Zero Trust: nikad ne vjeruj, uvijek provjeri
Zero Trust znači nikad ne vjeruj, uvijek provjeri: saznajte principe, mikrosegmentaciju, MFA i kako vaša firma realno kr
Pročitaj
Microsoft 365 sigurnost ne dolazi automatski s pretplatom: M365 je u zadanim postavkama otvoren i koristan, ali ne i tvrd. Da biste zaštitili poštu, datoteke i identitete u Exchange Onlineu, SharePointu, OneDriveu i Teamsu, treba uključiti višefaktorsku autentifikaciju, postaviti Conditional Access pravila, otvrdnuti zadane postavke, uvesti DLP, osigurati neovisan backup i postaviti nadzor. U nastavku objašnjavamo kako to napraviti konkretno, redom kojim ima smisla, i gdje su najčešće greške koje vidimo kod firmi u regiji.
Naše rješenje
Cyber zaštita za firme - zaštita cloud i IT okruženja. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Zašto je Microsoft 365 sigurnost danas prioritet
Za većinu firmi u BiH, Hrvatskoj i Srbiji M365 je postao centralno mjesto poslovanja: tu je pošta, ugovori, ponude, financije, komunikacija s klijentima. Upravo zato je i prva meta napadača. Kompromitacija jednog korisničkog računa danas ne znači samo neugodnost, nego može značiti prevaru s plaćanjem (tzv. payment fraud / promjena IBAN-a u fakturi), curenje podataka i prekid rada.
Problem je u tome što velika većina incidenata ne počinje sofisticiranim hakiranjem, nego s tri vrlo banalne stvari: phishingom, slabim ili ponovljenim lozinkama i prekomjernim dijeljenjem datoteka. Dobra vijest je da se sve tri mogu drastično smanjiti postavkama koje su već uključene u licencama koje firme ionako plaćaju.
Tri rizika koja čine većinu incidenata
- Phishing i preuzimanje računa. Lažna stranica za prijavu pokupi lozinku, a sve češće i napredniji napadi (adversary-in-the-middle) ukradu i sesijski token, čime zaobiđu običan MFA.
- Slabe i ponovljene lozinke. Ista lozinka kao na privatnom servisu koji je procurio znači da napadač samo proba kombinaciju (credential stuffing) i uđe.
- Prekomjerno dijeljenje. Datoteke i mape podijeljene linkom Anyone with the link, vanjski gosti u Teams kanalima, javni SharePoint sajtovi: podaci iscure i bez ijednog napada.
MFA i Conditional Access: temelj zaštite
Ako biste napravili samo jednu stvar, neka to bude višefaktorska autentifikacija (MFA) za sve korisnike, bez iznimke. MFA blokira ogromnu većinu napada na lozinke jer ukradena lozinka više nije dovoljna. Ali bitan je i način na koji se uvodi.
Preporuka je koristiti aplikaciju Microsoft Authenticator (push odobravanje ili kod), a ne SMS, jer je SMS ranjiv na presretanje i zamjenu SIM-a. Za administratore i osjetljive uloge razmislite o phishing-otpornim metodama (FIDO2 ključevi ili Windows Hello), koje napadač ne može prevariti čak ni s lažnom stranicom.
MFA pojačava Conditional Access (uvjetni pristup), koji odlučuje tko, odakle i s kojeg uređaja smije pristupiti. Time se MFA traži pametno (npr. samo s nepoznatih lokacija ili rizičnih prijava), a ne stalno, što korisnike ne živcira i ne tjera na zaobilaženje pravila.
Konkretna Conditional Access pravila za početak
- Zahtijevaj MFA za sve korisnike, uz blokadu zastarjelih (legacy) protokola autentifikacije koji MFA ne podržavaju.
- Blokiraj ili dodatno provjeri prijave iz zemalja iz kojih firma nikada ne radi.
- Traži usklađen (compliant) ili upravljani uređaj za pristup osjetljivim podacima.
- Pojačaj zaštitu za administratorske račune: zasebni admin računi, MFA bez iznimke, po mogućnosti phishing-otporni faktor.
- Ograniči ili kontroliraj pristup s neupravljanih, privatnih uređaja (npr. samo web, bez preuzimanja datoteka).
Važno upozorenje: Conditional Access pravila uvijek prvo testirajte na manjoj grupi i zadržite jedan break-glass (rezervni) administratorski račun izuzet iz pravila, da se ne zaključate iz vlastitog tenanta.
Hardening: otvrdnjavanje zadanih postavki M365
M365 u zadanim postavkama prioritizira jednostavnost, ne sigurnost. Otvrdnjavanje znači zatvoriti ono što vam ne treba. Najvažnije točke:
- Onemogućite legacy autentifikaciju (POP, IMAP, basic auth) ako je ne koristite, jer je glavni put za zaobilaženje MFA-a.
- Ograničite samostalnu registraciju aplikacija i OAuth pristanke. Lažne aplikacije koje traže pristup pošti su sve češći vektor; neka odobravanje ide preko administratora.
- Postavite pravila protiv vanjske prevare: upozorenja na e-mailove izvana, blokiranje automatskog prosljeđivanja pošte na vanjske adrese (čest trag kompromitacije).
- Pooštrite dijeljenje u SharePointu i OneDriveu: zadano na firmu ili imenovane goste, isključite Anyone linkove ili im stavite rok trajanja.
- Uredite goste u Teamsu i Entra ID-u: tko ih smije pozivati, koliko traju, i redovito čistite stare.
- Pratite Microsoft Secure Score kao mjerljiv pokazatelj napretka, ali ga ne tretirajte kao cilj sam za sebe.
DLP, backup i nadzor: što kad se nešto ipak dogodi
Prethodni koraci smanjuju vjerojatnost incidenta. Ova tri smanjuju štetu kada se dogodi.
DLP (sprječavanje curenja podataka)
Data Loss Prevention pravila prepoznaju osjetljive podatke (npr. JMBG, brojevi kartica, IBAN-i, ugovori) i sprječavaju njihovo slanje van firme ili upozoravaju korisnika. Počnite s par jasnih pravila u modu upozorenja, pa tek onda blokirajte, da ne zaustavite legitiman posao prvog dana.
Backup: da, i M365 treba backup
Česta i opasna zabluda je da Microsoft čuva sve vaše podatke zauvijek. Microsoft brine o dostupnosti infrastrukture, ali za vaše podatke vrijedi model podijeljene odgovornosti. Ako korisnik (ili napadač) obriše poštu ili datoteke, nakon isteka kratkih zadržavanja podaci su trajno izgubljeni. Ransomware ili otkazani zaposlenik mogu napraviti veliku štetu. Zato preporučujemo neovisan backup Exchangea, SharePointa, OneDrivea i Teamsa kod treće strane, s testiranim vraćanjem podataka.
Nadzor i reagiranje
Sigurnost koju nitko ne gleda je polusigurnost. Uključite revizijske zapise (audit log), pratite rizične prijave i nemoguća putovanja (login iz Mostara pa za 10 minuta iz druge zemlje), neuspjele MFA upite i sumnjiva pravila u pošti. Idealno je da ti signali idu u SOC koji ih prati 24/7 i reagira prije nego što se manji incident pretvori u veliki.
Sažetak: što, čime i koliko hitno
| Mjera | Što rješava | Prioritet |
|---|---|---|
| MFA za sve | Krađa lozinki, preuzimanje računa | Odmah |
| Conditional Access | Rizične prijave, neupravljani uređaji | Odmah |
| Gašenje legacy auth | Zaobilaženje MFA-a | Visok |
| Kontrola dijeljenja | Curenje podataka, vanjski gosti | Visok |
| DLP pravila | Slanje osjetljivih podataka van | Srednji |
| Neovisan backup | Brisanje, ransomware, ljudska greška | Visok |
| Nadzor / SOC | Pravovremeno otkrivanje incidenta | Trajno |
Kako NeoBit pomaže oko Microsoft 365 sigurnosti
U NeoBitu radimo upravo ono što je gore opisano, ali prilagođeno vašoj firmi i bez prekida poslovanja. Krećemo s procjenom stanja vašeg M365 tenanta: pregledamo Secure Score, MFA pokrivenost, Conditional Access, postavke dijeljenja, admin uloge i postojeći backup, pa dobijete jasan izvještaj s prioritetima i konkretnim koracima. Zatim pomažemo s uvođenjem MFA-a i pravila, otvrdnjavanjem, DLP-om i neovisnim backupom, a putem našeg SOC-a možemo preuzeti i nadzor i reagiranje 24/7.
Ako želite znati koliko je vaš Microsoft 365 zapravo izložen i koje su tri stvari koje biste trebali srediti prvo, javite se za besplatnu uvodnu procjenu. Bolje je zatvoriti rupe danas nego objašnjavati incident klijentima sutra.
Često postavljana pitanja
Je li MFA dovoljan za zaštitu Microsoft 365?
MFA je najvažniji pojedinačni korak i blokira veliku većinu napada na lozinke, ali nije dovoljan sam za sebe. Napredniji phishing može ukrasti i sesijski token i tako zaobići obični MFA. Zato MFA treba kombinirati s Conditional Accessom, gašenjem legacy autentifikacije, kontrolom dijeljenja i nadzorom, a za administratore koristiti phishing-otporne metode prijave.
Trebam li poseban backup za Microsoft 365?
Da. Microsoft jamči dostupnost svoje infrastrukture, ali za vaše podatke vrijedi model podijeljene odgovornosti. Obrisana pošta, datoteke ili učinak ransomwarea nakon kratkih zadržavanja postaju trajno nepovratni. Neovisan backup Exchangea, SharePointa, OneDrivea i Teamsa kod treće strane, uz testirano vraćanje, jedini je pouzdan način oporavka.
Što je Conditional Access i treba li ga moja firma?
Conditional Access je skup pravila u Entra ID-u (Azure AD) koji odlučuje tko, odakle i s kojeg uređaja smije pristupiti M365 te kada se traži dodatna provjera. Korisno je za firme svih veličina jer omogućuje da se MFA traži pametno, da se blokiraju rizične prijave i da se osjetljivim podacima pristupa samo s povjerljivih uređaja.
Kako brzo se može poboljšati sigurnost M365?
Osnovne i najučinkovitije mjere, kao što su MFA za sve, gašenje legacy autentifikacije i prva Conditional Access pravila, najčešće se uvedu u nekoliko dana, uz pažljivo testiranje da nikoga ne zaključate. Otvrdnjavanje, DLP i backup dodaju se u sljedećim koracima. NeoBit kroz uvodnu procjenu definira realan plan i redoslijed prema vašem riziku.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Zero Trust: nikad ne vjeruj, uvijek provjeri
