Bezpečnost v Exchange Online
Exchange Online, jako součást celého ekosystému Microsoft 365, nabízí mnoho bezpečnostních řešení i v základních licenčních plánech. Zákazníkům se zde nabízí škálovaný výpočetní výkon a síla nejlepších bezpečnostních týmů Microsoftu, které mají k dispozici enormní objem informací o útocích v celosvětovém měřítku. V základu jsou nasazeny různé typy šifrování, na vstupu i výstupu hlídá tok pošty Exchange Online Protection. Tyto opatření jsou přítomny již v základu a zákazníci mají malou možnost ovlivňovat jejich nastavení, ať už proto, že nejsou aplikovatelné per organizace, nebo protože jsou dnes již řízeny pomocí pokročilé umělé inteligence a k jejich úpravám tak nebývá ani důvod.
Na co se ale dnes zaměříme, jsou možnosti, které jsou v rukách správců tenantu a ve kterých je občas těžké se vyznat. Ideální je bezpečnostní opatření vrstvit a nespoléhat na účinnost jednoho řešení. Prvně trocha teorie, podle které budeme následně posuzovat jednotlivá řešení a možnosti. Dle statistik jsou nejčastějšími důvody pro narušení bezpečnosti prostředí a únik dat tyto:
- Slabá hesla a odcizené přihlašovací údaje
- Nepatchované zranitelnosti v aplikacích a operačních systémech
- Malware
- Interní narušení
- Lidská chyba
Bod druhý – nepatchované zranitelnosti se Exchange Online netýká – toto je v rukách společnosti Microsoft, a ta se o to stará velmi poctivě. Čeho se ale týká, jsou klientské aplikace a OS. To ale ponechme v rukou Desktop správců – jinak by nám to vydalo na samostatnou sérii článků.
Pojďme tedy na to, co ovlivnit můžeme a co se týká obvykle celého Microsoft 365, a občas čistě Exchange Online.
1. Slabá hesla a odcizené přihlašovací údaje
Bývaly doby, kdy se doporučovalo měnit hesla každých 30 až 90 dní, a nutit lidi k častým změnám. Tento systém ovšem vedl k jedinému – uživatelé začali volit jednoduchá hesla, kde měnili nějakou číselnou hodnotu např. podle měsíce atd. Sice se poté objevily možnosti, jak toto uživatelům nedovolit – pomocí ověření podobnosti hesla, historie hesel atd. Stejně je to stále suboptimální řešení. Hesla potom uživatelé navíc používají všude, protože když jsme je jednou donutili použít bezpečné heslo, použijí ho opakovaně, kde to jenom půjde. Celý systém se potom hroutí ve chvíli, kdy dojde k polomení ne jednoho systému, ale více ve stejné vertikále.
Vzhledem k tomu, že pro většinu lidí je jméno a heslo jediným způsobem ověření, je třeba toto zajistit co nejlépe. Je ovšem lepší nasadit následující opatření a nechat uživatele používat heslo s neomezenou nebo dostatečně dlouhou platností, než spoléhat na časté změny – co se týče Microsoft 365 – zrušení expirace hesel a používání dalších opatření je jedno z doporučení, které dostanete při kontrole svého „Secure score“ - https://security.microsoft.com/securescore. Ovšem jen za předpokladu, že dočtete a nasadíte opatření z dalších odstavců tohoto článku.
- Multi Factor Authentication / Vícefaktorové Ověření
Řešením, které se samozřejmě dočtete všude, a i já ho musím zmínit, je více faktorové ověření (Multi Factor Authentication – dále jen MFA). Je to pravděpodobně nejjednodušší a nejefektivnější cesta k ochraně celého Microsoft 365 účtu a tím samozřejmě i dat v Exchange Online. MFA je dostupné v plánech Microsoft 365 E3 a E5, v subskripcích Enterprise Mobility + Security 3 a 5 v rámci Azure AD Premium P1 a P2 a nově i v Microsoft 365 Business Premium, čímž se dostává MFA i do plánů pro malé a střední podniky. V naprosto základní verzi jej najdete i v plánech nižších.
MFA kombinuje přihlašovací jméno a heslo s dalším faktorem – ať už je to kód z SMS odeslaný na autorizované číslo, otisk prstu, potvrzení v aplikaci, nebo zadání OTP hesla. Tím je zabráněno prolomení, jelikož útočník sice může prolomit heslo, ale bez druhého faktoru ho Azure AD nikdy neověří. Pokud řeknu MFA, je třeba rovnou jedním dechem dodat i „Basic Authentication, App Passwords a Conditional Access“.
- Basic Authentication / Základní Ověření
Možnost klasického ověření pouze pomocí jména a hesla, které se zasílá v rámci každého requestu. V dobře zabezpečeném prostředí by určitě toto mělo být zakázáno. Microsoft k tomuto již nejen vyzývá, ale přímo hodlá implementovat a možnost povolení Basic Authentication zcela zrušit. Mělo by se tak stát koncem roku – konkrétně 13. října 2020. Pokud se tedy ve vaší organizaci používají aplikace, které neumí moderní metody ověřování, pak je čas začít hledat náhradu. Tento typ ověření používají především starší protokoly jako IMAP4 nebo SMTP ale také starší verze Exchange ActiveSync klientů na mobilních zařízeních.
- App Password / Aplikační Hesla
Aplikační heslo umožňuje ve spojení se základním ověřením používat aplikace, které neumí využívat moderní metody. Může se jednat např. o nativní emailové klienty v mobilních telefonech. Aplikační heslo umožňuje obejít použití moderního ověřování – tímto jasně tvoří prostor pro útok, ačkoliv jsou hesla spravována poměrně bezpečně. Pokud je to možné, neměla by v prostředí existovat aplikace, kde by bylo třeba aplikační heslo použít. Na mobilních zařízeních lze více než doporučit používání aplikace Outlook for iOS / Android, která je zdarma, a to jak kvůli bezpečnosti, tak i kvůli funkcím, které žádný jiný klient nenabízí (otevírání sdílených schránek / kalendářů, „Focused Inbox“, integrace kalendáře atd.)
- Conditional Access / Podmíněný Přístup
Podmíněný přístup (Conditional Access – dále jen CA) dává administrátorům k dispozici širokou paletu možností a nastavení, kterými lze určit kdo, kdy, jak a odkud může přistupovat ke konkrétním zdrojům a službám z Microsoft 365. Zde už se dostáváme do oblasti, kdy je třeba zmínit licencování. CA vyžaduje licenci Azure AD Premium P1 – tu je možné buďto zakoupit samostatně anebo jako součást subskripcí Microsoft 365 E3, nebo Enterprise Mobility + Security E3.
Pomocí CA je možno zaručit lidem přístup do Exchange Online z firemních počítačů a firemní kanceláře, nebo VPN bez hesla. Pokud dojde k přístupu z jiného počítače, nebo lokality, může být vynuceno použití MFA, nebo může být přístup zcela zablokován. Zde si dovolím poznámku z praxe – ačkoliv je to jedna z nabízených možností, nezdržujte se blokací přihlášení podle země / státu. CA při zablokování zobrazuje specifickou zprávu, která je odlišitelná od špatného loginu, a tak je většinou jedním z prvních kroků útočníka vytočení VPN do země působnosti firmy. Pokud tedy použijete CA pouze podle lokace a vynecháte další podmínky, pak útočníkovi pouze přidáte jeden až dva kroky navíc.
- Client Access Rules
Poslední možností, jak řídit přístup podobně jako pomocí CA jsou Client Access Rules – pomocí těch je možno řídit nastavení některých protokolů na úrovni povolení nebo odmítnutí určitých IP rozsahů atd. V přiloženém článku (https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/client-access-rules/client-access-rules) je možno si možnosti pročíst, ale možnosti jsou omezené a správa se dá provádět jedině přes Exchange PowerShell. Navíc pro některé protokoly nepodporují všechny metody ověření. I tak se ale jedná o zajímavou alternativu.
- Vypnutí nepoužívaných protokolů
Poslední možností, která je zdarma a vyžaduje jen dobrou znalost vlastního prostředí, je vypnutí všeho nepotřebného. Pokud víte, že všichni uživatelé v organizaci využívají mobilní zařízení s Outlook for Android / iOS a odesílání pošty z aplikací a serverů řešíte pomocí anonymní relay nebo aplikací, které umí moderní ověření, je vhodné vypnout protokoly POP, IMAP i Exchange ActiveSync. Tím dojde ke zmenšení prostoru pro útok.
2. Malware
Malware je velkým tématem a ukazuje, jak jednoduchý může kybernetický zločin být. Nemusí se jednat o cílený útok, ale o prosté využití známe zranitelnosti, kdy útočník prostě vypustí do světa kus škodlivého kódu a nechá ho pracovat za sebe. Objem malwarových útoků je obrovský, a ačkoliv je většina incidentů minoritních, v celkovém objemu je těch závažných pořád mnoho. U větších organizací je pak třeba se obávat cílených útoků, kdy se útočníci buďto budou snažit poškodit firmu, získat informace, které mohou mít na „Dark webu“ svou cenu, nebo prostě přijít k penězům nějakým podvodným způsobem – může jít o „únos“ účtu a odeslání zprávy se žádostí o platbu, kterou prostě uživatel v organizaci neodhalí, nebo o odeslání „žebravé“ komunikace klientům, nebo obchodním partnerům. Kromě toho, že může dojít k poškození klientů, dochází nutně i k poškození renomé firmy, která byla zdrojem takového útoku.
- Exchange Online ochrana proti Malware
Jak se tedy Exchange Online chrání proti malware? Službou, která je vstupní bránou do Exchange Online je již zmíněná Exchange Online Protection. Ta má na starosti vyhodnocení spamu, malwaru, phishingových útoků… EOP využívá vstupů od předních firem na poli internetové ochrany. Celá heuristika EOP je mimo možnosti popisu, ale je zde několik zajímavých věcí, které mohou zajistit trochu klidu a samozřejmě i věci, které můžeme nastavit z pozice administrátorů. Detaily o nastavení Anti Malware politik jsou poměrně detailně popsány zde (https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/configure-anti-malware-policies?view=o365-worldwide)
Co se týče nastavení, je určitě vhodné se podívat do nastavení Malware filtru v Exchange Online a přidat známé přípony. Pokud nepracuje firma s opravdu specifickými věcmi, soubory jako .js, .cmd, .com a podobně prostě nemají v e-mailech co dělat. Stejně tak je dobré nastavit zpracování detekovaných emailů – zda požadujete, aby byl notifikován odesílatel (je dobré notifikovat interní uživatele), kam a jak se má detekovaný email doručit (karanténa / nevyžádaná pošta bez přílohy) atd.
Poměrně novou záležitostí, kterou rozhodně doporučuji zkontrolovat je, zda je v politice zapnutá funkce Zero-Hour Auto Purge, neboli ZAP. Tato technologie průběžně kontroluje již doručené emaily, a pokud dojde k updatu definic na straně malware / spam filtru, může přesunout již doručené emaily do nevyžádané pošty nebo karantény. To se stane např. v případě že odkazy v emailu jsou „vyzbrojeny“ a stanou se nebezpečnými až po doručení zprávy a průchodem přes EOP a Safe Links, nebo ve chvíli kdy je detekován nový virus, jehož definice nebyla dostupná ve chvíli doručení.
- Advanded Threat Protection
Azure ATP (více zde https://docs.microsoft.com/en-us/office365/servicedescriptions/office-365-advanced-threat-protection-service-description ) je technologie, která opět překračuje hranice Exchange Online a protíná většinu dostupných služeb včetně aplikací Office 365 (Word, Excel…), kde detekuje spouštění kódu v souborech v nich otevíraných, stejně jako souborů na OneDrive a SharePointu. Části ATP, které se zcela dotýkají Exchange Online jsou dvě – Safe Links a Safe Attachments.
Tyto věci dělají přesně to, co vyplývá z jejich názvu – kontrolují odkazy a soubory při doručení. Co je ale extrémně zajímavé je, jak to dělají. Soubory a odkazy jsou totiž při doručení opravdu otestovány v „detonační komoře“ – každý odkaz v emailu je otevřen ve virtuálním stroji, prokliknut, je urychlen čas, aby se předešlo tomu, že dojde k injekci škodlivého kódu až po nějaké době atd. Stejně se chovají i soubory, ty jsou otevřeny, robotickým testem proklikány, robot zkouší i scrollování a náhodné akce, opět se nějakou dobu vyčkává, jestli nedojde k útoku se zpožděním, jsou případně otestovány i odkazy v souboru. Pokud toto všechno projde, teprve potom je soubor, nebo email s odkazy doručen do schránky.
Nevýhody jsou dvě – zaprvé – zpomaluje se doručení souborů. To se dá do jisté míry vyřešit zapnutím funkce „Dynamic delivery“, neboli email je doručen rovnou a soubory a odkazy jsou zpřístupněny postupně se zpožděním.
Druhou je samozřejmě cena, neboť tyto funkce jsou dostupné až v nejvyšších plánech Office 365 světa. Dostupné jsou samostatné subskripce Office 365 ATP Plan 1 a ATP Plan 2, pokud stojíte pouze o tuto funkcionalitu jako doplněk k nižším subskripcím, nebo je součástí velkých balíků. ATP Plan 2 je součástí Office 365 E5, Office 365 A5 a Microsoft 365 E5, ATP Plan 1 je potom dostupný jako součást Microsoft 365 Business Premium. Přes poměrně vysokou cenu je to, dle mého názoru a zkušeností, jednou z nejlepších možností, jak zvýšit bezpečnost vašeho Exchange Online a celkově celé organizace včetně pracovních stanic, při nasazení v rámci Microsoft 365 Enterprise subskripcí.
3. Interní narušení a Lidská chyba
V této sekci jsem si dovolil dva body sdružit – ve výsledku není rozdíl, jestli je únik informací zamýšlený, nebo k němu došlo nedbalostí, nebo neznalostí, uživatele. Nástroje, které bududu dále rozebírat je možno použít jak k aktivnímu potírání úniků, tak i k výchově uživatelů. Rozdíl je pak jen v záměru, nikoliv v technickém řešení. U následujících témat si tak představme, jak mohou pomoci v případě záměrného útoku i v případě prostého omylu uživatele.
- Data Loss Prevention Policy
Politiky pro zabránění úniku dat, dále jen DLP, jsou skvělým nástrojem, kterým můžete, jak vychovávat uživatele, tak jim zároveň bránit v tom, aby udělali nějakou hloupost. Zvláště dnes, kdy organizace musejí plnit požadavky PCI DSS, GDPR (v EU), nebo HIPAA (v USA), je třeba na, byť náhodné, úniky citlivých dat dávat pozor. DLP politiky umožňují detekovat citlivé informace napříč službami – v souborech na OneDrive, v e-mailech, přílohách, na úložišti SharePointu, a ve chvíli, kdy jsou detekovány zvolit, jak se k nim zachovat. Můžete odeslání takových dat mimo organizaci, nebo i v rámci organizace, zablokovat, dovolit, pokud je poskytnuto dobré odůvodnění, nebo jen odesílatele upozornit, že odesílá informace určitého typu a tyto akce pouze auditovat.
DLP politiky umožňují i nastavit velmi přesně za jakých podmínek dojde ke spuštění politiky. Např. pokud firma pravidelně jedná se zákazníky a v přílohách bývají smlouvy, kde jsou dejme tomu čísla účtů, nebo rodná čísla, je nevhodné blokovat všechny takové e-maily, nebo u každého vyžadovat vysvětlení. Řešením je nastavení limitů, kdy např. dva výskyty projdou pouze se záznamem v auditním logu, čtyři a více již spustí poplach a deset je již automaticky zablokováno a je odesláno upozornění nadřízenému odesílatele.
DLP politiky jsou dostupné u plánů, obsahujících Exchange Online Plan 2 což znamená buďto samostatnou subskripci pro Exchange Online Plan 2, nebo Office 365 / Microsoft 365 E3 a vyšší. Jediným omezením je potom v případě hybridního Exchange, že DLP politiky fungují pouze v cloudu – pokud tedy existují uživatelé v on-premises prostředí, pak se v případě komunikace mezi nimi DLP politiky neaplikují.
DLP politiky jsou extrémně mocný nástroj zvláště ve spojení s nástroji dalšími – Azure RMS / Azure AIP a Azure PIM. Ty si ovšem zaslouží vlastní článek a postihují data v celém Microsoft 365. Navíc jejich dopad na Exchange je poměrně malý, neboť zpracování a kategorizace dat předchází jejich samotnému odeslání.
- Alerting / odeslání upozornění
Pokud nasadíme DLP politiky je dobré doplnit ještě nastavením doplňkových upozornění. V základu jsou některé politiky již nastavené (vysoký objem odeslaných zpráv a několik dalších) a je rozhodně dobrý nápad, v závislosti na licencích používaných v organizaci, zkontrolovat co máte dostupné a projít si šablony, které jsou k dispozici. Zajímavá upozornění jsou např. na vysoký objem spamu, vysoký objem otevřených zpráv, nebo přidělení práv delegáta a přístup do cizí schránky. Popis základních politik upozornění je dostupný zde (https://docs.microsoft.com/en-us/microsoft-365/compliance/alert-policies?view=o365-worldwide), včetně subskripcí, které jednotlivá upozornění zapínají. Možností je mnoho a určitě najdete něco navíc, co byste chtěli monitorovat.
4. Závěrem
Doufám, že článek ukázal, že možností jak zvýšit bezpečnost v Exchange Online je mnoho, a při jejich zkoumání určitě zjistíte, že je poměrně snadné je nastavit.
Problémem většinou spíše bývá, jak celé prostředí naplánovat, aby se některé věci nedělaly dvakrát a na něco se nezapomnělo, a jak všechny nástroje a technologie skloubit do jednoho uceleného ekosystému, který přinese organizaci zásadní zvýšení bezpečnosti.
Ačkoliv lze na Exchange Online nahlížet jako na oddělenou službu, a je vlastně možno jí provozovat samostatně bez dalších komponent, určitě se vyplatí to nedělat a zainvestovat. Přece jen, bezpečnost je v IT již několik let tématem č. 1 i díky tomu, jak moc jsou IT systémy pro firmy kritické.
Sdílej v médiích