Cómo proteger Microsoft 365 con el gobierno de la aplicación


¿Cómo puede proteger su purple y sus datos de los ataques de suplantación de identidad por consentimiento? El nuevo programa de cumplimiento de aplicaciones de Microsoft puede ayudar.

shutterstock-1506912620.jpg

Imagen: Shutterstock / AVC Picture Studio

A pesar de su importancia para los negocios modernos, Internet sigue siendo en gran medida el Salvaje Oeste que siempre ha sido. Ahora, una nueva generación de ataques cibernéticos va más allá de la entrega tradicional de phishing o malware, con el objetivo de conectar aplicaciones maliciosas a sus servicios en la nube. Una vez conectados con credenciales legítimas, extraen datos valiosos o acceden a sus sistemas financieros. Y debido a que los usuarios les han otorgado acceso, es muy difícil detenerlos una vez que están dentro de su red.

Cuidado con el phishing de consentimiento

Parte del éxito del ataque se debe al hecho de que hemos capacitado a nuestros usuarios para que hagan clic en «sí» en las pantallas de consentimiento de permisos de aplicaciones. Inicialmente, una forma valiosa de proteger los sistemas, las pantallas de consentimiento se han convertido en un ruido de fondo y hacemos clic para continuar con nuestro trabajo. Estos nuevos ataques de phishing de consentimiento Confíe en la arquitectura del well-known protocolo de autorización OAuth 2. para delegar permisos de la cuenta de un usuario, usándolos en su nombre.

De esta manera, el atacante está utilizando el servicio de autenticación de Microsoft, no uno falso, para obtener tokens de autorización que luego se pueden usar en cualquier momento para acceder a los datos. Cuanto más privilegios tenga un usuario, mejor será el acceso a sus datos y API. Ha habido un crecimiento significativo en este vector de ataque en el último año, con datos robados sin que el atacante necesite saber ninguna contraseña. Una vez en su pink, la aplicación atacante puede permanecer inactiva durante meses, actuando como una amenaza persistente que detecta los objetivos de la próxima generación de phishing.

El software de ataque está diseñado para parecer inofensivo e inocente, imitando las actualizaciones de aplicaciones o configuraciones comunes. Una vez lanzados, brindan a los usuarios un cuadro de diálogo de consentimiento acquainted, en el que se puede hacer clic rápidamente. La aplicación a menudo toma permisos más amplios de lo que cabría esperar, esperando que nadie realmente lea la ventana emergente.

Entonces, ¿cómo puede evitar que las aplicaciones malintencionadas utilicen la suplantación de identidad por consentimiento? Puede evitar que los usuarios descarguen todas y cada una de las aplicaciones, o puede implementar un conjunto de herramientas de cumplimiento para buscar y administrar aplicaciones sospechosas.

VER:
Cómo ver quién está tratando de ingresar a su Business office 365 y qué están tratando de piratear

(TechRepublic)

Código de certificación con cumplimiento de la aplicación

Una opcion es Nuevo programa de cumplimiento de aplicaciones de Microsoft 365. Es una forma de identificar a los editores de aplicaciones de confianza, con tres niveles de verificación: verificación del editor, atestación del editor y certificación de Microsoft 365.

La verificación del editor es el nivel más bajo, diseñado para demostrar que el editor de la aplicación es un Microsoft Husband or wife verificado y que su cuenta está asociada con su aplicación. Las aplicaciones que obtienen este nivel de verificación utilizan OAuth 2. y OpenID Join para trabajar con Microsoft Graph. También deben estar registrados en Azure Ad como multiinquilino.

Esto es lo primero que debe verificar antes de permitir que se ejecuten aplicaciones externas en su red. Es un nivel básico de confianza que las aplicaciones deben pasar, si quieren tener acceso a su entorno de Microsoft 365. Sin embargo, no debe permitir que impida que los usuarios descarguen otras aplicaciones es más una forma de proporcionar un bloqueo adicional a la puerta de sus datos. Los usuarios aún podrán usar aplicaciones que pueden acceder a los datos en sus Computer, por lo que no debe tratarlo como una forma de evitar mantener la seguridad de los endpoints que esté usando.

La atestación del editor es el siguiente nivel. Aquí, los editores proporcionan una lista de formato coherente de la información de seguridad y cumplimiento de sus aplicaciones. Deben proporcionar estos datos para cualquier aplicación world-wide-web integrada de Microsoft 365, junto con las aplicaciones que se integran con el paquete de aplicaciones principal de Office 365. Es importante tener en cuenta que no hay verificación de estos datos, por lo que deberá averiguar por sí mismo si confía en un editor y desea dar acceso a sus aplicaciones a su entorno de Microsoft 365.

Si desea mayor seguridad, puede buscar aplicaciones que estén certificadas por Microsoft, utilizando su servicio de certificación Microsoft 365. Esto amplía la certificación y agrega una revisión por parte de un evaluador externo.

VER: Home windows 10: listas de comandos vocales para reconocimiento de voz y dictado (PDF gratuito) (TechRepublic)

Agregar gobernanza con Microsoft Cloud Application Security

Buscar aplicaciones verificadas es solo una parte de la solución. El otro es el recientemente lanzado por Microsoft. extensiones de gobernanza de aplicaciones para su servicio Microsoft Cloud Application Safety. Esto se integra con sus herramientas de Azure Active Directory y Microsoft 365, aplicando nuevas políticas a su inquilino. Estos incluyen la reputación de la aplicación OAuth, la detección de phishing OAuth y el gobierno de la aplicación OAuth. MCAS es un complemento para la mayoría de las suscripciones de Place of work 365 y Microsoft 365, que requiere una licencia adicional a menos que esté utilizando un inquilino de Microsoft 365 E5.

Deberá configurar los roles de gobierno de la aplicación adecuados y asignarlos a las cuentas antes de habilitar el servicio. Una vez que se ejecuta, proporciona una auditoría de todas las aplicaciones OAuth que utilizan las API de Microsoft Graph. Como estas son las aplicaciones maliciosas que probablemente usen, puede brindarle una visión rápida de las aplicaciones no deseadas, así como herramientas útiles que solicitan demasiados permisos. Algunas funciones se basan en el aprendizaje automático y requieren hasta 90 días de telemetría, por lo que es posible que no obtenga todos los datos que necesita en la primera ejecución.

Las alertas ayudan a identificar problemas urgentes y puede profundizar en las aplicaciones para obtener información sobre ellas y lo que están usando. Los filtros pueden reducir las consultas y puede guardar esas consultas para usarlas en el futuro. Luego, puede deshabilitar rápidamente las aplicaciones no deseadas desde el panel, eliminando permisos y bloqueando el acceso a las API de Microsoft Graph. Los detalles de una aplicación le permiten ver si está certificada y ver información del editor, junto con los datos (y a cuántos) a los que ha accedido, y qué está cargando y descargando.

VER:

Por qué la seguridad de Windows 11 es tan importante

(TechRepublic)

Los datos en el portal de gobierno de la aplicación MCAS son suficientes para ayudarlo a ver su nivel de riesgo, enfocándose en aplicaciones con privilegios altos y sobre privilegios, así como cualquier alerta que se haya generado en función de las políticas que ya está utilizando. Luego, puede buscar picos en el acceso a los datos, lo que podría indicar una aplicación maliciosa en acción.

Usar políticas de gobernanza de aplicaciones en MCAS

El gobierno de la aplicación MCAS le permite crear y aplicar políticas que pueden ayudar a administrar las aplicaciones y reducir el riesgo. Las plantillas lo ayudan a comenzar, con políticas que generan alertas para aplicaciones que usan una gran cantidad de datos, que tienen demasiado privilegio o que no están certificadas. Puede modificarlos, cambiar los límites o crear una nueva política personalizada. Las reglas incluyen la supervisión del acceso a la API, el usuario que dio su consentimiento para usar la aplicación y su función en la organización.

Una plantilla puede actuar en una aplicación o solo enviar una alerta. Las acciones pueden incluir la desactivación de aplicaciones, una forma rápida de detener la ejecución de códigos maliciosos sospechosos. Esto puede ser excesivo, pero vale la pena considerarlo si está ejecutando TI para una empresa que podría ser objeto de código malicioso. Solo recuerde que puede tomar hasta 90 días obtener todos los datos que necesita, así que no confíe en ellos como una herramienta de cumplimiento desde el primer día.

Agregar políticas de aplicaciones a MCAS es un comienzo, pero no puede ser su única solución para los ataques de phishing basados ​​en el consentimiento. Deberá implementarlo en paralelo con la educación del usuario, lo que dificultará que los malos actores superen a sus usuarios y reduzca el riesgo de que se instale malware no confiable en su red. Las mejores defensas son de varias capas, y el uso de MCAS para el cumplimiento de las aplicaciones, así como la búsqueda de un código certificado, contribuirá en gran medida a mantener sus datos seguros.

Ver también



Enlace a la noticia original