Не дозволяйте дверям Microsoft 365 залишатися напіввідчиненими: використовуйте "Божественний погляд" BSM для точного виявлення безпекових ризиків

У сучасних умовах зростаючої складності цифрових ризиків, як підприємствам заздалегідь виявляти загрози безпеці та здійснювати перехід від пасивного захисту до активного управління? Оновлений базовий режим безпеки (Baseline Security Mode, далі — Microsoft BSM), який був запущений наприкінці 2025 року, стає важливим напрямком еволюції архітектури кібербезпеки глобальних підприємств.

Як стратегічний партнер Microsoft, PwC не лише активно залучена до впровадження Microsoft BSM на початкових етапах, а й накопичила передовий досвід у різних практичних сценаріях. На основі власних складних архітектурних практик безпеки, PwC допомагає організаціям ідентифікувати та консолідувати застарілі високоризикові налаштування та протоколи, що залишилися у Microsoft 365 (M365) та Entra ID, через впливові звіти та оцінки залежностей і бізнес-наслідків, просуваючи послідовне посилення базових налаштувань. Це дає змогу підприємствам вирішити проблему застарілих систем захисту та зміцнити безпекову базу.

З цією метою ми підготували та вперше оприлюднили цю статтю, щоб поділитися нашими передовими інсайтами та практичним досвідом у сфері Microsoft BSM, допомагаючи компаніям, які вже використовують або планують використовувати цю технологію, бути на крок попереду у сфері безпеки.

1. Чому «базова безпека» стає дедалі актуальнішою?

Сучасні кіберзагрози входять у нову фазу «швидкості AI»: з використанням великих моделей та автоматизованих інструментів зловмисники швидше та точніше сканують вразливі точки, знаходять слабкі місця та досягають цілей у корпоративному середовищі з більшою мобільністю. Це полегшує злочинним групам пошук проривів у застарілих системах безпеки, які часто залишаються у M365 та Entra ID, що зберігаються багатьма організаціями. Коли ці високоризикові налаштування поєднуються з мультихмарною або гібридною архітектурою, захисники часто виявляються у програші, а зловмисники — більш сміливими.

Щоб випередити таких опонентів, підприємствам потрібно створити «загальне бачення»: охоплювати не лише хмарні орендарі та застосунки, а й ключові контрольні точки у процесі ідентифікації та доступу. Реальність у тому, що: прихованість та залежність від застарілих налаштувань дуже високі — вони можуть бути успадковані в процесі багаторічних ітерацій без постійного інвентаризації та консолідації. Якщо оновлення та посилення не йдуть у ногу з часом, зловмисники використовують це для обходу перевірок, розширення прав або горизонтального та вертикального руху. Водночас, існують широкі проблеми з ризиками у хмарних конфігураціях та міжсистемною інтеграцією, а нові технології підсилюють ці ризики.

Згідно з дослідженням PwC «Глобальні інсайти цифрової довіри 2026», ці тенденції підтверджуються: загрози, пов’язані з хмарою, вважаються найменш підготовленими у підприємств; застарілі налаштування та ланцюги постачання — найуразливішими, і понад половина опитаних визнає, що у разі атаки вони можуть лише «задовольнити мінімальні вимоги». Тому, хоча інтереси різних галузей можуть відрізнятися, ефективна відповідь базується на фундаментальних практиках безпеки — закріпленні безпекової бази, що забезпечить стабільність захисної системи.

У такому контексті, при впровадженні «налаштувань безпеки», організації стикаються з кількома поширеними проблемами:

2. Microsoft BSM: що пропонує «Security-by-default» від Microsoft

З урахуванням того, що понад 90% компаній у списку Fortune 500 вже охоплені M365 та інструментами Copilot, наприкінці 2025 року Microsoft запустила новий продукт — Microsoft BSM, який глибоко інтегрований у центр управління M365. Це — базовий рівень налаштувань безпеки для корпоративних систем, що об’єднує ключові безпекові налаштування з розподілених систем Office, Exchange, Teams, SharePoint/OneDrive у єдину інтерфейсну панель. На основі аналізу реальних атак Microsoft пріоритетно закриває найчастіше використовувані застарілі або високоризикові налаштування.

За допомогою Microsoft BSM адміністратори можуть швидко оцінити поточний стан налаштувань та пріоритети їхнього виправлення через єдину панель, поєднуючи звіти про вплив та моделювання (What-if). Це дозволяє централізовано активувати безпечні налаштування або блокувати високоризикові функції за допомогою «переключень»;

Головна ідея — через централізоване управління усунути застарілі конфігурації, що залишилися у M365 та Entra, які легко можуть бути зловмисниками використані.

Ключові сфери послуг Microsoft BSM

Ідентифікація та управління доступом: зменшення ймовірності успішних атак на облікові дані та горизонтального руху

Застарілі протоколи/токени залишаються одними з найпоширеніших точок входу. Microsoft BSM рекомендує зменшити їхню кількість у сервісах Exchange, SharePoint/OneDrive, Teams та інших застосунках, закриваючи відповідні застарілі налаштування, щоб знизити ризики фішингу, зломів та автоматизованих атак паролів.

Блокуємо старі протоколи: забороняємо використання POP, IMAP, SMTP, застарілих EWS без підтримки MFA, що безпосередньо перериває високоризикові канали входу.

Блокуємо стандартні запити на автентифікацію: запобігаємо появі вікон із запитами імені користувача/пароля, що зменшує ризик крадіжки облікових даних та фішингу.

Файли та співпраця: зменшення поверхні атаки через шкідливі документи та застарілі файли

Застосунки M365 (Word, Excel, PowerPoint) підвищують продуктивність, але застарілі формати файлів (наприклад, Word .doc) та вбудовані ActiveX-елементи створюють значні ризики безпеки. Microsoft BSM рекомендує та може примусово переводити орендарів на сучасні, безпечні формати файлів і обмежувати або виключати файли з ActiveX, зменшуючи потенційні точки проникнення.

За згодою на перегляд детальної діагностичної інформації, Microsoft BSM може надавати деталізовану видимість: наприклад, кількість користувачів, що використовують застарілі файли з ActiveX, та кількість відкриттів таких файлів, що допомагає адміністраторам проводити цільову освіту та консолідацію стратегій безпеки.

Зали конференцій та спільне обладнання: повернення «темних» активів під контроль

Microsoft BSM у сценаріях з обладнанням конференц-залів фокусується на двох ключових практиках для зменшення ризиків зловживання та витоку даних:

Блокування входу неуправляємого обладнання та ресурсних облікових записів у застосунки M365: обмеження доступу з неавторизованих пристроїв та ресурсних акаунтів (наприклад, кімнатних облікових записів) до Office та інших застосунків.

Обмеження доступу ресурсних облікових записів Teams Rooms до файлів M365 у конференціях: заборона або обмеження доступу з обладнання Teams Rooms до файлів, щоб уникнути несанкціонованого читання або завантаження конфіденційних даних.

Ці налаштування значно підвищують безпеку конференц-залів і захищають конфіденційну інформацію.

Огляд функцій Microsoft BSM

Майбутні плани Microsoft BSM

Перша версія Microsoft BSM — Microsoft BSM 2025 — вже включає 20 базових налаштувань у 5 ключових застосунках. Microsoft допомагає у валідації та розгортанні цих функцій у масштабі підприємства. Наступна хвиля оновлень уже розпочата і передбачає 46 функцій — у понад двічі більше, ніж перша. Команда Microsoft BSM розширює охоплення, зосереджуючись на глибшому обмеженні протоколів, ширшому контролі застосунків і більш детальній політиці автентифікації.

3. Типові проблеми при впровадженні базових налаштувань і як Microsoft BSM їх вирішує

Microsoft BSM не замінює цілісну систему безпеки (наприклад, виявлення загроз, реагування, управління даними), а закладає фундамент: за допомогою більш жорстких налаштувань зменшує кількість точок входу для атак, а моделювання впливу та аналітика допомагають компаніям просуватися у виправленнях у прийнятних для бізнесу темпах.

Проблеми впровадження базових налаштувань та можливості Microsoft BSM

4. Типові сценарії застосування Microsoft BSM

З урахуванням потреб безпеки всього життєвого циклу цифрової роботи, Microsoft BSM може точно реалізовуватися у різних ключових бізнес-сценаріях. Його рішення для високоризикових аспектів роботи з обліковими записами, автентифікацією, скриптами, передаваннями, контролями та обладнанням забезпечують захист у критичних точках, що відповідає щоденним потребам безпеки підприємств.

5. Відмінності Microsoft BSM від інших продуктів Microsoft: уникнення поширених помилок

Багато компаній вже використовують Microsoft Secure Score, Entra Access, Defender та інші базові скрипти, тому часто виникає питання: чи дублює Microsoft BSM ці рішення? Радимо розглядати їх у контексті цілей та функцій, щоб уникнути дублювання.

Ключові порівняння продуктів безпеки Microsoft

6. Від «налаштувань» до «реального впровадження»: досвід PwC

Через масштабність та складність архітектури, PwC довго стикалася з потенційними ризиками застарілих налаштувань, що з часом можуть стати новими точками проникнення. Саме тому, завдяки стратегічному партнерству з Microsoft, ми стали однією з перших організацій у світі, що протестували та впровадили Microsoft BSM, застосовуючи підхід «перший досвід, перше закріплення», щоб створити повторювану методологію та шлях для масштабного впровадження.

Що ми отримали у пілоті?

По-перше, Microsoft BSM створює централізований, зручний інтерфейс управління. Раніше схожі налаштування розподілялися по різних консолях і потребували окремого налаштування. Тепер ми можемо у одному вигляді побачити застарілі конфігурації та швидко їх консолідувати за допомогою простих «переключень», перетворюючи ризики з «точкових» у системні.

Важливо зазначити, що Microsoft BSM не є «чек-листом» для автоматичного застосування. У процесі пілоту ми помітили, що багато рекомендацій мають значний вплив на поточне бізнес-середовище: їхнє впровадження може вплинути на залежності застосунків, автентифікацію та історичні протоколи. Тому ми інтегрували ці рекомендації у наші процеси управління змінами та оцінки ризиків, розробляючи поетапні плани виправлень: регулярно аналізуючи впливові дані, попереджуючи про потенційних користувачів і застосунки, узгоджуючи з бізнес-власниками альтернативи та строки переходу, щоб забезпечити плавний перехід без шкоди для бізнесу.

Наш внесок — у здатності перетворювати рекомендації Microsoft BSM у конкретні плани дій, що дозволяє підвищити безпекову базу без шкоди для бізнес-процесів.

Як ми його експлуатуємо?

Хоча Microsoft BSM може автоматично генерувати необхідні дані, ми розуміємо, що користувачам потрібні чіткі, практичні рішення. Тому ми розробили кілька додаткових інструментів:

Автоматизація: створення інструментів і панелей для інтерпретації даних Microsoft BSM, пріоритезації виправлень і моніторингу прогресу зменшення ризиків;

Центр підтримки: створення підтримуючого центру для ресурсів і технічної допомоги від планування до впровадження;

Стандартизовані інструкції: розробка практичних процедур для ефективної реалізації рекомендацій Microsoft BSM.

Завдяки цим підходам, PwC допомагає компаніям перетворювати функції безпеки Microsoft BSM у реальні результати, закриваючи цикл від аналізу даних до управління ризиками.

Загальна схема впровадження Microsoft BSM PwC

Розроблений PwC «Accelerator» збирає розподілені звіти про вплив, що раніше потрібно було завантажувати вручну, і поєднує їх з метаданими користувачів і застосунків Entra, перетворюючи інформацію з ідентифікаторами застосунків, відповідальними особами та сферами впливу у єдину візуальну карту. Це дозволяє команді безпеки бачити вплив у розрізі підрозділів, застосунків і відповідальних, уникати дублювання зусиль і забезпечувати постійний моніторинг прогресу зменшення ризиків, а також підвищувати рівень звітності перед керівництвом. Впровадження Microsoft BSM стає не одноразовою операцією, а спільним, відстежуваним і закінченим проектом.

7. Висновок: перетворюємо «загальнодоступну безпеку» у спільну мову організації

Компанії тепер швидко можуть виявляти застарілі конфігурації та протоколи, що створюють ризики. Microsoft BSM забезпечує активний механізм блокування високоризикових компонентів ще з початкових етапів. У міру посилення регуляторного контролю, такі інвестиції не лише допомагають відповідати нормативам, а й стають стратегічною перевагою.

У сучасному високотехнологічному середовищі слабкі місця безпеки однієї компанії можуть спричинити системний ризик. Інвестиції у активний захист, зокрема у Microsoft BSM, є критично важливими — базовий захист вже не є внутрішньою справою, а стає спільною відповідальністю галузі. Безпека всього екосистеми залежить від міцності кожного її елемента; лише спільними зусиллями можна підвищити загальний рівень безпеки.

Команда PwC у сфері кібербезпеки, даних і цифрової довіри застосовує передовий досвід і практики, пов’язані з Microsoft BSM, щоб створити цілісний сервіс безпеки на всьому життєвому циклі — від стратегічного планування до операційної реалізації, допомагаючи підприємствам зміцнювати безпеку у процесі цифрової трансформації.