zu einer Verringerung der Supportanfragen im Allgemeinen führen kann. Denn „Computer funktionieren einfach besser, wenn man keine Berechtigungen hat, um sie zu schädigen.“
Unternehmen können auch Cloud Access Security Broker (CASB)-Systeme in Betracht ziehen, die Transparenz und Kontrolle darüber ermöglichen, wie Nutzer auf Cloud-Dienste wie Microsoft 365 zugreifen – einschließlich der Dateien und Daten, die diese Nutzer freigeben. Microsoft bietet einen eigenen CASB-Dienst an. Unternehmen sollten sich jedoch für eine CASB eines Drittanbieters entscheiden, die in eine umfassendere Zero Trust-Plattform integriert ist, die eine Integration mit anderen Zero Trust-Diensten ermöglicht und einen separaten Satz an Bedrohungsdaten auf ihre Sicherheitslage anwendet.
Auswirkungen auf die Effizienz minimieren
Unternehmen setzen Microsoft 365 häufig ein, um die allgemeine Produktivität des Teams und die technologische Effizienz zu verbessern. Diese Unternehmen werden sich daher fragen, ob die oben genannten Empfehlungen den Arbeitstag ihrer Nutzer mit zusätzlichen Schritten belasten, ihre Internetnutzung verlangsamen oder sie ganz von der Nutzung einiger Anwendungen abhalten werden.
Sich ausschließlich auf die zentralisierte systemeigene Sicherheit von Microsoft zu verlassen mag als der effizienteste Ansatz erscheinen. Aber mit den richtigen Zusatzleistungen lassen sich noch bestehende Lücken schließen, ohne dass die Effizienz darunter leidet. Unternehmen sollten sich nach Sicherheitsdienstleistungen umsehen, die folgendes bieten:
Zusammen bieten diese Qualitäten Unternehmen und ihren Mitarbeitern Flexibilität, eine starke Netzwerk-Performance und erleichtern den Prozess der Sicherheitsmodernisierung erheblich.
Der Weg in die Zukunft
Cloudflare bietet viele der oben genannten Sicherheitsfunktionen als Teil seiner umfassenderen Zero Trust-Sicherheitsdienste an, darunter E-Mail-Cloud-Sicherheit, Isolierung von E-Mail-Links, einem Cloud Access Security Broker und Integrationen mit MFA-Anbietern.
Aber wie bereits erwähnt: Um die Sicherheit von Microsoft 365 zu erhöhen, muss man sich auch auf die Erhaltung der Effizienz konzentrieren. Cloudflare kann diese Effizienz dank einer einzigartigen Architektur bieten:
Ein hochgradig verflochtenes Netzwerk ist für rund 95 % der Internetnutzer weltweit innerhalb von Millisekunden erreichbar und stellt sicher, dass Mitarbeitende überall einen schnellen, direkten Zugang zu Microsoft-Servern haben.
Eine homogene Netzwerkstruktur, in der jeder Sicherheitsservice überall ausgeführt werden kann. So wird sichergestellt, dass der über das Cloudflare-Netzwerk abgewickelte Traffic keine zusätzlichen Latenzzeiten hat.
Eine starke Partnerschaft mit Microsoft, die sicherstellt, dass die Sicherheitsdienste von Cloudflare nahtlos in die Tools von Microsoft 365 integriert werden.
Erfahren Sie mehr über Cloudflare Zero Trust, wie unsere einzigartige Architektur dafür sorgt, dass Sicherheit und geschäftliche Effizienz einhergehen können.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Microsoft und Microsoft 365 sind Marken der Microsoft-Unternehmensgruppe.
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Native Schutzmechanismen von Microsoft 365
Microsofts Modell der geteilten Verantwortung
Strategien, um das native Sicherheitsfundament von Microsoft 365 zu ergänzen, ohne die Effizienz der Mitarbeiter zu beeinträchtigen
Verwandte Ressourcen
Vertiefung des Themas.
Erfahren Sie mehr über die Implementierung von Zero Trust-Sicherheit für alle Arten von Cloud-Diensten in Zero Trust-Architektur – ein Wegweiser.