Cyber-Security-Trends und To-dos in der Microsoft Cloud

Cyber-Security-Trends und To-dos in der Microsoft Cloud

Artikel erschienen in IT Magazine 2022/03

11-Punkte-Check für ein angemessenes Sicher­heitsniveau einer Microsoft-365-Umgebung

1. Conditional Access und Mehrfaktor-Authentifizierung
Der Einsatz von Mehrfaktor-Authentifizierung (MFA) gilt heute als die empfohlene Praxis für alle über das Internet erreichbaren Systeme, auch für Microsoft 365. MFA gilt für Administratoren als MUSS-Anforderung und als SOLL-Anforderung für andere Benutzer. Die Einrichtung von MFA erfolgt am besten über eine Conditional Access Policy. Als mögliche Faktoren können nebst den Klassikern wie SMS-Code, Authenticator Apps und FIDO-2 Sticks auch andere eingerichtet werden. Der Zugriff kann von einem Gerät erfolgen, das mit beziehungsweise im Azure Active Directory (AD) registriert/joined/compliant ist, oder er erfolgt aus einem vertrauenswürdigen Netzwerk heraus. Mit Conditional Access lässt sich zudem der Zugriff auf IP-Adressen aus der Schweiz einschränken, was für lokal verankerte Organisationen klar empfohlen ist.

2. Regulierung und Prüfung der Administratoren-­Gruppen
Die bestehenden Administratoren-Gruppen sollten regelmässig geprüft werden, insbesondere diejenigen mit globalen Administratoren. Die Anzahl der Global Admins ist auf das erforderliche Minimum zu reduzieren. Es sollte kritisch hinterfragt werden, ob die Administratoren-Berechtigungen gemäss «Need to know» realisiert sind, und es sollten keine Kompromisse eingegangen werden. Auch sollte dafür gesorgt sein, dass dedizierte Admin-Accounts nur für die Systemadministration und nicht für Alltagsarbeiten eingesetzt werden.

3. Schutz der Mitarbeitenden beim Bearbeiten von E-Mails
Mit einer Nachrichtenflussregel sollte sichergestellt werden, dass unsichere Dateiendungen, beispielsweise Word-Dokumente mit Makros, .docm, nicht als E-Mail-Attachments versendet oder erhalten werden dürfen. Ausserdem sollte für alle E-Mail-Adressen der SPF-Record, die DKIM-Signatur und der DMARC-Check konfiguriert werden, um die Mitarbeitenden bestmöglich vor schadhaften E-Mails zu bewahren.

4. Unterbinden der Weiterleitung von E-Mails
Es sollte eine Nachrichtenflussregel konfiguriert werden zur Unterbindung von automatischen Weiterleitungsregeln nach extern.

5. Nutzung der verfügbaren Reports zur Erkennung von Angriffen
Microsoft stellt diverse Reports zur Verfügung, die wichtige Sicherheitsinformationen über die Microsoft-365-Umgebung geben. Besonders wichtig sind beispielsweise
- Reports zu riskanten Anmeldungen im Azure AD («Risky Sign-ins Report»)
- Änderungen der Berechtigungen der Benutzer (via Audit Log Search)
- bestehende Regeln zur Mail-Weiterleitung (via Mail Flow Dashboard)
- auf den Geräten erkannte Malware (via Security und Compliance Center)
6. Automatismen in Power Automate und Suchabfragen in Ediscovery
Der Zugriff zu Konnektoren in Power Automate und auf Ediscovery-Funktionen sollte auf ein erforderliches Minimum reduziert werden.

7. Granulare Zugriffsberechtigungen
Berechtigungsgruppen sollten mit einem sinnvollen Verhältnis zwischen operativer Anwendbarkeit und Granularität der Berechtigungen definiert werden. Der Zugriff auf Informationen in Sharepoint und Microsoft Teams sollte soweit wie möglich eingeschränkt werden, sodass im Fall der Kompromittierung eines Accounts eines Mitarbeitenden kein Kollateralschaden für das Unternehmen entsteht. Es sollte auch darüber nachgedacht werden, ob und inwiefern man Gästen Zugriff auf die Umgebung des Unternehmens gewähren möchte.

8. Data Loss Prevention (DLP) und Microsoft Defender for Cloud Apps
Es sollte der Einsatz von einfachen, schnell realisierbaren DLP Policies geprüft werden. Beispielsweise ist es sinnvoll, das Teilen von IP-Adressen mit externen Parteien zu unterbinden. Dasselbe gilt für die Namen von Hosts bei bestehender interner Namenskonvention. Nachdem passende DLP Policies eingerichtet wurden, kann auch hierzu ein Report regelmässig geprüft werden (siehe Punkt 5). Mit Microsoft Defender for Cloud Apps lässt sich zudem der Abfluss von Daten aus der Microsoft-365-Cloud (wie etwa in eine andere Cloud) erkennen und/oder verhindern.

9. Konfiguration und Auswertung der Audit Logs
Es sollte abgeklärt werden, welche Logs innerhalb der Microsoft-365-Umgebung für das Unternehmen relevant sind und die Aufbewahrungsfrist für die Logs sollte entsprechend den Anforderungen festgelegt werden. Nur so lässt sich gewährleisten, dass im Fall einer Kompromittierung der Umgebung des Unternehmens ein angemessenes Mass an Nachvollziehbarkeit gewährleistet ist.

10. Modern Authentication vs. Basic Authentication
Die Verwendung von Modern Authentication für Sharepoint, Onedrive und Exchange sollte forciert werden, um den Missbrauch veralteter kryptographischer Technologien zu verhindern.

11. Lizenzierungsmöglichkeiten
Schliesslich sollte auch eine Lizenzierung von Microsoft Defender for Endpoints, -O365, -Cloud Apps, der Azure-AD-Pläne oder auch Microsoft Intune geprüft werden. Der Zugriff auf das gesamte Security-Sortiment von Microsoft kann durchaus einen technisch wirksamen Schutz vor Cyber­angriffen bieten.

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER