Sicurezza Microsoft 365

Nel cloud, la sicurezza non è automatica e non si ottiene una volta per tutte: è un processo continuo di valutazione, adeguamento e monitoraggio.

L’importanza di una Configurazione Corretta nel Cloud Microsoft

Quando attiviamo qualcosa di nuovo, un ambiente cloud, una piattaforma, un sistema, tutto è pronto per funzionare: servizi attivi, accessi abilitati, interfacce disponibili. Ma dobbiamo sempre tener presente che le configurazioni di default privilegiano la rapidità e la semplicità d’uso, non la sicurezza. Ed è che qui si nasconde una superficie d’attacco ampia e vulnerabile.

Nessun cloud è “sicuro by default” – molte impostazioni di sicurezza devono essere abilitate o regolate manualmente per garantire una protezione adeguata. Microsoft 365 offre centinaia di parametri di sicurezza configurabili (oltre 200 secondo i benchmark di CISA), che coprono identità (Azure Active Directory), posta elettronica (Exchange Online), collaborazione (Teams, SharePoint/OneDrive) ecc.

Opzioni che danno flessibilità e potenza, ma rappresentano anche 200+ possibili punti di fallimento se non impostati a dovere.

Molte organizzazioni cadono nell’errore di credere che le impostazioni predefinite siano sufficienti. Secondo Gartner il 99% delle violazioni di sicurezza nel cloud è causato da configurazioni errate o errori umani. In altre parole, avere a disposizione ottime funzionalità di sicurezza serve a poco se non vengono configurate e gestite correttamente.

CISA stessa ha evidenziato che configurazioni cloud scorrette hanno introdotto rischi gravi e portato a compromissioni reali in diversi incidenti recenti. Un dato emblematico: in un’analisi di 180 violazioni email nel settore sanitario, il 43,3% dei breach coinvolgeva ambienti Microsoft 365, in gran parte a causa di impostazioni di sicurezza errate nelle email (fonte businesswire.com).

Rischi Comuni Legati a Configurazioni Errate

Ma quindi, quali sono le impostazioni più critiche quelle che, se lasciate al loro valore predefinito, possono aprire la porta a rischi reali?

Ecco alcune delle più frequenti – e pericolose – che incontriamo spesso nei nostri assessment:

• Legacy authentication ancora attiva

IMAP, POP, SMTP senza OAuth: sono protocolli vecchi, eppure spesso rimangono abilitati. Il problema è che permettono agli attaccanti di aggirare l’MFA e usare credenziali rubate in modo diretto. Disabilitarli è una delle prime azioni da fare per chiudere questa falla.

• MFA sì, ma non l’SMS

Abilitare l’autenticazione a più fattori è fondamentale, ma non tutti i metodi sono uguali. Gli SMS sono vulnerabili a SIM swap e intercettazioni. Se il secondo fattore è debole, la protezione è solo apparente. App di autenticazione o chiavi fisiche sono scelte decisamente più sicure.

• Condivisione esterna troppo permissiva

Microsoft 365 rende la collaborazione semplice, forse troppo. Se SharePoint o OneDrive sono impostati per “chiunque abbia il link”, rischi di esporre documenti aziendali a chiunque, anche fuori dall’organizzazione. Meglio restringere l’accesso a ospiti verificati o utenti interni.

• Account amministrativi poco protetti

I Global Admin e gli altri ruoli privilegiati devono avere protezioni extra. Troppo spesso, invece, li troviamo con autenticazioni deboli o senza MFA avanzata.

• DMARC, SPF e DKIM non configurati correttamente

La sicurezza delle email comincia dai DNS. Senza questi record – o se sono in modalità “solo monitoraggio” – è facile per un attaccante inviare email false a nome del dominio. Implementarli nel modo giusto è una difesa semplice ma spesso trascurata.

Questi sono solo alcuni esempi, non basta avere a disposizione gli strumenti di sicurezza, bisogna anche configurarli bene. Microsoft 365 offre centinaia di opzioni, e ciascuna può essere un’opportunità o una vulnerabilità, a seconda di come viene gestita.

Valutare la Postura di Sicurezza del Tenant: il Ruolo del Tool CISA

Microsoft 365 offre molte funzionalità di sicurezza, ma il vero punto è capire quali siano effettivamente attive, quali vadano adattate al contesto aziendale e quali risultino carenti rispetto agli standard attuali.

Per fortuna, oltre al Secure Score integrato, esistono anche strumenti che aiutano a fare chiarezza. Uno tra i più utili è ScubaGear, il tool open source sviluppato dalla CISA (l’Agenzia per la cybersecurity americana), che consente di valutare automaticamente la configurazione di Microsoft 365 rispetto a una baseline di sicurezza ufficiale.

Il tool confronta le impostazioni reali del tenant con oltre 200 controlli consigliati, evidenziando punti deboli e suggerendo miglioramenti.

Se non l’hai ancora visto, abbiamo creato un video dove mostriamo come funziona ScubaGear e come usarlo per migliorare rapidamente la sicurezza del proprio ambiente M365  👉 GUARDA IL VIDEO

Casi reali

Ci capita spesso di intervenire su tenant Microsoft 365 già operativi, di cui ci viene richiesto di valutare la postura di sicurezza o di eseguire un controllo della configurazione. Ci capita quindi di trovare delle criticità, che se non affrontate, possono trasformarsi in problemi concreti.

1. App malevole con accesso OAuth

Un’azienda del settore manifatturiero ci ha chiesto di verificare il livello di esposizione del proprio ambiente Microsoft 365. Durante l’assessment abbiamo scoperto che era stata autorizzata un’applicazione di terze parti con permessi estesi sulle caselle di posta. L’app — apparentemente innocua — aveva in realtà comportamenti anomali e puntava a esfiltrare dati. L’allarme è scattato proprio grazie al controllo degli accessi OAuth. Dopo aver rimosso l’app, abbiamo implementato politiche di App Governance e alert automatici per rilevare in futuro attività simili.

2. Amministratore globale senza MFA: accesso compromesso

In un tenant di una realtà sanitaria di medie dimensioni, abbiamo trovato un account con ruolo di Global Admin che non aveva alcuna protezione MFA attiva. Il nostro test di sicurezza ha mostrato come questo account potesse essere facilmente sfruttato in caso di phishing. A fronte della simulazione, l’azienda ha adottato immediatamente misure correttive: MFA resistente al phishing per tutti gli utenti privilegiati, segmentazione dei ruoli amministrativi e Conditional Access per gestire meglio il rischio.

3. Condivisione documenti fuori controllo

Una società di consulenza ci ha chiesto di analizzare i rischi legati alla condivisione di file su SharePoint Online e OneDrive. Abbiamo rilevato che molti documenti sensibili erano accessibili tramite link pubblici ancora attivi, senza scadenza né tracciamento degli accessi. Nessun incidente conclamato, ma una superficie d’attacco ampia e poco monitorata. Abbiamo aiutato il team IT a ridefinire le policy di condivisione, limitando i link anonimi e introducendo regole automatiche di scadenza e notifica.

Suggerimenti Attuabili per una Strategia Cloud Sicura e un’Elevata Igiene di Configurazione

Per tradurre questi spunti in pratica, ecco 7 consigli operativi per impostare (e mantenere) una strategia di sicurezza cloud efficace nel tempo:

1. Adotta un modello di “Secure by Configuration” sin dall’inizio: Quando si avvia un tenant Microsoft 365 o si aggiungono nuovi servizi, prevedi sempre un hardening iniziale. Segui guide come il benchmark CISA SCuBA o il CIS Microsoft 365 Benchmark, oppure sfrutta il Microsoft Secure Score come punto di partenza, per applicare da subito le impostazioni più sicure. L’idea è di non lasciare nulla di default se esiste un’impostazione più restrittiva sensata per la tua organizzazione.
2. Implementa l’Autenticazione Multifattoriale ovunque (ed elimina le vie di bypass): MFA è, ad oggi, uno dei controlli più efficaci per ridurre il rischio di violazioni degli account. Assicurati che tutti gli utenti, specialmente gli amministratori, abbiano MFA attivo su ogni accesso. Contemporaneamente, disabilita i protocolli legacy che possano permettere login senza MFA.Valuta l’adozione di metodi MFA resistenti al phishing (app mobile con notifica/push, token, certificati) al posto di SMS o codici via email.
3. Rafforza le identità e i privilegi: Applica il principio del least privilege nel tuo tenant. Riduci il numero di Global Admin al minimo indispensabile e utilizza ruoli amministrativi con ambiti più ristretti per compiti specifici. Crea account amministrativi separati dalle utenze quotidiane e proteggili rigorosamente (MFA, logging delle attività). Considera l’uso di Accesso Amministrativo Privilegiato di Azure AD (PIM – Privileged Identity Management) per richiedere elevazioni temporanee, in modo che i privilegi elevati non siano attivi 24/7.
4. Monitora e gestisci la configurazione in modo continuativo: La configurazione sicura non è un’attività “una tantum” ma un processo continuo. Microsoft 365 evolve costantemente con nuove funzionalità e opzioni, perciò riesamina periodicamente le impostazioni. Crea un calendario di audit interno: ad esempio, verifica trimestralmente (manualmente o con tool automatici) le principali configurazioni di sicurezza. Puoi usare soluzioni integrate come Secure Score e report di compliance Microsoft, e affiancarvi strumenti esterni come CISA ScubaGear o altre piattaforme di Cloud Security Posture Management. L’obiettivo è individuare subito anomalie o derive (configuration drift) – ad esempio se qualcuno modifica involontariamente una policy critica – e rimediare prima che diventino falle.
5. Formazione e consapevolezza per l’intero team: Anche la miglior configurazione tecnica può essere vanificata da errori umani o mancata comprensione. Investi in formazione continua sia per il team IT sia per gli utenti finali. I primi devono essere aggiornati sulle best practice di sicurezza del tenant e sulle nuove minacce (es. nuovi tipi di attacchi al cloud), i secondi devono comprendere l’importanza di elementi come MFA, il riconoscimento di phishing, la gestione sicura dei dati. Crea una cultura interna dove la sicurezza cloud è parte integrante dei processi di lavoro, non un ripensamento.
6. Prevedi procedure di risposta e recupero: Mantenere alta l’attenzione configurativa riduce il rischio, ma bisogna essere pronti all’imprevisto. Assicurati di avere abilitato e raccolto i log (ad esempio audit log unificati di Microsoft 365, log di accesso Azure AD) per poter investigare eventuali incidenti. Testa periodicamente le procedure di risposta: ad esempio, cosa succede se un account viene compromesso? Hai un playbook per isolare l’account, resettare password, verificare attività malevole sui contenuti di Exchange/SharePoint? La configurazione sicura fornisce i “sensori” e i blocchi, ma una strategia completa include anche la capacità di reagire efficacemente se qualcosa accade.
7. Valutare supporto esterno specializzato: Gestire oltre 200 parametri di sicurezza e tenere il passo con minacce emergenti può mettere sotto pressione i team interni, soprattutto in organizzazioni medio-piccole. Non esitare a coinvolgere partner di consulenza o managed services per la sicurezza cloud. Un occhio esterno può effettuare assessment approfonditi, proporre ottimizzazioni e persino gestire in modo continuativo la postura di sicurezza del vostro tenant. Questo permette al team interno di concentrarsi sulle iniziative strategiche, sapendo che l’“igiene” quotidiana (patching, controlli di configurazione, monitoraggio alert) è gestita con competenza. L’importante è scegliere partner affidabili, che ispirino fiducia e che collaborino trasferendo conoscenza al vostro staff interno.

La sicurezza di un ambiente cloud come Microsoft 365 non si ottiene per caso: è il frutto di configurazioni ponderate, manutenzione costante e attenzione organizzativa.

In Digimetrica lavoriamo ogni giorno con aziende che affrontano questi problemi.

Il nostro approccio è semplice: partire da ciò che hai e aiutarti a costruire un ecosistema di sicurezza coerente, che ti permetta di vedere meglio, capire prima e reagire più in fretta. Se vuoi richiedere maggiori informazioni CONTATTACI.

Digimetrica
Dal 2001 cybersecurity al servizio delle aziende
Visita il Profilo Linkedin