Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ebook - M365 El Problema de Seguridad v1
Ebook - M365 El Problema de Seguridad v1
Agosto 2020
https://AprendiendoExchange.com
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s - A p r e n d i e n d o E x c h a n g e . c o m
Contenido
Introducción.................................................................................................................................................... 2
Perímetro de seguridad.............................................................................................................................. 4
Pérdida de control ............................................................................................................................ 6
Privacidad de los datos................................................................................................................... 6
Protección de los datos .................................................................................................................. 6
Seguridad ............................................................................................................................................. 7
Responsabilidad Compartida ................................................................................................................... 8
El problema de seguridad ....................................................................................................................... 11
Protección de identidades y acceso condicional ................................................................ 12
Manejo de dispositivos móviles con Intune ......................................................................... 14
Sobre Antispam, Phishing y Office 365 ATP ......................................................................... 15
Sobre Defender ATP ...................................................................................................................... 17
Azure ATP .......................................................................................................................................... 18
Sobre la escalación de privilegios y PIM ................................................................................ 19
Shadow IT y visibilidad con MCAS ........................................................................................... 20
Protección contra amenazas de Microsoft (Microsoft Threat Protection) ............................ 27
Microsoft 365 E5 y Microsoft 365 E5 Security ..................................................................... 29
Ejemplo práctico de licenciamiento de Microsoft Threat Protection ..................................... 31
Comentarios Finales .................................................................................................................................. 34
Próximos pasos............................................................................................................................................ 35
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |1
Introducción
Cada vez son más las organizaciones que hacen la transición a la nube y más en
particular en tiempos de COVID. La transición habilita nuevos escenarios
colaborativos y a la vez introduce nuevos desafíos, esto independientemente de
si se hace una migración completa o se mantiene un entorno híbrido que sería el
caso más común en empresas de mediano y gran porte.
El hecho de que Microsoft acorde a Gartner sea líder en varias áreas relacionadas
con la seguridad, no implica que por haber migrado a Microsoft 365 este sea un
tema resuelto para la organización, en la sección de responsabilidad compartida
vemos a qué me refiero con esto.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |2
vemos Azure ATP, Office 365 ATP y Defender ATP, entre otras soluciones como
Cloud App Security y PIM.
Al finalizar el ebook vas a tener una idea más clara del objetivo de cada una de
estas soluciones y donde encaja cada una de estas piezas en la estrategia de
seguridad de Microsoft 365.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |3
Perímetro de seguridad
Comencemos viendo de una forma bien simplificada y como para dar contexto a
lo que se viene, cuál sería el escenario de una organización típica antes de migrar
a Microsoft 365:
Una vez migrado a la nube ya sea forma total o parcial, el escenario cambia ya
que entre otras cosas los recursos pasan a estar fuera de la organización.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |4
En este caso el diagrama simplificado luce así:
Es decir que del mismo modo que un usuario válido podría acceder a los recursos
también podría hacerlo un usuario malicioso. Más aun considerando que acorde
a estimaciones de Microsoft más del 80% del trabajo diario se realiza desde un
dispositivo móvil. Estos dispositivos podrían pertenecer a la organización o
encontrarse bajo un escenario BYOD (Bring your own Device) donde el usuario
trabaja desde su propio dispositivo.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |5
Pérdida de control
Esta pérdida de control se da a todo nivel, comenzando por la más obvia: “física”.
Antes la organización alojaba los recursos en sus centros de datos, con toda la
operativa que esto implica incluyendo políticas de respaldos, retención de la
información, etc. Ahora pasan a tener su información en datacenters que están
fuera de su control, en algún lugar al cuál físicamente ya no tienen acceso.
El punto es que la organización ya no tiene los datos, los tiene alguien más.
En este sentido, McAffee hizo un estudio hace unos años donde encuentra que el
80% de los usuarios corporativos almacenan datos de la organización en
repositorios no aprobados y acorde a Gartner más de un tercio de los ataques
exitosos van a ser sobre este tipo de datos.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |6
Pero cómo proteger lo que no sabes que existe?
Y por fuera del tema de seguridad, al final del día son datos de la empresa y no
se tiene control sobre quién accede a estos datos, con quién se comparten,
dónde están alojados o incluso su existencia.
Seguridad
Antes de migrar a la nube todo lo que entraba o salía de la organización pasaba
por un firewall (entre otros dispositivos de seguridad y alternativas) donde se
aplicarían distintas restricciones dependiendo de la funcionalidad y los
requerimientos de la organización, pero ahora los usuarios necesitan acceder a
los recursos desde cualquier lugar, en particular fuera de la organización, desde
una variedad de dispositivos y dado que los datos están en la nube, del mismo
modo que un usuario legítimo puede acceder a la información con credenciales
válidas, también podría hacerlo alguien más.
1 https://www.businessinsider.com/data-breaches-2018-4
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |7
Responsabilidad Compartida
Un error común sería pensar que dado los niveles de servicio que maneja
Microsoft, las medidas de seguridad, auditorías, etc, es suficiente para quedarse
“tranquilo” y que no hay nada más por hacer.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |8
En esta imagen obtenida del documento de responsabilidad compartida2 de
cloud computing vemos las responsabilidades asociadas a cada modelo. En
particular mi foco de consultoría se encuentra en lo relacionado con SAAS
(Software As a Service).
“We strive to keep the Services up and running; however, all online services suffer
occasional disruptions and outages, and Microsoft is not liable for any disruption or loss
you may suffer as a result. In the event of an outage, you may not be able to retrieve
Your Content or Data that you’ve stored. We recommend that you regularly backup Your
Content and Data that you store on the Services or store using Third-Party Apps and
Services.”
En definitiva, lo que dice es que si bien se hace todo lo posible para mantener los
servicios funcionando, todos los servicios en línea sufren ocasionales
2
https://www.microsoft.com/security/blog/2018/06/19/driving-data-security-is-a-shared-responsibility-heres-how-you-can-protect-
yourself/
3
https://www.microsoft.com/en-us/servicesagreement/
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |9
interrupciones y Microsoft no se hace responsable por ninguna de estas
incluyendo una eventual pérdida que se sufra como resultado, frente a una falla
es posible que no se pueda acceder al contenido o datos almacenados en el
servicio, por este motivo la recomendación es respaldar la información lo que en
general lleva al uso de aplicaciones de terceros.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 10
El problema de seguridad
El problema de seguridad que se da al migrar a la nube, en este caso Microsoft
365 aunque aplicaría a cualquier otro proveedor, es que de forma
predeterminada la organización queda expuesta a un montón de situaciones
nuevas o potenciadas por la nueva realidad y muchas cuestiones no son
analizadas o quedan sin respuesta ya sea por falta de información, tiempo o
presupuesto.
Teniendo en cuenta que los usuarios podrían acceder desde cualquier lugar y ya
no existiría un perímetro de seguridad, es fundamental proteger las identidades,
los dispositivos desde los que se conectan y los recursos en cuestión.
4 https://go.zimperium.com/mobile-threat-report-2019
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 11
A pesar de todo esto en una situación predeterminada de Microsoft 365 estos
dispositivos accederían sin problemas al servicio, aplicaciones y datos.
En relación con esto Microsoft hizo un análisis del tema y encuentra que la
habilitación de MFA puede evitar 99,9%5 de los ataques asociados al compromiso
de cuentas de usuario, esto porque como se mencionó antes, no alcanza con que
el atacante consiga la contraseña. Esto idealmente debería ser complementado
con la deshabilitación de protocolos y mecanismos de acceso heredados que no
soporten MFA.
A pesar de esto, acorde a Microsoft se estima que menos del 10%6 de los
usuarios corporativos usan MFA.
5
https://techcommunity.microsoft.com/t5/azure-active-directory-identity/your-pa-word-doesn-t-matter/ba-p/731984
6
https://techcommunity.microsoft.com/t5/azure-active-directory-identity/introducing-security-defaults/ba-p/1061414
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 12
Esto no es algo que se note de forma inmediata, de hecho se estima que los
atacantes pasan en promedio unos 80 días dentro de la red antes de ser
detectados por la organización. Y si esto sucede dentro del perímetro de
seguridad tradicional, cómo pensar que se sabe lo que sucede afuera?
En este sentido una de las ventajas con Azure AD Premium sería la posibilidad de
usar acceso condicional lo que permitiría configurar políticas que determinen el
acceso y el modo en base a factores como la ubicación, si se conecta desde un
equipo administrado o a qué aplicación accede, dependiendo de esto se podría
requerir el uso de MFA solo para casos específicos.
En la imagen vemos que se pueden usar distintas señales como por ejemplo
membresía de grupos, ubicación, estado del dispositivo, aplicación a la que
accede y en base a esto tomar ciertas decisiones como bloquear el acceso o
permitirlo requiriendo MFA o que se verifique que el dispositivo desde el que se
conecta este acorde a las normativas de la organización. Todo esto habilitaría a
enforzar escenarios comunes como requerir MFA a todos los usuarios
administrativos, bloquear el inicio de sesión usando protocolos heredados,
7
https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 13
permitir el acceso desde determinadas ubicaciones conocidas o requiriendo el
uso de dispositivos administrados por la organización entre otras posibilidades.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 14
Intune se puede licenciar de forma stand alone pero en general en entornos
corporativos lo encontramos dentro del paquete de EMS E3 / E5 o Microsoft 365
E3 / E5.
Si un correo con estas características pasara las barreras del Antispam (EOP en el
caso de Microsoft 365), un usuario podría terminar haciendo clic y ejecutar sin
saberlo algún tipo de malware o intentar iniciar sesión en un sitio no legítimo lo
que derivaría en que termine “entregando” sus credenciales.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 15
Acorde a un reporte de Verizon8 el 93% de las brechas de seguridad comenzaron
con phishing y más de 1 de cada 4 usuarios sería propenso a hacer clic (en
promedio el 27% variando dependiendo de la industria).
Una de las soluciones para mitigar este tipo de riesgo en Microsoft 365 es Office
365 ATP (Advanced Threat Protection) que no solo aplica al caso de correo, sino
que también a Onedrive, Sharepoint y Microsoft Teams.
Office 365 ATP cuenta con 2 planes y el más usual de encontrar es el Plan 1, este
incluye la posibilidad de que la carga asociada ya sea a un adjunto o al sitio
malicioso al que lleva un link sea detonada en un ambiente aislado y sin riesgo
de que la cuenta o el equipo resulte comprometido, en este caso el usuario
encontraría algo similar a la siguiente imagen:
Office 365 ATP puede ser licenciado de forma Stand Alone o dentro de un
paquete, por ejemplo, Microsoft 365 E3 en el caso del Plan1 o Microsoft 365 E5
en el caso del Plan 2.
8
https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf
9
https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/atp-safe-links-warning-pages?view=o365-worldwide
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 16
Sobre Defender ATP
Si el usuario no cuenta con Office 365 ATP y abre el adjunto o hace clic en el link,
podríamos decir que las credenciales fueron expuestas, en este caso si se usa
MFA se mitigaría el riesgo de su uso, pero el equipo aún se encontraría
comprometido.
10
10
https://www.microsoft.com/security/blog/2018/11/15/whats-new-in-windows-defender-atp/
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 17
Por listar algunos beneficios de Defender ATP:
Azure ATP
Azure ATP es una solución de seguridad en la nube orientada a entornos híbridos
con Active Directory que habilita a identificar, detectar e investigar amenazas
avanzadas, cuentas comprometidas y acciones maliciosas internas.
Azure ATP monitorea y analiza las actividades de los usuarios generando una
línea base de lo que sería el comportamiento normal, si por algún motivo se
detecta algún comportamiento anómalo esto es reportado proporcionando toda
una línea de tiempo relacionada con un eventual ataque.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 18
11
11
https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-prerequisites
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 19
Para mitigar el riesgo asociado a la escalación de privilegios es posible
complementar todo esto reduciendo el uso de cuentas administrativas y usando
un sistema que permita manejar roles privilegiados en base a ventanas de tiempo
con todo un proceso de aprobación. Privileged Identity Management (PIM) es la
solución en Azure para cumplir con este objetivo.
La realidad es que sin un broker de acceso a la nube es muy difícil conocer lo que
sucede a lo largo del servicio y si bien es posible obtener la mayor parte de esta
información usando una variedad de fuentes no resultaría práctico o escalable, es
necesario algo centralizado que permita entre otras cosas responder con facilidad
a las interrogantes planteadas y en base a esto poder tomar las medidas
correspondientes y actuar en consecuencia entendiendo los riesgos asociados a
cada caso y conociendo cuál es la situación general a nivel de seguridad de la
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 20
organización. Cloud App Security es la solución de agente de seguridad de
acceso a la nube (CASB: Cloud Access Security Broker) de Microsoft.
Con Microsoft Cloud App Security (MCAS) es posible tener visibilidad y control
sobre las aplicaciones, servicios y datos e identificar, detectar y resolver
amenazas.
12
12
https://docs.microsoft.com/en-us/cloud-app-security/daily-activities-to-protect-your-cloud-environment
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 21
cliente ya no importaría ya que no se depende de obtener la información de un
firewall o similar.
Algo que resulta interesante de Cloud App Security es que es muy intuitivo, con
un par de clics es suficiente para entender todas las actividades realizadas por un
usuario. Por ejemplo, un usuario abrió una planilla de Excel desde un dispositivo
móvil ubicado digamos en Uruguay y luego de modificarlo lo compartió con el
usuario “X” y con “Z” quienes a su vez realizaron otras acciones.
13
13
https://docs.microsoft.com/en-us/cloud-app-security/working-with-cloud-discovery-data
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 22
Ya con este conocimiento es posible poner bajo control el tema de Shadow IT en
la organización entendiendo qué aplicaciones se encuentran en uso, quienes las
acceden, cómo las usan, el riesgo asociado y en base a esto tomar las medidas
necesarias como por ejemplo aprobar o bloquear el acceso a una aplicación.
Cloud App Security se integra de forma nativa con todo el portfolio de seguridad
de Microsoft y si se usa en conjunto a Defender ATP entre otras cosas sería
posible bloquear una aplicación en Cloud App Security, que esto se sincronice
con Defender ATP y este último actúe como proxy bloqueando la conexión.
14
14
https://www.microsoft.com/security/blog/2019/01/15/microsoft-gains-strong-customer-and-analyst-momentum-in-the-cloud-access-
security-brokers-casb-market/
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 23
real y la aplicación de varios tipos de restricciones y sin necesidad de instalar
nada en los dispositivos.
15
Al utilizar esta característica vamos a ver que la URL cambia incluyendo un sufijo
“mcas.ms”.
15
https://techcommunity.microsoft.com/t5/microsoft-security-and/advanced-security-for-any-app-in-your-organization/ba-p/823370
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 24
Las políticas de detección de anomalías funcionan de forma automática
escaneando la actividad de los usuarios y tienen un período inicial de aprendizaje
de 7 días, durante este tiempo es posible que haya alertas que no sean
disparadas.
• Dirección IP riesgosa
• Intentos de inicio de sesión fallidos
• Actividad administrativa
• Cuentas inactivas
• Ubicación
• Viaje Imposible
16
16
https://docs.microsoft.com/en-us/cloud-app-security/anomaly-detection-policy
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 25
Acorde a un estudio de Forrester17, la implementación de Microsoft Cloud App
Security proporciona los siguientes beneficios:
El estudio de Forrester es mucho más amplio y solo puse 3 puntos, pero esto es
algo a tener en consideración ya que puede ser una herramienta más para
justificar la inversión.
17
https://tools.totaleconomicimpact.com/go/microsoft/CloudAppSecurity/
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 26
Protección contra amenazas
de Microsoft (Microsoft
Threat Protection)
Ya con una idea de las principales soluciones a nivel de seguridad en Microsoft
365, estamos en condiciones de ver el tema de Microsoft Threat Protection (MTP)
que tanto suena en este momento.
18
18
https://techcommunity.microsoft.com/t5/microsoft-security-and/announcing-microsoft-threat-protection/ba-p/262783
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 27
Microsoft Threat Protection integra todos los productos mencionados
anteriormente destacando:
19
19
https://docs.microsoft.com/en-us/microsoft-365/security/mtp/mtp-enable?view=o365-worldwide
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 28
Hay 2 opciones de licenciamiento que incluyen todas las características de
Microsoft Threat Protection:
• Microsoft 365 E5
• Microsoft 365 E5 Security
• Windows 10 E5
20
https://aprendiendoexchange.com/microsoft-365-vs-office-365
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 29
o Sistema Operativo
• Office 365 E5
o Licenciamiento más completo de la suite de productividad
de Office 365
• Enterprise Mobility + Security E5 (EMS E5)
o Solución para administración de dispositivos MDM (Mobile Device
Management) / MAM (Mobile Application Management) y
Seguridad.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 30
Ejemplo práctico
de licenciamiento de
Microsoft Threat Protection
En esta sección vemos un ejemplo práctico de licenciamiento de las soluciones
incluidas en Microsoft Threat Protection, este mismo ejercicio lo hice
recientemente para un cliente que quería implementar algunas características
avanzadas de seguridad para los usuarios VIP de la organización.
Principales objetivos:
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 31
• Office 365 E3: U$S 20
• Enterprise Mobility + Security E3 (EMS): U$S 8.80
• Office 365 ATP Plan 1: U$S 2
En este caso ya tenemos un costo base de U$S 30,8 lo que está lejos aún de los
U$S 57 que cuesta la licencia de Microsoft 365 E5.
Opción 2) Reemplazar el EMS E3 por EMS E5 y sumar WDATP Stand alone (la
parte de Office 365 no se toca)
Costo adicional: U$S 9.2 (U$S 20 – U$S 8.80 (EMS E3) – U$S 2 (O365 ATP))
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 32
Opción 3) Reemplazar el licenciamiento actual con lo siguiente:
Nota: Con este cambio se pasa a Azure P2 (ver más arriba ventajas) y Office 365
ATP 2 (que incluye simulador de ataque entre otras mejoras)
Opción 4) Reemplazar todas las licencias actuales por Microsoft 365 E5:
Costo adicional: U$S 26.2 (M365 E5 (U$S 57) – U$S 30.8 (licenciamiento actual))
Como se puede ver hay muchas opciones y en este ejemplo solo se manejan las
que tenían sentido para el cliente en base a su licenciamiento específico.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 33
Comentarios Finales
A lo largo de este documento vimos como una vez migrado los servicios de la
organización a la nube, el perímetro tradicional de seguridad ya no aplica y este
debe ser complementado con otras soluciones.
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 34
En definitiva, el problema de seguridad no se debe a limitaciones en la oferta de
Microsoft 365 sino que en la falta de adopción de medidas acorde a la nueva
situación. El hecho de que Microsoft 365 sea líder en muchas áreas de seguridad
no es relevante si la organización no implementa o pone en práctica las
herramientas a disposición. Si en este sentido la limitante viene por el lado del
presupuesto tener en cuenta de dejar claro los riesgos que esto implica, evaluar
alternativas para mitigarlos (o aceptarlos) y comunicar dentro de la organización
de un modo eficiente la situación ya que la decisión en este caso dejaría de ser
técnica.
Próximos pasos
Llegamos al final, espero que este ebook te haya dejado un poco más claro el
panorama de seguridad con Microsoft 365. Más abajo te dejo varias formas en las
que podemos quedar en contacto, el feedback es más que bienvenido:
• Facebook de AprendiendoExchange.com
• AprendiendoExchange.com en Instagram
• Daniel Núñez Banega en Linkedin
© 2 0 2 0 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 35