Microsoft 365 in osnovna zaščita pred phishing napadi

Microsoft je z več kot 260 milijoni naročnikov eden večjih ponudnikov storitve elektronske pošte v oblaku, ki jo uporabljajo tudi mnoga podjetja in organizacije v Sloveniji. Ker so vedno bolj izpostavljena splošnim napadom s socialnim inženiringom, se bomo v tem članku poglobili v možnosti zaščite pri napadih z lažnim predstavljanjem in poskusih zlorabe elektronske pošte.

Prva dva koraka

Prva dva koraka zaščite, ki ju lahko uvede vsako podjetje ali organizacija, ki uporablja Microsoftovo storitev elektronske pošte v oblaku, sta identifikacija zunanjih pošiljateljev in uporaba dvonivojske avtentikacije.

1) Identifikacija zunanjih pošiljateljev

Že na prvi pogled nam pomaga prepoznati elektronska sporočila, ki izvirajo izven naše organizacije. S tem povečamo možnosti prepoznavanja lažnih sporočil s poneverjenim pošiljateljem, ki se pretvarja, da je naš sodelavec ali nadrejeni. S tako označenimi sporočili lažje in hitreje prepoznavamo poskuse socialnega inženiringa, kot sta na primer lažno predstavljanje in direktorska prevara.

Nastavitev je v Microsoft 365 preprosta in zahteva nastavitev novega pravila za prihajajočo elektronsko pošto. V nadzornem centru na naslovu https://admin.exchange.microsoft.com pod Rules dodamo novo pravilo, ki v zadevo vsakega sporočila, katerega pošiljatelj je izven naše organizacije, doda poljubno besedilo, na primer [Zunanji pošiljatelj], ki nam bo omogočalo lažjo identifikacijo.

2) Uporaba dvonivojske avtentikacije

Dvonivojska avtentikacija zahteva, da poleg uporabniškega imena in gesla uporabimo še dodatni način avtentikacije uporabnika. Največkrat je to pametni telefon ali aplikacija na pametnem telefonu. Uporaba dvonivojske avtentikacije nam omogoča, da napadalec tudi v primeru, da pridobi naše uporabniško ime in geslo, ne more dostopati do naših podatkov, saj mu za prijavo manjka drugi nivo avtentikacije, to je naš pametni telefon.

zaščita informacijskega sistema 1920Pri uporabi pametnega telefona za drugi nivo avtentikacije lahko izbiramo med pošiljanjem SMS sporočila z dodatnim enkratnim časovnim geslom ob prijavi ali bolj varno možnostjo prijave s pomočjo aplikacije, generatorja enkratnih časovnih gesel.

Avtentikacija s pomočjo aplikacije se smatra za bolj varno, saj SMS sporočila med drugim niso šifrirana. Pri uporabi večnivojske avtentikacije v Microsoft 365 okolju priporočamo uporabo aplikacije Microsoft Authenticator, ki jo namestimo iz trgovine na našem pametnem telefonu. Microsoft Authenticator nam omogoča tudi bolj priročno uporabo, saj nam enkratnega gesla ni potrebno pretipkavati v prijavno okno, ampak lahko prijavo enostavno potrdimo v aplikaciji.

Poleg aplikacije na pametnem telefonu je potrebno dvonivojsko aplikacijo vključiti v Microsoft 365 admin centru na naslovu https://admin.microsoft.com pod Settings, Org Settings, Multi-Factor Authentication. Dvonivojsko avtentikacijo moramo vključiti za vsakega uporabnika posebej. Bolj podrobno in učinkovito upravljanje z dvonivojsko avtentikacijo omogočajo dražji paketi.

Po nastavljeni dvonivojski avtentikaciji mora uporabnik ob naslednji prijavi prek brskalnika izpolniti dodatne korake, v katerih registrira svoj pametni telefon. Če se uporabniki prek brskalnika ne prijavljajo pogosto, jih lahko napotimo na naslov https://aka.ms/MFASetup, ker lahko opravijo prijavo in registracijo.

Exchange Online nastavitve pravilnikov za upravljanje z grožnjami

Osnovne nastavitve Microsoft 365 za upravljanje z grožnjami nam v osnovni verziji ne ponujajo veliko možnosti nastavljanja pravilnikov, saj lahko možnosti po večini samo vklapljamo in izklapljamo.

  • Pravilnika za lažno predstavljanje (anti phishing) in za zaščito pred zlonamerno programsko opremo (anti malware)

Pravilnika nam ne omogočata veliko možnosti nastavitev. Predvsem ne omogočata vklopa in izklopa pravilnika ter sta privzeto nastavljena za vse uporabnike.

Pravilnik za lažno predstavljanje (anti phishing) nam omogoča še nastavljanje označevanja sporočil z vprašajem pri sliki pošiljatelja, kadar preverjanje pristnosti sporočila ne uspe. Pristnost sporočila se preverja s standardnimi mehanizmi za pošiljanje elektronske pošte, kot so SPF, DKIM in DMARC zapisi v DNS-ju. Sender Policy Framework (SPF) nam pove, s katerih IP naslovov je omogočeno pošiljanje elektronske pošte za domeno pošiljatelja. DomainKeys Identified Mail (DKIM) zagotavlja pristnost sporočila in zaščito pred spremembami med prenosom. Domain-Based Message Authentication, Reporting and Conformance (DMARC) poveže skupaj SPF in DKIM mehanizma in poštnemu strežniku prejemnika nalaga, kaj naj naredi s sporočilom, ki ne prestane SPF ali DKIM testa.

Nastavitev za označevanje sporočila z vprašajem nam omoči tudi prikazovanje polnega naslova pošiljatelja, kadar se naslov pošiljatelja razlikuje od domene poštnega strežnika, in sicer z besedo »via«. Na primer: janez.novak@outlook.com via spletnastran.com označuje, da je bilo sporočilo poslano s poštnega strežnika, ki ne gosti domene outlook.com. Pravilnik določa tudi, v katero mapo naj se dostavi sporočilo, ki je označeno kot sporočilo z lažnim predstavljanjem. Privzeto je to mapa »Neželena e-pošta«.

Pravilnik za zaščito pred zlonamerno programsko opremo (anti malware) nam omogoča filtriranje sporočil glede na priloge. Nastavimo lahko, katere priloge v sporočilih naj samodejno označi kot zlonamerno programsko kodo in jih premakne v karanteno ter katere uporabnike naj obvesti o tem.

Privzeto končnice datotek prilog niso dodane v filter, vendar lahko to naredimo sami in dodamo v filter najbolj pogoste končnice datotek, kot so .exe, .ps1, .vbs in podobne končnice, ki označujejo izvajalne datoteke. Pravilnik bo tako postavil v karanteno vsa prejeta sporočila s prilogami, ki imajo končnice, naštete v filtru in o tem obvestil uporabnika. S tem zmanjšamo možnost prejemanja datotek z zlonamerno programsko kodo in možnost okužb. Za deljenje datotek raje uporabimo storitev OneDrive, ki nam omogoča več kontrole nad dostopom in deljenjem datotek.

  • Pravilniki o preprečevanju neželene e-pošte (anti spam), ki urejajo zaščito in dejanja ob zaznani neželeni pošti

Pravilnik o preprečevanju dohodne neželene pošte nam omogoča klasifikacijo sporočil glede na vsebino in lastnosti sporočila, ki naj jih sistem tretira kot nezaželena in nam tudi omogoča različna dejanja, kot so karantena in obveščanje uporabnikov. Privzeto se neželeno pošto dostavlja v mapo »Neželena e-pošta«, vendar lahko nastavimo tudi druge akcije.

V pravilnik za filter povezav lahko dodajamo IP naslove znanih poštnih strežnikov, ki jih tretiramo kot varne oziroma nevarne.

Pravilnik o preprečevanju odhodne neželene pošte nam omogoča nastavljati največje število poslanih sporočil na uro – tako zunanjim kot notranjim uporabnikom. S tema omejitvama lahko vplivamo, kako velik vir neželene pošte bomo poslali v primeru uspešnega napada in zlorabe uporabniškega računa.

Pravilnik o tehnologiji za zaznavanje zakrinkanja nam omogoča pregled domen pošiljateljev, ki se izdajajo za naše uporabnike. Niso vsi zaznani pošiljatelji nevarni, saj lahko tudi na primer interna aplikacija pošilja opozorila v imenu uporabnikov. Tem pošiljateljem lahko nato ročno ali dovolimo ali onemogočimo pošiljanje pošte.

Zaključek

V prispevku so opisani osnovni prijemi, s katerimi lahko izboljšamo osnovno zaščito pred napadi z lažnim predstavljanjem v okolju Microsoft 365. Največje izboljšanje varnosti bomo sicer dosegli s testiranjem in izobraževanjem uporabnikov, vendar lahko označevanje zunanje pošte, filtriranje potencialno škodljivih priponk in ostali pravilniki pripomorejo k lažjemu razpoznavanju škodljivih sporočil in uporabnikom omogočijo lažje prepoznavanje groženj.

V naslednjem delu si bomo pogledali napredne možnosti za upravljanje z grožnjami.