Du bör också konfigurera utelåsning av konton i Azure AD och ange en lista på upp till 1000 lösenord som användarna inte får välja, tex Sommar2019 och liknande dåliga lösenord. Utelåsningen fungerar tillsammans med alla protokoll, så inloggningsförsök med tex IMAP kommer också att leda till att ditt konto blir tillfälligt spärrat enligt policyn.
Slå av möjlighet att integrera tredjeparts appar
I takt med att allt fler börjar införa MFA, så har vissa hackers börjat använda en ny metod för angrepp. Detta går ut på att användaren via en länk i ett phishingbrev luras att ge en hacker tillgång till dennes data i Office 365. Detta är en mycket otrevlig sorts attack då den inte stoppas av lösenordsbyte eller MFA eftersom användaren har delegerat rätten till data till en hacker. För att komma tillrätta med detta så bör du i Office 365 portalen stoppa möjligheten för slutanvändare att ge denna tillgång. Om det skulle behöva ske av legitima skäl så kan istället du som administratör ge alla tillgång till en applikation istället för att var och en ska göra det.
Ha ordning på SPF / DKIM / DMARC
För att minska risken att du drabbas av phishing och spoofing attacker samt missbruk av din domän så ska du se till att ha ordning på din konfiguration avseende SPF i DNS. Detta värde anger vilka servrar som får skicka e-post som din domän och väger tungt i spambedömningen för en mottagande server. DKIM bör också aktiveras för din domän i Office 365 då detta kryptografiskt garanterar för mottagaren att ett brev kommer från en pålitlig källa och väger även detta synnerligen tungt i mottagande systems bedömning av spam. När du har god ordning på SPF och DKIM bör du också publicera ett DMARC-värde som anger att alla brev som inte kvalificerar sig avseende SPF eller DKIM ska kastas, vilket gör att en mottagande server inte längre behöver hålla på och gissa och bedöma spam avseende din domän.
Konfigurera ATP och anti-phish-regler
Office 365 Advance Threat Protection (ATP) är en funktion som du bör köpa in och aktivera. ATP testar alla bilagor i en ”detonationskammare” för att komma fram till om de är skadliga, är de det så stoppas de och når aldrig användaren. ATP skriver också om alla klickbara länkar i brev så att de först jämförs med Microsofts ”svarta lista” innan användaren släpps fram. Dessa åtgärder hjälper till att skydda mot såväl malware som phishing och bör idag betraktas som en självklar del av Office 365. Du bör i samband med detta också konfigurera antiphishingregler som stoppar imiteringsförsök där någon skickar ett brev och mottagaren luras att tro att det kommer från någon annan. Tex kanske någon skickar ett brev med er vd som avsändare, men domänen använder en etta istället för ett l eller liknande, och sådana attacker stoppas med hjälp av denna policy.
Spärra exekverbara bilagor
Som standard så tillåts exekverbara bilagor att skickas in via e-post till dina användare. Detta bör ändras för att ge maximal skydd till dina användare. Även om du använder ATP som detonerar alla bilagor så är det säkraste givetvis att inte släppa fram vissa bilagor alls. Det är mycket sällsynt att man legitimt behöver ta emot exekverbara bilagor och dessa bör därför spärras.
Ha licens för Azure AD P2 och använd Identity Protection
Även om standardfunktionerna i Azure AD räcker en bra bit, så kommer du garanterat att vilja använda dig av den vassaste licensformen i Azure AD för att få maximal säkerhet. Med licens för Azure AD P2 så ingår möjligheten att se alerts för konton med förhöjd risk eller konton vars lösenord har hittats av Microsoft på Internet och att få Office 365 att reagera automatiskt på detta med olika åtgärder, som tex att kräva MFA eller att helt enkelt vägra logga in personen. Risk kan uppstå på flera olika sätt, men exempel kan vara att du loggar in från en ny enhet, en ny ISP eller kommer från en IP som är känd för att tillhöra en anonymiseringstjänst som till exempel Tor.
Kolla upp klienter med TLS <1.2
Microsoft kommer att stoppa möjligheten att ansluta med gamla versioner av TLS. Se till att redan idag ta ut en rapport på vilka dessa klienter är och åtgärda detta direkt så att du inte en dag överraskas av att ditt fakturasystem inte längre fungerar eftersom det inte fixar modern TLS.
Använd attacksimulatorer
För att mäta av din nuvarande säkerhetsnivå kan det vara smart att använda en av de attacksimulatorer som finns inbyggda i Office 365. Inför nästa kickoff kan du själv utforma ett phishingbrev angående exempelvis bekräftelse av biljetter inför resan och mäta av hur många som går på det hela och anger sina loginnamn och lösenord. Använd sedan resultatet för att under kickoffen understryka vikten av säkerhet kring e-post och inför sedan MFA samma eftermiddag tillsammans.
Microsoft ser till att stora delar av Office 365 är säkert via tusentals personer som varje dag arbetar med att hålla tjänsterna säkra. Men det är din uppgift att se till att säkerheten är fullgod avseende identitet, åtkomstprotokoll och korrekt konfiguration av säkerhetsfunktioner. Om du tar ditt ansvar på dessa områden så blir helheten mycket säker och du kan sova lite bättre på nätterna, viss om att du har gjort allt för att få en så säker miljö som idag är möjligt i Office 365. Förändringstakten är oerhört hög i molntjänster så se också till att hålla dig ständigt uppdaterad på de senaste nyheterna för att kunna dra nytta av innovation och införa de nya säkerhetsfunktioner som tillkommer.
Läs också:
Hård strid om samarbetet – Microsoft öser på för att knäcka Slacks framfart
Ny attack rundar tvåfaktors-autentisering hos Office 365 och Google G Suite
