Не позволяйте двери Microsoft 365 оставаться приоткрытой: используйте "Божественный взгляд" BSM для точного выявления угроз безопасности

В условиях всё более сложных цифровых рисков, как предприятия могут заранее выявлять угрозы безопасности и добиваться скачка от пассивной защиты к активному управлению? Последний базовый режим безопасности Microsoft (далее Microsoft BSM), запущенный к концу 2025 года, становится важным направлением в эволюции глобальной архитектуры сетевой безопасности предприятия.

В качестве стратегического партнёра по альянсу Microsoft, PwC не только активно участвовала в реализации Microsoft BSM на ранней стадии, но и приобрела передовой опыт в различных практических сценариях. Основываясь на собственных сложных практиках безопасности архитектуры, PwC помогает организациям выявлять и объединять исторические унаследовавшие высокорисковые конфигурации и протоколы, которые до сих пор используются в Microsoft 365 (M365) и Entra ID через внедрение Microsoft BSM, оценивать зависимости и бизнес-влияние через отчёты о воздействии, а также способствовать базовому усилению в контролируемом темпе, предоставляя предприятиям основу для решения проблем защиты старых систем и построения прочной базы безопасности.

В этой связи мы специально подготовили и опубликовали эту статью, чтобы поделиться нашими ранними знаниями и практическим обзором в области Microsoft BSM с компаниями, которые используют или планируют использовать эту технологию, чтобы помочь клиентам оставаться на шаг впереди и перехитрить их в создании безопасности.

1. Почему сейчас «базовая линия безопасности» становится всё более актуальной?

Современные киберугрозы вступают в новую фазу «ускорения ИИ»: злоумышленники могут использовать крупные модели и инструменты автоматизации для сканирования открытой поверхности, поиска слабых мест и достижения целей с большей мобильностью в корпоративных условиях. Это облегчает киберпреступным группировкам поиск прорывов в исторических уязвимостях безопасности. Эти слабости связаны не только с традиционными системами, но и чаще встречаются в исторических устаревших конфигурациях и протоколах M365 и платформе идентичности Entra от Microsoft, которые до сих пор сохраняются многими организациями. Когда эти высокорискованные конфигурации накладываются на мультиоблачную/гибридную архитектуру, защитникам сложно догнать их, а злоумышленники приобретают смелость.

Чтобы превзойти конкурентов, организациям необходимо создать «глобальную видимость» в сложной и взаимозависимой среде: от облачных арендаторов и приложений до критически важных точек контроля идентификации и каналов доступа. Практическая сложность заключается в том, что «скрытость» и «зависимость» устаревших конфигураций очень сильны — они могут многократно наследоваться на протяжении многих итераций, но отсутствует непрерывный механизм инвентаризации и сходимости; Когда темпы обновлений и усиления не успевают, атакующие используют это как короткий путь для обхода сильных проверок, расширения привилегий или продвижения по бокам и вертикали. В то же время базовые проблемы, такие как конфигурация облака и точки риска интеграции между системами, компенсирующие базовый уровень, по-прежнему широко распространены, а противники с новыми технологиями ещё больше повышают потолок риска этих проблем.

Global Digital Trust Insights 2026 от PwC также подтверждает эту тенденцию с исследовательской точки зрения: облачные угрозы считаются киберугрозой номер один, к которой предприятия «наименее подготовлены»; Распределение наследия и цепочка поставок входят в число двух главных уязвимостей предприятий, и более половины респондентов признались, что «в лучшем случае едва справлялись» с соответствующими атаками. Поэтому фокус разных отраслей может отличаться, но по-настоящему эффективный ответ должен вернуться к базовым практикам безопасности — к прочной базе для обеспечения системы обороны.

В этом контексте, когда организации продвигают «базовую конфигурацию безопасности», распространённые проблемы часто сосредоточены на следующих аспектах:

2. Microsoft BSM: возможность «Безопасность по умолчанию базовая», предоставляемая Microsoft

В контексте того, что M365 и его инструмент поддержки Copilot обеспечивают более 90% охват предприятий из списка Fortune 5001, Microsoft выпустит новый продукт безопасности на базе M365 в конце 2025 года — Microsoft BSM, который глубоко интегрирован в центр управления M365 и является базовой возможностью настройки безопасности для систем идентификации M365 и Microsoft Entra для предприятий, которая изначально была разбросана в Office, Exchange, Teams и SharePoint/OneDrive а другие корпоративные приложения и управляющие порталы централизованы в едином интерфейсе, и на основе анализа Microsoft реальных данных атак приоритетом отдаётся ряд наиболее часто используемых устаревших/высокорисковых конфигурационных элементов.

С помощью Microsoft BSM администраторы могут быстро видеть статус конфигурации и приоритеты исправления в одной панели управления, оценивать влияние изменений на пользователей и приложения в сочетании с отчётами/симуляциями воздействия (What-ifs), а затем централизованно включать стандартные настройки безопасности или глобальную блокировку высокорисковых функций в режиме «коммутированного управления».

Основное внимание уделяется устранению исторических наследственных конфигураций в приложениях M365 и Microsoft Entra, которые сохраняются у большого числа предприятий, но известны тем, что могут легко злоупотреблять злоумышленниками через централизованное управление.

Microsoft BSM в настоящее время является основной сервисной областью

Идентификация и права: Снижение успеха атак на учетные данные и бокового перемещения

Устаревшие протоколы/токены аутентификации по-прежнему остаются одними из самых распространённых точек входа для вторжений. Microsoft BSM снижает распространение старых протоколов в таких сервисах, как Exchange, SharePoint/OneDrive, Teams и M365, и рекомендует равномерно отключать соответствующие устаревшие конфигурации для снижения риска фишинга, подбора учетных данных и распыления паролей.

Блоки устаревших аутентификационных потоков: отключить POP (Post Office Protocol)/IMAP (Internet Message Access Protocol))/SMTP (Simple Mail Transfer Protocol), устаревшие EWS (Exchange Web Services) и т.д. на уровне протокола MFA (Multi-Factor) не поддерживаются Аутентификация) условный доступ к старому протоколу, напрямую отключая высокорискованные каналы входа.

Блокируйте базовые запросы аутентификации: Заблокируйте традиционные запросы «всплывающие запросы имени пользователя/пароля», чтобы предотвратить ввод учетных данных в небезопасные окна, что снижает вероятность кражи и фишинга.

Файлы и сотрудничество: Уменьшить поверхность атаки, вызванную вредоносными документами и историческими функциями файлов

Хотя приложения M365 (например, Word/Excel/PowerPoint) более эффективны, старые форматы файлов Office (например, .doc Word) и встроенные ActiveX Controls представляют значительные риски для безопасности. Microsoft BSM рекомендует и может обеспечить постепенную миграцию арендаторов на более современные и безопасные форматы файлов, а также ограничить/устранить высокорискованное поведение файлов с помощью ActiveX, чтобы уменьшить уязвимость атак в источнике.

После получения разрешения на просмотр подробных диагностических данных Microsoft BSM также может предоставить детализированную видимость: например, количество пользователей в арендаторе, которые всё ещё использовали старые документы с ActiveX за последние 28 дней, и количество таких открытий, что помогает администраторам точно проводить обучение пользователей и сближение политик для ускорения внедрения стандартов безопасности.

Конференц-залы и общие устройства: вернуть «активы слепых зон» под контроль

Microsoft BSM фокусируется на двух ключевых лучших практиках в сценариях оборудования для конференц-залов для снижения риска злоупотреблений и утечек данных в среде встреч:

Предотвращайте вход неуправляемых устройств и ресурсных аккаунтов в приложения M365: Ограничивайте неуправляемые устройства и ресурсные аккаунты (например, учетные записи конференц-залов) в прямом входе в Office и другие приложения для снижения мошеннических входов.

Ограничьте доступ к файлам собраний Teams в ресурсах: Запретить/объединить аккаунты ресурсов на устройствах Teams Rooms доступ к файлам M365, отображаемым на встречах, чтобы предотвратить чтение или загрузку конфиденциального контента без разрешения.

Внедрение таких конфигураций значительно повышает безопасность вашей комнаты для совещаний и защищает материалы встреч и конфиденциальную информацию.

Введение в функции Microsoft BSM

Планирование на будущее для Microsoft BSM

Первая волна релизов Microsoft BSM, Microsoft BSM 2025, выпустила 20 базовых конфигураций в 5 основных приложениях. Microsoft Digital помогает с валидацией и внедрением этих возможностей на уровне всего предприятия. И следующая волна обновлений функций также была запущена. Следующая волна обновлений ещё больше — 46 функций, более чем вдвое больше, чем в первом раунде. Команда продуктов Microsoft BSM расширяет своё покрытие, включая более глубокие ограничения протокола, более широкие системы управления приложениями и более детализированные политики аутентификации.

3. Распространённые проблемы при внедрении базовых уровней безопасности по сравнению с Microsoft BSM

Microsoft BSM не заменяет полноценную систему безопасности (такую как обнаружение угроз, реагирование, управление данными и т.д.), а ставит приоритет на создание «основы»: сокращение числа точек входа для злоумышленников с более сильными стандартными конфигурациями и поддержку предприятий в продвижении исправлений в приемлемом для бизнеса темпах с помощью данных по моделированию воздействия и диагностики.

Базовые проблемы безопасности развертывания и возможности Microsoft BSM

4. Типичные сценарии, применимые к Microsoft BSM

В сочетании с реальными потребностями в защите безопасности во всём процессе корпоративного цифрового офиса, возможности Microsoft BSM могут быть точно реализованы в различных ключевых бизнес- и операционных сценариях. Её решения по защите от различных высокочастотных рисков безопасности в офисных ситуациях могут обеспечивать эффективную защиту ключевых связей, таких как учетные записи, аутентификация, скрипты, передача, управление и вход в устройства, а также различные типичные подходящие сценарии, которые полностью удовлетворяют проблемы контроля безопасности в повседневных офисах предприятий.

5. Отличие Microsoft BSM от других продуктов безопасности Microsoft: избегайте распространённых недоразумений

Многие предприятия развернули Microsoft Secure Score, Microsoft Entra Access, серию сервисов Microsoft Defender и различные базовые скрипты, поэтому часто задаются вопросом: «Дублируется ли Microsoft BSM?» Наш совет — понимать различия в позиционировании и избегать путаницы.

Список основных сравнений продуктов безопасности Microsoft

6. От «конфигурации» к «посадке»: собственный опыт посадки PwC

Из-за своей масштабной и сложной архитектуры сама PwC уже долгое время сталкивалась с потенциальными рисками, вызванными «историческими наследственными конфигурациями», которые постепенно могут стать новой точкой входа в атаки по мере изменения среды угрозы. По этой причине, опираясь на возможности сотрудничества и согласования практик на более высоком уровне, обеспечиваемые стратегическим партнёрством между PwC и Inner Circle Partnership от Microsoft, мы стали одними из первых глобальных предприятий, которые опробовали внедрение базового режима безопасности Microsoft (BSM), предоставляя многократную методологию и путь доставки для последующего масштабного корпоративного внедрения по принципу «сначала валидируй — сначала уходи».

Что мы получили от пилота?

Во-первых, Microsoft BSM предоставляет более централизованный и операционный интерфейс управления и управления. Раньше похожие конфигурации часто были разбросаны по нескольким консолям и локациям, которые нужно было сортировать и расставлять по предметам. С помощью Microsoft BSM мы можем централизованно выявлять устаревшие конфигурации, которые всё ещё используются в организации, в одном виде, и при необходимости использовать простую стратегию «переключения» для быстрого объединения и блокировки высокорисковых возможностей в глобальном масштабе, превращая риски из «точечного управления» в «систематическое управление».

Следует подчеркнуть, что Microsoft BSM не выпускает список конфигураций, который можно «одним кликом получить всё». В пилотном проекте мы заметили, что значительная часть этих рекомендаций — это корректировки, существенно влияющие на текущую бизнес-среду: после включения они часто затрагивают существующие зависимости приложений, методы аутентификации и исторические привычки использования протоколов. Исходя из этого решения, мы включаем соответствующие предложения в существующий процесс управления изменениями и оценки рисков, а также разрабатываем поэтапную дорожную карту исправления: с одной стороны, регулярно проверяем данные о воздействии, предоставляемые Microsoft BSM, чтобы заранее выявлять потенциально затронутых пользователей и приложения; С другой стороны, он синхронизируется с бизнес-лидерами для согласования альтернатив, переходных окон и индивидуальных политик исключений, обеспечивая плавное продвижение рекомендаций в контролируемом темпе внутри организации, улучшая базовые показатели безопасности с учётом непрерывности бизнеса.

Наша ценность отражается в способности реализовать «рекомендации по безопасности» Microsoft BSM в исполняемую дорожную карту исправления, изменить ритм и механизм ответственности на основе понимания корпоративных бизнес-процессов и системных зависимостей и, в конечном итоге, достичь эффекта внедрения повышения базовой безопасности без ущерба для непрерывности бизнеса.

Как мы им управляем?

Хотя Microsoft BSM может напрямую генерировать необходимые нам данные, мы понимаем, что пользователям нужна чёткая и реализуемая реализация. Основываясь на собственном практическом опыте, мы разработали ряд вспомогательных возможностей:

Решения для автоматизации: индивидуальные инструменты и панели управления, помогающие организациям интерпретировать данные Microsoft BSM, расставлять приоритеты по исправлению и отслеживать прогресс в снижении рисков.

Центр поддержки велосипедистов: Создать центр поддержки для предоставления ресурсов и технической поддержки от планирования до реализации;

Стандартизированные операционные руководства: Разрабатывайте операционные процедуры, основанные на практике, для эффективной реализации рекомендаций Microsoft BSM.

Опираясь на вышеуказанные решения и практический опыт, PwC может помочь предприятиям преобразовать функции безопасности, такие как Microsoft BSM, в практические результаты, реализуя замкнутое управление — от анализа данных до управления рисками.

Панорама сервиса посадки Microsoft BSM от PwC

BSM Accelerator, разработанный PwC, собирает разрозненные отчёты о воздействии в Microsoft BSM, которые необходимо скачивать по одному, и объединяет пользовательские и прикладные метаданные Microsoft Entra, чтобы преобразовать информацию о воздействии, которая изначально содержала только идентификаторы приложений и не имела ответственных лиц/бизнес-атрибуцию, в граф с бизнес-линиями, приложениями, ответственными лицами и затронутым объёмом. Таким образом, команда безопасности может открыть поверхность влияния нескольких настроек в зависимости от размеров бизнес-отделов/приложений/ответственных сотрудников в одном виде, избегая повторяющейся коммуникации между несколькими элементами управления для одного и того же приложения. В то же время визуальное отслеживание изменений используется для непрерывного измерения прогресса снижения рисков и поддержки периодической отчетности руководству, чтобы внедрение Microsoft BSM могло быть модернизировано с одноразового конфигурирования в проект продвижения «совместного, отслеживаемого и замкнутого цикла».

7. Заключение: используйте Microsoft BSM, чтобы превратить «стандартную безопасность» в общий язык организации

Организации теперь могут быстро выявлять уязвимости традиционной конфигурации и протоколов. Возьмём, к примеру, Microsoft BSM, который предоставляет командам безопасности активный механизм блокировки, предотвращающий использование высокорискованных устаревших компонентов в источнике. По мере того как аудиторы и регуляторы всё более тщательно проверяют корпоративную безопасность, такие инвестиции могут не только соответствовать требованиям соответствия, но и приобрести стратегические преимущества для предприятий.

В современной тесно взаимосвязанной среде недостатки безопасности предприятия могут привести к системным рискам. Инвестиции в проактивные системы защиты, такие как Microsoft BSM, критически важны — базовая безопасность — это не только внутреннее дело, но и общая ответственность для всей отрасли. Прочность безопасности всей экосистемы зависит от прочности каждого звена, и только совместная оптимизация всей экосистемы может способствовать улучшению общего базового уровня безопасности.

Команда кибербезопасности PwC глубоко вовлечена в области кибербезопасности, соответствия данным и цифрового доверия, при этом в основе являются концепции и практики безопасности, связанные с Microsoft BSM, интегрируя глобальный передовой опыт и возможности локального внедрения для создания сервисов безопасности на протяжении всего жизненного цикла для клиентов в различных отраслях — от стратегического планирования до эксплуатации, помогая предприятиям создать прочную базу безопасности в цифровой трансформации.