Włączenie uwierzytelniania dwuskładnikowego to najczęstsza porada, jaką słyszy firma po pierwszym incydencie. Słusznie, bo MFA blokuje ogromną większość prostych ataków na hasła. Problem w tym, że wiele organizacji na tym poprzestaje i uznaje temat za zamknięty. W realnych sprawach, które prowadzimy, kompromitacja Microsoft 365 następuje mimo włączonego MFA. Nie dlatego, że MFA jest bezużyteczne, tylko dlatego, że jest jednym elementem, a nie całą ochroną.

Jak atakujący omija sam drugi składnik

MFA weryfikuje logowanie w jednym punkcie. Nowoczesny atak celuje obok tego punktu.

  • Phishing z przechwyceniem sesji (AiTM). Atakujący stawia stronę pośredniczącą, która przekazuje Twoje dane i kod do prawdziwego Microsoftu, a w zamian kradnie token sesji. Po zalogowaniu nie potrzebuje już Twojego hasła ani kodu.
  • MFA fatigue. Ofiara dostaje serię próśb o zatwierdzenie w aplikacji, aż zmęczona kliknie zgodę. Metoda banalna, a wciąż skuteczna przy powiadomieniach typu tap.
  • Legacy authentication. Stare protokoły jak IMAP, POP3 czy SMTP AUTH często w ogóle nie obsługują MFA. Jeśli nie są zablokowane, są otwartą furtką.
  • Zgody na złośliwe aplikacje OAuth. Użytkownik klika zgodę dla aplikacji, która potem czyta pocztę i pliki bez żadnego kolejnego logowania.

W większości incydentów na Microsoft 365, które analizowaliśmy, atakujący nie łamał MFA. Wchodził bokiem: przez skradziony token, stary protokół albo zgodę OAuth. Sam drugi składnik tego nie widzi.

Dostęp warunkowy, czyli decyzja zamiast bramki

Dostęp warunkowy (Conditional Access) w Entra ID to warstwa, która zmienia logowanie z pojedynczej bramki w decyzję opartą o kontekst. Zamiast pytać tylko czy znasz hasło i kod, system pyta kto, skąd, z jakiego urządzenia i w jakiej sytuacji się loguje.

Praktyczne polityki, które wdrażamy w pierwszej kolejności:

  1. Blokada legacy authentication dla całej organizacji. To jedna zmiana, która zamyka najczęstszą lukę.
  2. Wymóg zgodnego urządzenia dla dostępu do danych firmowych, na przykład urządzenia zarządzanego w Intune.
  3. Ograniczenia geograficzne i po ryzyku. Logowanie z nietypowego kraju albo o podwyższonym ryzyku wymaga dodatkowej weryfikacji lub jest blokowane.
  4. Odporne na phishing metody MFA dla kont uprzywilejowanych: klucze FIDO2 lub Windows Hello zamiast kodów SMS.

Kluczowa zmiana mentalna: MFA odpowiada na pytanie czy to Ty, dostęp warunkowy na pytanie czy w tych warunkach wolno Ci wejść. Dopiero razem tworzą sensowną barierę.

Entra ID jako fundament tożsamości

W chmurze Microsoft tożsamość jest nowym obwodem sieci. Nie ma już muru firewalla wokół wszystkiego, jest za to konto, które ma dostęp do poczty, plików i aplikacji z dowolnego miejsca. Dlatego porządek w Entra ID decyduje o realnym poziomie bezpieczeństwa.

Na co patrzymy podczas audytu tożsamości:

  • Konta uprzywilejowane. Ilu jest globalnych administratorów, czy używają osobnych kont administracyjnych i czy stosują PIM, czyli nadawanie uprawnień na czas.
  • Konta uśpione i byli pracownicy. Aktywne konto osoby, która odeszła pół roku temu, to gotowy punkt wejścia.
  • Higiena haseł i self-service reset. Wymuszona zmiana słabych haseł oraz kontrolowany proces odzyskiwania dostępu.
  • Rejestracja metod MFA. Czy każdy użytkownik ma zarejestrowaną silną metodę, zanim atakujący zrobi to za niego.

Microsoft Defender, czyli widoczność po zalogowaniu

Nawet najlepsza polityka logowania nie wychwyci wszystkiego. Potrzebna jest warstwa, która obserwuje, co dzieje się już wewnątrz. Microsoft Defender daje tę widoczność w kilku miejscach naraz.

  • Defender for Office 365 filtruje phishing i złośliwe załączniki, zanim trafią do skrzynki, oraz sprawdza linki w momencie kliknięcia.
  • Defender for Cloud Apps wykrywa nietypowe zachowania konta: masowe pobieranie plików, tworzenie reguł przekierowania poczty czy logowania z dwóch odległych lokalizacji w krótkim czasie.
  • Defender for Endpoint łączy sygnały z urządzeń, dzięki czemu przejęte konto na zainfekowanym laptopie zostaje powiązane z realnym zagrożeniem.

Reguła przekierowania poczty założona po cichu na skrzynce zarządu to klasyczny objaw kompromitacji. Sam MFA jej nie zobaczy. Defender tak.

Zarządzanie tożsamością (IAM) jako proces, nie jednorazowa konfiguracja

Bezpieczeństwo Microsoft 365 nie jest stanem, tylko procesem. Zarządzanie tożsamością i dostępem (IAM) oznacza, że dostęp powstaje, zmienia się i wygasa w kontrolowany sposób przez cały cykl życia pracownika.

  • Onboarding. Nowy pracownik dostaje dokładnie te uprawnienia, których potrzebuje, i nic ponad to. Zasada najmniejszych uprawnień od pierwszego dnia.
  • Zmiana roli. Awans lub przejście do innego działu to okazja do odebrania starych uprawnień, a nie tylko dodania nowych.
  • Offboarding. Odejście pracownika to natychmiastowe zablokowanie konta i unieważnienie aktywnych sesji, nie tydzień zwłoki.
  • Przegląd dostępu. Cykliczna rewizja, kto ma dostęp do czego, zwłaszcza do danych wrażliwych i kont współdzielonych.

Te cztery punkty brzmią prosto, ale w firmach bez procesu to właśnie tu narastają luki: konta duchy, uprawnienia po awansach i sesje, które nigdy nie wygasły.

Od czego zacząć

Jeśli masz włączone MFA i chcesz zrobić realny kolejny krok, kolejność jest zwykle taka:

  1. Zablokuj legacy authentication i sprawdź, czy nic po nim nie zostało.
  2. Wdróż podstawowe polityki dostępu warunkowego oparte o urządzenie i ryzyko.
  3. Uporządkuj konta uprzywilejowane i włącz odporne na phishing MFA dla administratorów.
  4. Włącz i skonfiguruj Defender, żeby widzieć, co dzieje się po zalogowaniu.
  5. Ustaw powtarzalny proces IAM dla całego cyklu życia pracownika.

MFA to fundament, a nie dach. Jeśli chcesz, żeby firmowy Microsoft 365 był odporny na dzisiejsze ataki, pomożemy poukładać całość: od wdrożenia Microsoft 365 po konfigurację tożsamości i ochrony. Zacznij od rozmowy o tym, co dziś faktycznie chroni Twoje konta, a co tylko wygląda na ochronę.