Best Practice สำหรับ Office 365 โดยหน่วยงานรัฐบาลสหรัฐฯ

Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการออกรายงาน Best Practice เพื่อช่วยองค์กรลดความเสี่ยงจากการย้ายบริการของตนไปใช้ Office 365 ซึ่งได้แนะนำเรื่องของแนวทางปฏิบัติที่จำเป็นหลังพบว่าระยะหลังมีองค์กรจำนวนมากจ้าง Third-party เพื่อทำการ Migrate บริการสู่ Office 365 แต่ไม่ได้ใส่ใจด้านความมั่นคงปลอดภัยมากนัก

Credit: IAVM

รายงานที่ชื่อ AR19-133A ได้สรุปการวิเคราะห์และพบว่าองค์กรจำนวนมากมีการตั้งค่าความมั่นคงปลอดภัยกับบริการ Office 365 ไม่เหมาะสมซึ่งองค์กรหลายแห่งได้ว่าจ้างบริษัทอื่นเพื่อมาทำ Migration ให้และยังไม่ทีม IT Security มาดูแลเรื่องความมั่นคงปลอดภัยบน Cloud โดยเฉพาะด้วย อย่างไรก็ตามปัญหาที่ทาง CISA เผยในรายงานมีหลักๆ ดังนี้

  • ไม่เปิด Multi-factor Authentication(MFA) กับบัญชี Admin เป็นค่าพื้นฐานซึ่งเป็นบัญชีที่มีความสำคัญขั้นสุดแล้วใน o365
  • ปิด Mailbox Auditing ที่ทำการเก็บ Log กิจกรรมของผู้ใช้ต่างๆ เช่น เจ้าของกล่องข้อความ การให้สิทธิ์(delegate) และผู้ดูแล ซึ่ง Microsoft o365 เพิ่งจะทำการเปิดเป็นค่าพื้นฐานเมื่อมกราคม 2019 นี้เอง ดังนั้นถ้าใครทำการ Migrate ขึ้น o365  ก่อนหน้านี้ต้องไปเปิดเอง
  • เปิด Sync Password กับ On-premise AD แน่นอนว่าการ Migrate มีการ Sync รหัสผ่านอยู่ซึ่งแม้ว่าการใช้งานจะย้ายไปคลาวด์แล้วแต่หาก On-premise ถูกเจาะได้บริการ o365 ที่ยัง Sync Password อยู่ก็เสี่ยงไปด้วย
  • การพิสูจน์ตัวตนไม่รองรับโปรโตคอลเก่า เช่น o365 ใช้ AD เพื่อพิสูจน์ตัวตนให้ Exchange Online แต่มีโปรโตคอลที่เกี่ยวข้องกับการพิสูจน์ตัวตนกับ Exchange Online ที่ไม่รองรับกับวิธีการพิสูจน์ตัวตนสมัยใหม่อย่าง MFA

ด้วยเหตุนี้เองในรายงานจึงได้แนะนำแนวทางปฏิบัติไว้ดังนี้

  • ใช้ MFA กับบัญชีต่างๆ เพื่อป้องกันการขโมย Credentials 
  • เปิดการทำ Audit log ในส่วน Security และ Compliance Center
  • ทำ Mailbox Auditing ให้ผู้ใช้แต่ละคน 
  • ตรวจสอบให้แน่ใจว่าการ Sync AD Password ทำได้เหมาะสมในช่วงที่จำเป็นเท่านั้น
  • ปิดการใช้โปรโตคอลเก่าๆ หากไม่จำเป็นหรือจำกัดกับแค่ผู้ใช้งานบางราย

นอกเหนือจาก CISA แล้ว Omri Segev Moyal ผู้เชี่ยวชาญจาก MinervaLabs ได้เอื้อเฟื้อวิธีการป้องกันการ Phishing ที่ระยะหลังได้ใช้วิธีการเอาเพจไปตั้งบน Azure Blob Storage เพื่อทำให้เนียนเหมือนว่ามา Microsoft โดย Admin สามารถเข้าไปตั้ง Office 365 rule ได้ตามขั้นตอนด้านล่างเพื่อบล็อกความความพยายามในการหลอกลวงดังกล่าว

1.เปิด Office 365 Exchange Admin Center

2.ไปที่ Mail Flow -> กดที่ ‘+’ เพื่อเพิ่ม Rule

3.เพิ่มข้อมูลตามรูปด้านล่างเพื่อบล็อกโดเมน windows.net ที่ส่วนมากมักเป็นการอีเมล Phishing 

credit : Bleepingcomputer

ที่มา : https://www.bleepingcomputer.com/news/security/us-govt-issues-microsoft-office-365-security-best-practices/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ