Segurança contra ransomware no Microsoft 365

Voltar
Ransomware no Microsoft 365
Autor: Juarez Fortes Categoria: Arquivos Microsoft 365, Arquivos Segurança da Informação Comentários: 0

Segurança contra ransomware no Microsoft 365

Em razão do recente ataque cibernético sofrido pelo Tribunal de Justiça do Rio Grande do Sul  por um malware do tipo ransomware, recebemos diversos questionamentos de nossos clientes a respeito das medidas de segurança contra ransomware no Microsoft 365.

Já falei sobre ransomwares neste post aqui, e hoje quero abordar a questão da segurança das Empresas contra esse tipo de ataque na plataforma Microsoft 365. A plataforma da Microsoft para Empresas oferece dados em nuvem no Sharepoint, One Drive for Business, Exchange Online, Microsoft Teams e outros serviços.

Autenticação de Múltiplo Fator (MFA)

A Autenticação de Múltiplos Fatores é um procedimento simples – mas poderoso – que consiste na geração de uma segunda autenticação além da senha. Esta segunda autenticação pode ser um SMS enviado para um número de celular, um código enviado por e-mail, um código aleatório gerado em app autenticador, etc.

Aliás, uma das primeiras recomendações ao se utilizar serviços em nuvem é justamente a adoção dos métodos de autenticação de múltiplo fator. Caso sua Empresa não utilize ainda, recomendamos ativar este recurso urgentemente para garantir maior segurança para as contas dos usuários nos serviços em nuvem da Microsoft.

Além da Autenticação de Múltiplo Fator, é de extrema importância que a Empresa implemente e dissemine uma política de senhas fortes, assim como um gerenciamento seguro das mesmas.

Desta forma é possível reduzir os riscos relacionado à quebra de senhas em tentativas de ataques. Já falamos de Gestão de Senhas Pessoais e Empresariais neste post, e trouxemos as Diretrizes NIST com as mais modernas práticas de segurança de senhas neste post aqui.

Ransomware no Microsoft 365 MFAItens de segurança contra ransomware no Microsoft 365

E-mail – Exchange Online

As Empresas clientes do Microsoft 365 utilizam um serviço de e-mail chamado Exchange Online. Neste serviço, todas as mensagens de email passam pelo Exchange Online Protection (EOP)., uma ferramenta que verifica em tempo real todos os e-mails e anexos que entram e saem do sistema em busca de vírus e outros malwares, colocando-os automaticamente em quarentena caso sejam detectados.

Usando vários mecanismos antimalware, o EOP oferece proteção em várias camadas que foram projetadas para identificar e capturar todos os malwares conhecidos. As mensagens transportadas pelo serviço são verificadas para malware (incluindo vírus e spyware).

Caso algum malware seja detectado, a mensagem será excluída. Notificações também podem ser enviadas a remetentes ou administradores quando uma mensagem infectada é excluída e não é entregue. Você também pode optar por substituir anexos infectados por mensagens padrão ou personalizadas que notificam os destinatários sobre a detecção de malware.

A proteção de e-mail é realizada através dos seguintes recursos:

  • Defesas em camadas contra malware: Vários mecanismos de verificação antimalware usados no EOP ajudam a proteger contra ameaças conhecidas e desconhecidas. Esses mecanismos incluem uma detecção heurística poderosa para fornecer proteção mesmo durante os estágios iniciais de uma epidemia de malware. Essa abordagem multimecanismo fornece mais proteção do que usar apenas um mecanismo antimalware.
  • Resposta contra ameaças em tempo real: Durante alguns surtos, a equipe antimalware pode ter informações suficientes sobre um vírus ou outra forma de malware para escrever regras de política sofisticadas que detectem a ameaça mesmo antes de uma definição estar disponível em qualquer um dos mecanismos usados pelo serviço. Essas regras são publicadas na rede global a cada 2 horas para fornecer uma camada extra de proteção contra ataques a todos os clientes.
  • Implantação rápida de definição antimalware: A equipe antimalware mantém relações próximas com os parceiros que desenvolvem mecanismos antimalware. Como resultado, o serviço pode receber e integrar definições de malware e patches antes de serem lançados publicamente. A  conexão com esses parceiros geralmente permite à Microsoft desenvolver seus próprios recursos também. O serviço verifica definições atualizadas para todos os mecanismos antimalware a cada hora.

Para ​mais detalhes sobre a segurança de e-mail com o EOP, acesse: https://docs.microsoft.com/pt-br/microsoft-365/security/office-365-security/exchange-online-protection-overview?view=o365-worldwide

 

Microsoft Sharepoint e Microsoft OneDrive

Os dados no Sharepoint e OneDrive são protegidos tanto em trânsito quanto em repouso, proporcionando segurança desde a entrada do dado até a sua eliminação.

Proteção em trânsito

Quando os dados transitam para o serviço de clientes e entre datacenters, eles são protegidos usando a melhor criptografia na classe. A Microsoft não faz conexões autenticadas por HTTP, somente pelo modo seguro e criptografado via HTTPS.

Para maiores informações, consulte Data Encryption in OneDrive and SharePoint.

Proteção em repouso

Quando os dados estão em repouso, existe uma série de mecanismos de proteção atuando para manter estes dados em segurança. Confira:

  • Proteção física: somente um número limitado de funcionários essenciais pode obter acesso a datacenters. Suas identidades são verificadas com autenticação de múltiplos fatores incluindo cartões inteligentes e biometria. Há agentes de segurança locais, sensores de movimento e monitoramento de vídeo. Alertas de detecção de intrusão monitoram atividades anômalas.
  • Proteção de rede: as redes e identidades são isoladas da rede corporativa da Microsoft. Administramos o serviço com domínios dedicados do Active Directory, temos domínios separados para teste e produção e o domínio de produção é dividido em vários domínios isolados para confiabilidade e segurança. Para obter mais informações sobre a segurança física e lógica interna do Microsoft 365, consulte Segurança interna do Microsoft 365.
  • Segurança do aplicativo: os engenheiros que criam recursos seguem o ciclo de vida de desenvolvimento de segurança. Análises automatizadas e manuais ajudam a identificar possíveis vulnerabilidades. O Centro de resposta de segurança da Microsoft (Centro de Resposta à Segurança da Microsoft) ajuda a triagem de relatórios de vulnerabilidade de entrada e avalia mitigações. Por meio do Microsoft Cloud Bug Bounty, as pessoas em todo o mundo podem ganhar dinheiro relatando vulnerabilidades.
  • Proteção de conteúdo: Os dados são criptografados no nível do disco usando criptografia BitLocker e no nível do arquivo usando chaves. Para obter informações, consulte Data Encryption in OneDrive and SharePoint. Para obter informações sobre como usar a Chave do Cliente para fornecer e controlar as chaves usadas para criptografar seus dados em repouso no Microsoft 365, consulte Service encryption with Customer Key for Microsoft 365 FAQ.

O mecanismo antimalware do Microsoft 365 verifica documentos no momento do carregamento em busca de conteúdo que corresponde a uma assinatura av (atualizada a cada hora). Para obter informações, consulte Detecção de vírus no SharePoint.

Para proteção mais avançada, use a Proteção Avançada contra Ameaças (ATP) do Microsoft 365. A ATP analisa o conteúdo compartilhado e aplica inteligência e análise de ameaças para identificar ameaças sofisticadas. Para obter informações, consulte Proteção Avançada contra Ameaças do Microsoft 365.

O versionamento (versioning) ajuda a proteger listas do SharePoint Online e bibliotecas do SharePoint Online e do OneDrive for Business de alguns, mas não todos, desses tipos de ataques de ransomware. O versioning é habilitado por padrão no OneDrive for Business e no SharePoint Online.

Como o versioning está habilitado em listas de sites do SharePoint Online, você pode acessar versões anteriores e recuperá-las, se necessário. Isso permite recuperar versões de itens que pré-datam a criptografia pelo ransomware. Algumas organizações também retêm várias versões de itens em suas listas por motivos legais ou de auditoria.

Outro recurso que pode ser utilizado é a Lixeira do Sharepoint Online e OneDrive for Business, pois os administradores do SharePoint Online podem restaurar um conjunto de sites excluído usando o Centro de administração do SharePoint Online.

Os usuários do SharePoint Online têm uma Lixeira onde o conteúdo excluído é armazenado. Eles podem acessar a Lixeira para recuperar os documentos excluídos e as listas, se precisarem. Os itens na Lixeira são mantidos por 93 dias. Os seguintes tipos de dados são capturados pela Lixeira:

  • Conjuntos de sites
  • Sites
  • Listas
  • Bibliotecas
  • Pastas
  • Itens da lista
  • Documentos
  • Páginas de Widget da Web

O v​ersioning não protege contra ataques de ransomware que copiam arquivos, os criptografam e excluem os arquivos originais. No entanto, os usuários finais podem aproveitar a Lixeira para recuperar arquivos do OneDrive após um ataque de ransomware.

Para saber mais a respeito da segurança do Sharepoint Online e OneDrive for Business, acesse os links abaixo:

Segurança Sharepoint Online: https://docs.microsoft.com/pt-br/sharepoint/safeguarding-your-data 

OneDrive for Business: https://docs.microsoft.com/pt-br/microsoft-365/security/office-365-security/sharepoint-file-access-policies?view=o365-worldwide

 

Ransomware no Microsoft 365 - hacker

Outros recursos de segurança da Microsoft

A Microsoft possui recursos avançados de segurança que não estão inclusos nas licenças Basic e Standard do Microsoft 365. Os produtos Microsoft Defender para Office 365 e Proteção de Informações do Azure, que possuem o Plano 1 e Plano 2.

Além disso existem os recursos Cloud App Security e Proteção Contra Perda de Dados (DLP). Esses  recursos mais avançados de segurança proporcionam além da proteção dos recursos e dados, ferramentas para detecção, investigação e resposta a incidentes.

Visão geral de Recursos de Segurança Avançada Microsoft: https://docs.microsoft.com/pt-br/microsoft-365/security/office-365-security/overview?view=o365-worldwide

Alguns desses recursos adicionais estão disponíveis nas versões do Microsoft 365 Business Premium, E3 e E5. É possível também contratá-los separadamente.

Segurança além da Microsoft: o que mais a sua Empresa precisa dar atenção?

Além da segurança oferecida pela própria Microsoft, que inclui controles de segurança, conteúdos redundantes geograficamente e outros recursos avançados como os apresentados nesse post, é também extremamente recomendável que a Empresa mantenha seus backups em dia.

Uma solução de backup própria, que envie os dados armazenados na Microsoft para outro provedor de serviços em nuvem como AWS ou Google, ou ainda um backup local da empresa que garanta a proteção dos dados da Empresa contra qualquer tipo de desastre.

Neste post falei da segurança específica dos recursos Microsoft 365. Além dos recursos oferecidos por esta plataforma, é imprescindível que a Empresa possua uma estratégia de Segurança da Informação adequada (leia mais sobre Estratégia de Segurança da Informação neste post aqui) adotando as melhores e mais modernas práticas do mercado para garantir uma maior segurança e proteção dos dados que a Empresa possui.

Esta estratégia deve incluir Políticas de Segurança, Treinamentos e Conscientização, utilização de antivírus/EDR, Firewall, Análise de Vulnerabilidades, Pentests entre tantas outras ferramentas e procedimentos de segurança.

Fale conosco

Se você está em busca de uma empresa parceira para avaliar o status atual do seu negócio e implementar as mais modernas tecnologias e práticas de Segurança da Informação, entre em contato pelo formulário abaixo:

 


Leia também:

A importância da Análise de Vulnerabilidades na TI das empresas

 

Compartilhar Post

Deixe uma resposta

Voltar