08/2021 – Fachartikel Swiss Infosec AG
Die Verwendung von Microsoft 365 Services ist ein Thema, welches derzeit viele Organisationen beschäftigt. Der Umzug in die Cloud führt unweigerlich zur Konfrontation von IT- und Prozessverantwortlichen mit neuartigen Herausforderungen. Compliance-Themen wie etwa Datenschutzkonformität oder die Vertragsgestaltung mit dem Cloud Service Provider, aber auch organisatorische Brennpunkte wie etwa die Strukturierung der neuen Fileablage mit Microsoft Teams werden breit diskutiert. Auch Sicherheitsthemen dürfen in diesem Diskurs nicht vergessen werden: Microsoft 365 bringt von Haus aus einige Sicherheitsfunktionen mit, welche bei der Verwendung unbedingt zu berücksichtigen sind.
Eindrücklich zeigt auch der Angriff auf SolarWinds von Ende 2020, welchen Stellenwert angemessene Sicherheitsmassnahmen in der Microsoft 365-Umgebung einnehmen[1]. Bei SolarWinds war der Befall der Microsoft 365-Umgebung ein wichtiger Schritt, welcher von den Angreifern innerhalb der Kill Chain[2] zur Kompromittierung eines Grossteils der Kunden von SolarWinds genommen wurde. Spannende neue Angriffsvektoren sind zudem dem Spotlight Report von Vectra zu Microsoft 365[3] zu entnehmen. Hauseigene Produkte wie Power Automate und eDiscovery wirken als Brandbeschleuniger im Fall der Kompromittierung eines unzureichend sicher konfigurierten Microsoft 365 Tenants. Power Automate wird etwa als «das neue PowerShell» bezeichnet, welches sich bei Angreifern grosser Beliebtheit erfreut, wenn es darum geht, Daten effizient und automatisiert an Command & Control Server zu exfiltrieren.
Mit einigen elementaren Vorkehrungen lassen sich Angriffe wie derjenige auf SolarWinds Ende 2020 proaktiv unterbinden oder erkennen. Unter Berücksichtigung der nachfolgenden Punkte setzen Sie etwaigen Angreifern in Ihrer Unternehmung einen Schuss vor den Bug.
10-Punkte-Check zur Realisierung einer Security Baseline für Microsoft 365
1. Mehrfaktorauthentifizierung (MFA)
Der Einsatz von Mehrfaktorauthentifizierung sollte für Administratoren als verpflichtende Vorgabe gelten. Für Standardbenutzer ist der Einsatz ebenfalls empfohlen. Die alleinige Verwendung von Benutzername & Passwort zur Authentifizierung ist heutzutage als unzureichend zu betrachten. Prüfen Sie bspw. via einem Webtool wie «Have I Been Pwned»[4], ob Ihr Passwort schon einmal kompromittiert wurde.
2. Granulare Zugriffsberechtigungen
Vergeben Sie Zugriffsberechtigungen in Rollen und finden Sie bei der Definition der Rollen das bestmögliche Verhältnis zwischen operativer Anwendbarkeit und Granularität der Berechtigungen. Schränken Sie den Zugriff auf Informationen in SharePoint und Teams soweit wie möglich ein, sodass im Fall der Kompromittierung eines Accounts Ihrer Mitarbeitenden kein Kollateralschaden entsteht. Setzen Sie sich zudem auch damit auseinander, ob und inwiefern Sie Gästen Zugriff zu Ihrer Umgebung gewähren[5] möchten.
3. Regelmässige Prüfung der Administratoren-Gruppe
Prüfen[6] Sie die verwendeten Administratoren-Gruppen, insbesondere diejenige mit globalen Administratoren, regelmässig. Hinterfragen Sie kritisch, ob die Administratoren-Berechtigungen gemäss «Need-to-know» realisiert sind und gehen Sie keine Kompromisse ein.
4. Nutzung der verfügbaren Reports zur Erkennung von Angriffen
Microsoft stellt von Haus aus diverse Reports zur Verfügung, aus denen wichtige Sicherheitsinformationen über Ihren Microsoft 365 Tenant gewonnen werden können. Nutzen Sie diese Reports. Besonders wichtig ist bspw. nebst anderen der Report zu Riskanten Anmeldungen[7].
5. Modern Authentication vs. Basic Authentication
Forcieren Sie die Verwendung von Modern Authentication[8] für SharePoint, OneDrive und Exchange, um Downgrading-Attacken und dem Missbrauch veralteter kryptographischer Technologien keine Chance zu geben.
6. Verwendung von E-Mail Security Headers
Konfigurieren Sie für Ihre E-Mail-Adressen den SPF-Record, die DKIM-Signatur und den DMARC-Check[9], um Ihre Kollegen bestmöglich vor schadhaften E-Mails zu bewahren.
7. Conditional Access
Verwenden Sie Conditional Access Policies[10] zur Einschränkung möglicher Logins zu Ihrer Microsoft 365-Umgebung. Schränken Sie die Möglichkeit zum Login möglichst weit ein (bspw. auf die IP-Range Ihrer Unternehmung oder auf Schweizer IP-Adressen).
8. Automatismen in Power Automate und Suchabfragen in eDiscovery
Prüfen Sie regelmässig, ob die eingerichteten Flows innerhalb von Power Automate sinngemäss sind und ob innerhalb eDiscovery irgendwelche unvorhergesehenen Abfragen gestartet wurden. Limitieren Sie den Zugriff zu Konnektoren in Power Automate und den Zugriff auf eDiscovery-Funktionen auf ein erforderliches Minimum.
9. Konfiguration der Audit Logs
Setzen Sie sich damit auseinander, welche Logs[11] für Sie innerhalb der MS365-Umgebung relevant sind. Legen Sie zudem die Aufbewahrungsfrist[12] entsprechend Ihren eigenen Anforderungen fest. Nur so können Sie gewährleisten, dass im Fall einer Kompromittierung Ihres Tenants ein angemessenes Mass an Nachvollziehbarkeit gewährleistet ist. Stellen Sie das Logging ebenfalls für die Vorgänge innerhalb Ihrer E-Mail-Postfächer[13] sicher.
10. Realisierung von Data Loss Prevention (DLP) Policies
Prüfen Sie den Einsatz von einfachen, schnell realisierbaren DLP-Policies[14] in Ihrer Organisation. Bspw. ist es sinnvoll, das Teilen von IP-Adressen mit externen Parteien zu unterbinden. Dasselbe gilt für die Namen von Hosts bei bestehender interner Namenskonvention. Nachdem passende DLP-Policies eingerichtet wurden, kann auch hierzu ein Report regelmässig geprüft werden, vgl. Punkt (2).
Der 10-Punkte-Check ist nicht abschliessend, da es neben den technischen Aspekten auch diverse Herausforderungen auf organisatorischer Ebene oder Einhaltung von Compliance-Anforderungen und Vertragsgestaltung zu berücksichtigen gilt. Wenn die 10 Punkte bearbeitet und implementiert sind, verfügen Sie jedoch über einen akkuraten Grundschutz.
[1] https://www.crn.com/news/security/solarwinds-ceo-confirms-office-365-email-compromise-played-role-in-broad-based-attack, Zugriff am 20.07.2021
[2] Abfolge von Schritten innerhalb eines Angriffs, welche zur Kompromittierung der Zielsysteme durch den Angreifer führt.
[3] https://www.vectra.ai/download/spotlight-report-office365, Zugriff am 20.07.2021
[4] https://haveibeenpwned.com/
[5] https://docs.microsoft.com/de-de/microsoft-365/admin/create-groups/manage-guest-access-in-groups?view=o365-worldwide, Zugriff am 20.07.2021
[6] https://docs.microsoft.com/de-de/microsoft-365/admin/add-users/about-admin-roles?view=o365-worldwide, Zugriff am 20.07.2021
[7] https://docs.microsoft.com/de-de/azure/active-directory/identity-protection/howto-identity-protection-investigate-risk, Zugriff am 20.07.2021
[8] https://docs.microsoft.com/de-de/microsoft-365/enterprise/hybrid-modern-auth-overview?view=o365-worldwide, Zugriff am 20.07.2021
[9] https://docs.microsoft.com/de-de/microsoft-365/security/office-365-security/use-dmarc-to-validate-email?view=o365-worldwide, Zugriff am 20.07.2021
[10] https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/overview, Zugriff am 20.07.2021
[11] https://support.microsoft.com/de-de/topic/auditing-in-office-365-for-admins-9f6484d2-0fd2-17de-165f-c41346023906, Zugriff am 20.07.2021
[12] https://docs.microsoft.com/de-de/microsoft-365/compliance/audit-log-retention-policies?view=o365-worldwide, Zugriff am 20.07.2021
[13] https://docs.microsoft.com/de-de/microsoft-365/compliance/enable-mailbox-auditing?view=o365-worldwide, Zugriff am 20.07.2021
[14] https://docs.microsoft.com/de-de/microsoft-365/compliance/dlp-conditions-and-exceptions?view=o365-worldwide, Zugriff am 20.07.2021
Gerne können Sie sich an uns wenden für weiterführende Best Practice-Empfehlungen, Unterstützung oder Sicherheitschecks zur Verwendung von Microsoft 365, Microsoft Azure und anderen Cloud-Plattformen in Ihrer Organisation, wie etwa von Google oder AWS.
Fachteam IT-Sicherheit; 27.05.2021