As compensações na segurança nativa do Microsoft 365

Proteger a maior superfície de ataque da empresa

Inadvertidamente, as tecnologias que adotamos para melhorar a eficiência em nossa organização podem muitas vezes ter o mesmo efeito para agentes maliciosos que tentam obter acesso.

Pacotes de colaboração e produtividade empresarial, como o Microsoft 365 e o Google Workspace, fornecem ótimos exemplos dessa compensação. Esses conjuntos incluem uma variedade impressionante de aplicativos projetados para serem fáceis de acessar, usar e mover dados entre eles, consequentemente, também criam uma grande superfície de ataque, facilitam o movimento lateral e o acesso ilícito para qualquer invasor que encontre uma maneira de entrar.

Com maior adoção desses conjuntos de aplicativos, os invasores têm mais incentivo para encontrar vulnerabilidades neles. Como o Microsoft 365 possui aproximadamente o dobro de clientes que as ofertas dos concorrentes, de acordo com uma pesquisa recente da Okta, é um alvo de valor particularmente alto.

Isto não é um motivo para evitar o uso do Microsoft 365. A Microsoft investe fortemente em segurança e oferece segurança nativa como parte do pacote 365. Além disso, a popularidade da Microsoft, e o risco que a acompanha, é um motivo para complementar o pacote com serviços de segurança adicionais, conforme sugerido em seu modelo de responsabilidade compartilhada. Isso fortalece a postura de segurança de sua organização contra vulnerabilidades isoladas da Microsoft e outros pontos fracos do sistema.

Quais são as primeiras etapas mais importantes? E como as organizações podem seguir essas etapas sem comprometer a eficiência que o Microsoft 365 traz para elas?

Etapa 1: Melhorar a proteção contra phishing

A grande maioria dos ataques cibernéticos começa com phishing, mais de 90%, de acordo com pesquisas recentes.

Para evitar phishing, o Microsoft 365 usa verificação de e-mail nativa para filtrar mensagens maliciosas. Os dados mostram que este serviço não interrompe todos os ataques. A Cloudflare descobriu que, em 2020, os usuários de e-mail do Microsoft 365 tiveram mais de 900 mil e-mails de phishing que passaram pela segurança nativa. Desses e-mails ignorados, cerca de 50% envolviam um domínio criado recentemente e outros 15% incluíam um URL malicioso.

Além disso, o e-mail da Microsoft, como a maioria dos provedores de e-mail em nuvem, é vulnerável a outros tipos de ataques:

• Deferred phishing: em que os invasores enviam um e-mail contendo um link que inicialmente aponta para um site benigno. Depois que o e-mail chega à caixa de entrada de destino, o invasor redireciona o URL para um site malicioso.

• Uso malicioso da infraestrutura da Microsoft: em que os invasores hospedam páginas maliciosas usando os serviços em nuvem da Microsoft. Essa tática foi encontrada ocasionalmente para superar os recursos de verificação de e-mail da Microsoft.

De acordo com a filosofia de "responsabilidade compartilhada" da Microsoft, camadas adicionais de proteção podem ser necessárias para evitar ataques. Um lugar importante para começar é:

• Isolamento de link de e-mail: para proteger os usuários de links maliciosos que escapam das quebras ou substituem os benignos após o fato. A Microsoft oferece isolamento do navegador geral como um plug-in, mas executar o isolamento localmente consome muita memória e pode reduzir a velocidade da experiência do usuário. Em vez disso, considere um serviço mais robusto, que é executado em nuvem, não usa streaming de tela com tráfego intenso e impede que os usuários executem ações potencialmente perigosas, como inserir informações de login em sites não aprovados.

• Segurança avançada de e-mail em nuvem: incorpora análise de sentimento, gráficos de confiança do remetente, bloqueio automatizado e outras ferramentas que podem ser calibradas para capturar e-mails maliciosos que o Microsoft 365 não consegue detectar.

Etapa 2: melhorar a verificação de malware

Prevenir o phishing é uma etapa de segurança importante, mas está longe de ser a única. Outros tipos de ataque são usados para instalar malware em dispositivos de endpoint e infraestrutura de rede integral. Isso pode ocorrer por e-mail, em sites maliciosos que acionam downloads automaticamente ou por outros métodos.

O principal serviço antimalware do Microsoft 365 é chamado Defender e é instalado em dispositivos de endpoint. O Application Guard, um plug-in de navegador, também pode ajudar a manter sites maliciosos, e qualquer malware, na sandbox com segurança.

Mantendo o compromisso mais amplo da Microsoft com a segurança, o Defender não é descuidado quando se trata de detecção de malware. No entanto, algunsestudos descobriram que suas taxas de detecção ficam atrás das de produtos similares. Além disso, certos elementos de sua funcionalidade criam possíveis lacunas:

• O serviço permite que os usuários excluam locais em seus sistemas da verificação de malware, uma prática comum para aplicativos que usam código não padrão, mas ainda é um possível risco. Além disso, os pesquisadores de segurança descobriram que a lista de locais excluídos era armazenada sem segurança em certas versões do sistema operacional Windows. Isso significava que os invasores com acesso local podiam ver em quais locais do sistema instalar malware para evitar a detecção.

• O Defender só funciona por padrão no navegador Microsoft Edge. Existem plug-ins disponíveis para outros navegadores. Mas se os usuários não instalarem o plug-in por qualquer motivo, esses outros navegadores também podem funcionar como links fracos.

Em relação ao Application Guard, o mesmo desafio de plug-in se aplica e o isolamento do navegador local geralmente causa baixo desempenho do dispositivo, o que pode fazer com que o usuário simplesmente o desligue.

Para reforçar essas proteções, as organizações devem considerar várias práticas:

• Proteção suplementar de endpoints: informada pela melhor inteligência contra ameaças possível e cujos conjuntos de regras e listas de bloqueio não são muito fáceis para os usuários desativarem.

• Autenticação multifator (MFA): que usa mais do que apenas uma combinação de nome de usuário/senha para fornecer acesso aos aplicativos. Outros "fatores" de autenticação incluem tokens de segurança de hardware e códigos únicos enviados para o telefone do usuário. Se os invasores conseguem instalar malware, o MFA os impede de usar esse malware para acessar aplicativos corporativos.

• Isolamento de link de e-mail: conforme mencionado anteriormente, a atividade da web isolada deve ser executada em nuvem, funcionar facilmente com qualquer navegador e usar tecnologia moderna para evitar a invasão de sites.

Etapa 3: impedir a escala de privilégios

Mesmo com fortes proteções de e-mail e malware, as organizações devem estar preparadas se os invasores conseguirem alguma forma de acesso à sua instância do Microsoft 365. Essa preparação é um princípio central da segurança moderna, geralmente resumido pelo princípio Zero Trust de “nunca confiar, sempre verificar” as solicitações que se movem entre quaisquer locais em uma rede.

O Microsoft 365 oferece vários serviços para gerenciar quais acessos e permissões os usuários têm. No entanto, nos últimos anos, a escala de privilégios tem sido a forma mais comum de vulnerabilidade do Microsoft 365, de acordo com a pesquisa da BeyondTrust. Nesses incidentes, os invasores obtêm acesso a uma conta de usuário e expandem a variedade de sistemas e configurações que podem acessar, facilitando o movimento lateral, o roubo de credenciais e o comprometimento dos aplicativos visados.

Um passo importante para a prevenção é logístico, remover os direitos de administrador do maior número possível de usuários. Um departamento de TI sobrecarregado pode ser tentado a dar aos usuários acesso excessivo para melhorar a eficiência e reduzir os tickets de suporte, mas, por mais útil que possa parecer no curto prazo, dar aos usuários o mínimo de acesso possível é outro princípio importante da segurança moderna. Além disso, o relatório BeyondTrust, mencionado acima, descobriu que a remoção de direitos de administrador também pode reduzir os tickets de suporte de maneira mais ampla, observando que “os computadores funcionam melhor quando você não tem privilégios para invadi-los”.

As organizações também podem considerar os sistemas CASB (agente de segurança de acesso à nuvem), que permitem visibilidade e controle sobre como os usuários acessam serviços em nuvem, como o Microsoft 365, incluindo quais arquivos e dados esses usuários compartilham. A Microsoft oferece um serviço CASB nativo. Mas as organizações podem querer selecionar um CASB de terceiros que seja incorporado a uma plataforma Zero Trust mais ampla, permitindo integrações com outros serviços Zero Trust e aplicando um corpo separado de inteligência contra ameaças à sua postura de segurança.

Reduzir os efeitos na eficiência

As organizações geralmente adotam o Microsoft 365 para melhorar a produtividade geral da equipe e a eficiência tecnológica. Dessa forma, essas organizações podem se perguntar se as recomendações mencionadas vão adicionar etapas onerosas ao dia de trabalho de seus usuários, diminuir o uso da internet ou impedir que usem alguns aplicativos.

Confiar apenas na segurança nativa centralizada da Microsoft pode parecer a abordagem mais eficiente. Mas os serviços suplementares corretos fecham as lacunas persistentes sem prejudicar a eficiência. As organizações devem procurar serviços de segurança que ofereçam:

Juntas, essas qualidades oferecem às organizações e a seus funcionários flexibilidade, forte desempenho de rede e facilitam significativamente o processo de modernização da segurança.

O caminho a seguir

A Cloudflare oferece muitos dos recursos de segurança mencionados acima como parte de seus serviços de segurança Zero Trust mais amplos, incluindo segurança de e-mail em nuvem, isolamento de link de e-mail, um agente de segurança de acesso à nuvem e integrações com provedores de MFA.

Mas, conforme discutido, complementar a segurança nativa do Microsoft 365 também requer um foco preciso na preservação da eficiência. A Cloudflare foi projetada exclusivamente para oferecer essa eficiência, graças a:

• Uma rede altamente interconectada, que fica dentro de milissegundos de 95% dos usuários da internet, garantindo que as forças de trabalho em qualquer lugar mantenham acesso rápido e direto aos servidores da Microsoft.

• Uma estrutura de rede homogênea na qual todos os serviços de segurança podem ser executados em qualquer lugar, garantindo que o tráfego que passa pela Cloudflare não sofra com mais latência.

• Uma forte parceria com a Microsoft, que garante que os serviços de segurança da Cloudflare se integrem perfeitamente às ferramentas do Microsoft 365.

Saiba mais sobre o Cloudflare Zero Trust para explorar como nossa arquitetura exclusiva faz com que a segurança e a eficiência dos negócios andem de mãos dadas.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Microsoft e Microsoft 365 são marcas comerciais do grupo de empresas Microsoft.

Principais conclusões

Após ler este artigo, você entenderá:

• Proteções de segurança nativas do Microsoft 365

• Modelo de responsabilidade compartilhada da Microsoft

• Estratégias para complementar a base de segurança do Microsoft 365 sem comprometer a eficiência dos funcionários

Recursos relacionados

• Roteiro da arquitetura Zero Trust

• O que é segurança zero trust?

• Ignorar a autenticação multifator

• Proteger a empresa distribuída no longo prazo