(For Admins) Secure Score คืออะไร ??? (แถมด้วย Office 365 Compliance Checklists)

Content difficulty — Technical

Cloud computing ไม่ได้ทำให้ IT ตกงาน !!! เพราะไม่ได้หมายความว่าระบบต่างๆ จะถูกผลักภาระให้ Service Provider อย่างเดียว ความเข้าใจระบบการใช้งาน เพื่อ educate คนในองค์กร รวมถึงการ setup & monitoring ทำให้เกิด IT role ใหม่ๆในฝั่ง cloud อีกด้วย

ใน Office 365 ก็เช่นกัน IT Admin กลับกลายเป็นว่าจะต้องเรียนรู้หลักการบริหารมากกว่าเดิมจากที่ ต้อง Admin แค่ในระบบ server ภายในขององค์กร ในตัว Office 365 เองนั้นก็มี component ใหม่ๆ ที่บางส่วนก็อิงจากของเดิม หรือ บางส่วนนั้นแทบจะต้องเรียนรู้หลักแนวคิดใหม่เลย การใช้ cloud ระดับองค์กร ก็เลยจะต้องมีการวางแผน ทั้งในแง่ Governance, ทำ policy และ Change management ตั้งแต่ระบบของ Admin และ ถ่ายทอด policy ไปสู่ user ในองค์กร

เรื่องความปลอดภัย (Security) ก็เป็นปัจจัยหนึ่งในการ implement ระบบของ Office 365 ซึ่งก็มีหลากหลายจุด เช่น ในระดับภาครวม หรือ แบ่งย่อยไปตาม services ย่อย เช่น Exchange Online, SharePoint Online หรือ Microsoft Teams เป็นต้น ในตัวระบบ Office 365 จึงมีสิ่งที่เรียกว่า “Secure Score” เพื่อมาเป็น Admin guideline เรื่อง security ให้กับ Office 365 ของทั้งองค์กร (Office 365 Tenant)

Secure Score

เป็น feature ที่จะ recommend เรื่องการ setup พื้นฐานในระดับ Tenant level ให้กับ Office 365 Admins เพื่อให้ลดปัญหาที่จะเกิดภายหลัง จะมีการให้คะแนนความปลอดภัยของระบบเราในระดับ Tenant เทียบกับค่าเฉลี่ย (Mean) ของ Office 365 Tenants ทั่วโลก (Global average) ซึ่งทำให้เราตาม Best Practices ได้มากขึ้น

Admin ของ Office 365 role ที่เป็น Global Administrator, Security Administrator และ Security Reader สามารถเข้าได้โดยใช้ credential ของตนเองเพื่อไปดูคะแนน Tenant ของตัวเองได้จาก Admin Center หรือ เข้าได้ง่ายๆจาก https://securescore.office.com/

จากความสามารถของ Graph API ที่ Microsoft พัฒนามา ทำให้องค์กรที่ใช้ Office 365 เห็นภาพรวมของ Cloud Apps ของ Microsoft ที่มาจากฝั่ง Office 365, Security Center จากฝั่ง Microsoft Azure และ Windows Defender Advance Threat Protection ของฝั่ง Windows 10

Graph API ยังเป็นส่วนสำคัญในการที่ให้ Developer สามารถ Integrate ตัว Application ที่ตัวเองเขียนมาใช้ร่วมกับ Office 365 อีกด้วย

สามารถดึงข้อมูล Secure Score เพื่อไป วิเคระห์ต่อ ใน SIEM/CASB tools ตัวอื่นๆ หรือ แม้แต่ Power BI ได้ผ่าน Secure Score API และ PowerShell

Microsoft Secure Score

การเทียบ score กับค่าเฉลี่ยจะเทียบโดยการดูว่า Tenant ของ องค์กรมี active user กี่คน แล้วไปเทียบกับแค่กับ Tenant ที่ขนาดใกล้กัน (similar seat count) ในช่วงดังนี้ 0–5, 6–99, 100–249, 250–999, 1,000–4,999, 5,000–19,999 และ 20,000+ ทำให้สามารถดูว่าเราแข่งกับองค์กรช่วงไหน และยังมีเทียบกับค่าเฉลี่ยทั้งโลก (Global average)

ส่วนอีกค่าเฉลี่ยนึงจะเทียบตามอุตสาหกรรม เรากับ tenant ที่เป็นประเภทเดียวกัน (Industry average) ซึ่งเราต้องไปกำหนดตัวประเภทอุตสาหกรรม กับ region เราก่อนที่ Service Assurance บน Security

ที่ Security & Compliance -> Service assurance -> Settings

ระบบจะโชว์ status ความปลอดภัยในด้านต่างๆ ดังนี้

• Identity: ความปลอดภัยของ credential (username/password การ sign in) ของ user และ user/admin roles ใน Office 365 คือ Azure Active Directory นั่นเอง
• Data: ความปลอดภัยของ Documents ต่างใน Office 365 เช่น ไฟล์แนบใน email หรือ ไฟล์ที่เก็บไว้ใน SharePoint Online หรือ การ audit ต่างๆ
• Devices: ความปลอดภัยของ smart devices ของ user ที่ enroll เพื่อ authenticate เข้ามาใช้ Office 365 ขององค์กร และ data ขององค์กร (ซึ่งหลายๆอันต้องใช้ความสามารถของ Microsoft Intune)
• Apps: ความปลอดภัยของ Cloud app ของเราและ email
• Infrastructure: ความปลอดภัยของ Resource ต่างๆที่ องค์กรสร้างบน Microsoft Azure (บน account ที่เชื่อม tenant กันระหว่าง Office 365 กับ Azure)

Microsoft Intune คือ Mobile Device Management ของ Microsoft มีเอาไว้เพื่อจัดการควบคุม สร้าง policy ให้กับ mobile device ของ users ทั้งที่เป็น iOS, Andriod, PC และ Mac

ซึ่งในส่วนนี้ก็จะมี recommendation ชื่อว่า Improvement actions ให้เราสามารถ ไปปรับจูน Office 365 ขององค์กรเราให้มีความปลอดภัยมากยิ่งขึ้น เพื่อจะพัฒนาคะแนนความปลอดภัยของเรา ซึ่งแต่ละอันบ่งบอกถึงความสำคัญ และ match มาตรฐานไหนของ IT standards เช่น ISO หรือ NIST แต่ทั้งนี้ทั้งนั้นก็จะต้องมีการพิจารณาตามความเหมาะสมกับการใช้งานว่า การที่มี restriction มากไปส่งผลกระทบกับการทำงานของ user มากไปหรือเปล่า?

ซึ่ง Secure score จะมี recommendation ที่ link ไปหน้า setup ในแต่ละอันเลย ไม่ต้องกลับไปหาหน้า setup ในหน้า Admin Center ตามวิธีการปกติ หรือถ้าเรามี solution ของ 3rd party อยู่แล้วในการตอบโจทย์ setup นี้ก็สามารถ คลิก Resolved through third party เพื่อเพิ่มคะแนนได้ หรือจะเลือกปุ่ม Ignore ถ้าคิดว่ายังไม่มีความจำเป็นที่จะต้องมี improvement อันนี้ (คะแนนเต็มที่เราต้องเก็บเพิ่มก็จะลด)

การให้คะแนนก็จะตรงไปตรงมาถ้าทำตามก็จะได้ไป ถ้าบาง improvement ทำแล้วไม่ครอบคลุม user ทั้งหมดก็จะได้คะแนนเปอร์เซ็นต์บางส่วน (partial score) ระบบจะมีการตรวจและ refresh คะแนนรวมให้วันละครั้ง จะมี improvement บางอันที่จะต้องหมั่นตรวจเพื่อรักษาคะแนนเอาไว้ (Improvement นั้นจะมีปุ่มเขียนว่า Review)

Secure score เป็น Guideline เพื่อให้ระบบเรามีความปลอดภัยมากกว่าเดิม แต่คะแนนที่มากไม่ได้จะการันตีว่าระบบเราจะไม่ถูกคุกคาม จึงต้องมีการ monitor และ review สม่ำเสมอ ซึ่งคะแนนมาจากการ set up และ พฤติกรรมของ user ด้วย

มี Description อธิบายความสำคัญ พร้อมทั้ง View Setting เพื่อ link ให้ไปหน้า set up ได้ทันที

สามารถ filter ตามประเภทได้อีกด้วย

5 สิ่งเบื้องต้นที่แนะนำให้ทุกองค์กรทำใน Office 365 tenant

เพื่อความปลอดภัยและเพิ่มตัวคะแนนใน Secure Score สามารถทำได้ดังนี้

1. เปิด Feature ตัว Multi-factor Authentication คลิกที่นี่
2. สร้าง Admin role อื่นๆที่ไม่ใช่ Global Administrator และ delegate สิทธิ (ควรมี Global Administrator มากกว่า 1 คน แต่ไม่ควรเกิน 5 คน) คลิกที่นี่
3. Enable ตัว Mailbox auditing (ตอนนี้ Office 365 Tenant ใหม่ๆ ทำให้อยู่แล้ว by default) คลิกที่นี่
4. Disable auto-mail forwarding ของ user ไปที่ External email ของ domain อื่น คลิกที่นี่
5. มีการ review ในส่วนของ Audit logs, report ของ Mailbox access โดยที่เป็น non-owner และ report ของ Malware detection คลิกที่นี่

Office 365 IT Compliance Checklists

Credits by Manageengine.com

• FISMA checklists คลิกที่นี่
• SOX checklists คลิกที่นี่
• HIPAA checklists คลิกที่นี่
• PCI DSS checklists คลิกที่นี่
• GLBA checklists คลิกที่นี่