CISA merekomendasikan langkah-langkah berikut bagi organisasi untuk memperkuat praktik keamanan cloud mereka.

• Terapkan kebijakan akses bersyarat (CA) berdasarkan kebutuhan organisasi Anda.
• Tetapkan garis dasar untuk aktivitas jaringan normal dalam lingkungan Anda.
• Tinjau secara rutin log masuk Direktori Aktif dan log audit terpadu untuk aktivitas yang tidak wajar.
• Terapkan MFA.
• Tinjau pemberitahuan dan aturan penerusan email buatan pengguna secara rutin, atau batasi penerusan.
• Memiliki rencana atau prosedur mitigasi; memahami kapan, bagaimana, dan mengapa menyetel ulang sandi dan mencabut token sesi.
• Ikuti panduan rekomendasi tentang mengamankan akses istimewa.
• Pertimbangkan kebijakan yang tidak mengizinkan karyawan menggunakan perangkat pribadi untuk bekerja. Minimal gunakan solusi pengelolaan perangkat seluler tepercaya.
• Selesaikan permintaan situs klien internal ke jaringan Anda.
• Pertimbangkan untuk membatasi pengguna agar tidak meneruskan email ke akun di luar domain Anda.
• Izinkan pengguna untuk hanya menyetujui integrasi aplikasi yang telah disetujui sebelumnya oleh administrator.
• Audit aturan email dengan peringatan yang dapat diberlakukan melalui Pusat Keamanan dan Kepatuhan atau alat lain yang menggunakan API Grafik untuk memperingatkan administrator tentang aktivitas abnormal.
• Terapkan MFA untuk semua pengguna, tanpa kecuali.
• Akses bersyarat harus dipahami dan diterapkan dengan pola pikir tanpa kepercayaan.
• Pastikan logging akses pengguna diaktifkan. Meneruskan log ke informasi keamanan dan peralatan manajemen peristiwa untuk agregasi dan pemantauan agar tidak kehilangan visibilitas log di luar periode logging.
• Gunakan kebijakan CA untuk memblokir protokol otentikasi lama.
• Pastikan semua instance mesin virtual berbasis cloud dengan IP publik tidak memiliki port Remote Desktop Protocol (RDP) yang terbuka. Tempatkan sistem apa pun dengan port RDP terbuka di belakang firewall dan minta pengguna menggunakan VPN untuk mengaksesnya melalui firewall.
• Fokus pada kesadaran dan pelatihan. Buat karyawan sadar akan ancaman — seperti penipuan phishing — dan cara penyampaiannya. Selain itu, berikan pelatihan kepada pengguna tentang prinsip dan teknik keamanan informasi serta keseluruhan risiko dan kerentanan keamanan siber yang muncul.
• Buat pelaporan karyawan yang bebas dari kesalahan dan pastikan karyawan mengetahui siapa yang harus dihubungi ketika mereka melihat aktivitas yang mencurigakan atau jika mereka yakin telah menjadi korban serangan cyber. Ini akan memastikan bahwa strategi mitigasi yang mapan dapat diterapkan dengan cepat dan efisien.
• Pastikan produk pemfilteran dan deteksi bawaan yang ada (mis., Untuk spam, phishing, malware, dan lampiran serta tautan yang aman diaktifkan.
• Organisasi yang menggunakan M365 juga harus mempertimbangkan langkah-langkah berikut.

1. Tetapkan beberapa (satu hingga tiga) pengguna tepercaya sebagai manajer penemuan elektronik (atau eDiscovery) untuk melakukan pencarian konten forensik di seluruh lingkungan M365 (Kotak Surat, Teams, SharePoint, dan OneDrive) untuk bukti aktivitas berbahaya.
2. PowerShell dari jarak jauh ke Exchange Online untuk pengguna biasa M365. Penonaktifan untuk pengguna non-administratif akan menurunkan kemungkinan akun pengguna yang disusupi digunakan untuk mengakses konfigurasi penyewa secara terprogram untuk pengintaian.
3. Jangan izinkan upaya login yang tidak berhasil dalam jumlah yang tidak terbatas. Untuk mengonfigurasi pengaturan ini, lihat konfigurasi penguncian cerdas sandi dan laporan aktivitas masuk.
4. Pertimbangkan untuk menggunakan alat seperti Sparrow atau Hawk — alat berbasis PowerShell sumber terbuka yang digunakan untuk mengumpulkan informasi terkait M365 — untuk menyelidiki dan mengaudit gangguan dan potensi pelanggaran.

sumber : US-CERT