Microsoft je postavil končni datum onemogočanja osnovnega preverjanja pristnosti v Exchange Online, ki je 1. oktober 2022. Novica ni nova, Microsoft je o tem oznanil že septembra 2019. Kaj pa sploh pomeni osnovno preverjanje pristnosti (Basic Auth)?
Aplikacije so vrsto let uporabljale osnovno preverjanje pristnosti za povezovanje na strežnike, storitve in API-je. Osnovno preverjanje pristnosti poenostavljeno pomeni, da aplikacija pošlje uporabniško ime in geslo z vsakim zahtevkom dostopa oziroma vpisa. Slabost pri tem je, da program hrani uporabniško ime in geslo na sami napravi in zato pogosto prihaja do kraj. Dobra stran tega protokola je enostavnost za uporabnika vendar prihaja z večjim tveganjem za krajo dostopnih podatkov. Osnovno preverjanje pristnosti je zastarel IT industrijski standard, ki ga nadomešča moderni način avtentikacije (Modern authenticaion) z multifaktorsko avtentikacijo (MFA). Da je večstopenjska avtentikacija možna, je potrebno blokirati osnovno preverjanje pristnosti in starejše protokole, kot so POP, SMTP, IMAP in MAPI. Ker ne morejo uveljaviti MFA zaradi česar postanejo vstopne točke za napade na vašo organizacijo. Številke o preverjanju pristnosti iz analize prometa Azure Active Directory (Azure AD) so ostre:
- več kot 99 odstotkov napadov z uporabo gesel uporablja stare protokole za avtentikacijo,
- več kot 97 odstotkov napadov preverjanja poverilnic uporablja starejšo avtentikacijo in
- računi Azure AD v organizacijah, ki so onemogočile starejše protokole imajo 67 odstotkov manj možnosti napadov.
Osnovno preverjanje pristnosti ne podpira MFA. Tudi če imate v imeniku omogočeno politiko MFA, lahko napadalec poskusi pridobiti dostop z uporabo starejšega protokola. Najboljši način za zaščito vaše organizacije pred zlonamernimi zahtevami za prijavo je, da se te zahteve v celoti blokirajo. Priporočamo blokiranje starejših protokolov (Legacy protocols) z osnovnim preverjanjem pristnosti s pravilniki dostopa (Azure Conditional Access) in s tem preprečite vhodne napade na organizacijo preko končnih točk. Odstranjevanje osnovnega preverjanja pristnosti bo vplivalo na Outlook za Windows in Mac pri vzpostavljanju povezave s programom Exchange Online. Ta sprememba trenutno vpliva na komercialni Microsoft 365 (Exchange ActiveSync (EAS), IMAP, POP in Remote PowerShell), ne pa na uporabnike storitve za potrošnike Outlook.com. Novejše različice teh izdelkov pa že imajo privzeto omogočeno sodobno preverjanje pristnosti.
Nujen korak k zagotavljanju varnosti je torej vklop sodobnega preverjanja pristnosti in MFA za vse, tudi zunanje uporabnike. Moderni način avtentikacije je krovni izraz za kombinacijo metod preverjanja pristnosti in avtorizacije med odjemalcem (na primer prenosnikom ali telefonom) in strežnikom ter varnostnimi ukrepi, ki temeljijo na pravilnikih dostopa. Pri tem je potrebno biti zelo natančen, za kar je potrebna temeljita analiza, kaj vse v organizaciji še uporablja osnovno preverjanje pristnosti. Na primer, marsikdo ima še veliko Office 2013 namestitev, ki brez nadgradnje ali določenih nastavitev, dela osnovno in ne moderno preverjanje pristnosti.
Na tem delu izpostavljamo še eno najavo, konec podpore za Office 2013 in Exchange Server 2013, ki je predvidena za 11. april 2023. V to so zajeti vsi Izdelki Microsoft Office 2013 in nekateri strežniki iz te družine. Več informacij glede Office 2013 je na voljo tu, za Exchange Server 2013 pa na tej objavi. Po tem datumu navedeni programi ne bodo več prejemali varnostnih posodobitev, posodobitev, ki niso varnostne, odpravljenih napak, tehnične podpore ali posodobitev spletnih tehničnih vsebin.
Za organizacije je pomembno razmisliti še o uvedbi pristopa ničelnega zaupanja oziroma »Zero Trust«, ki temelji na principu nikoli ne zaupaj, vedno preveri oziroma »Never Trust, Always Verify«. V sredini je načelo, da ima vsak uporabnik najmanjše možno pravic dostopa do preko poenostavljenega natančnega nadzora dostopa do dragocenih podatkov, sredstev, aplikacij in storitev omrežja.
Vse omenjeno se morda zdi zapleteno. Vendar je Zero Trust zasnovan na obstoječi arhitekturi in običajno ne potrebuje menjave tehnologije. Pomemben je jasen končni cilj nivoja zaščite in postopen pristop k temu. V podjetju SRC imamo veliko izkušenj na področjih svetovanja prehoda na moderno preverjanje pristnosti in vpeljavo varne mobilne aplikacije za preverjanje pristnosti.
