Microsoft je še utrdil položaj na svetovnem trgu, kot najbolj razširjen in ponudnik aplikacij SaaS, saj  trenutno beleži več kot 258 milijonov uporabnikov Office 365 in več kot 75 milijonov uporabnikov Microsoft Teams-ov, glede na poročilo družbe o prihodkih v tretjem četrtletju leta 2020. Posledično je Microsoft postal bogato skladišče kritičnih poslovnih podatkov in mamljiva tarča hekerskih napadov. Kiberkriminalci zlorabijo posamezne funkcionalnosti Office 365, da zaobidejo varnost in zaženejo napade. Zato je zaščita okolja Office 365 ključnega pomena.

 

Tarča napadalcev je oblak, v katerem ustvarjajo kaos

Največje varnostno tveganje v okolju SaaS predstavlja identiteta uporabnika storitve. Namen napadalca je zloraba identitete in privilegiranega dostopa, ki je identiteti dodeljen. Najpomembneje je, kako se uporablja ta zlorabljen privilegirani dostop? Načelo manj privilegiranosti je še bolj pomembno v okolju SaaS, kjer se nadzoruje le identiteta in kjer so podatki in viri zelo konsolidirani.

 

Na področju uporabe rešitve ima Office 365 mesečno več kot 250 milijonov aktivnih uporabnikov in mnogi od teh uporabnikov predstavljajo jedro poslovne komunikacije in shranjevanja poslovnih podatkov. Ni presenečenje, da je Office 365 v središču pozornosti in tarča kibernetskih napadalcev.

 

Kljub vpeljavi več faktorske avtentikacije in drugih varnostnih mehanizmov, poslovna škoda in škoda zaradi okrnjenega ugleda, kot posledica kibernetskih napadov z namenom izrabe ukradenih podatkov, le še narašča.

 

Poročilo Forrester Wave: Risk Based Authentication iz leta 2017 navaja, da so bili stroški prevzema računov ocenjeni na 6,5 oz. 7 milijard dolarjev.

Najpogostejši in najbolj razširjen faktor napada na Office 365 je prevzem računa. Napadalci se za pridobitev začetnega dostopa, poslužujejo predvsem »phishing« napadov oz. lažnih e-sporočil. Prevzem računov Office 365 napadalci uporabljajo za bočni premik do drugih uporabnikov in do privilegiranih virov, podobno, kot se to izvaja na mrežnem nivoju.

 

Oblak je vstopna točka in hkrati končni cilj napadalcev, kjer se lahko »bočno širijo« v kontekstu iskanja kritičnih podatkov. V okolju Office 365 grožnje presegajo življenjski cikel napada, ki nima končne točke ali omrežne aktivnosti, ter se izogne tradicionalnim rešitvam zaznavanja anomalij v omrežju in varnostnim zaščitam na končnih napravah.

 

Najpogostejše tehnike, ki jih uporabljajo napadalci v Office 365

  • Iskanje po e-pošti, zgodovini klepetov in datotekah, kjer iščejo gesla ali zanimive podatke.
  • Nastavitev pravil za posredovanje e-poštnih sporočil za stalen dotok sporočil, brez ponovne prijave v račun – govorimo o preusmeritvi sporočil na nek račun, ki ga ima v lasti napadalec.
  • Izraba zaupanja vrednega komunikacijskega kanala – socialni inženiring odločevalcev, zaposlenih, kupcev ali partnerjev.
  • Vstavljanje zlonamerne programske opreme ali zlonamernih povezav v dokumente, ki jim običajno zaupamo, kjer zopet napadalci izkoristijo zaupanje, da se izognejo morebitnim nadzornim mehanizmom.
  • Kraja ali zadrževanje, lahko tudi kriptiranje datotek in podatkov, za namen finančne odkupnine.

Katere funkcionalnosti Office 365 zlorabljajo napadalci

Power Automate

Orodje omogoča uporabnikom, da ustvarijo integracije po meri in avtomatizirane delovne tokove med različnimi aplikacijami ter Office 365. Orodje je privzeto in omogoča priključke (vtičnike) na stotine tretjih ponudnikov aplikacij in storitev. Široka razpoložljivost in enostavnost uporabe orodja omogočajo, da ga napadalci uporabijo za orkestracijo zlonamernih »comand-control« ukazov in bočnega premikanja.

 

Microsoft eDiscovery

Je orodje, ki izvaja iskanje po vseh Office 365 aplikacijah in podatkih ter omogoča izvoz rezultatov iskanja. Napadalci uporabljajo orodje na notranje poizvedovanje in iskanje poslovnih podatkov.

Napadalci zlorabijo funkcionalnosti Office 365 zato, da ostanejo prikriti in zaobidejo varnostne mehanizme.

 

OAuth

Odprti standard za overjanje dostopa. Uporablja se s strani neodvisnih tretjih ponudnikov aplikacij za avtentikacijo uporabnikov z uporabo Office 365 prijavnih storitev in z uporabnikom povezanih poverilnic. Napadalci uporabljajo zlonamerne aplikacije Azure, ki izkoriščajo OAuth za vzdrževanje stalnega dostopa do uporabniških Office 365 računov.

Napadalci lahko uporabljajo Office 365 kot vstopno točko za stalni dostop do uporabniških sistemov ali kot možnost vdora v fizični informacijski sistem uporabnika.

 

Zaščita okolja Office 365 pred hekerji

Ugotavljanje zlorabe uporabniškega dostopa se običajno obravnava kot statična težava, ki se jo rešuje s postopki preprečevanja, z nadzorom nad izvajanjem varnostne politike ali pa z ročnimi posegi, ko se težava pojavi, pri čemer je ostalo malo časa za ustrezen odziv. Ti tradicionalni pristopi nimajo želenega varnostnega učinka.

 

Ta vrsta nadzora uporabniških dostopov omogoča le vpogled, da se uporabniški račun uporablja za dostop do virov. Ne omogoča pa vidljivosti za kakšen namen se viri uporabljajo.

 

Varnostni strokovnjaki moramo imeti vpogled v kontekst, ki pojasnjuje, kako entitete uporabljajo svoje privilegije, t. j. opazovani privilegij, v aplikacijah SaaS, kot je Office 365. Tako kot napadalci opazujejo in sklepajo na podlagi interakcij med posameznimi entitetami, bi morali tudi varnostni strokovnjaki razmišljati na podoben način kot hekerji.

 

Pomembno je razumeti, kako in od kod uporabniki dostopajo do virov Office 365, z upoštevanjem pravnih norm za zaščito zasebnosti in osebnih podatkov. Pomembno je torej vzpostaviti razumevanje oz. vidnost vzorcev uporabe posameznih storitev in vedenja uporabnikov, kar omogočajo sistemi za detekicjo kot je Vectra.

 

Pomembnosti aktivnega opazovanja zlorabe uporabniškega dostopa ni mogoče preceniti, saj jih potrjujejo varnostni incidenti in napadi hekerjev. Platforme SaaS, kot je Office 365, so varno zatočišče za bočno premikanje napadalcev, zato je odločilnega pomena, da se osredotočimo na uporabniške dostope posameznih računov in storitev.

 

Preberite tudi belo knjigo: Zaščitite vaše podatke v oblaku

 

Strošek zlorabe ukradenih podatkov

Vsako leto se soočamo z nenehno naraščajočo grožnjo zlorabe ukradenih podatkov. S prehodom na platforme SaaS, npr. kot je Office 365, se varnostno tveganje poveča, saj se varnostni perimeter razširi.

 

Ste se sami morda kdaj vprašali, koliko bi vas stal tovrsten incident? Ali ste mnenja, da je bolje vlagati v preventivne ukrepe, da zlonamerno vedenje in zlorabo privilegijev hitro prepoznamo in ukrepamo, da do incidenta sploh ne pride?

 

Posvetujte se z našimi strokovnjaki za kibernetsko varnost, ki vam podrobneje predstavili rešitev za okrepitev varnosti in zaščito okolja Office 365. Oglasite se nam, dogovorili se bomo za predstavitev ter se pogovorili o optimalni rešitvi za vaše informacijsko okolje.

 

Prispevek je pripravil Matjaž Katarinčič.