Microsoft 365, pakiet usług rozwijanych wcześniej pod nazwą Office 365, z roku na rok zyskuje na popularności. Po aplikacje dostępne w pakiecie sięgają firmy każdej wielkości. W czasie pandemii, dotychczasowy model pracy wywrócił się do góry nogami, przez co Microsoft 365 zyskał jeszcze bardziej na popularności. Poza doskonale znane aplikacje biurowe (Outlook, Word, Excel, PowerPaint, OneDrive), w centrum zainteresowania znalazł się Teams, a administratorzy przyspieszyli proces migracji z lokalnych instancji Exchange czy SharePoint do chmury. Zachwyt nad korzyściami jakie oferuje SaaS, sprawił że w wielu przypadkach zapominano o czyhających w chmurze zagrożeniach i odpowiedzialności po stronie przedsiębiorstw czy organizacji.
Taki stan rzeczy wykorzystują cyberprzestępcy. Hakerzy używają przeróżnych narzędzi do kradzieży krytycznych i poufnych informacji od rządów, firm i innych podmiotów korzystających z platformy Microsoft 365. W niektórych wypadkach do cyberataków wykorzystywane są możliwości samych narzędzi Microsoft. W marcu 2022 r. odkryto, że w celu usprawnienia ataków phishingowych na użytkowników Microsoft 365 hakerzy wykorzystują Static Web Apps (jedną z usług dostępnych w chmurze Microsoft Azure) do tworzenia fałszywych stron docelowych zawierających logo Microsoft.
Z jak wielką skalą ataków mamy do czynienia niech zobrazuje poniższa grafika, stanowiąca niewielki wycinek raportu Microsoft - Digital Defense Report 2022.
Nie ulega wątpliwości, że rozwiązania chmurowe, takie jak Microsoft 365 oferują niezrównaną elastyczność i skalowalność, wysoką niezawodność oraz większą mobilność w porównaniu z rozwiązaniami wdrażanymi on-premise. Jednak osoby odpowiedzialne za wdrożenie czy administrację subskrypcjami Microsoft 365, niejednokrotnie nie są świadome tego, że Microsoft nie zapewnia 100-procentowej ochrony danych magazynowanych i przetwarzanych w chmurze, gdyż przede wszystkim koncentruje się na
zarządzaniu infrastrukturą i dbaniu o to by pakiet Microsoft 365 był stale dostępny dla użytkowników.
Dziś dane stały się prawdziwą walutą. Umiejętne gromadzenie i analiza danych napędza biznes, pozwalając zbudować przewagę konkurencyjną w dobie transformacji cyfrowej. Microsoft 365 jest potężnym zestawem narzędzi, które tę transformację wspomagają. Trzeba jednak z nich korzystać odpowiedzialnie, mając świadomość modelu współdzielonej odpowiedzialności (Shared Responsibility Model).
Shared Responsibility Model dotyczy rozwiązań oraz usług dostępnych w oparciu o chmurę obliczeniową we wszystkich wariantach (SaaS, PaaS, IaaS) u każdego z dostawców usług chmurowych i wyszczególnia, które elementy i zadania związane z bezpieczeństwem są obsługiwane przez dostawcę chmury, a za które odpowiedzialny jest personel IT firmy korzystającej z tych usług.
W przypadku Microsoft 365, Shared Responsibility Model w uproszczonej postaci prezentuje załączona grafika.
Jak widać z powyższej tabeli, Microsoft odpowiedzialny jest między innymi za funkcjonowanie serwerów, wymianę uszkodzonego sprzętu hostującego usługi czy przechowywanie i przetwarzanie danych zgodnie z posiadanymi certyfikacjami odnośnie spełnienia norm i zgodności z przepisami, jak np. amerykańskiego HIPPA czy KNF (Komisja Nadzoru Finansowego), organu pełniącego nadzór nad rynkiem finansowym w Polsce.
Jednak co najważniejsze, dane przetwarzane i gromadzone na platformie Microsoft 365 należą do Twojej firmy, dlatego to na jej personelu IT spoczywa obowiązek ich ochrony. Finalnie odpowiedzialność za zapewnienie dostępu do firmowych danych programów Exchange Online, SharePoint Online, OneDrive dla Firm i Microsoft Teams oraz kontroli nad nimi spoczywa na kliencie.
Nie od dziś wiadomo, że najsłabszym ogniwem w łańcuchu bezpieczeństwa jest człowiek. Dlatego też często, narzędziem w rękach cyberprzestępców stają się sami pracownicy podatni na socjotechniczne manipulacje, a nawet motywację w postaci gratyfikacji finansowych. W takiej sytuacji nawet do najbardziej strzeżonej twierdzy może przedostać się intruz spragniony bezcennych danych.
Często dochodzi do ataków z wykorzystaniem fałszywych stron zawierających opcję pojedynczego logowania (SSO), których zadaniem jest zbieranie danych uwierzytelniających z Outlook, Office 365 i innych aplikacji. Strony te mogą wyprowadzić w pole nawet bardziej uważnych użytkowników gdyż korzystają z pozornie autentycznych certyfikatów TLS, zapewniając kłódkę w pasku adresu i prawidłowy adres URL.
Na korzystających z Microsoft 365 czyha wiele więcej niebezpieczeństw. Na poniższej grafice umieściłem 7, wzajemnie przenikających się obszarów, omówionych szczegółowo przez Veeam Software w dokumencie 7 Critical Reasons for Microsoft 365 Backup, które mogą się bezpośrednio przyczynić do utraty danych lub uchylić furtkę dla cyberprzestępcy.
Powyższe argumenty ktoś mógłby próbować odeprzeć mówiąc, że pakiet Microsoft 365 zapewnia nadmiarowość geograficzną, ponadto aplikacje wyposażone są w kosz, z którego można przywrócić dane. Jednak te i inne mechanizmy nie mają nic wspólnego z backupem, który polega na utworzeniu kopii zapasowej danych historycznych i zapisaniu jej w innej lokalizacji, z zabezpieczonym dostępem, nad którym mamy pełną kontrolę. Kluczowym jest to by w razie utraty lub przypadkowego skasowania danych albo ich zablokowania na skutek złośliwego ataku, takiego jak np. ransomware, było możliwe ich szybkie odzyskanie.
Firma każdej wielkości korzystająca z Microsoft 365 powinna wdrożyć oprogramowanie oferujące zaawansowane mechanizmy backupu. Takim rozwiązaniem jest Veeam Backup for Microsoft 365, rozwiązanie zapewniające tworzenie kopii zapasowych danych Microsoft 365 w dowolnym miejscu - w środowisku lokalnym lub w chmurze. Rozwiązanie to sprawdzi się w firmach każdej wielkości, zarówno w tych, które oczekują sprawdzonej platformy bakupowej, jaki w tych, które od rozwiązania do ochrony danych oczekują czegoś więcej, jak. np. możliwości przeprowadzania operacji eDiscovery na danych pakietu Microsoft 365 czy ochronę hybrydowych wdrożeń poczty e-mail i programu SharePoint oraz przenoszenie danych skrzynek pocztowych między lokalnym serwerem Exchange i środowiskiem Microsoft 365.
Domyślne ustawienia zabezpieczeń platformy Microsoft 365 zwiększają produktywność i współpracę, ale nie zapewniają silnego poziomu bezpieczeństwa. Stopień ochrony danych w Microsoft 365 jest dosyć wysoki, jednak wśród oferowanych zabezpieczeń brak mechanizmów zapewniających pełnoprawną kopię zapasową.
Już dziś pobierz bezpłatną wersję testową Veeam Backup for Microsoft 365 i zadbaj o dane Twojej firmy.
Autor: Piotr Masztafiak - z komputerami za pan brat od czasów C64, trener, konsultant, pasjonat szeroko pojętej wirtualizacji, technologii chmurowych i rozwiązań Microsoft. Pomiędzy analizą logów Hyper-V, ESXi i XenServer zgłębia tajniki licencjonowania i zarządzania kapitałem oprogramowania. Wyróżniony tytułami VMware vExpert (Cloud Management, NSX, Security) Posiada +20, mniej lub bardziej technicznych certyfikatów w tym Microsoft MCSA | MCITP, OCI Architect, Alibaba Cloud ACA, Citrix CCA | CCSP, VMware VCA | VTSP | VSP, SUSE CLA.
