Quản lý sự cố bảo mật trong Office 365

Ứng phó sự cố bảo mật Office 365

Tóm tắt: Bài viết này cho bạn biết các dấu hiệu liên quan đến những cuộc tấn công an ninh mạng phổ biến nhất trong Office 365 là gì, làm sao để chủ động nhận diện bất kỳ cuộc tấn công nào và cách ứng phó với nó.

1. Tổng quan

Không phải tất cả các cuộc tấn công mạng nào cũng có thể được ngăn chặn. Những kẻ tấn công liên tục tìm ra những điểm yếu mới trong chiến lược phòng thủ của bạn hoặc chúng đang khai thác những điểm yếu cũ. Khi biết cách nhận diện một cuộc tấn công, bạn sẽ phản ứng với nó nhanh hơn, điều này rút ngắn thời gian xảy ra sự cố bảo mật.

Bài viết này giúp bạn hiểu một loại tấn công cụ thể xảy ra như thế nào trong Office 365 và cung cấp cho bạn các bước bạn có thể thực hiện để ứng phó kịp thời. Đây là một số điểm chính:

  • Cuộc tấn công là gì và nó hoạt động như thế nào.
  • Những dấu hiệu nào – những mảnh dữ liệu cho thấy dấu vết của sự đột nhập còn lưu lại trên hệ thống, được gọi là indicators of compromise (IOC), có thể được tìm thấy và làm thế nào để tìm chúng.
  • Làm thế nào để chủ động nhận diện cuộc tấn công.
  • Các bước cần thực hiện để cắt đứt cuộc tấn công và bảo vệ tổ chức của bạn tốt hơn trong tương lai.
  • Liên kết đến thông tin chuyên sâu về từng loại tấn công.

2. Phát hiện và khắc phục

2.1. Phát hiện và khắc phục các yêu cầu truy cập dữ liệu bất hợp pháp trong Office 365

a) Cuộc tấn công cấp quyền bất hợp pháp trong Office 365 là gì?

Trong một cuộc tấn công cấp phép bất hợp pháp, kẻ tấn công tạo ra một ứng dụng đã đăng ký Azure yêu cầu quyền truy cập vào dữ liệu như thông tin liên hệ, email hoặc tài liệu. Kẻ tấn công sau đó lừa người dùng cuối cấp quyền đồng ý cho ứng dụng đó truy cập dữ liệu của họ thông qua một cuộc tấn công lừa đảo hoặc bằng cách tiêm mã bất hợp pháp vào một trang web đáng tin cậy. Sau khi ứng dụng bất hợp pháp đã được chấp thuận, nó có quyền truy cập dữ liệu ở cấp tài khoản mà không cần tài khoản tổ chức. Các bước khắc phục thông thường, như đặt lại mật khẩu cho các tài khoản bị vi phạm hoặc yêu cầu Xác thực đa yếu tố (MFA) trên tài khoản, không hiệu quả đối với loại tấn công này, vì đây là các ứng dụng của bên thứ ba và nằm ngoài tổ chức. Các cuộc tấn công này thúc đẩy một mô hình tương tác giả định thực thể gọi thông tin là tự động hóa chứ không phải con người.

b) Tấn công cấp phép bất hợp pháp xảy ra như thế nào trong Office 365?

Bạn cần tìm kiếm nhật ký giám sát (audit logs) Office 365 để tìm các dấu hiệu đột nhập còn lưu lại trên hệ thống, còn được gọi là Indicators of Compromise (IOC) của cuộc tấn công này. Đối với các tổ chức có nhiều ứng dụng đã đăng ký Azure và cơ sở người dùng lớn, cách tốt nhất là xem xét các khoản cấp phép của tổ chức của bạn hàng tuần.

Các bước tìm kiếm dấu hiệu của cuộc tấn công này

  1. Mở Trung tâm tuân thủ và bảo mật trong Office 365 tenant.
  2. Điều hướng đến nút Tìm kiếm & điều tra và chọn tìm kiếm nhật ký giám sát.
  3. Tạo một tìm kiếm (tất cả các hoạt động và tất cả người dùng) và lọc kết quả cho Consent to application, và Add OAuth2PermissionGrant.
  4. Kiểm tra các thuộc tính mở rộng và kiểm tra xem IsAdminContent có được đặt thành True không.

Lưu ý

  • Có thể mất tới 30 phút hoặc tối đa 24 giờ sau khi một sự kiện xảy ra để mục nhật ký kiểm toán tương ứng được hiển thị trong kết quả tìm kiếm.
  • Khoảng thời gian mà hồ sơ kiểm toán được lưu giữ và có thể tìm kiếm trong nhật ký kiểm toán tùy thuộc vào đăng ký Office 365 của bạn và cụ thể là loại giấy phép được gán cho một người dùng cụ thể. Để biết thêm thông tin, xem Nhật ký kiểm toán.

Nếu giá trị này là đúng, nó chỉ ra rằng ai đó có quyền truy cập Quản trị viên Toàn cầu có thể đã cấp quyền truy cập rộng rãi vào dữ liệu. Nếu điều này là không nằm trong dự định của bạn, hãy thực hiện các bước để xác nhận một cuộc tấn công.

c) Cách xác nhận một cuộc tấn công

Nếu bạn có một hoặc nhiều phiên bản IOC được liệt kê ở trên, bạn cần điều tra thêm để khẳng định cuộc tấn công đã xảy ra. Bạn có thể sử dụng bất kỳ phương pháp nào trong ba phương pháp này để xác nhận cuộc tấn công.

 

  • Các ứng dụng kiểm kê và quyền truy cập của chúng bằng cách sử dụng cổng thông tin Azure Active Directory. Phương pháp này rất chi tiết, nhưng bạn chỉ có thể kiểm tra một người dùng một lần có thể rất tốn thời gian nếu bạn phải kiểm tra nhiều người dùng khác.
  • Các ứng dụng kiểm kê và quyền truy cập của chúng bằng PowerShell. Đây là phương pháp nhanh nhất và kỹ lưỡng nhất, với số lượng chi phí ít nhất.
  • Yêu cầu người dùng của bạn kiểm tra riêng các ứng dụng và quyền truy cập của họ và báo cáo lại kết quả cho quản trị viên để khắc phục.

d) Inventory apps có quyền truy cập trong tổ chức của bạn

Bạn có thể thực hiện việc này cho người dùng của mình bằng Cổng thông tin Azure Active Directory hoặc PowerShell hoặc để người dùng của bạn liệt kê riêng quyền truy cập ứng dụng của họ.

Các bước để sử dụng Cổng thông tin Azure Active Directory

Bạn có thể tra cứu các ứng dụng mà bất kỳ người dùng cá nhân nào cũng đã cấp quyền bằng cách sử dụng Cổng thông tin Azure Active Directory.

  1. Đăng nhập vào Cổng thông tin Azure với quyền quản trị.
  2. Chọn Azure Active Directory.
  3. Chọn Users.
  4. Chọn người dùng mà bạn muốn xem xét.
  5. Chọn Ứng dụng.

Các bước để người dùng của bạn liệt kê quyền truy cập ứng dụng của họ

Yêu cầu người dùng của bạn truy cập https://myapps.microsoft.com và xem lại quyền truy cập ứng dụng của riêng họ ở đó. Họ có thể thấy tất cả các ứng dụng có quyền truy cập, xem chi tiết về chúng (bao gồm cả phạm vi truy cập) và có thể thu hồi các đặc quyền đối với các ứng dụng đáng ngờ hoặc bất hợp pháp.

Các bước để thực hiện việc này với PowerShell

Cách đơn giản nhất để xác minh cuộc tấn công cấp quyền bất hợp pháp là chạy Get-AzureADPSPermissions.ps1, sẽ chuyển tất cả các khoản trợ cấp đồng ý OAuth và ứng dụng OAuth cho tất cả người dùng của bạn vào một tệp .csv.

  1. Đăng nhập vào máy tính mà bạn sẽ chạy script từ với quyền quản trị địa phương.
  2. Tải xuống hoặc sao chép tập lệnh Get-AzureADPSPermissions.ps1 từ GitHub vào thư mục mà bạn sẽ chạy scruipt. Đây sẽ là cùng một thư mục mà đầu ra “permissions.csv” tập tin sẽ được ghi.
  3. Mở phiên bản PowerShell với tư cách quản trị viên và mở thư mục bạn đã lưu tập lệnh.
  4. Kết nối với thư mục của bạn bằng lệnh ghép ngắn Connect-AzureAD.
  5. Chạy dòng lệnh PowerShell này như sau: Get-AzureADPSPermissions.ps1 | Export csv -path “Permissions.csv” – NoTypeInformation

e) Xác định phạm vi của cuộc tấn công

Sau khi bạn đã hoàn tất quyền truy cập ứng dụng kiểm kê, hãy xem lại nhật ký giám sát Office 365 để xác định phạm vi vi phạm đầy đủ. Tìm kiếm trên người dùng bị ảnh hưởng, các khung thời gian mà ứng dụng bất hợp pháp có quyền truy cập vào tổ chức của bạn và các quyền mà ứng dụng có. Bạn có thể tìm kiếm nhật ký giám sát trong Trung tâm tuân thủ và bảo mật của Microsoft 365.

f) Làm thế nào để ngăn chặn và khắc phục một cuộc tấn công cấp phép bất hợp pháp

Sau khi bạn đã xác định một ứng dụng có quyền bất hợp pháp, bạn có một số cách để xóa quyền truy cập đó.

Bạn có thể thu hồi quyền của ứng dụng trong Cổng thông tin Azure Active Directory bằng cách:

  1. Điều hướng đến người dùng bị ảnh hưởng trong Azure Active Directory User.
  2. Chọn Ứng dụng.
  3. Chọn ứng dụng bất hợp pháp.
  4. Nhấp vào Xóa.

Bạn cũng có thể vô hiệu hóa đăng nhập hoàn toàn cho tài khoản bị ảnh hưởng, điều này sẽ lần lượt vô hiệu hóa quyền truy cập ứng dụng vào dữ liệu trong tài khoản đó. Tất nhiên, điều này không lý tưởng cho năng suất của người dùng cuối, nhưng nếu bạn đang làm việc để hạn chế tác động nhanh chóng, thì đó có thể là một biện pháp khắc phục ngắn hạn khả thi.

Bạn có thể tắt các ứng dụng tích hợp của bạn. Đây là một bước quyết liệt, vô hiệu hóa khả năng người dùng cuối có thể đồng ý trên cơ sở toàn diện của tenant. Điều này ngăn người dùng của bạn vô tình cấp quyền truy cập vào một ứng dụng độc hại. Điều này không được khuyến khích mạnh mẽ vì nó làm suy yếu nghiêm trọng khả năng làm việc của người dùng với các ứng dụng của bên thứ ba. Bạn có thể làm điều này bằng cách làm theo các bước trong Bật hoặc tắt Ứng dụng tích hợp.

2.2. Phát hiện và khắc phục các hình thức tấn công dựa vào các quy tắc và biểu mẫu tùy chỉnh Outlook trong Office 365

a) Tấn công tiêm các quy tắc và biểu mẫu tùy chỉnh trong Outlook là gì?

Sau khi kẻ tấn công đã xâm phạm tài khoản của bạn và xâm nhập, họ sẽ cố gắng tìm cách để ở lại hoặc để quay lại sau khi chúng bị phát hiện và xóa. Điều này được gọi là “thiết lập một cơ chế kiên trì”. Hai cách mà họ có thể làm điều này là bằng cách khai thác các quy tắc Outlook hoặc bằng cách “tiêm” các biểu mẫu tùy chỉnh vào Outlook. Trong cả hai trường hợp, quy tắc hoặc biểu mẫu được đồng bộ hóa từ dịch vụ đám mây xuống máy khách để bàn, do đó, định dạng đầy đủ và bản cài đặt lại phần mềm máy sẽ không loại trừ cơ chế tiêm này. Điều này là do khi phần mềm máy khách Outlook kết nối lại với hộp thư trong đám mây, nó sẽ tải xuống lại các quy tắc và biểu mẫu từ đám mây. Khi các quy tắc và biểu mẫu được đặt ra, kẻ tấn công sử dụng chúng để thực thi mã từ xa hoặc mã tùy chỉnh, thường là để cài đặt phần mềm độc hại trên máy cục bộ. Phần mềm độc hại sau đó đánh cắp thông tin đăng nhập hoặc thực hiện các hoạt động bất hợp pháp khác. Tin tốt ở đây là nếu bạn giữ cho máy khách của mình được cập nhật phiên bản mới nhất, bạn sẽ ít bị đe dọa vì máy khách Outlook hiện tại mặc định chặn cả hai cơ chế.

Các cuộc tấn công thường theo các mẫu sau:

Các trường hợp lợi dụng quy tắc

  • Kẻ tấn công đánh cắp tên người dùng và mật khẩu của một trong những người dùng của bạn.
  • Kẻ tấn công sau đó đăng nhập vào hộp thư Exchange của người dùng đó. Hộp thư có thể ở Exchange trực tuyến hoặc tại Exchange on-premises.
  • Kẻ tấn công sau đó tạo quy tắc chuyển tiếp trong hộp thư được kích hoạt khi hộp thư nhận được email phù hợp với tiêu chí của quy tắc. Các tiêu chí của quy tắc và nội dung của email kích hoạt được thiết kế riêng cho nhau.
  • Kẻ tấn công gửi email kích hoạt cho người dùng đang sử dụng hộp thư của họ một cách bình thường.
  • Khi email được nhận, quy tắc được kích hoạt. Hành động của quy tắc thường là khởi chạy một ứng dụng trên máy chủ từ xa (WebDAV).
  • Ứng dụng này thường cài đặt phần mềm độc hại, chẳng hạn như Powershell Empire, cục bộ trên máy tính của người dùng.
  • Phần mềm độc hại cho phép kẻ tấn công đánh cắp lại tên người dùng và mật khẩu của người dùng hoặc thông tin đăng nhập khác từ máy cục bộ và thực hiện các hoạt động độc hại khác.

Các trường hợp lợi dụng biểu mẫu

  • Kẻ tấn công đánh cắp tên người dùng và mật khẩu của một trong những người dùng của bạn.
  • Kẻ tấn công sau đó đăng nhập vào hộp thư Exchange của người dùng đó. Hộp thư có thể ở Exchange trực tuyến hoặc tại Exchange on-premises.
  • Kẻ tấn công sau đó tạo một mẫu biểu mẫu thư tùy chỉnh và chèn nó vào hộp thư người dùng. Biểu mẫu tùy chỉnh được kích hoạt khi hộp thư nhận được email yêu cầu hộp thư tải biểu mẫu tùy chỉnh. Các hình thức tùy chỉnh và định dạng của email được thiết kế riêng cho nhau.
  • Kẻ tấn công gửi email kích hoạt cho người dùng, người đang sử dụng hộp thư của họ bình thường.
  • Khi email được nhận, biểu mẫu được tải. Biểu mẫu khởi chạy một ứng dụng trên máy chủ từ xa (WebDAV).
  • Ứng dụng này thường cài đặt phần mềm độc hại, chẳng hạn như Powershell Empire, cục bộ trên máy tính của người dùng.
  • Phần mềm độc hại cho phép kẻ tấn công đánh cắp lại tên người dùng và mật khẩu của người dùng hoặc thông tin đăng nhập khác từ máy cục bộ và thực hiện các hoạt động độc hại khác.

b) Tấn công tiêm các quy tắc và biểu mẫu tùy chỉnh xảy ra như thế nào trong Office 365?

Những cơ chế kiên trì này khó có thể được người dùng của bạn chú ý và trong một số trường hợp thậm chí có thể vô hình với họ. Bài viết này cho bạn biết làm thế nào để tìm kiếm bất kỳ trong bảy dấu hiệu bị đột nhập (Indicators of Compromise) được liệt kê dưới đây. Nếu bạn tìm thấy dấu hiệu nào trong số này, bạn cần phải thực hiện các bước khắc phục.

Dấu hiệu xâm phạm liên quan đến Quy tắc:

Quy tắc hành động là bắt đầu một ứng dụng.

Quy tắc Tham chiếu EXE, ZIP hoặc URL.

Trên máy cục bộ, hãy tìm quy trình mới bắt đầu từ Outlook PID.

Dấu hiệu xâm phạm liên quan đến biểu mẫu tùy chỉnh:

Biểu mẫu tùy chỉnh được lưu dưới dạng lớp tin nhắn của riêng họ.

Lớp thông báo chứa mã thực thi.

Thường được lưu trữ trong thư mục Mẫu cá nhân hoặc Thư mục Hộp thư đến.

Biểu mẫu được đặt tên IPM.Note.[Tên tùy chỉnh].

c) Các bước để tìm dấu hiệu của cuộc tấn công này và xác nhận nó

Bạn có thể sử dụng một trong hai phương pháp này để xác nhận cuộc tấn công.

  • Kiểm tra thủ công các quy tắc và biểu mẫu cho mỗi hộp thư bằng ứng dụng khách Outlook. Phương pháp này rất kỹ lưỡng, nhưng bạn chỉ có thể kiểm tra người dùng hộp thư tại một thời điểm có thể rất tốn thời gian nếu bạn có nhiều người dùng để kiểm tra. Nó cũng có thể dẫn đến vi phạm máy tính mà bạn đang chạy kiểm tra.
  • Sử dụng tập lệnh PowerShell Get-AllTenantRulesAndForms.ps1 để tự động kết xuất tất cả các quy tắc chuyển tiếp thư và biểu mẫu tùy chỉnh cho tất cả người dùng trong hợp đồng của bạn. Đây là phương pháp nhanh nhất và an toàn nhất với ít chi phí nhất.

Xác nhận quy tắc tấn công bằng ứng dụng khách Outlook

  1. Mở ứng dụng khách Outlook với tư cách là người dùng. Người dùng có thể cần sự giúp đỡ của bạn trong việc kiểm tra các quy tắc trên hộp thư của họ.
  2. Tham khảo Quản lý thư email bằng cách sử dụng bài viết quy tắc để biết quy trình về cách mở giao diện quy tắc trong các phiên bản Outlook 2007, 2010 hoặc 2013.
  3. Tìm kiếm các quy tắc mà người dùng không tạo ra, hoặc bất kỳ quy tắc hoặc quy tắc bất ngờ nào có tên đáng ngờ.
  4. Xem trong mô tả quy tắc cho các hành động quy tắc bắt đầu và ứng dụng hoặc tham khảo tệp .EXE, .ZIP hoặc để khởi chạy URL.
  5. Tìm kiếm bất kỳ quy trình mới nào bắt đầu sử dụng ID quy trình Outlook. Tham khảo Tìm ID quy trình.

d) Cách ngăn chặn và khắc phục cuộc tấn công Biểu mẫu và Quy tắc Outlook

Nếu bạn tìm thấy bất kỳ bằng chứng nào về một trong những cuộc tấn công này, việc khắc phục rất đơn giản, chỉ cần xóa quy tắc hoặc biểu mẫu khỏi hộp thư. Bạn có thể thực hiện việc này với ứng dụng khách Outlook hoặc sử dụng PowerShell từ xa để xóa quy tắc.

Sử dụng Outlook

Xác định tất cả các thiết bị mà người dùng đã sử dụng với Outlook. Tất cả chúng sẽ cần được làm sạch phần mềm độc hại tiềm năng. Không cho phép người dùng đăng nhập và sử dụng email cho đến khi tất cả các thiết bị được làm sạch.

Thực hiện theo các bước trong Xóa quy tắc cho từng thiết bị.

Nếu bạn không chắc chắn về sự hiện diện của phần mềm độc hại khác, bạn có thể định dạng và cài đặt lại tất cả phần mềm trên thiết bị. Đối với thiết bị di động, bạn có thể làm theo các bước của nhà sản xuất để đặt lại thiết bị về hình ảnh của nhà máy.

Cài đặt các phiên bản cập nhật nhất của Outlook. Hãy nhớ rằng phiên bản hiện tại của Outlook chặn cả hai loại tấn công này theo mặc định.

Khi tất cả các bản sao ngoại tuyến của hộp thư đã bị xóa, hãy đặt lại mật khẩu của người dùng (sử dụng mật khẩu chất lượng cao) và làm theo các bước trong Cài đặt xác thực đa yếu tố cho người dùng Office 365 nếu MFA chưa được bật. Điều này đảm bảo rằng thông tin đăng nhập của người dùng không bị lộ thông qua các phương tiện khác (như sử dụng lại lừa đảo hoặc sử dụng lại mật khẩu).

Sử dụng PowerShell

Có hai lệnh ghép ngắn PowerShell từ xa mà bạn có thể sử dụng để xóa hoặc tắt các quy tắc nguy hiểm. Chỉ cần làm theo các bước.

Các bước cho hộp thư trên máy chủ Exchange

Kết nối với máy chủ Exchange bằng PowerShell từ xa. Làm theo các bước trong Kết nối với máy chủ Exchange bằng PowerShell từ xa.

Nếu bạn muốn xóa hoàn toàn một quy tắc, nhiều quy tắc hoặc tất cả quy tắc khỏi hộp thư, hãy sử dụng lệnh ghép ngắn Quy tắc loại bỏ hộp thư đến – sử dụng công cụ này để xóa hoàn toàn một, nhiều hoặc tất cả quy tắc khỏi hộp thư.

Nếu bạn muốn giữ lại quy tắc và nội dung của nó để điều tra thêm, hãy sử dụng lệnh ghép ngắn Disable-InboxRule.

Các bước cho hộp thư trong Exchange Online

Làm theo các bước trong Kết nối với Exchange Online bằng PowerShell.

Nếu bạn muốn xóa hoàn toàn một quy tắc, nhiều quy tắc hoặc tất cả các quy tắc khỏi hộp thư, hãy sử dụng lệnh ghép ngắn Quy tắc loại bỏ hộp thư đến.

Nếu bạn muốn giữ lại quy tắc và nội dung của nó để điều tra thêm, hãy sử dụng lệnh ghép ngắn Disable-InboxRule.

e) Làm thế nào để giảm thiểu các cuộc tấn công trong tương lai

Thứ nhất: bảo vệ tài khoản của bạn

Các khai thác Quy tắc và Biểu mẫu chỉ được sử dụng bởi kẻ tấn công sau khi chúng bị đánh cắp hoặc xâm phạm một trong các tài khoản người dùng của bạn. Vì vậy, bước đầu tiên của bạn để ngăn chặn việc sử dụng các khai thác này đối với tổ chức của bạn là bảo vệ mạnh mẽ các tài khoản người dùng của bạn. Một số cách phổ biến nhất mà tài khoản bị vi phạm là thông qua các cuộc tấn công lừa đảo hoặc rò rỉ mật khẩu.

Thứ hai: Update Máy khách Outlook của bạn

Các phiên bản được cập nhật và sữa lỗi đầy đủ của Outlook 2013 và 2016 vô hiệu hóa hành động quy tắc/biểu mẫu “Bắt đầu ứng dụng” theo mặc định. Điều này sẽ đảm bảo rằng, ngay cả khi kẻ tấn công vi phạm tài khoản, các hành động này sẽ bị chặn. Bạn có thể cài đặt các bản cập nhật và bản sữa lỗi bảo mật mới nhất bằng cách làm theo các bước trong Cài đặt bản cập nhật Office.

Dưới đây là các phiên bản vá cho máy khách Outlook 2013 và 2016 của bạn:

Outlook 2013: 15.0.4937.1000 trở lên

Outlook 2016: 16.0.4534.1001 trở lên

Thứ ba: Giám sát khách hàng Outlook của bạn

Lưu ý rằng ngay cả với các bản sửa lỗi và bản cập nhật được cài đặt, kẻ tấn công có thể thay đổi cấu hình máy cục bộ để kích hoạt lại hành vi “ Bắt đầu ứng dụng”. Bạn có thể sử dụng Quản lý chính sách nhóm nâng cao để giám sát và thực thi các chính sách máy cục bộ trên máy khách của mình.

3. Ứng phó sự cố – Cách ứng phó với tài khoản email bị đột nhập trong Office 365

3.1. Tài khoản email bị đột nhập trong Office 365 là gì?

Truy cập vào hộp thư, dữ liệu và các dịch vụ khác của Office 365, được kiểm soát thông qua việc sử dụng thông tin đăng nhập, ví dụ như tên người dùng và mật khẩu hoặc mã PIN. Khi ai đó không phải là người dùng dự định đánh cắp những thông tin đó, thông tin bị đánh cắp sẽ bị coi là bị xâm phạm. Với họ, kẻ tấn công có thể đăng nhập với tư cách là người dùng ban đầu và thực hiện các hành động bất hợp pháp. Sử dụng thông tin xác thực bị đánh cắp, kẻ tấn công có thể truy cập hộp thư, thư mục SharePoint hoặc tệp của người dùng trong Office OneDrive của người dùng. Một hành động thường thấy là kẻ tấn công gửi email với tư cách là người dùng ban đầu cho người nhận cả bên trong và bên ngoài tổ chức. Khi kẻ tấn công gửi email dữ liệu cho người nhận bên ngoài, điều này được gọi là lọc dữ liệu.

3.2. Các triệu chứng của tài khoản email Office 365 bị đột nhập

Người dùng có thể nhận thấy và báo cáo hoạt động bất thường trong hộp thư Office 365 của họ. Dưới đây là một số dấu hiệu phổ biến:

  • Hoạt động đáng ngờ, chẳng hạn như email bị thiếu hoặc bị xóa.
  • Những người dùng khác có thể nhận email từ tài khoản bị xâm nhập mà không có email tương ứng tồn tại trong thư mục Mục đã gửi của người gửi.
  • Sự hiện diện của các quy tắc hộp thư đến không được tạo bởi người dùng dự định hoặc quản trị viên. Các quy tắc này có thể tự động chuyển tiếp email đến các địa chỉ không xác định hoặc di chuyển chúng đến các thư mục Ghi chú, Email rác hoặc Đăng ký RSS.
  • Tên hiển thị của người dùng có thể được thay đổi trong Danh sách địa chỉ toàn cầu.
  • Hộp thư của người dùng bị chặn gửi email.
  • Các thư mục Mục đã gửi hoặc đã xóa trong Microsoft Outlook hoặc Outlook trên web (trước đây gọi là Outlook Web App) chứa các tin nhắn tài khoản bị hack phổ biến, chẳng hạn như “Tôi bị kẹt ở Luân Đôn, hãy gửi tiền”.
  • Thay đổi hồ sơ bất thường, chẳng hạn như tên, số điện thoại hoặc mã bưu chính đã được cập nhật.
  • Thay đổi thông tin bất thường, chẳng hạn như nhiều thay đổi mật khẩu được yêu cầu.
  • Chuyển tiếp thư đã được thêm gần đây.
  • Một chữ ký bất thường gần đây đã được thêm vào, chẳng hạn như chữ ký ngân hàng giả hoặc chữ ký thuốc theo toa.

Nếu người dùng báo cáo bất kỳ dấu hiệu nào ở trên, bạn nên thực hiện điều tra thêm. Trung tâm tuân thủ & bảo mật Microsoft 365 và Cổng thông tin Azure cung cấp các công cụ để giúp bạn điều tra hoạt động của tài khoản người dùng mà bạn nghi ngờ có thể bị xâm phạm.

  • Nhật ký giám sát hợp nhất Office 365 trong Trung tâm tuân thủ & bảo mật – Xem lại tất cả các hoạt động cho tài khoản bị nghi ngờ bằng cách lọc kết quả cho phạm vi ngày kéo dài ngay lập tức trước khi hoạt động đáng ngờ xảy ra cho đến ngày hiện tại. Không lọc các hoạt động trong quá trình tìm kiếm.
  • Sử dụng nhật ký đăng nhập Azure AD và các báo cáo rủi ro khác có sẵn trong cổng thông tin Azure AD. Kiểm tra các giá trị trong các cột này:
    • Xem lại địa chỉ IP
    • địa điểm đăng nhập
    • lần đăng nhập
    • đăng nhập thành công hay thất bại

3.3. Cách bảo mật và khôi phục chức năng email cho tài khoản và hộp thư Office 365 bị nghi ngờ bị xâm nhập

Ngay cả sau khi bạn đã lấy lại quyền truy cập vào tài khoản của bạn, những kẻ tấn công có thể đã thêm mục back-door cho phép kẻ tấn công để tiếp tục kiểm soát tài khoản.

Bạn phải thực hiện tất cả các bước sau để lấy lại quyền truy cập vào tài khoản của mình càng sớm càng tốt để đảm bảo rằng kẻ tấn công không tiếp tục kiểm soát tài khoản của bạn. Các bước này giúp bạn xóa mọi mục nhập cửa sau mà không tặc có thể đã thêm vào tài khoản của bạn. Sau khi bạn thực hiện các bước này, chúng tôi khuyên bạn nên chạy quét vi-rút để đảm bảo rằng máy tính của bạn không bị xâm nhập.

Bước 1: Đặt lại mật khẩu người dùng

Thực hiện theo Đặt lại mật khẩu doanh nghiệp Office 365 cho người khác làm thủ tục trong Quản trị viên: Đặt lại mật khẩu doanh nghiệp Office 365

Ghi chú:

  • Đảm bảo rằng mật khẩu mạnh và nó chứa chữ hoa và chữ thường, ít nhất một số và ít nhất một ký tự đặc biệt.
  • Đừng sử dụng lại bất kỳ mật khẩu nào trong năm mật khẩu cuối cùng của bạn. Mặc dù yêu cầu lịch sử mật khẩu cho phép bạn sử dụng lại mật khẩu gần đây hơn, bạn nên chọn thứ gì đó mà kẻ tấn công không thể đoán được.
  • Nếu danh tính tại chỗ của bạn được liên kết với Office 365, bạn phải thay đổi mật khẩu tại chỗ và sau đó bạn phải thông báo cho quản trị viên của mình về sự xâm nhập.

Bước 2 Xóa địa chỉ chuyển tiếp email đáng ngờ

  1. Mở trung tâm quản trị Microsoft 365> Người dùng hoạt động.
  2. Tìm tài khoản người dùng trong câu hỏi và mở rộng Cài đặt thư.
  3. Để chuyển tiếp Email, nhấp vào Chỉnh sửa.
  4. Xóa mọi địa chỉ chuyển tiếp đáng ngờ.

Bước 3 Vô hiệu hóa mọi quy tắc hộp thư đến đáng ngờ

  1. Đăng nhập vào hộp thư của người dùng bằng Outlook trên web.
  2. Nhấp vào biểu tượng bánh răng và nhấp Thư.
  3. Nhấp vào Hộp thư đến và quét quy tắc và xem lại quy tắc.
  4. Vô hiệu hóa hoặc xóa các quy tắc đáng ngờ.

Bước 4 Bỏ chặn người dùng gửi thư

Nếu hộp thư bị nghi ngờ bị xâm phạm đã được sử dụng bất hợp pháp để gửi email spam, có khả năng hộp thư đã bị chặn gửi thư.

Để bỏ chặn hộp thư gửi thư, hãy làm theo các quy trình trong Xóa người dùng, tên miền hoặc Địa chỉ IP khỏi danh sách chặn sau khi gửi email spam.

Bước 5 Tùy chọn: Chặn tài khoản người dùng đăng nhập

Bước 6 Tùy chọn: Xóa tài khoản bị nghi ngờ bị xâm nhập khỏi tất cả các nhóm vai trò quản trị

Bước 7 Tùy chọn: Các bước phòng ngừa bổ sung

4. Bảo mật Office 365 như một chuyên gia an ninh mạng

Đăng ký Office 365 của bạn đi kèm với một bộ khả năng bảo mật mạnh mẽ mà bạn có thể sử dụng để bảo vệ dữ liệu của mình và người dùng. Sử dụng lộ trình bảo mật Office 365: Ưu tiên hàng đầu trong 30 ngày đầu tiên, 90 ngày và hơn thế nữa để triển khai các thực tiễn tốt nhất được Microsoft khuyến nghị để bảo vệ người dùng Office 365 của bạn.

  • Nhiệm vụ phải hoàn thành trong 30 ngày đầu tiên. Những điều này có ảnh hưởng ngay lập tức và tác động thấp đến người dùng của bạn.
  • Nhiệm vụ phải hoàn thành trong 90 ngày. Việc này cần thêm một chút thời gian để lập kế hoạch và thực hiện nhưng cải thiện đáng kể tư thế bảo mật của bạn.
  • Ngoài 90 ngày. Những cải tiến này được xây dựng trong 90 ngày làm việc đầu tiên của bạn.

Bài viết thuộc về: Office365vietnam.info

Ý kiến của bạn:

This site uses Akismet to reduce spam. Learn how your comment data is processed.