Best Practice สำหรับ Office 365 โดยหน่วยงานรัฐบาลสหรัฐฯ

Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการออกรายงาน Best Practice เพื่อช่วยองค์กรลดความเสี่ยงจากการย้ายบริการของตนไปใช้ Office 365 ซึ่งได้แนะนำเรื่องของแนวทางปฏิบัติที่จำเป็นหลังพบว่าระยะหลังมีองค์กรจำนวนมากจ้าง Third-party เพื่อทำการ Migrate บริการสู่ Office 365 แต่ไม่ได้ใส่ใจด้านความมั่นคงปลอดภัยมากนัก

รายงานที่ชื่อ AR19-133A ได้สรุปการวิเคราะห์และพบว่าองค์กรจำนวนมากมีการตั้งค่าความมั่นคงปลอดภัยกับบริการ Office 365 ไม่เหมาะสมซึ่งองค์กรหลายแห่งได้ว่าจ้างบริษัทอื่นเพื่อมาทำ Migration ให้และยังไม่ทีม IT Security มาดูแลเรื่องความมั่นคงปลอดภัยบน Cloud โดยเฉพาะด้วย อย่างไรก็ตามปัญหาที่ทาง CISA เผยในรายงานมีหลักๆ ดังนี้

• ไม่เปิด Multi-factor Authentication(MFA) กับบัญชี Admin เป็นค่าพื้นฐานซึ่งเป็นบัญชีที่มีความสำคัญขั้นสุดแล้วใน o365
• ปิด Mailbox Auditing ที่ทำการเก็บ Log กิจกรรมของผู้ใช้ต่างๆ เช่น เจ้าของกล่องข้อความ การให้สิทธิ์(delegate) และผู้ดูแล ซึ่ง Microsoft o365 เพิ่งจะทำการเปิดเป็นค่าพื้นฐานเมื่อมกราคม 2019 นี้เอง ดังนั้นถ้าใครทำการ Migrate ขึ้น o365  ก่อนหน้านี้ต้องไปเปิดเอง
• เปิด Sync Password กับ On-premise AD แน่นอนว่าการ Migrate มีการ Sync รหัสผ่านอยู่ซึ่งแม้ว่าการใช้งานจะย้ายไปคลาวด์แล้วแต่หาก On-premise ถูกเจาะได้บริการ o365 ที่ยัง Sync Password อยู่ก็เสี่ยงไปด้วย
• การพิสูจน์ตัวตนไม่รองรับโปรโตคอลเก่า เช่น o365 ใช้ AD เพื่อพิสูจน์ตัวตนให้ Exchange Online แต่มีโปรโตคอลที่เกี่ยวข้องกับการพิสูจน์ตัวตนกับ Exchange Online ที่ไม่รองรับกับวิธีการพิสูจน์ตัวตนสมัยใหม่อย่าง MFA

ด้วยเหตุนี้เองในรายงานจึงได้แนะนำแนวทางปฏิบัติไว้ดังนี้

• ใช้ MFA กับบัญชีต่างๆ เพื่อป้องกันการขโมย Credentials 
• เปิดการทำ Audit log ในส่วน Security และ Compliance Center
• ทำ Mailbox Auditing ให้ผู้ใช้แต่ละคน 
• ตรวจสอบให้แน่ใจว่าการ Sync AD Password ทำได้เหมาะสมในช่วงที่จำเป็นเท่านั้น
• ปิดการใช้โปรโตคอลเก่าๆ หากไม่จำเป็นหรือจำกัดกับแค่ผู้ใช้งานบางราย

นอกเหนือจาก CISA แล้ว Omri Segev Moyal ผู้เชี่ยวชาญจาก MinervaLabs ได้เอื้อเฟื้อวิธีการป้องกันการ Phishing ที่ระยะหลังได้ใช้วิธีการเอาเพจไปตั้งบน Azure Blob Storage เพื่อทำให้เนียนเหมือนว่ามา Microsoft โดย Admin สามารถเข้าไปตั้ง Office 365 rule ได้ตามขั้นตอนด้านล่างเพื่อบล็อกความความพยายามในการหลอกลวงดังกล่าว

1.เปิด Office 365 Exchange Admin Center

2.ไปที่ Mail Flow -> กดที่ ‘+’ เพื่อเพิ่ม Rule

3.เพิ่มข้อมูลตามรูปด้านล่างเพื่อบล็อกโดเมน windows.net ที่ส่วนมากมักเป็นการอีเมล Phishing 

ที่มา : https://www.bleepingcomputer.com/news/security/us-govt-issues-microsoft-office-365-security-best-practices/