Productos y Servicios PRODUCTOS Y SERVICIOS

El DHS recomienda revisar la seguridad de Office 365 por el COVID-19

Atención, usuarios de Microsoft Office 365: es hora de dar algunos pasos importantes para proteger vuestras cuentas. La Agencia de Seguridad de la Ciberseguridad e Infraestructuras del Departamento de Seguridad Nacional de los Estados Unidos (CISA) ha publicado algunas recomendaciones para ayudar a asegurar O365.

En mayo de 2019, CISA divulgó un informe que detalla algunas deficiencias de seguridad en el sistema de productividad basado en la nube de Microsoft. CISA publicó su último aviso para presionar sobre recomendaciones hechas en ese informe, en parte debido a la transición al trabajo remoto durante la actual crisis de salud:

Si bien el brusco cambio al teletrabajo puede requerir la implementación rápida de servicios de colaboración en la nube, como O365, la implementación apresurada puede conducir a descuidos en las configuraciones de seguridad y socavar una sólida estrategia de seguridad específica de O365.

CISA continúa viendo casos en los que las entidades no están implementando las mejores prácticas de seguridad con respecto a su implementación de O365, lo que resulta en una mayor vulnerabilidad a ataques.

La Agencia tiene varias recomendaciones para los usuarios de Office 365, que cubren principalmente los controles de acceso.

Una de esas recomendaciones se refiere al acceso del administrador a Azure Active Directory (Azure AD). Este es un equivalente basado en la nube del sistema Active Directory que se ha incluido durante mucho tiempo en Windows Server, y contiene información del usuario para los usuarios de los servicios en la nube de Microsoft junto con sus privilegios.

Sugirió que las empresas deben usar las cuentas de administrador global (GA) con moderación debido a sus privilegios incomparables. Por ejemplo, estas cuentas pueden delegar otros administradores. En cambio, se deben usar otras funciones de administrador integradas que tengan acceso privilegiado pero que no tengan poderes máximos. Para ser justos, esto es algo que también sugiere Microsoft.

Microsoft no habilita la autenticación multifactor (MFA) para los administradores de forma predeterminada, advierte el aviso, en el que añade que deberían activarse para proteger estas cuentas con grandes privilegios. También se tendría hacer lo mismo para los usuarios normales, dijo, señalando la posibilidad de ataques de phishing (como este) que usan los servicios de productividad en la nube de Microsoft.

MFA podría ser un problema al autenticarse en Exchange Online que utiliza protocolos heredados que no lo admiten, advierte la Agencia, incluidos POP3, IMAP y SMTP. Es por eso que recomienda desactivarlos y confiar completamente en Azure AD como mecanismo de autenticación.

Ese es un consejo oportuno porque Microsoft se ha unido a Google para retrasar las actualizaciones de seguridad relacionadas, mientras todos lidian con COVID-19. Sin embargo, muy pronto, desactivará el mecanismo de autenticación básica del que dependen estos protocolos.

Mientras tanto, si realmente se debe admitir estos protocolos para los usuarios que se niegan a dejar los clientes inseguros, al menos desactívelos para todos los demás, dice CISA.

Otras recomendaciones incluyen el uso de la función de registro de auditoría unificada (UAL) de Office 365. Esto registra eventos de las aplicaciones del servicio, incluidos SharePoint Online, Azure Active Directory y Microsoft Teams. Integrar los registros con una herramienta de seguridad de información y gestión de eventos (SIEM) ayuda a detectar actividades poco fiables, dice CISA.

En ese sentido, también aconseja habilitar alertas dentro del Centro de seguridad y cumplimiento para notificar a los administradores de eventos sospechosos. Como mínimo, debe activar las banderas rojas para los inicios de sesión desde ubicaciones sospechosas y para las cuentas que exceden los umbrales de correo electrónico enviado.

Finalmente, la Agencia aconseja a las empresas que utilicen la herramienta Secure Score de Microsoft, que califica la seguridad según las medidas que se hayan activado. No es perfecto, pero todo ayuda, dice:

Estas recomendaciones proporcionadas por Microsoft Secure Score NO abarcan todas las configuraciones de seguridad posibles, pero las organizaciones aún deben considerar el uso de Microsoft Secure Score porque las ofertas de servicios O365 cambian con frecuencia.

¿No hay una manera de activar toda la seguridad necesaria de forma predeterminada? Si. Microsoft tiene una característica predeterminada de seguridad para Azure AD que proporciona un nivel básico de seguridad listo para usar. Las cuentas creadas después del 22 de octubre de 2019 podrían tenerla ya activada, dice la empresa, pero las cuentas antiguas no. Es al menos un simple cambio que activar. Requiere que todos sus usuarios se registren en MFA en 14 días, eventualmente les bloquea el inicio de sesión hasta que lo hagan, y elimina la autenticación básica.