Best Practice สำหรับ Office 365 โดยหน่วยงานรัฐบาลสหรัฐฯ

Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการออกรายงาน Best Practice เพื่อช่วยองค์กรลดความเสี่ยงจากการย้ายบริการของตนไปใช้ Office 365 ซึ่งได้แนะนำเรื่องของแนวทางปฏิบัติที่จำเป็นหลังพบว่าระยะหลังมีองค์กรจำนวนมากจ้าง Third-party เพื่อทำการ Migrate บริการสู่ Office 365 แต่ไม่ได้ใส่ใจด้านความมั่นคงปลอดภัยมากนัก

Credit: IAVM

รายงานที่ชื่อ AR19-133A ได้สรุปการวิเคราะห์และพบว่าองค์กรจำนวนมากมีการตั้งค่าความมั่นคงปลอดภัยกับบริการ Office 365 ไม่เหมาะสมซึ่งองค์กรหลายแห่งได้ว่าจ้างบริษัทอื่นเพื่อมาทำ Migration ให้และยังไม่ทีม IT Security มาดูแลเรื่องความมั่นคงปลอดภัยบน Cloud โดยเฉพาะด้วย อย่างไรก็ตามปัญหาที่ทาง CISA เผยในรายงานมีหลักๆ ดังนี้

  • ไม่เปิด Multi-factor Authentication(MFA) กับบัญชี Admin เป็นค่าพื้นฐานซึ่งเป็นบัญชีที่มีความสำคัญขั้นสุดแล้วใน o365
  • ปิด Mailbox Auditing ที่ทำการเก็บ Log กิจกรรมของผู้ใช้ต่างๆ เช่น เจ้าของกล่องข้อความ การให้สิทธิ์(delegate) และผู้ดูแล ซึ่ง Microsoft o365 เพิ่งจะทำการเปิดเป็นค่าพื้นฐานเมื่อมกราคม 2019 นี้เอง ดังนั้นถ้าใครทำการ Migrate ขึ้น o365  ก่อนหน้านี้ต้องไปเปิดเอง
  • เปิด Sync Password กับ On-premise AD แน่นอนว่าการ Migrate มีการ Sync รหัสผ่านอยู่ซึ่งแม้ว่าการใช้งานจะย้ายไปคลาวด์แล้วแต่หาก On-premise ถูกเจาะได้บริการ o365 ที่ยัง Sync Password อยู่ก็เสี่ยงไปด้วย
  • การพิสูจน์ตัวตนไม่รองรับโปรโตคอลเก่า เช่น o365 ใช้ AD เพื่อพิสูจน์ตัวตนให้ Exchange Online แต่มีโปรโตคอลที่เกี่ยวข้องกับการพิสูจน์ตัวตนกับ Exchange Online ที่ไม่รองรับกับวิธีการพิสูจน์ตัวตนสมัยใหม่อย่าง MFA

ด้วยเหตุนี้เองในรายงานจึงได้แนะนำแนวทางปฏิบัติไว้ดังนี้

  • ใช้ MFA กับบัญชีต่างๆ เพื่อป้องกันการขโมย Credentials 
  • เปิดการทำ Audit log ในส่วน Security และ Compliance Center
  • ทำ Mailbox Auditing ให้ผู้ใช้แต่ละคน 
  • ตรวจสอบให้แน่ใจว่าการ Sync AD Password ทำได้เหมาะสมในช่วงที่จำเป็นเท่านั้น
  • ปิดการใช้โปรโตคอลเก่าๆ หากไม่จำเป็นหรือจำกัดกับแค่ผู้ใช้งานบางราย

นอกเหนือจาก CISA แล้ว Omri Segev Moyal ผู้เชี่ยวชาญจาก MinervaLabs ได้เอื้อเฟื้อวิธีการป้องกันการ Phishing ที่ระยะหลังได้ใช้วิธีการเอาเพจไปตั้งบน Azure Blob Storage เพื่อทำให้เนียนเหมือนว่ามา Microsoft โดย Admin สามารถเข้าไปตั้ง Office 365 rule ได้ตามขั้นตอนด้านล่างเพื่อบล็อกความความพยายามในการหลอกลวงดังกล่าว

1.เปิด Office 365 Exchange Admin Center

2.ไปที่ Mail Flow -> กดที่ ‘+’ เพื่อเพิ่ม Rule

3.เพิ่มข้อมูลตามรูปด้านล่างเพื่อบล็อกโดเมน windows.net ที่ส่วนมากมักเป็นการอีเมล Phishing 

credit : Bleepingcomputer

ที่มา : https://www.bleepingcomputer.com/news/security/us-govt-issues-microsoft-office-365-security-best-practices/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

VMware แนะนำการเลือกใช้ vSphere CPU Scheduler ให้เหมาะกับระดับความปลอดภัยของ VM ที่ต้องการ

ในช่วงที่ผ่านมานี้เราได้เห็นช่องโหว่ในระดับ CPU ที่ทำให้เกิดปัญหาการเข้าถึงข้อมูลข้าม Process กันค่อนข้างมาก และกลายเป็นประเด็นใหญ่ในวงการ IT กันมาอย่างต่อเนื่อง ทาง VMware จึงได้ทำการออกแนวทางการเลือกใช้ vSphere CPU Scheduler สำหรับแต่ละ VM ซึ่งแต่ละวิธีการนั้นก็จะมีข้อดีข้อเสียและรูปแบบการใช้งานที่เหมาะสมกับระดับของความมั่นคงปลอดภัยที่แตกต่างกันออกไป ทาง TechTalkThai จึงขอนำมาสรุปเป็นภาษาไทยให้ผู้อ่านทุกท่านได้เลือกไปใช้เป็นแนวทางกันดังนี้ครับ

ผู้ใช้งานพบ Google ติดตามการซื้อสินค้าผ่าน Gmail ทาง Google ระบุทำไปเพื่อให้ผู้ใช้งานติดตามการซื้อขายของตนเองได้ง่ายๆ เท่านั้น

เมื่อสัปดาห์ที่ผ่านมา มีผู้ใช้งานบน Reddit ได้ออกมาเผยถึงการค้นพบว่า Google นั้นมีการตรวจสอบเนื้อหาภายใน Gmail ว่าผู้ใช้งานแต่ละคนมีการซื้อสินค้าใดเกิดขึ้นบ้าง และทำเป็นหน้าสรุปการซื้อขายทั้งหมดที่เกิดขึ้นและมีการยืนยันผ่าน Gmail ในบัญชีนั้นๆ