Protezione dalle minacce passo passo in Microsoft Defender per Office 365

La protezione di Microsoft Defender per Office 365 può essere suddivisa in 4 fasi. In generale, la posta in arrivo passa attraverso tutte queste fasi prima del recapito, ma il percorso effettivo dell’e-mail è soggetto alla configurazione di Defender per Office 365 all’ interno dell’organizzazione.

Fase 1 – Protezione di Edge

Sfortunatamente, i blocchi Edge che una volta erano critici sono ora relativamente semplici da superare per i malintenzionati. Nel tempo, qui viene bloccato meno traffico, ma rimane una parte importante dello stack.

Questi blocchi sono progettati per essere automatici. In caso di falso positivo, i mittenti verranno informati su come affrontare il problema. Partner fidati con reputazione limitata possono garantire la consegna oppure è possibile implementare sostituzioni temporanee durante l’onboarding di nuovi endpoint.

  1. La limitazione della rete protegge l’infrastruttura di Office 365 e i clienti dagli attacchi Denial of Service (DOS) limitando il numero di messaggi che possono essere inviati da un set specifico di infrastruttura.
  2. La reputazione e la limitazione dell’IP bloccheranno i messaggi inviati da indirizzi IP di connessione errati noti. Se un IP specifico invia molti messaggi in un breve periodo di tempo, questi verranno limitati.
  3. La reputazione del dominio bloccherà tutti i messaggi inviati da un dominio danneggiato noto.
  4. Il filtro perimetrale basato sulla directory blocca i tentativi di raccogliere le informazioni sulla directory di un’organizzazione tramite SMTP.
  5. Il rilevamento della retrodiffusione impedisce a un’organizzazione di essere attaccata tramite rapporti di mancato recapito (NDR) non validi.
  6. Il filtro avanzato per i connettori preserva le informazioni di autenticazione anche quando il traffico passa attraverso un altro dispositivo prima che raggiunga Office 365. Ciò migliora l’accuratezza dello stack di filtraggio, inclusi i modelli di machine learning di clustering euristico, anti-spoofing e anti-phishing, anche in scenari di routing complessi o ibridi.

Fase 2 – Sender Intelligence

Le funzionalità dell’intelligence del mittente sono fondamentali per il rilevamento di spam, messaggi in blocco, impersonificazione e falsificazione non autorizzati, nonché per il rilevamento del phishing. La maggior parte di queste funzionalità sono configurabili individualmente.

  1. I trigger e gli avvisi di rilevamento della compromissione dell’account vengono generati quando un account ha un comportamento anomalo, coerente con la compromissione. In alcuni casi, l’account utente viene bloccato e gli viene impedito di inviare ulteriori messaggi di posta elettronica fino a quando il problema non viene risolto dal team di sicurezza dell’organizzazione.
  2. L’autenticazione e-mail coinvolge sia metodi configurati dal cliente sia metodi impostati nel Cloud, volti a garantire che i mittenti siano mailer autentici e autorizzati. Questi metodi resistono allo spoofing.
    • SPF può rifiutare la posta in base ai record TXT DNS che elencano gli indirizzi IP e i server autorizzati a inviare posta per conto dell’organizzazione.
    • DKIM fornisce una firma crittografata che autentica il mittente.
    • DMARC consente agli amministratori di contrassegnare SPF e DKIM come richiesto nel proprio dominio e impone l’allineamento tra i risultati di queste due tecnologie.
    • ARC non è configurato dal cliente, ma si basa su DMARC per lavorare con l’inoltro nelle mailing list, durante la registrazione di una catena di autenticazione.
  3. Lo spoofing intelligente è in grado di filtrare coloro che sono autorizzati a “falsificare” (ovvero, coloro che inviano posta per conto di un altro account o inoltro per una mailing list) da spoofer dannosi che imitano un dominio aziendale o esterno noto. Separa la posta legittima “per conto di” dallo spoofing dei mittenti per recapitare messaggi di spam e phishing. L’intelligence di spoofing intra-org rileva e blocca i tentativi di spoofing da un dominio all’interno dell’organizzazione.
  4. L’intelligence di spoofing tra domini rileva e blocca i tentativi di spoofing da un dominio esterno all’organizzazione.
  5. Il filtro in blocco consente agli amministratori di configurare un BCL (Bulk Confidence Level) che indica se il messaggio è stato inviato da un mittente in blocco. Gli amministratori possono utilizzare Bulk Slider nel criterio Antispam per decidere quale livello di posta in blocco considerare come spam.
  6. L’intelligenza delle cassette postali apprende dai comportamenti di posta elettronica degli utenti standard. Sfrutta il grafico di comunicazione di un utente per rilevare quando un mittente sembra essere solo qualcuno con cui l’utente comunica di solito, ma in realtà è dannoso.
  7. La rappresentazione dell’intelligence delle cassette postali abilita o disabilita i risultati della rappresentazione avanzata in base alla mappa del mittente di ciascun utente. Quando è abilitata, questa funzione aiuta a identificare la rappresentazione.
  8. Il furto d’identità dell’utente consente a un amministratore di creare un elenco di obiettivi di alto valore che potrebbero essere impersonati. Se arriva un messaggio in cui solo il mittente sembra avere lo stesso nome e indirizzo dell’account di alto valore protetto, il messaggio viene contrassegnato. (Ad esempio, trαcye@contoso.com per tracye@contoso.com ).
  9. La rappresentazione del dominio rileva domini simili a quelli del destinatario e che tentano di apparire come un dominio interno. Ad esempio, questa rappresentazione tracye@liwαre.com per tracye@litware.com .

Fase 3 – Filtro dei contenuti

In questa fase lo stack di filtraggio inizia a gestire il contenuto specifico della posta, inclusi i suoi collegamenti ipertestuali e gli allegati.

  1. Le regole di trasporto (note anche come regole del flusso di posta o regole di trasporto di Exchange) consentono a un amministratore di eseguire un’ampia gamma di azioni quando viene soddisfatta una gamma altrettanto ampia di condizioni per un messaggio. Tutti i messaggi che passano attraverso l’organizzazione vengono valutati rispetto alle regole del flusso di posta / regole di trasporto abilitate.
  2. Microsoft Defender Antivirus e due motori antivirus di terze parti vengono utilizzati per rilevare tutto il malware noto negli allegati.
  3. I motori antivirus (AV) vengono utilizzati anche per il tipo true di tutti gli allegati, in modo che il blocco del tipo possa bloccare tutti gli allegati del tipo specificato dall’amministratore.
  4. Ogni volta che Microsoft Defender per Office 365 rileva un allegato dannoso, l’hash del file e un hash del suo contenuto attivo vengono aggiunti alla reputazione di Exchange Online Protection (EOP). Il blocco della reputazione degli allegati bloccherà quel file su tutto Office 365 e sugli endpoint tramite chiamate cloud MSAV.
  5. Il clustering euristico può determinare se un file è sospetto in base all’euristica di consegna. Quando viene rilevato un allegato sospetto, l’intera campagna viene messa in pausa e il file viene sottoposto a sandbox. Se il file viene rilevato come dannoso, l’intera campagna viene bloccata.
  6. I modelli di machine learning agiscono sull’intestazione, sul contenuto del corpo e sugli URL di un messaggio per rilevare i tentativi di phishing.
  7. Microsoft utilizza una determinazione della reputazione dal sandboxing URL, nonché la reputazione dell’URL da feed di terze parti nel blocco della reputazione URL, per bloccare qualsiasi messaggio con un URL dannoso noto.
  8. L’euristica dei contenuti può rilevare messaggi sospetti in base alla struttura e alla frequenza delle parole all’interno del corpo del messaggio, utilizzando modelli di apprendimento automatico.
  9. Safe Attachments esegue il sandbox di ogni allegato per i clienti di Defender per Office 365, utilizzando l’analisi dinamica per rilevare minacce mai viste prima.
  10. La detonazione del contenuto collegato tratta ogni URL che collega a un file in un’e-mail come un allegato, eseguendo il sandboxing asincrono del file al momento della consegna.
  11. La detonazione dell’URL si verifica quando la tecnologia anti-phishing a monte rileva un messaggio o un URL sospetto. La detonazione degli URL esegue il sandbox degli URL nel messaggio al momento della consegna.

Fase 4 – Protezione post-consegna

L’ultima fase avviene dopo la consegna della posta o dei file, agendo sulla posta che si trova in varie cassette postali e file che appaiono in client come Microsoft Teams.

  1. Safe Links è la protezione time-of-click di MDO. Ogni URL in ogni messaggio viene racchiuso in modo da puntare ai server Microsoft Safe Links. Quando si fa clic su un URL, viene confrontato con la reputazione più recente, prima che l’utente venga reindirizzato al sito di destinazione. L’URL viene sottoposto a sandbox in modo asincrono per aggiornare la sua reputazione.
  2. Phish Zero-Hour Auto-purge (ZAP) rileva e neutralizza retroattivamente i messaggi di phishing dannosi che sono già stati recapitati alle cassette postali di Exchange Online.
  3. Malware ZAP rileva e neutralizza retroattivamente i messaggi di malware dannosi che sono già stati recapitati alle cassette postali di Exchange Online.
  4. Spam ZAP rileva e neutralizza retroattivamente i messaggi di spam dannosi che sono già stati recapitati alle cassette postali di Exchange Online.
  5. Campaign Views consentono agli amministratori di vedere il quadro generale di un attacco, più rapidamente e in modo più completo, di quanto qualsiasi team potrebbe senza automazione. Microsoft sfrutta l’enorme quantità di dati anti-phishing, anti-spam e anti-malware nell’intero servizio per aiutare a identificare le campagne e quindi consente agli amministratori di esaminarle dall’inizio alla fine, inclusi obiettivi, impatti e flussi, che sono disponibile anche in un articolo scaricabile sulla campagna.
  6. I Report Message add-ins consentono alle persone di segnalare facilmente i falsi positivi (email erroneamente contrassegnate come cattive) o falsi negativi (e-mail contrassegnate come buone) a Microsoft per ulteriori analisi.
  7. I collegamenti sicuri per i client Office offrono la stessa protezione al momento del clic di collegamenti sicuri, in modo nativo, all’interno dei client Office come Word, PowerPoint ed Excel.
  8. La protezione per OneDrive, SharePoint e Teams offre la stessa protezione degli allegati sicuri da file dannosi, in modo nativo, all’interno di OneDrive, SharePoint e Microsoft Teams.
  9. Quando viene selezionato un URL che punta a un file dopo la consegna, la detonazione del contenuto collegato visualizza una pagina di avviso fino a quando il sandboxing del file non è completo e l’URL non è ritenuto sicuro.

Il diagramma dello stack di filtraggio

Il diagramma finale (come tutte le parti del diagramma che lo compone) è soggetto a modifiche man mano che il prodotto cresce e si sviluppa. Questo è lo stack con tutte le fasi in ordine:


Le informazioni presenti in questo post, sono prese dall’articolo: https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/protection-stack-microsoft-defender-for-office365?view=o365-worldwide

Annunciato l’Attack Simulation Training in Microsoft Defender per Office 365

Microsoft è entusiasta di annunciare che l’Attack Simulation Training in Microsoft Defender per Office 365 è finalmente in public preview. Questa funzionalità consente ai clienti di rilevare, quantificare e ridurre il rischio di social engineering.

Uno dei rischi più comuni a cui gli utenti sono esposti è il phishing: una buona tecnologia blocca la maggior parte degli attacchi di phishing prima che raggiungano le caselle di posta, ma nessuna tecnologia può fermare il 100% di questi attacchi. Tutto ciò fa dei dipendenti una linea di difesa cruciale.

La formazione sulla simulazione degli attacchi in Microsoft Defender è uno strumento di gestione del rischio di social engineering che consente a tutti i dipendenti di essere difensori. Utilizzando il phishing reale per emulare gli attacchi che i dipendenti hanno più probabilità di vedere, offre formazione sulla sicurezza personalizzata in base al comportamento di ogni dipendente. Consente di automatizzare la progettazione e l’implementazione del programma di formazione, facendo risparmiare tempo ai team di sicurezza. Coinvolgente e sensibile al contesto, questa formazione (erogata attraverso la partnership con Terranova Security) riduce i comportamenti rischiosi.

Queste le tre funzionalità in anteprima pubblica: simulazioni intelligenti, informazioni strategiche e formazione efficace sulla sicurezza.

Emula minacce reali con simulazioni intelligenti

Le simulazioni intelligenti automatizzano la gestione del payload, il targeting degli utenti, la pianificazione e la pulizia. L’amministratore della security può avviare una simulazione con un click nella tab Attack simulation Training nel Microsoft 365 Security Center.

Seguendo i semplici passaggi delineati nel workflow, l’amministratore può scegliere tra 4 diverse tecniche di social engineering e selezionare il modello di phishing da un elenco di modelli reali visualizzati nel proprio tenant. In alternativa, se l’amministratore preferisce, può caricare anche il proprio modello e quindi selezionare gli utenti a cui verrà inviata la simulazione.

L’amministratore, quindi, può assegnare la formazione su misura a seconda del comportamento di un utente nella simulazione. Ad esempio, può scegliere di assegnare 3 corsi di formazione agli utenti che sono stati compromessi nella simulazione ma solo 2 a coloro che hanno cliccato. La pagina di destinazione su cui l’utente finale atterrerà per accedere a questa formazione è completamente personalizzabile in base al brand aziendale. Infine, l’amministratore ha la possibilità di programmare l’avvio della simulazione immediatamente o scegliere di farlo partire in un secondo momento (personalizzato in base all’ora del destinatario).

Rafforza il “firewall umano” con una formazione di grande impatto

L’enorme libreria di contenuti di formazione sul phishing di Terranova Security consente un targeting di formazione personalizzato e altamente specifico basato sul punteggio di suscettibilità o sulle prestazioni della simulazione. Nanolearnings, microlearnings, e interattività si rivolgono a diversi stili di apprendimento per rafforzare la consapevolezza.

Nota: Tutti i corsi di formazione sono disponibili in oltre 12 lingue.

Quando un dipendente fa click sul collegamento di phishing in una simulazione o cede le proprie credenziali, viene indirizzato alla pagina di destinazione impostata dall’amministratore. Da qui, viene assegnata loro la formazione, che può essere completata subito o pianificata per un secondo momento nel calendario di Outlook. Verranno anche impostati dei promemoria regolari per invitare i dipendenti a completare il percorso.

Analizza il rischio di social engineering tra i dipendenti

L’impatto di questo percorso può essere misurato dalla metrica dell’efficacia della formazione, che traccia il tasso di compromissione effettivo dell’azienda in una simulazione rispetto al tasso di compromissione previsto da Microsoft. È possibile distinguere quali corsi di formazione hanno causato un calo di questo tasso e valutarne l’efficacia. Inoltre, si può ottenere visibilità sul completamento della formazione e sullo stato della simulazione attraverso metriche di completezza e copertura, oltre a verificare i progressi dell’azienda rispetto al tasso di compromissino previsto come riferimento. Ogni dashboard di reporting può essere filtrata in modi diversi ed esportata per la creazione di report.


Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/yyopwgy5

Annunciato Microsoft Defender ATP per Android

Microsoft è felice di annunciare la public preview di Microsoft Defender ATP per Android.
Come ha dichiarato Rob Lefferts, Corporate Vice President, Microsoft 365 Security and Compliance nel suo blog, le minacce nello spazio mobile sono uniche nel loro genere, e dato che sempre più persone utilizzano i dispositivi mobili per lavoro, la necessità per le aziende di proteggere i dati, è sempre più imperativa.

Dopo aver offerto un’anteprima di queste funzionalità alla RSA Conference 2020, c’è stata una risposta immediata da parte dei clienti e del settore. Negli ultimi mesi, Microsoft ha lavorato a stretto contatto con i suoi partner di progettazione, ascoltando i loro feedback e migliorando il prodotto.

Funzionalità chiave
La public preview offrirà protezione contro il phishing e le connessioni di rete non sicure da siti web e applicazioni dannose. Inoltre, la possibilità di limitare l’accesso ai dati aziendali da dispositivi ritenuti “rischiosi” consentirà alle aziende di proteggere gli utenti e i dati sui loro device Android. Tutti gli eventi e gli avvisi saranno disponibili attraverso un unico pannello nel Microsoft Defender Security Center, offrendo ai team di sicurezza una visione centralizzata delle minacce sui dispositivi insieme ad altre piattaforme. Queste funzionalità consentono alle aziende di attivare una forte sicurezza, garantendo al tempo stesso che i loro dipendenti continuino a lavorare in modo produttivo. Di seguito, approfondiamo nel dettaglio ciascuna di queste capacità.

Web protection
Il phishing è uno dei più grandi vettori di minaccia sui cellulari: la maggior parte degli attacchi avvengono al di fuori della posta elettronica, ad esempio tramite siti di phishing, applicazioni di messaggistica, giochi e altre applicazioni. Altre potenziali minacce provengono da app che possono effettuare connessioni a domini non sicuri, inconsapevolmente all’utente e ai team di sicurezza. Le funzionalità di protezione Web in Microsoft Defender ATP per Android aiutano ad affrontare queste sfide con:

  1. Anti-phishing: l’accesso a siti web non sicuri da SMS/testo, WhatsApp, e-mail, browser e altre applicazioni viene immediatamente bloccato. Per fare questo, si sfrutta il servizio Microsoft Defender SmartScreen per determinare se un URL è potenzialmente dannoso. Funziona in combinazione con Android, per consentire all’app di ispezionare l’URL per fornire una protezione anti-phishing. Se l’accesso a un sito dannoso viene bloccato, l’utente del dispositivo riceverà una notifica in merito, con le opzioni per consentire la connessione, segnalarlo in modo sicuro o rifiutare la notifica. I team di sicurezza ricevono una notifica sui tentativi di accesso a siti dannosi tramite un avviso nel Microsoft Defender Security Center.
  2. Blocco dei collegamenti non sicuri: La stessa tecnologia SmartScreen di Microsoft Defender viene utilizzata per bloccare anche le connessioni di rete non sicure che le applicazioni potrebbero effettuare automaticamente per conto dell’utente, senza che questi ne sia a conoscenza. Proprio come nell’esempio di phishing, l’utente viene immediatamente informato che questa attività è bloccata e gli vengono date le stesse scelte per consentirla, segnalarla come non sicura, o respingere la notifica come mostra la schermata del prodotto. Gli avvisi per questo scenario compaiono anche nel Microsoft Defender Security Center. Quando queste connessioni vengono tentate sul device di un utente, i team di sicurezza ne vengono informati tramite un avviso nel Microsoft Defender Security Center.
  3. Indicatori personalizzati: I team di sicurezza possono creare indicatori personalizzati, dando loro un controllo più preciso per consentire e bloccare gli URL e i domini a cui gli utenti si collegano dai loro dispositivi Android. Questo può essere fatto nel Microsoft Defender Security Center ed è un’estensione della potenza degli indicatori personalizzati già disponibili per Windows.

Malware scanning
Le aziende che implementano Android possono sfruttare le protezioni integrate nella piattaforma per limitare l’installazione di applicazioni da fonti affidabili e strumenti come Google Play Protect per ridurre significativamente la superficie di minaccia delle app potenzialmente dannose. Microsoft Defender ATP rafforza questo aspetto introducendo visibilità e controlli aggiuntivi per fornire ulteriori garanzie sul mantenimento dei dispositivi liberi da minacce e sicuri.

Microsoft Defender ATP per Android utilizza una protezione cloud basata sul deep learning e sull’euristica, per fornire una copertura dagli segnali a “bassa fedeltà” gestiti dalle “firme”, oltre ad offrire il rilevamento di malware basato sulle “firme”. Questa protezione si estende sia alle app dannose che ai file sul dispositivo.

Le scansioni vengono eseguite istantaneamente per rilevare malware e applicazioni potenzialmente indesiderate (PUA). Se viene scaricata un’applicazione sicura, l’utente finale vedrà una notifica che gli farà sapere che l’applicazione è pulita.

Blocco dell’accesso ai dati sensibili
Ulteriori livelli di protezione contro l’accesso alle informazioni aziendali sensibili sono offerti dall’integrazione con Microsoft Endpoint Manager, che comprende sia Microsoft Intune che Configuration Manager. Ad esempio, se un dispositivo è compromesso, viene bloccato l’accesso alla posta elettronica di Outlook. Quando Microsoft Defender ATP per Android scopre che un dispositivo ha installato applicazioni dannose, classificherà il dispositivo come “ad alto rischio” e lo segnalerà nel Microsoft Defender Security Center. Microsoft Intune utilizza il livello di rischio del dispositivo in combinazione con le politiche di conformità predefinite per attivare le regole di accesso condizionato che bloccano l’accesso alle risorse aziendali dal suddetto dispositivo. La schermata mostra un esempio di come l’utente finale riceve una notifica che il suo device non è conforme alle politiche della sua azienda e come porvi rimedio. Una volta disinstallata l’applicazione dannosa, l’accesso alle risorse aziendali viene ripristinato automaticamente. Per maggiori informazioni consultate la documentazione al seguente link: https://docs.microsoft.com/en-us/mem/intune/protect/advanced-threat-protection

Esperienza Unificata SecOps
Il Microsoft Defender Security Center funge da unico pannello per i team di sicurezza per ottenere una visione centralizzata delle minacce e delle attività. Qui vengono visualizzati tutti gli avvisi di phishing e malware sui dispositivi Android. Come parte dell’alert, gli analisti vedono il nome della minaccia, la sua gravità, i processi di allerta per l’incidente e altri contesti aggiuntivi, compresi i dettagli dei file e le informazioni SHA associate. Anche gli allarmi relativi ai dispositivi Android vengono inseriti nell’incidente, dove gli analisti possono ottenere una visione più olistica degli attacchi associati a un dispositivo.

Nell’elenco dei dispositivi, anche quelli Android sono visibili con i livelli di rischio associati. Nella pagina di informazioni sui device, gli analisti della sicurezza possono vedere il numero di incidenti, gli avvisi attivi e gli utenti collegati associati al dispositivo.

Questa è la stessa esperienza che viene fornita ai team di sicurezza per Windows, Mac e Linux.

Nei prossimi mesi, Microsoft lancerà altre funzionalità per Android e nel corso di quest’anno rilascerà Microsoft Defender ATP per iOS.

Per iniziare con Microsoft Defender ATP per Android
I clienti che hanno attivato le funzioni di anteprima possono iniziare subito a provare Microsoft Defender ATP per Android. Se non l’avete ancora fatto, vi invitiamo ad attivare le funzioni di anteprima nel Microsoft Defender Security Center oggi stesso.

Per ulteriori informazioni, compresi i requisiti di sistema dettagliati, i prerequisiti, le fasi di implementazione e configurazione e un elenco di miglioramenti e nuove funzionalità, consulta la documentazione a questo link: https://docs.microsoft.com/it-it/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-atp-android.

Per condividere i feedback, è possibile utilizzare l’opzione “Invia feedback” nell’applicazione Microsoft Defender ATP per Android.


Le informazioni riportate in questo post, sono prese dall’articolo originale: https://techcommunity.microsoft.com/t5/microsoft-defender-atp/announcing-microsoft-defender-atp-for-android/ba-p/1480787?_lrsc=a3210712-d9f4-4db4-889e-87ef972046b1.