Jak se chránit před kyberútoky s Microsoft 365 Business Premium

Aricoma specialisté se při práci u zákazníků opakovaně setkávají se situacemi, které efektivně řeší implementací Microsoft 365 ve verzi Business Premium. Chtěli byste se inspirovat, jaké scénáře řešení pro tyto situace používají?

Inspirace a aktuality

Pojďme se podívat na několik případů, které se v dnešní době dějí a jak vám s nimi naše služby a technologie integrované do Microsoft 365 Business Premium mohou jednoduše pomoci.

Váš účet, váš hrad. Ale máte klíče opravdu jen vy?

Firemní účetní proplatila podvodnou fakturu přes milion korun na jasný příkaz finančního ředitele. Útočník nevyužil žádnou technickou zranitelnost, "jenom" zcizil ředitelovo heslo a využil důvěru oběti. Problém nebyl v technologiích, které by firma neměla. Problém byl v tom, že technologie, která by incident zastavila, nebyla zapnutá.

Jak se taková situace děje

Podívejte se do přihlašovacích logů. Téměř každý den se někdo snaží dostat do vaší firmy přes přihlašovací údaje vašich zaměstnanců. Nejde o sci-fi, je to realita. Při testech na bezpečnostní rizika se ukazuje, že průměrně jeden z pěti zaměstnanců zadal přihlašovací jméno a heslo na podvodné stránce bez jakéhokoliv zaváhání. Útočníkovi pak stačí dvě minuty, aby se přihlásil k firemní poště, mohl číst e-maily a z nalezeného obsahu připravil cílený platební příkaz. Prakticky vystupoval jako legitimní zaměstnanec firmy.

Řešení - Entra ID

Tato součást Microsoft 365 Business Premium mění pravidla hry jednoduše a elegantně. Podmíněný přístup (Conditional Access) vyhodnotí při každém přihlášení kontext: odkud přichází žádost, z jakého zařízení, v jakém čase. Pokud je přihlášení podezřelé, třeba z druhého konce světa ve 2 hodiny v noci, systém automaticky vyžaduje druhý faktor nebo přihlášení rovnou zablokuje. Bez ohledu na to, zda útočník heslo zná. Ukážeme vám, jak takovou politiku nastavit za méně než hodinu.

Pokud e-mail projde, je pozdě ho řešit

Stavební firma uhradila podvodnou fakturu jen proto, že dorazila z e-mailové adresy, která vypadala stejná, jako ta správná. Stačil jeden znak navíc v doméně odesílatele. A uživatel tento detail ve spěchu přehlédl. Podobné útoky dnes tvoří jednu z nejrychleji rostoucích kategorií kybernetické kriminality v Česku a průměrná ztráta při jednom incidentu se pohybuje ve stovkách tisíc korun. Jenže zatímco útočníci se profesionalizují, valná část českých firem spoléhá na spam filtr z roku 2015.

Jak se taková situace děje

Moderní phishingová kampaň nefunguje jako hromadný spam. Z chytání náhodné oběti do široké sítě se stal přesně mířený útok harpunou. Útočník si dá práci: prostuduje LinkedIn, zjistí, kdo je ve firmě zodpovědný za platby, zjistí, s jakými dodavateli firma obchoduje, a pak pošle jeden přesný e-mail. Přesně adresovaný, přesně načasovaný. NÚKIB v říjnu 2024 varoval před aktivní kampaní v Česku, ve které útočníci vydávali za Amazon a Microsoft a terčem byly přihlašovací stránky Office 365. Potvrzeny byly desítky kompromitovaných organizací.

Řešení - Defender for Office 365

Tato technologie integrovaná do Microsoft 365 Business Premium, e-mail zastaví dřív, než se jej čtenář vůbec dotkne. Safe Attachments otevírá každou přílohu v izolovaném sandboxu a teprve po prověření ji doručí adresátovi. Safe Links kontroluje každý odkaz v reálném čase – v okamžiku kliknutí, ne v okamžiku doručení. Anti-phishing s Mailbox Intelligence navíc sleduje, kdo s kým v organizaci obvykle komunikuje, a hned pozná, když vám náhle píše „šéf" z adresy, ze které nikdy předtím nepsal.

Ransomware nezačíná šifrováním. Začíná kliknutím.

Zaměstnanec firmy si stáhl crack na profesionální software. Ve skutečnosti si ale nainstaloval ransomware. Do hodiny bylo na šesti počítačích zašifrováno tři roky projektové dokumentace, včetně sdílených síťových disků. Záloha existovala, byla ale stará čtrnáct dní. Firma strávila řadu dní rekonstrukcí projektů a přišla o zakázku, protože nestihla termín předání nabídky. Tohle není výjimečný příběh. Podle dat ČSÚ se s bezpečnostním incidentem v roce 2022 setkalo 29 % českých podniků, a to jsou jen ty, které to nahlásily.

Jak se taková situace děje

Moderní ransomware útok nemá za cíl okamžité šifrování dat. Útočník nejprve zkoumá prostředí napadené organizace. Hledá zálohy, mapuje sdílené disky, identifikuje administrátorské účty. Pak udeří najednou a v co největším rozsahu. Přitom nezneužívá žádné exotické zranitelnosti: ve většině případů vstoupí přes nechráněné zařízení nebo spustitelný soubor, který antivirový software staré generace nezná, protože jej nikdy předtím neviděl. Právě tady selhávají tradiční řešení a právě tady začíná příběh Microsoft Defender for Business.

Řešení - Defender for Business

Jedná se o EDR řešení (Endpoint Detection and Response) na enterprise úrovni, které je součástí Microsoft 365 Business Premium. Na rozdíl od klasického antiviru neporovnává soubory se seznamem škodlivých programů – sleduje chování. Jakmile detekuje, že proces začíná masově přepisovat soubory nebo se snaží zakázat zálohovací služby, automaticky izoluje zařízení od sítě a spustí automatizované vyšetřování. Správce dostane kompletní zprávu, co se stalo, kde útok začal, která zařízení jsou postižena. Bez nutnosti mít vlastní SOC, anebo security analytika.

Největší bezpečnostní riziko sedí ve vaší firmě

Zaměstnankyně si přeposlala tabulku s rodnými čísly a mzdami sto padesáti lidí na svůj soukromý email, protože chtěla pracovat z domova a neřešila, že organizační pravidla to zakazují. Ze soukromé stránky došlo k úniku dat, který se provalil. Na počátku se nejednalo o sabotáž ani krádež. Byl to nepozorný klik, který na mateřskou firmu uvalil vyšetřování a následnou pokutu. Podobně skončil případ obchodního manažera, který v týdnu před nástupem ke konkurenci stáhl ze SharePointu kompletní cenové nabídky a kontaktní databázi zákazníků. Nikdo si toho nevšiml, dokud nezačal zákazníky kontaktovat ze svého nového působiště.

Jak se taková situace děje

Dva různé příběhy, jedno společné téma: firmy neví, co se s jejich daty děje. Nemají přehled o tom, co se kopíruje, co se posílá a kam. V době, kdy cloud umožňuje jedním kliknutím stáhnout tisíc souborů nebo přeposlat kompletní složku na osobní účet, je slepota vůči pohybu dat luxus, který si firma může dovolit málokterá firma.

Řešení - Purview

Tato technologie v rozsahu Business Premium přináší do firmy dvě věci: přehled a kontrolu. DLP politiky (Data Loss Prevention) automaticky sledují, zda odcházející e-mail nebo nahrávaný soubor neobsahuje rodné číslo, číslo platební karty nebo dokument označený jako důvěrný a pokud ano, odeslání zablokují nebo vyžádají zdůvodnění od odesílatele. Sensitivity Labels „cestují" se souborem: dokument označený jako Důvěrné nelze přeposlat externímu příjemci ani otevřít bez oprávnění, i kdyby skončil mimo firemní systémy. A Audit Log poskytne v případě incidentu nebo sporu kompletní forenzní stopu.

Notebook v taxíku. Telefon bez správy. Po pracovní době.

Obchodní zástupce technologické firmy zanechal notebook v taxíku na letišti. Na disku byl nezašifrovaný zákaznický adresář, cenové nabídky a přihlašovací token do firemního VPN. IT oddělení o tom bylo informováno až ráno – osm hodin poté, co zařízení zmizelo. Za tu dobu mohl kdokoliv notebook zapnout a volně procházet firemní data. Podobná situace nastala v jiné firmě, kde zaměstnanci pracovali s firemními e-maily na osobních telefonech bez jakékoliv správy. Po rozvodu jednoho ze zaměstnanců měl jeho partner plný přístup k důvěrné firemní komunikaci na nechráněném telefonu.

Jak se taková situace děje

Firemní data dnes žijí všude: na noteboocích, tabletech, mobilních telefonech, v osobních i firemních cloudech. Zároveň platí, že nespravované zařízení je z pohledu bezpečnosti otevřená kniha – bez šifrování, bez možnosti vzdáleného smazání dat, bez vynucení aktualizací. Podle průzkumu ve značné řadě českých firem nemají správu koncových zařízení dostatečně vyřešenou, přitom právě ztráta nebo krádež zařízení patří mezi nejčastější příčiny bezpečnostních incidentů.

Řešení - Intune

Intune v rámci Microsoft 365 Business Premium řeší tuto situaci bez složité infrastruktury. Každé spravované zařízení má povinně zapnuté šifrování BitLocker – i kdyby notebook skončil v cizích rukou, data jsou nečitelná. V případě ztráty provede administrátor vzdálené smazání zařízení z webového portálu za dvě minuty. U BYOD zařízení – osobních telefonů zaměstnanců – oddělí Intune prostřednictvím App Protection Policy firemní data od osobních: IT smaže jen firemní část, aniž by se dotklo osobních fotek nebo SMS. Conditional Access pak zajistí, že bez splnění těchto podmínek se zařízení k firemním datům jednoduše nedostane.

Využijte zkušeností Aricoma specialistů

Společnost Aricoma je držitelem několika Microsoft specializací orientovaných na kybernetickou bezpečnost, jde například o oblast Data Security či Identity and Access Management. Zároveň se naši specialisté pohybují u stovek zákazníků na trhu, kde se setkávají s opakovanými bezpečnostními situacemi a přirozeně si tak vytváří know-how, jak je efektivně řešit. Využijte tyto zkušenosti i pro vaši organizaci.