Tech

Skydda dig mot säkerhetshoten med Microsoft 365

Microsoft 365 har en mängd bra säkerhetsfunktioner som kan göra din vardag säkrare. Här ger Anton Wadström, en av Asurgents tekniska rådgivare, sina bästa tips på åtgärder som skyddar ditt företag mot riktade attacker, ransomware och intrång.

Stoppa riktade attacker mot nyckelpersoner

En så kallad “spear phishing attack” – en riktad attack mot nyckelpersoner i en organisation – är en mer sofistikerad variant av vanliga ”phising attacker”. E-postmeddelanden är anpassad efter mottagaren och kan ofta vara mycket trovärdigt utformade.

Så här kan en attack se ut, steg för steg:

1. Attacken börjar oftast med att hackaren gör en lista på nyckelpersoner inom organisationen som har tillgång till känsliga data.
2. Hackaren söker upp nyckelpersonerna på sociala medier och tar reda på deras intressen.
3. Hackaren skapar ett epost-malware med en bifogad fil som ska väcka intresse hos mottagaren baserat på steg 2.
4. Mottagaren tar emot eposten och klickar på den bifogade filen eftersom det låter som något i deras intresse.
5. Den skadliga koden körs på mottagarens dator och kopior av nyckelpersonens dokument och epost skickas till hackaren
6. Hackaren tar emot den stulna informationen

Så ställer du in Microsoft 365 för att skydda dig mot en spear phishing attack:

– Blockera användare från att skapa epostregler som automatiskt vidarebefordrar epost till mottagare utanför organisationen.
– Aktivera och konfigurera Office 365 Advanced Threat Protection (ATP) Safe Links och Safe Attachments (kräver ATP-licens) som öppnar länkar och bifogade filer i en isolerad miljö där de scannas och kontrolleras innan de, om de visade sig vara säkra, levereras till användaren.
– Aktivera och konfigurera Office 365 Advanced Threat Protection (ATP) Anti-phishing policies (kräver ATP-licens) för att minimera risken att dina nyckelpersoner används som ”avsändare” vid phishing.
– Säkerställ att din organisation använder den senaste versionen av Office 365 ProPlus för att kunna nyttja ATP-funktionerna till fullo.

Förhindra att hackare kringgår multifaktor-autentisering (MFA)

När fler och fler organisationer inser säkerhetsfördelarna med MFA ökar också risken för riktade attacker som försöker kringgå skyddet. Här kan du läsa om olika metoder för att ta sig runt MFA och hur du skyddar dig mot dem.

Så här kan en attack se ut, steg för steg (exempel a):

1. Användarens lösenord har läckt ut på internet på ett eller annat sätt.
2. Hackaren ansluter till användarens e-post med gamla protokoll (till exempel POP, IMAP, SMTP), även kallat Legacy authentication.
3. Hackaren skickar epost, med skadlig kod eller uppmaningar om att betala fakturor eller liknande, till andra inom organisationen. Eposten anses legitim eftersom den kommer från den interna organisationen.

Så ställer du in Microsoft 365 för att skydda dig mot möjligheten att kringgå MFA med hjälp av gamla protokoll:

– Inaktivera de gamla protokollen för varje användares mailbox.
– Inaktivera de gamla protokollen på tenant-nivå.
– Aktivera Conditional Access Policies i Azure AD som blockerar anslutningar som använder de gamla protokollen.

Så här kan en attack se ut, steg för steg (exempel b):

1. Användarens lösenord har läckt ut på internet på ett eller annat sätt.
2. Hackaren kontaktar användarens telefonioperatör och använder social engineering för att få operatören att aktivera vidarebefordring av användarens mobilnummer till hackarens mobilnummer.
3. Hackaren loggar in med användarens uppgifter och får en MFA-kod skickad via SMS till användarens- och sin egen telefon
4. Hackaren har nu full tillgång till användarens konto och kan byta lösenord, ändra telefon som används för MFA, m.m.

Så ställer du in Microsoft 365 för att skydda dig mot möjligheten att kringgå MFA med hjälp av social engineering:

– Inaktivera möjligheten för användarna att få MFA-koder via SMS eller telefonsamtal.
– Börja använda Microsoft Authenticator, eller liknande lösning, för engångslösenord (One Time Password) via mobil-app.

Skydda dig mot ransomware

Kärt barn har många namn – utpressningsprogram, utpressningsvirus, gisslanprogram, eller helt enkelt ransomware – har blivit allt vanligare. Syftet är att pressa den som utsätts för attacken på pengar genom att kräva ersättning för att ”låsa upp” filer som krypterats. En av de mer kända attackerna skedde mot transportföretaget Maersk under 2018. Maersk själva uppskattade kostnaden för att återställa sin IT-miljö till någonstans mellan 200 och 300 miljoner dollar.

Så här kan en attack se ut, steg för steg:

1. Hackaren skickar skadlig kod till användaren via till exempel en bifogad fil i ett epostmeddelande.
2. Användaren öppnar den bifogade filen.
3. Användarens filer krypteras och de uppmanas betala en lösensumma för att få nyckeln som kan dekryptera filerna.

Så ställer du in Microsoft 365 för att skydda dig mot ransomeware:

– OneDrive Known Folder Move (KFM) pekar om dina användares vanliga mappar (Skrivbordet, Mina dokument, Mina bilder) och dokumenten i dem till OneDrive. Eftersom OneDrive sparar versioner av dina filer så kan du enkelt återställa alla krypterade filer till versionen innan de blev krypterade. OneDrive KFM kan konfigureras med Group Policy eller Intune.

– Ställ in regler för Microsoft Advanced Threat Protection Attack Surface Reduction (ASR) som till exempel kan:
  • Blockera exekverbar kod att köras från e-postklienten eller webbmailen.
  • Blockera Office-applikationer från att skapa nya processer eller exekverbar kod.
  • Blockera Office-applikationer från att injicera kod i andra processer.
  • Aktivera avancerat skydd mot ransomeware.
– Attack Surface Reduction kan konfigureras med Group Policy eller Intune och kräver endast Windows E5-licensiering om man vill kunna använda mer avancerade funktioner såsom övervakning, analys eller automatiserade flöden baserat på loggarna som skickas in från enheterna.

– Aktivera och konfigurera Office 365 Advanced Threat Protection Safe Links och Safe Attachments.

Behöver du hjälp med att säkra upp din molnmiljö, eller ta ett helhetsgrepp kring ditt säkerhetsarbete, får du gärna kontakta Asurgent!

Anton Wadström
Technical Cloud Advisor

Upptäck mer