miércoles, 3 de junio de 2020

Reglas básicas de seguridad para Microsoft 365: lucha contra el timo del CEO

Estimados amigos de Inseguros !!!

Seguro que si hablamos del timo del Ceo conoces algún caso más o menos cercano de alguna organización que ha sucumbido a él.

Quizás no por ese nombre, pero el concepto está muy claro. Te envían un correo de una cuenta de algún proveedor o parecida... diciendo que cambies un número de cuenta para hacer un pago... algo similar.


Vamos a realizar un par de ajustes en nuestro Exchange Online para minimizar el impacto o posibilidades de que ocurra.

En primer lugar vamos a crear un flujo de correo sencillo, vamos a alertar a nuestros usuarios cuando llega un correo de otra organización. Esto parece una tontería, pero muchas veces los usuarios se relajan cuando ven un dominio "parecido"al nuestro.

Imagina las posibilidades que te da esto, pero poco a poco.

Ahora vamos a crear otra regla en la que identificamos una o varias palabras sospechosas en el correo, por ejemplo la palabra factura, y vamos a hacer dos cosas, anteponer un asunto que ponga PELIGRO y un mensaje antes del correo que indique que es sospechoso.



Si seguiste el último post sobre conectar por Powershell Microsoft 365, podrás conectarte al Exchange online con Connect-ExchangeOnline  para poder realizar cosas como listar las reglas:


Pero la gracia está en como decíamos en el artículo anterior, usar Powershell para administrar de manera masiva distintos Tenant. Para ellos vamos a exportar el conjunto de reglas, para luego poder importarlas, almacenarlas, etc.  $file = Export-TransportRuleCollection; Set-Content -Path "C:\reglas_empresa_x.xml" -Value $file.FileData -Encoding Byte

El resultado es sencillo:

<?xml version="1.0" encoding="UTF-16" standalone="true"?>

-<rules name="TransportVersioned">


-<rule name="TImo del ceo" format="cmdlet" id="a6963b64-ca84-4bbd-b96b-6dd995c748c8">


-<version requiredMinVersion="15.0.3.0">


-<commandBlock>

-<![CDATA[New-TransportRule -Name 'TImo del ceo' -Comments '
' -Mode Enforce -SubjectOrBodyContainsWords 'factura' -PrependSubject '[PELIGRO].      ' -SetAuditSeverity 'Medium' -ApplyHtmlDisclaimerLocation Prepend -ApplyHtmlDisclaimerFallbackAction Wrap -ApplyHtmlDisclaimerText 'CUIDADO CON ESTE CORREO, tiene elementos que lo hacen sospechoso, en concreto habla de una factura.']]>
</commandBlock>

</version>

</rule>


-<rule name="correo de fuera de la empresa" format="cmdlet" id="b7c84d9f-f74a-4b8d-9bd3-9168fa5e3b74">


-<version requiredMinVersion="15.0.3.0">


-<commandBlock>

-<![CDATA[New-TransportRule -Name 'correo de fuera de la empresa' -Comments '
' -Mode Enforce -FromScope NotInOrganization -SetAuditSeverity 'Medium' -ApplyHtmlDisclaimerLocation Append -ApplyHtmlDisclaimerFallbackAction Wrap -ApplyHtmlDisclaimerText '<<ATENCIÓN, este correo viene de una fuente externa, no olvide las directrices de seguridad de la compañía>>']]>
</commandBlock>

</version>

</rule>

</rules>

La manera de importarlas sería insultantemente sencilla como para documentarlo :-).

Ahora vamos con otro truco. Vamos a jugar con los arrays de valores en Powershell y vamos a crear una regla que por ejemplo, no deje enviar correos a gente de fuera de la organización, con ciertas palabras. Esto se podría usar de muchas maneras, por ejemplo, para detectar fugas de información con ciertas palabras... vamos a ello.


El uso que le des es infinito, por ejemplo, puedes crear una lista de remitentes seguros para el departamento de compras/pagos, en el que previamente se den de alta. Si alguno de los correos que te piden cambios o envían facturas o similar, sin que esté autorizado, puede dar un error... al final la tecnología está al uso de los procesos de la empresa y cada una es un mundo.

Espero que te sirva de ayuda este mini artículo con algunas ideas para fortificar tu Microsoft 365.

Gracias por leerme !!!