IT Partner

Золотой партнер Microsoft с 2006 года

Ваша учетная запись Office 365 была скомпрометирована или взломана хакерами. Что дальше?

 , ,

Один из самых распространенных запросов с службу поддержки безопасности со стороны наших клиентов – помощь в случае взлома учетной записи. Самая распространенная ситуация – это когда один из сотрудников компании стал жертвой фишинг-атаки, а злоумышленник получил пароль к его учетной записи.

Итак, это уже случилось… Так или иначе, произошла утечка ваших учетных данных за пределы компании и так называемый хакер Bad Actor1 получил доступ к вашей учетной записи. Возможно, вы нажали на ссылку в фишинговом электронном письме и ввели свой логин и пароль на фишинговом сайте, который выглядит как официальный оригинальный источник. Либо кто-то украл ваш ноутбук, который не был защищен паролем и шифрованием Bitlocker. Либо случилось еще что-то…

Теперь будьте готовы к худшему: Bad Actor мог загрузить копию вашего почтового ящика со всеми вашими электронными письмами, контактами, вложениями, элементами календаря, задачами и т. д. Кроме того, у него есть все ваши документы OneDrive for Business и документы, которыми другие пользователи делитесь с вами. Под угрозой также документы и информация в инфраструктуре вашей компании, к которой хакеры могут получить доступ с разрешения вашей учетной записи. Эту раздобытую информацию они могут хранить у себя неограниченное время, и использовать ее против вас в самый неподходящий момент.

Bad Actor рассматривает целесообразность взлома вашей учетной записи в зависимости от того, что ему видно в вашем почтовом ящике, внутри ваших документов и в системах вашей организации. Лучший для вас вариант – это когда хакеры не видят никаких потенциальных возможности украсть деньги или информацию и использовать ваш аккаунт для латерального движения2 ВНУТРИ и ВНЕ вашей организации. Они начинают отправлять сотни фишинговых писем с указанием вашего имени как контактного лица. Ваша учетная запись блокируется механизмами защиты Office 365 и на этом все. Гораздо хуже, когда Bad Actor видит потенциальную возможность что-то украсть, может притаится и ждать удобного случая, месяцами наблюдая за вашей работой и работой компании в целом. В течение этого времени хакеры не вносят каких-либо очевидных и заметных изменений и не делают явных действий, а лишь собирают информацию и пытаются выполнять латеральное продвижение ВНУТРИ вашей компании, чтобы получить доступ к учетным записям других пользователей, к системам и службам, которые помогут им в достижении их коварных целей.

Итак, что делать дальше?

  1. Заблокировать пользователю вход.
  2. Contact your CSP and let them know about what happened. We at IT Partner provide a free 24/7 Security Incident Response service for all our clients who purchase Office 365 subscriptions through us. If you are not our client – please call anyway, we would be happy to help.
  3. Попытайтесь понять намерения хакеров Bad Actors:
    1. Изучите журналы входа в Office 365 и отчеты о безопасности. Какими сервисами они пользовались? Как долго? Через какие устройства? Из каких мест? Начните с Журнала входа в систему.
    2. Они отправляли какие-либо электронные письма? Кому? Как много? Перейдите в панель управления Exchange Online, нажмите «Поток почты», затем выберите вкладку «Отслеживание сообщений». Находясь в EXO Admin Center, также проверьте вкладки «Правила транспорта» и «Коннекторы».
    3. Они создавали какие-либо персональные правила электронной почты?
    4. Они настроили пересылку электронной почты за пределы вашей организации?
    5. Им удалось установить на вашем устройстве что-либо постороннее?
    6. Если у вас есть подписка CAS, вы сможете просмотреть каждое действие пользователя, каждый файл, которым он пользовался, в течение 6 месяцев после инцидента.
  4. Удалите правила электронной почты для папки «Входящие»», которые не были созданы пользователем. Преступники часто создают правила для удаления всей входящей электронной почты или ее части, чтобы замедлить действия по реагированию на инциденты.
  5. Сообщите о произошедшем своим коллегам внутри компании и партнерам вне вашей организации, если Bad Actor отправил им фишинговое электронное письмо.
  6. При необходимости удалите пользователя с портала пользователей с ограниченным доступом
  7. Установите все обновления для ОС Windows и Office Suite.
  8. Проверьте, чтобы была включена и правильно настроена функция брандмауэра ОС Windows.
  9. Проверьте адрес электронной почты для восстановления и номер телефона, связанный с учетной записью пользователя.
  10. Включите и используйте MFA (многофакторную аутентификацию) для этого пользователя. MFA – это единственная наиболее эффективная защита от всех атак, в которых применяются методы фишинга. Она должна быть всегда включенной для всех пользователей в вашей организации. Мы рекомендуем настроить базовую политику безопасности ИЛИ включить параметры безопасности по умолчанию для вашего тенанта AAD.
  11. Отключите протокол IMAP для всех ваших почтовых ящиков. IMAP часто используется для атак на пароли Password Spray3, которые практически невозможно обнаружить.
  12. Сбросьте пароль пользователя и разблокируйте учетную запись.
  13. Обучите своих пользователей
  14. ДОПОЛНИТЕЛЬНО ПО ЖЕЛАНИЮ: рассмотрите возможность подписки на Cloud App Security для всех или некоторых ваших пользователей.
  15. ДОПОЛНИТЕЛЬНО ПО ЖЕЛАНИЮ: рассмотрите возможность подписки всех или некоторых своих пользователей на Расширенный план защиты от угроз 1 в Office 365.
  16. ДОПОЛНИТЕЛЬНО ПО ЖЕЛАНИЮ: подумайте о ваших старых электронных письмах и документах, которые сейчас находятся в распоряжении Bad Actor. Что они могут там найти? Можете ли вы предпринять какие-либо активные шаги, чтобы помешать им использовать эту информацию?

Опять же, мы настоятельно рекомендуем установить аутентификацию MFA для всех пользователей и следовать всем другим приоритетным рекомендациям безопасности от Microsoft Secure Score – бесплатной службы Microsoft в рамках вашей подписки на Office 365.

Приведенные выше инструкции помогут вам немедленно предпринять соответствующие меры для восстановления после инцидента. К сожалению, вы не сможете удалить и отозвать сообщения, отправленные из вашей учетной записи под вашим именем, или запретить Bad Actor использовать украденную информацию. Но при правильном балансе обучения пользователей, установки внутренних правил защиты от фишинга, MFA и защиты от спама вы можете легко предотвратить подобные взломы аккаунтов в будущем.

Компания IT Partner всегда готова помочь вам в создании безопасной и надежной среды и защитить ваши конфиденциальные данные.

.

Примечания:

1 Bad Actor – нарушитель кибербезопасности, заинтересованный в атаке на системы информационных технологий.

2 Латеральное движение относится к методам, которыми пользуются кибер-хакеры для постепенного перемещения по сети, поиска целевых ключевых данных и ресурсов.

3 Password spraying – это метод атаки, который принимает большое количество имен пользователей (миллионы) и зацикливает их с помощью одного пароля. Хакеры Bad Actors могут использовать несколько итераций с несколькими разными паролями, но количество попыток ввода пароля обычно невелико по сравнению с количеством вводимых пользователей. Этот метод позволяет избежать блокировки паролей, и он часто более эффективен для обнаружения слабых паролей, чем преследование целью конкретных пользователей с несколькими паролями.