Clicky

Mitigar el riesgo de secuestro de cuentas de Office 365

Office 365 riesgos

El NCSC aconseja a las organizaciones implementar otro nivel de seguridad

Office 365, la versión en línea y basada en suscripción del conjunto de aplicaciones Office de Microsoft, es una de las aplicaciones/servicios empresariales más utilizados en la nube, lo que la convierte en el objetivo preferido de los atacantes que buscan obtener acceso a información comercial confidencial.

“Una vez que un actor ha obtenido las credenciales de una cuenta de O365, no solo puede usar el acceso a la cuenta para acceder a los documentos a través de la cuenta de O365 de un usuario (SharePoint, OneNote, etc.) sino que también puede usar como plataforma de lanzamiento para llevar a cabo compromisos adicionales dentro de una organización", advierte el Centro Nacional de Seguridad Cibernética [archivo PDF] del Reino Unido (NCSC).

"(Somos) conscientes de varios incidentes relacionados con el compromiso de las cuentas de O365 en el Reino Unido, incluido el uso de dichos métodos en ataques dirigidos a la cadena de suministro. No está claro el objetivo final de este tipo de focalización y los ataques parecen no estar limitados a ningún sector en particular o atribuidos a un solo actor de amenazas".

Una entrada para los atacantes

Los atacantes encuentran constantemente nuevas formas de eludir la seguridad integrada de Office 365. Según la inteligencia de amenazas de Vircom, la mayoría de las cuentas comprometidas dentro de Office 365 son víctimas de las cuentas previamente comprometidas de Office 365.

Los atacantes buscan información y acceso que se pueden usar para manipular el movimiento de dinero, robar información comercial confidencial, distribuir correos electrónicos de phishing y obtener acceso a otras cuentas en línea de los usuarios.

De acuerdo con el NCSC, por lo general, optan por uno de los dos métodos para ingresar en las cuentas de O365: forzamiento con fuerza bruta o phishing.

El primero generalmente se limita a individuos específicos en organizaciones para reducir las posibilidades de detección de ataques por parte del proveedor de servicios en la nube. El último generalmente lleva a los objetivos a una página de inicio de sesión de O365 falsificada diseñada para recoger las credenciales de la cuenta ingresada.

Mitigación de riesgos

El uso de un administrador de contraseñas puede ayudar a minimizar la efectividad de estos dos enfoques, ya que los usuarios pueden elegir contraseñas largas y complejas que son difíciles de romper y la aplicación no funcionará con páginas de inicio de sesión falsificadas.

El NCSC aconseja a las organizaciones implementar otro nivel de seguridad: la autenticación multifactor (MFA).

"La plataforma O365 admite varios mecanismos MFA diferentes y, según la suscripción, las organizaciones pueden utilizar una combinación de diferentes implementaciones", señalaron.

"Para implementar MFA de manera efectiva en la plataforma O365 de una organización se requerirá que los departamentos de TI comprendan el grupo de usuarios en el que tienen la intención de implementarlo. Esto es especialmente crucial cuando las organizaciones están tratando con una fuerza laboral diversa. Como ejemplo, las organizaciones que tienen empleados desplegados en ubicaciones con poca cobertura de teléfonos móviles pueden tener problemas para recibir tokens de SMS, lo que causa dificultades en el acceso a la plataforma O365. En este escenario, las organizaciones deben considerar los diferentes mecanismos de MFA disponibles para evitar la renuencia en la adopción en toda la organización".

El NCSC también aconseja a los administradores de empresas a:

• Implementar las mejores prácticas de seguridad publicadas de Microsoft para Office 365, considerar medidas de refuerzo de seguridad y vigilar la configuración de O365 de la organización.
• Habilitar un tipo de MFA para todas las cuentas y aplicarlo mediante el Acceso Condicional (se puede verificar lo que dicen los compañeros sobre Office 365 MFA y los enfoques que están tomando para mejorar la seguridad).
• Deshabilitar los protocolos de autenticación heredados que no son totalmente compatibles con MFA (como parte de la política de acceso condicional de una organización).
• Asegurarse de que estén recopilando datos de auditoría para dar una idea de cualquier intento de infracción o acceso no autorizado.
• Implementar y mantenerse al tanto de las medidas y esfuerzos de fortalecimiento de dispositivos (asegurándose que los dispositivos estén completamente parcheados, no usen privilegios administrativos, tenga defensas de malware en su lugar y recopilen registros de seguridad).

Jesus_Caceres