چرا Microsoft 365 به بزرگ‌ترین ریسک امنیتی سازمان‌ها تبدیل شده است؟

مخفی در برابر دیدگان: نقطه کور پشتیبان‌گیری
یکی از ریسک‌های اغلب نادیده گرفته‌شده در محیط‌های Microsoft 365 مربوط به سیستم‌های backup و recovery است. بسیاری از سازمان‌ها تصور می‌کنند که retention policies و version history داخلی Microsoft حفاظت کافی را فراهم می‌کنند، اما این فرض منجر به ایجاد نقاط کور خطرناک می‌شود.

Backupهای استاندارد در Microsoft 365 اغلب فاقد گزینه‌های بازیابی دقیق و جزئی هستند که برای پاسخ به حملات پیچیده موردنیاز است. بدتر از آن، این backupها می‌توانند محتوای مخرب را نیز ذخیره و نگهداری کنند که بعدها به‌عنوان یک بردار حمله (attack vector) مورد استفاده قرار می‌گیرد.

در زمان اسکن URLها در email backupهای Microsoft 365، تحلیلگران دریافتند که ۴۰٪ از آن‌ها حاوی phishing link بوده‌اند که در کنار ارتباطات تجاری معتبر به‌طور کامل ذخیره شده‌اند.

نگران‌کننده‌تر آن‌که بیش از ۲۰۰,۰۰۰ ایمیل پشتیبان‌گیری‌شده دارای پیوست‌های malware بودند. این یافته‌ها یک نقص بحرانی در رویکردهای سنتی backup را آشکار می‌کند: سازمان‌ها تنها داده‌های خود را ذخیره نمی‌کنند، بلکه در حقیقت آرشیو دائمی از همان تهدیدهایی ایجاد می‌کنند که برای نابودی آن‌ها طراحی شده‌اند.

این بدان معناست که بازیابی از backup پس از یک حادثه امنیتی می‌تواند بردارهای حمله اصلی را دوباره به محیط بازگرداند. هنگامی که عاملان ransomware کتابخانه‌های SharePoint را رمزگذاری کرده یا mailboxهای Exchange را خراب می‌کنند، در اختیار داشتن backupهای قوی و ایزوله‌شده می‌تواند تفاوت میان یک بازیابی سریع یا یک فاجعه کسب‌وکاری باشد.

با این حال بسیاری از MSPها و تیم‌های IT زمانی متوجه وجود شکاف‌های حیاتی در راهبردهای backup خود می‌شوند که بسیار دیر شده و در برابر تهدیدات مدرنی قرار گرفته‌اند که به‌طور خاص پلتفرم‌های cloud collaboration را هدف قرار می‌دهند.

سخت‌سازی بدون اختلال
MSPها و تیم‌های IT باید کنترل‌های امنیتی قدرتمندی را پیاده‌سازی کنند، بدون آن‌که مزایای بهره‌وری Microsoft 365 را تضعیف کنند. این امر مستلزم دفاع چندلایه فراتر از قابلیت‌های امنیتی بومی است.

معماری Zero Trust حیاتی می‌شود، با verification مستمر هویت کاربران و سلامت دستگاه‌ها. استفاده از Multifactor Authentication باید غیرقابل مذاکره باشد، اما به‌گونه‌ای پیاده‌سازی شود که اصطکاک کاربری ایجاد نکرده و باعث دور زدن کاربران نشود.

حفاظت پیشرفته در برابر تهدیدها باید تمام برنامه‌های Microsoft 365 را پوشش دهد — از اسکن اسناد SharePoint گرفته تا Teams monitoring و تحلیل رفتار در OneDrive. تیم‌های امنیتی نیازمند visibility میان‌برنامه‌ای هستند تا الگوهای دسترسی غیرمعمول را شناسایی کنند.

ارزیابی‌های منظم باید بر پیکربندی‌های Microsoft 365 متمرکز باشند، شامل دسترسی‌های Power Platform، یکپارچه‌سازی‌های third-party و کنترل‌های دسترسی مهمان (guest access controls). پیچیدگی این اکوسیستم بدان معناست که misconfigurationها می‌توانند شکاف‌های امنیتی مداوم ایجاد کنند.

مسیر پیش رو
سلطه Microsoft 365 آن را به هدفی اجتناب‌ناپذیر تبدیل کرده است. سازمان‌ها باید بپذیرند که ایمن‌سازی این محیط نیازمند تخصص و ابزارهای ویژه‌ای است که برای تهدیدات cloud collaboration طراحی شده‌اند.

هدف کنار گذاشتن Microsoft 365 نیست — مزایای آن بسیار حیاتی است. در عوض، سازمان‌ها باید ریسک‌های بالاتر را بپذیرند و اقدامات متناسب را پیاده‌سازی کنند، به‌گونه‌ای که امنیت Microsoft 365 به‌عنوان یک حوزه تخصصی در نظر گرفته شود، نه صرفاً یک مورد در فهرست بررسی.

سازمان‌هایی که به‌طور پیشگیرانه دفاع‌های خود را سخت‌سازی کنند، مزیت رقابتی را حفظ کرده و دارایی‌های حساس را حفاظت خواهند کرد. آن‌هایی که چنین نکنند، به‌سختی خواهند آموخت که چرا بزرگ‌ترین هدف بودن، بزرگ‌ترین ریسک‌ها را نیز به همراه دارد.

درباره TRU
Acronis Threat Research Unit (TRU) تیمی از متخصصان امنیت سایبری است که در حوزه‌های threat intelligence، AI و risk management تخصص دارند.

تیم TRU تهدیدات نوظهور را پژوهش کرده، بینش‌های امنیتی ارائه می‌دهد و تیم‌های IT را با دستورالعمل‌ها، incident response و کارگاه‌های آموزشی پشتیبانی می‌کند.

آخرین تحقیقات TRU را مشاهده کنید.