Proteção contra Ransomware no Office 365

A maioria das organizações hoje depende do Entra ID (anteriormente Azure AD) e do Microsoft 365 (anteriormente Office 365) para operações essenciais de negócios. Mas quão seguras estão essas plataformas vitais contra ransomware?

Este artigo explora as principais preocupações em Entra ID e Microsoft 365 e detalha os principais controles de segurança que eles oferecem para bloquear, detectar e se recuperar de ransomware. Em seguida, oferece uma solução robusta que pode proteger ainda mais seus dados e sistemas de TI.

Preocupações de Segurança no Entra ID

O Active Directory local é um dos principais alvos de cibercriminosos porque continua sendo o principal serviço de Identity Management para a maioria das organizações. No entanto, o Entra ID também pode ser comprometido e está se tornando um alvo mais comum. Aqui estão os principais fatores que o tornam vulnerável a ataques de ransomware:

• Nenhuma unidade organizacional (OUs) — No AD local, os administradores costumam usar OUs para agrupar usuários e dispositivos para provisionamento e monitoramento mais precisos e eficientes. Por exemplo, colocar todas as contas com privilégios elevados em uma única OU facilita a aplicação de controles de segurança mais rigorosos a elas. No entanto, o Entra ID não suporta unidades organizacionais. O aumento resultante da carga administrativa sobre as equipes de TI pode levar a erros que permitem infecções por ransomware.
• Sem Política de Grupo — No AD local, os administradores também tendem a depender fortemente da Group Policy para impor segurança. A Group Policy não é suportada no Entra ID, o que torna muito mais difícil gerenciar as configurações dos dispositivos, o que pode permitir a instalação e execução de ransomware.
• Protocolo falho para single sign-on (SSO) — O SSO permite que os usuários façam login no Entra ID sem inserir sua senha. No entanto, o protocolo SAML utilizado para o SSO é falho, o que permite que hackers realizem ataques de força bruta para comprometer contas de usuários. Embora a autenticação multifator (MFA) possa bloquear esses ataques, exigir MFA para todas as contas não é prático, pois interfere em tarefas como fornecer suporte usando o Remote PowerShell. Hackers frequentemente buscam comprometer contas administrativas sem MFA ativado. Exemplos de alto perfil incluem o ataque à Deloitte, no qual hackers comprometeram o servidor de e-mail global da empresa, e o ataque à Optus, no qual a falta de autenticação para sua API de acesso público levou à exposição de cerca de 10 milhões de registros contendo informações pessoais sensíveis dos usuários.
• Pontos cegos em ambientes híbridos — A maioria das organizações possui um ambiente híbrido que combina AD local e Entra ID. A complexidade resultante na gestão de identidade e acesso e Endpoint Management pode levar a pontos cegos que oferecem oportunidades para hackers implantarem ransomware.

Como se comportam as contas comprometidas do Azure AD

Entra ID oferece controle de acesso baseado em função (RBAC), então o papel ou papéis atribuídos a um usuário impactam o que um hacker pode fazer se eles comprometerem a conta. Aqui estão os principais papéis integrados que você deve conhecer:

• Leitor — Um hacker que comprometa uma conta com essa função pode acessar informações sensíveis. Eles podem ler Runbooks e outros recursos que podem ter credenciais codificadas ou informações adicionais úteis. Atores de ameaças também rastreiam novos alvos e espaços de endereçamento através de redes virtuais.
• Proprietário— O papel de Proprietário pode editar recursos e conceder permissões para qualquer recurso. Portanto, esse papel é de grande interesse para os atores de ameaças.
• Colaborador— Usuários com essa função podem fazer upload de novas pastas e arquivos, mas não podem remover, mover ou copiar arquivos. Como resultado, essa função é menos útil para hackers.
• Administrador de acesso do usuário — Por meio deste papel, atores de ameaças podem conceder direitos de acesso a outros recursos. Portanto, este também é um papel poderoso que você deve conceder com cuidado.

Preocupações com a segurança no Microsoft 365

Adversários podem explorar o Microsoft 365 como um ponto de entrada para ransomware. As principais preocupações para se defender incluem:

• Phishing — Adversários enviam e-mails através do Exchange Online com o objetivo de enganar usuários para que abram anexos maliciosos ou visitem sites mal-intencionados a fim de lançar ransomware.
• Compartilhamento de arquivos— SharePoint e Teams são ferramentas poderosas de colaboração que facilitam muito para os usuários compartilharem informações com colegas internos e partes externas. Sem controles adequados e supervisão, isso pode permitir que atacantes façam upload de arquivos maliciosos ou obtenham informações úteis para ataques de ransomware.
• Permissões mal geridas — Microsoft 365 é uma plataforma altamente complexa para gerir, por isso os usuários podem acabar com muito mais direitos de acesso do que precisam. Qualquer ransomware que execute sob suas credenciais herda esses direitos, o que permite que ele cause mais danos do que poderia se o princípio do menor privilégio fosse estritamente aplicado.

Ferramentas da Microsoft para Defesa Contra Ransomware

Para reduzir o risco de ransomware, o Office 365 e o Entra ID oferecem uma variedade de ferramentas de segurança, incluindo as seguintes:

• Microsoft Defender oferece capacidades avançadas de detecção e proteção contra ameaças. Ajuda a descobrir e mitigar vulnerabilidades para reduzir sua superfície de ataque, bem como identificar e interromper ameaças de ransomware em andamento.
• Microsoft Secure Score analisa sua segurança e a compara com a linha de base da Microsoft, gerando uma pontuação numérica que você pode usar para avaliar a eficácia da sua estratégia de melhoria de segurança.
• Microsoft Purview Compliance Managerajuda você a avaliar sua conformidade com os requisitos regulatórios e entender quais ações tomar para melhorar, o que pode ajudá-lo a acompanhar tanto novas regulamentações quanto novas versões de mandatos existentes.
• Microsoft Purview Data Loss Prevention ajuda você a controlar e monitorar o acesso aos dados para prevenir o compartilhamento, uso ou transferência não autorizados de informações sensíveis. Por exemplo, você pode definir níveis de confidencialidade e determinar quais ações são permitidas para informações sensíveis.
• Microsoft Conditional Access enables you to define policies that dynamically determine whether to allow, block or limit access or require an additional verification step, based on factors such as device, location or session risk. For example, Conditional Access could block an adversary attempting to log on using stolen credentials from an unusual location by adding an MFA step, thereby preventing them from planting ransomware.
• Microsoft Purview Information Protection ajuda você a descobrir, classificar e proteger informações sensíveis onde quer que elas estejam ou se movam. Por exemplo, você pode garantir que e-mails enviados a qualquer usuário sejam criptografados para que apenas destinatários autorizados possam lê-los.
• Microsoft Entra Identity Protection ajuda organizações a detectar, investigar e remediar riscos baseados em identidade. Em particular, pode ajudar a identificar comportamentos de usuários incomuns que podem indicar um ator de ransomware tentando usar credenciais roubadas ou uma ameaça de ransomware em andamento.
• Recuperação de dados — Se um ataque de ransomware for bem-sucedido, a Microsoft oferece algumas opções de recuperação de ransomware do Entra ID e Office 365. Estas incluem o recurso “Restaurar o seu OneDrive”, a Lixeira do OneDrive e a Lixeira de coleção de sites do SharePoint. No entanto, as organizações também precisam implementar uma estratégia de backup e recuperação de qualidade empresarial.

Como o Netwrix Directory Manager pode ajudar

Embora essas soluções da Microsoft sejam valiosas, gerenciar adequadamente seu ambiente híbrido ou em nuvem é uma tarefa complexa, e quaisquer erros ou má configurações podem abrir a porta para infecções por ransomware dispendiosas. Uma solução de terceiros pode ajudar.

Netwrix Directory Manager é uma poderosa solução de identity and access management (IAM) que reduz o peso sobre suas equipes de TI enquanto melhora a segurança e a conformidade. Ele permite que você:

• Otimize a gestão de grupos de segurança e distribuição
• Identificar os proprietários de grupos
• Delegar tarefas de gestão de grupos
• Gere relatórios de fácil utilização para insights aprimorados e controle

FAQ

O Microsoft Office 365 possui proteção contra vírus?

Sim, o Office 365 possui robustas capacidades de antivírus e antimalware. Ele utiliza inteligência avançada de ameaças e tecnologias de varredura para detectar e interromper ataques de vírus.

O Office 365 possui proteção contra ransomware integrada?

Sim, o Microsoft 365 inclui recursos integrados de proteção contra ransomware. Ele utiliza medidas avançadas de proteção contra ameaças para detectar e mitigar ameaças de ransomware em seu conjunto de aplicativos.

O OneDrive possui proteção contra ransomware?

Sim. O OneDrive faz parte do pacote Microsoft 365. Ele utiliza versionamento de arquivos e detecção inteligente de ameaças para ajudar a proteger seus arquivos contra ataques de ransomware, além de oferecer algumas capacidades de backup e recuperação.

O Microsoft Defender protege contra ransomware?

Sim, o Microsoft Defender oferece proteção contra ransomware. Ele utiliza mecanismos avançados de proteção contra ameaças para detectar, bloquear e responder a ameaças de ransomware.