Microsoft 365 biztonsági kihívások: így védjük ki a támadásokat
Krékity Gusztáv
2020.07.10
Lássuk be, a levelezés on-prem menedzselése sokszor igencsak fájdalmas és elavult, így aki teheti, ignorálja az útválasztási problémákat, a lemezkvóták számolgatását, a visszapattanásokat vagy a felhasználói problémákat. Ezek után nem csoda, hogy a Microsoft 365 (lánykori nevén Office 365) oly népszerűvé vált az utóbbi időben, s egyre több cég voksol rá, hiszen a felhő alapú e-mail kezelés üzemeltetése sokkal egyszerűbb és költséghatékonyabb. Ráadásul olyan alapvető biztonsági funkciókat is tartalmaz, amelyek célja a felhasználók védelme a legújabb fenyegetésekkel szemben, ezen felül pedig lehetőséget kínál a felhasználói élmény fokozására, az egyszerűbb használatra, a hatékonyabb munkára.
A felhasználók közvetlenül eljutnak az Microsoft 365 weboldalra, ott beírhatják a vállalati hitelesítő adataikat, így bárhol, bármikor beléphetnek e-mail fiókjukba. Már-már a tökéletes megoldásnak tűnik, de sajnos ez csak a látszat!
A népszerűség átka
Természetesen a trendekre igen fogékony kiberbűnözőknek is feltűnt a Microsoft 365 egyre növekvő népszerűsége, s mi sem természetesebb, hogy ezt igyekeznek minden eszközzel kihasználni: a Microsoft 365 felhasználóit célzó adathalász kampányokba kezdenek, hogy azok segítségével ellopják a felhasználók bejelentkezési adatait. Céljuk, hogy átvegyék a fiókok feletti hatalmat, azaz a teljes hozzáférést.
Ha az online zsiványok sikerrel járnak, legtöbbször bejelentkeznek a kompromittálódott fiókokba, majd változatos módszerekkel kezdenek tombolásba:
- Megpróbálják az – akár kártékony kódokat is tartalmazó – adathalász leveleket a belső hálózaton keresztül terjeszteni.
- Célzott és személyre szabott támadásokat hajthatnak végre (Spear Phishing)
- Adott esetben megszerezhetik a globális vállalati címlistát
E tevékenységek azért is különösen veszélyesek, mivel észrevétlenek maradhatnak. Ennek oka, hogy a támadó valós, engedélyezett hitelesítő adatokkal álcázhatja magát: a rendszerbe valódi munkatársként bejelentkezve gyűjt információkat. Ráadásul ezzel a módszerrel nem csak egyszer élhet, hanem később is visszatérhet, hogy újabb támadásokat hajtson végre.
Hogyan épül fel egy ilyen támadási lánc?
A támadók által a Microsoft 365 fiókunkhoz való hozzáféréshez alkalmazott adathalász módszerek meglepően egyszerűek. Az adathalász kampányok általában a Microsoft által küldött e-maileket utánozzák. Az elektronikus levél egy bejelentkezési felszólítást tartalmaz, például arra kéri a felhasználót, hogy egy – tudtán kívül preparált – linkre kattintva állítsa vissza a jelszavát, mert valamilyen probléma lépett fel a fiókkal.
A leghatékonyabb átverés általában az, amikor – a felhasználó félelmére alapozva – úgy állítják be a helyzetet, mintha a fiókot ismeretlen támadók feltörték volna, és emiatt sürgősen jelszócserére lenne szükség az adatok védelmében. Ez a legtöbb esetben kellően erős motiváció ahhoz, hogy a felhasználó gondolkodás nélkül kattintson a levélben található “jelszó visszaállítási” linkre. A végeredmény pedig természetesen az, hogy a linkre kattintva megnyitott – értelemszerűen nem a Microsofthoz vagy a céghez tartozó, de hivatalosnak látszó – oldalon megadott régi jelszó és felhasználónév birtokában máris nyeregbe kerülhetnek a kiberbűnözők.
Miként védekezhetünk az ilyen jellegű támadások ellen?
Szerencsére számos IT biztonsági gyártó, köztük a Trend Micro is, kiemelt figyelmet szentel a levelezés védelmére. A Trend Micro Cloud App Security megoldása közel 13 millió, magas kockázati besorolású e-mail fenyegetést blokkolt az elmúlt év során azokon felül, amelyeket már a felhőalapú e-mail biztonsági és szűrési szolgáltatások is felismertek.
Nemrég – 2020 márciusában – az FBI (Federal Bureau of Investigation) kibervédelmi osztálya egy közleményt adott ki a BEC (Business Email Compromise) támadásokról. Ebből kiderül, hogy – az FBI panaszinformációi alapján – a Microsoft Microsoft 365 és a Google G Suite, tehát a jelenlegi két legnagyobb és legnépszerűbb felhőalapú e-mail szolgáltatást célozták leginkább a kiberbűnözők az elmúlt években. A 2014 és 2019 között az FBI Internetes Bűncselekmények Panaszközpontja (IC3) több mint 2,1 milliárd dollárnyi ténylegesen leigazolt veszteségről tudott a fenti két felhőszolgáltatást megcélzó BEC támadások alapján.
A Trend Micro Cloud App Security egy API alapú megoldás, amely hatékonyan megvédheti a Microsoft 365, a Google G Suite és a Dropbox felhő szolgáltatásokat egyaránt. Ehhez több fejlett fenyegetésvédelmi technológiát használ. Az eszköz a Microsoft 365 mellé települ, egyfajta második rétegként, amely a belső levelezési forgalmat is vizsgálja, szemben az e-mail biztonsági és Microsoft 365 ATP szolgáltatásokkal.
A Trend Micro 2019-ben 12,7 millió kritikus vagy magas kockázatot jelentő e-mail fenyegetést azonosított azokon felül, amelyeket az Microsoft 365 vagy Gmail biztonsági eszköztára már blokkolt. E fenyegetések közé tartozik:
- 1 Millió rosszindulatú program
- 11,3 Millió adathalászati kísérlet
- 386K BEC kísérlet
- 4,8 millió hitelesítő adathalászat
- 225K Ransomware kártékony kód
Ezen támadások mindegyike olyan potenciális veszélyforrás, amelynek végkimenetele a szervezet monetáris-, termelékenységi- vagy akár reputációs vesztesége is lehet.
A Trend Micro 2018 óta teszi közzé hivatalosan a Cloud App Security fenyegetés detektálási statisztikákat és jelentéseket. A következő statisztikák és példák különböző forgatókönyvekre vonatkozóan azt is jól ábrázolják, hogy a Cloud App miként képes megvédeni a szervezeteket az ilyen jellegű támadásokkal szemben.
A fenti, anonim adatokat tartalmazó táblázat öt Microsoft 365 felhasználó 1 éves (2019) adatait mutatja a Trend Micro Cloud App Security használata mellett. Ebbe a statisztikában már csak azok a támadások kerültek bele, amelyeket a Trend Micro blokkolt második rétegként. A fent említett öt cég különböző iparágakban működik és méretükből adódóan 550 és 80 ezer közötti számban vannak e-mail fiókjaik. Az ügyfelek kivétel nélkül Microsoft 365 E3 előfizetéssel rendelkeznek, amely magába foglalja az alapvető biztonságot jelentő Exchange Online Protection Service szolgáltatást.
Jól megfigyelhető, hogy az e-mail átjárók és felhő alapú e-mail szolgáltatások beépített biztonsága mára egyértelműen nem elegendő a szervezetek védelméhez az e-mail alapú, fejlett, ismeretlen vagy célzott fenyegetésekkel szemben. A vállalkozásokat – méretüktől függetlenül – számos ilyen jellegű veszély fenyegeti. Éppen ezért a cégeknek mérlegelniük kell egy átfogó, többrétegű biztonsági megoldás bevezetését, amely képes hatékonyan kiegészíteni az e-mail védelmi és az együttműködési platformok, például a Microsoft 365 és a G Suite biztonsági csomagjait.