Microsoft 365 Advanced Threat Protection

The Safe Attachments & Safe Links policies

ATP vine în completarea soluțiilor clasice prin oferirea de protecție la amenințări de tip zero-day attacks ce pot fi ascunse în atașamentele sau link-urile conținute în mesajele de e-mail sau chiar în fișierele de tip Office din SharePoint sau OneDrive for Business.

Funcționalitatea Safe Attachments verifică atașamentele din cadrul mesajelor de e-mail prin “detonarea” lor în cadrul unui mediu virtualizat de tip sandbox, urmărindu-se comportamentul acestora, pentru a verifica dacă acestea au componente care încearcă să modifice regiștrii, configurația sistemului de operare sau să își acorde drepturi de acces suplimentare asupra unor resurse.

Testarea atașamentelor se face atât pentru mesaje primite din exteriorul organizației cât și pentru mesaje din interiorul acesteia, iar mediile virtuale în care acestea sunt analizate, sunt create pe diverse sisteme de operare ce rulează aplicații multiple si diverse, pentru a simula cât mai bine un mediu de business real.

Funcționalitatea Safe Links verifică URL-urile ce sunt incluse în cadrul mesajelor de e-mail, prin comparare cu o baza de URL-uri ce se știu a fi periculoase. În cazul în care URL-ul detectat în cadrul mesajului duce către un fișier de pe un server extern companiei, dacă este activată funcția de „detonare” a link-urilor, fișierul respectiv va fi descărcat și verificat printr-un proces asemănător celui de verificare a atașamentelor, descris anterior.

Crearea politicilor de securitate de tip Safe Attachment

Politicile de securitate de tip Safe Attachment se pot crea din Microsoft 365 security center, folosind un cont ce are asociate drepturi de administrator, din tab-ul Policies.

Notă: Înainte de a crea și aplica politici de verificare a atașamentelor, este necesar să ținem cont de faptul că aceste politici pot introduce întârzieri în livrarea mesajelor către destinatari.

Din punctul de vedere al acțiunilor pe care sistemul le poate realiza în momentul în care un atașament corupt este detectat, putem alege între:

• Monitor – mesajul este în continuare livrat, neschimbat, către destinatar, chiar dacă este detectat malware și se va încerca urmărirea rezultatelor
• Block – se blochează mesajul respectiv în totalitate, cât și următoarele mesaje ce conțin malware-ul respectiv
• Replace – mesajul se va livra către destinatar fără atașament, acesta fiind blocat și introdus în carantină
• Dynamic delivery – sistemul va livra mesajul fără atașament de îndată ce acesta este primit, însă în locul atașamentului utilizatorul va regăsi un mesaj care îl informează că fișierul respectiv este verificat. Dacă atașamentul este curat, acesta va fi reatașat la mesaj în inbox-ul utilizatorului; dacă atașamentul inițial conține malware, acesta va rămâne blocat, iar mesajul va fi actualizat cu un mesaj ce informează utilizatorul că atașamentul era infectat.
  Această metodă de verificare este momentan în preview, însă deja se anunță a fi cea mai utilizată de către administratorii de sistem.

Notă: Se pot seta politici multiple de verificare a atașamentelor în funcție de tipul utilizatorilor și de grupurile din care aceștia fac parte. Aceste politici se vor aplica în ordinea în care ele sunt listate pe pagina ATP Safe Attachments.
De asemenea, trebuie ținut cont că intervalul de timp dintre crearea unei politici de tip Safe Attachments și momentul în care aceasta își va face efectul poate fi de până la 30 de minute.

Crearea politicilor de securitate de tip Safe Links

În momentul în care, la nivel de organizație, va fi activat Microsoft 365 Advanced Threat Protection, automat va fi creată și o politică de securitate de tip Safe Links. Această politică default nu poate fi ștearsă, însă ea poate fi modificată astfel încât să corespundă cerințelor noastre.

Pentru a crea sau modifica o politic[ de tip Safe Links, este necesar să accesăm Microsoft 365 security center, folosind credențialele pentru un cont de administrare, iar din tab-ul Policies să alegem ATP safe links (Office 365).

Din punct de vedere al configurării, putem porni sau opri verificarea URL-urilor din mesaje, inclusiv din conversațiile purtate prin intermediul Microsoft Teams, prin comparare cu o baza de date ce conține URL-uri ce sunt confirmate a fi malițioase.

De asemenea, putem opta pentru a nu se livra mesajele către destinare până ce acestea nu au fost verificate și confirmate a fi sigure și tot odată putem alege ca aceste verificări să fie realizate inclusiv asupra mesajelor transmise în interiorul organizației.

În situația în care optăm ca mesajele să fie livrate către destinatar înainte ca acestea să fie verificate, iar utilizatorul va accesa un link ce conține un cod periculos, serviciul Safe Links va procesa si verifica automat link-ul respectiv și va avertiza utilizatorul asupra eventualului pericol.

Serviciul este de asemenea suficient de selectiv încât să blocheze doar URL-ul detectat a fi periculos, restul link-urilor, chiar și din mesajul respectiv, rămânând în continuare active.

În afară de protecția pe care o oferă în mod direct utilizatorilor, cele 2 servicii oferă administratorilor de sistem o serie de rapoarte prin care aceștia își pot da seama de tipurile de atacuri ce afectează cel mai des utilizatorii din compania respectivă, cât și de originea acestora.

Folosite împreună, Microsoft 365 Advanced Threat Protection si Exchange Online Protection, reprezintă soluția de protecție cea mai eficientă împotriva amenințărilor transmise prin intermediul mesageriei electronice, atât a celor clasice cât și a celor avansate.