The Cybersecurity and Infrastructure Security Agency หรือ CISA ออก Alert (AA20-120A) เพื่อแจ้งเตือนองค์กรที่ใช้งาน Microsoft Office 365 (O365) ให้ทำการตรวจสอบค่า configuration เพื่อป้องกันความเสี่ยงที่จะถูกโจมตีจากแฮกเกอร์ได้ โดย CISA ให้ข้อมูลว่า ในช่วงไม่นานมานี้ มีองค์กรเป็นจำนวนมาก Migrate ระบบจาก On-Premise เข้าสู่ Cloud base system กันแบบเร่งด่วน เพื่อให้รองรับการ Work from Home (WFH) จึงอาจจะส่งผลให้เกิดการตั้งค่าที่ผิดพลาด และกลายเป็นช่องโหว่ที่อาจจะถูกนำมาใช้เพื่อโจมตีได้ ดังนั้นเพื่อให้การใช้งานเป็นไปอย่างปลอดภัย CISA จึงได้แนะนำแนวทางการปฎิบัติด้านความปลอดภัยสำหรับการตั้งค่า Microsoft Office 365 ดังนี้

  1. เปิดใช้งานการยืนยันตัวตนแบบ Multi-Factor Authentication (MFA)

    Multi-factor authentication (MFA) หรือบางครั้งถูกเรียกว่า Modern Authen ถูกยกให้เป็นวิธีการป้องกันการถูกขโมย Credential ที่ดีที่สุดในช่วงเวลานี้ แต่ feature นี้จะไม่ได้ถูกเปิดไว้เป็นค่าตั้งต้น จึงแนะนำให้ผู้ดูแลระบบเปิดใช้งาน feature ดังกล่าวนี้

    ความเห็นทีมงาน : ถ้าเป็นไปได้ ทีมงาน CAT cyfence ขอแนะนำให้เปิด MFA ในทุก Service Online ที่เปิดได้ เพื่อความปลอดภัย แม้ไม่ใช่ O365 ก็ตาม

  2. กำหนดบทบาทผู้ดูแลระบบ หรือ Admin ตามขอบเขตที่ได้รับมอบหมายเท่านั้น

    คือ การกำหนดบทบาทและการเข้าถึงของผู้ดูแลระบบควรให้สิทธิ์เท่าที่จำเป็นเท่านั้น และใช้ Global Administrator Account เมื่อมีความจำเป็นต้องใช้ การให้สิทธิ์แบบ “Least Privilege” จะช่วยลดผลกระทบกรณีที่ Account ของผู้ดูแลระบบ ถูก compromise

  3. เปิดใช้งาน Unified Audit Log (UAL)

    UAL คือ Log ที่เก็บ event การใช้งาน Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI และ services ของ O365 ซึ่ง admin จะต้องทำการ enable ที่ Security and Compliance Center และเมื่อเปิดใช้งาน admin จะสามารถนำ log มาตรวจสอบหรือส่งเข้า SIEM เพื่อ Monitor เฝ้าระวัง และแจ้งเตือนเมื่อมีเหตุการณ์ผิดปกติเกิดขึ้น

  4. เปิดการใช้งานรับรองความถูกต้องหลายปัจจัย เพื่อป้องกันบุคคลทั่วไปเข้าถึงข้อมูลระดับสูง

    กรณีนี้ CISA ยกตัวอย่างการใช้งาน Exchange Online ที่มี legacy protocol ที่ไม่รองรับการใช้งาน Modern Authentication เช่น Post Office Protocol (POP3), Internet Message Access Protocol (IMAP) และ Simple Mail Transport Protocol (SMTP) แนะนำให้ปิดการตั้งค่า แต่กรณีที่มีจำเป็นต้องใช้งาน ก็ควรกำหนดสิทธิเป็นรายบุคคล

  5. ปิดการใช้งานพิสูจน์ตัวตนแบบดั้งเดิม

    CISA แนะนำว่าอย่างน้อยที่สุดก็ควรเปิดการ alerts เมื่อมีการ Login จากสถานที่ที่น่าสงสัยและแจ้งเตือนเมื่อมีผู้ใช้งานส่ง email มากเกินกว่าค่าเกณฑ์ที่ตั้งเอาไว้

  6. วัดค่าและประเมินผลการใช้งาน Microsoft เฉพาะในองค์กร

    Microsoft Secure Score เป็นตัวช่วยให้องค์กรมี Centralized dashboard สำหรับ tracking, prioritizing security และ compliance changes ภายในของ O365 เอง และทาง CISA แนะนำให้ใช้ถึงแม้ว่า Microsoft Secure Score จะไม่สามารถใช้งานร่วมกับ Security Configuration ทั้งหมดได้ แต่เนื่องจาก O365 มีการอัปเดตและเปลี่ยนแปลงบ่อยดังนั้น Microsoft Secure Score จึงเป็นตัวเลือกที่น่าสนใจ

6 ข้อที่กล่าวมาข้างต้น คือคำแนะนำด้านความปลอดภัยสำหรับผู้ดูแลระบบขององค์กรที่ใช้ Microsoft office 365 โดยทาง CISA มองว่าการ Work from Home ในช่วงขณะนี้ มีโอกาสเสี่ยงสูงที่อาจจะเกิดการถูกแฮก มีช่องโหว่ หรือถูกโจมตี ฯลฯ ดังนั้นเพื่อความปลอดภัยสำหรับองค์กร ควรมีการตรวจสอบโปรแกรมตามที่ CISA แนะนำไว้ จะช่วยลดความเสี่ยงที่อาจจะเกิดขึ้นและสามารถใช้งานโปรแกรมได้อย่างมีประสิทธิภาพยิ่งขึ้น

ที่มา: https://www.us-cert.gov/ncas/alerts/aa20-120a



เนื้อหาที่เกี่ยวข้อง

1. โดนทุกวงการ ล่าสุดธุรกิจกลุ่มเครื่องดื่มตกเป็นเหยื่อ Maze ransomware

2. แอปฯ Polar Fitness เผยตำแหน่งของผู้ใช้ กระทบข้อมูลทางการทหาร

3. ทำไม Ransomware แค่จ่ายแต่ไม่จบ ต้องเสียอะไรอีกบ้าง

4. 7 เคล็ดลับความปลอดภัยไอที สำหรับ SME

5. Garmin ยอมรับโดนโจมตีจาก WastedLocker ransomware