Annunciato l’Attack Simulation Training in Microsoft Defender per Office 365

Microsoft è entusiasta di annunciare che l’Attack Simulation Training in Microsoft Defender per Office 365 è finalmente in public preview. Questa funzionalità consente ai clienti di rilevare, quantificare e ridurre il rischio di social engineering.

Uno dei rischi più comuni a cui gli utenti sono esposti è il phishing: una buona tecnologia blocca la maggior parte degli attacchi di phishing prima che raggiungano le caselle di posta, ma nessuna tecnologia può fermare il 100% di questi attacchi. Tutto ciò fa dei dipendenti una linea di difesa cruciale.

La formazione sulla simulazione degli attacchi in Microsoft Defender è uno strumento di gestione del rischio di social engineering che consente a tutti i dipendenti di essere difensori. Utilizzando il phishing reale per emulare gli attacchi che i dipendenti hanno più probabilità di vedere, offre formazione sulla sicurezza personalizzata in base al comportamento di ogni dipendente. Consente di automatizzare la progettazione e l’implementazione del programma di formazione, facendo risparmiare tempo ai team di sicurezza. Coinvolgente e sensibile al contesto, questa formazione (erogata attraverso la partnership con Terranova Security) riduce i comportamenti rischiosi.

Queste le tre funzionalità in anteprima pubblica: simulazioni intelligenti, informazioni strategiche e formazione efficace sulla sicurezza.

Emula minacce reali con simulazioni intelligenti

Le simulazioni intelligenti automatizzano la gestione del payload, il targeting degli utenti, la pianificazione e la pulizia. L’amministratore della security può avviare una simulazione con un click nella tab Attack simulation Training nel Microsoft 365 Security Center.

Seguendo i semplici passaggi delineati nel workflow, l’amministratore può scegliere tra 4 diverse tecniche di social engineering e selezionare il modello di phishing da un elenco di modelli reali visualizzati nel proprio tenant. In alternativa, se l’amministratore preferisce, può caricare anche il proprio modello e quindi selezionare gli utenti a cui verrà inviata la simulazione.

L’amministratore, quindi, può assegnare la formazione su misura a seconda del comportamento di un utente nella simulazione. Ad esempio, può scegliere di assegnare 3 corsi di formazione agli utenti che sono stati compromessi nella simulazione ma solo 2 a coloro che hanno cliccato. La pagina di destinazione su cui l’utente finale atterrerà per accedere a questa formazione è completamente personalizzabile in base al brand aziendale. Infine, l’amministratore ha la possibilità di programmare l’avvio della simulazione immediatamente o scegliere di farlo partire in un secondo momento (personalizzato in base all’ora del destinatario).

Rafforza il “firewall umano” con una formazione di grande impatto

L’enorme libreria di contenuti di formazione sul phishing di Terranova Security consente un targeting di formazione personalizzato e altamente specifico basato sul punteggio di suscettibilità o sulle prestazioni della simulazione. Nanolearnings, microlearnings, e interattività si rivolgono a diversi stili di apprendimento per rafforzare la consapevolezza.

Nota: Tutti i corsi di formazione sono disponibili in oltre 12 lingue.

Quando un dipendente fa click sul collegamento di phishing in una simulazione o cede le proprie credenziali, viene indirizzato alla pagina di destinazione impostata dall’amministratore. Da qui, viene assegnata loro la formazione, che può essere completata subito o pianificata per un secondo momento nel calendario di Outlook. Verranno anche impostati dei promemoria regolari per invitare i dipendenti a completare il percorso.

Analizza il rischio di social engineering tra i dipendenti

L’impatto di questo percorso può essere misurato dalla metrica dell’efficacia della formazione, che traccia il tasso di compromissione effettivo dell’azienda in una simulazione rispetto al tasso di compromissione previsto da Microsoft. È possibile distinguere quali corsi di formazione hanno causato un calo di questo tasso e valutarne l’efficacia. Inoltre, si può ottenere visibilità sul completamento della formazione e sullo stato della simulazione attraverso metriche di completezza e copertura, oltre a verificare i progressi dell’azienda rispetto al tasso di compromissino previsto come riferimento. Ogni dashboard di reporting può essere filtrata in modi diversi ed esportata per la creazione di report.


Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/yyopwgy5

Annunciato Microsoft Defender ATP per Android

Microsoft è felice di annunciare la public preview di Microsoft Defender ATP per Android.
Come ha dichiarato Rob Lefferts, Corporate Vice President, Microsoft 365 Security and Compliance nel suo blog, le minacce nello spazio mobile sono uniche nel loro genere, e dato che sempre più persone utilizzano i dispositivi mobili per lavoro, la necessità per le aziende di proteggere i dati, è sempre più imperativa.

Dopo aver offerto un’anteprima di queste funzionalità alla RSA Conference 2020, c’è stata una risposta immediata da parte dei clienti e del settore. Negli ultimi mesi, Microsoft ha lavorato a stretto contatto con i suoi partner di progettazione, ascoltando i loro feedback e migliorando il prodotto.

Funzionalità chiave
La public preview offrirà protezione contro il phishing e le connessioni di rete non sicure da siti web e applicazioni dannose. Inoltre, la possibilità di limitare l’accesso ai dati aziendali da dispositivi ritenuti “rischiosi” consentirà alle aziende di proteggere gli utenti e i dati sui loro device Android. Tutti gli eventi e gli avvisi saranno disponibili attraverso un unico pannello nel Microsoft Defender Security Center, offrendo ai team di sicurezza una visione centralizzata delle minacce sui dispositivi insieme ad altre piattaforme. Queste funzionalità consentono alle aziende di attivare una forte sicurezza, garantendo al tempo stesso che i loro dipendenti continuino a lavorare in modo produttivo. Di seguito, approfondiamo nel dettaglio ciascuna di queste capacità.

Web protection
Il phishing è uno dei più grandi vettori di minaccia sui cellulari: la maggior parte degli attacchi avvengono al di fuori della posta elettronica, ad esempio tramite siti di phishing, applicazioni di messaggistica, giochi e altre applicazioni. Altre potenziali minacce provengono da app che possono effettuare connessioni a domini non sicuri, inconsapevolmente all’utente e ai team di sicurezza. Le funzionalità di protezione Web in Microsoft Defender ATP per Android aiutano ad affrontare queste sfide con:

  1. Anti-phishing: l’accesso a siti web non sicuri da SMS/testo, WhatsApp, e-mail, browser e altre applicazioni viene immediatamente bloccato. Per fare questo, si sfrutta il servizio Microsoft Defender SmartScreen per determinare se un URL è potenzialmente dannoso. Funziona in combinazione con Android, per consentire all’app di ispezionare l’URL per fornire una protezione anti-phishing. Se l’accesso a un sito dannoso viene bloccato, l’utente del dispositivo riceverà una notifica in merito, con le opzioni per consentire la connessione, segnalarlo in modo sicuro o rifiutare la notifica. I team di sicurezza ricevono una notifica sui tentativi di accesso a siti dannosi tramite un avviso nel Microsoft Defender Security Center.
  2. Blocco dei collegamenti non sicuri: La stessa tecnologia SmartScreen di Microsoft Defender viene utilizzata per bloccare anche le connessioni di rete non sicure che le applicazioni potrebbero effettuare automaticamente per conto dell’utente, senza che questi ne sia a conoscenza. Proprio come nell’esempio di phishing, l’utente viene immediatamente informato che questa attività è bloccata e gli vengono date le stesse scelte per consentirla, segnalarla come non sicura, o respingere la notifica come mostra la schermata del prodotto. Gli avvisi per questo scenario compaiono anche nel Microsoft Defender Security Center. Quando queste connessioni vengono tentate sul device di un utente, i team di sicurezza ne vengono informati tramite un avviso nel Microsoft Defender Security Center.
  3. Indicatori personalizzati: I team di sicurezza possono creare indicatori personalizzati, dando loro un controllo più preciso per consentire e bloccare gli URL e i domini a cui gli utenti si collegano dai loro dispositivi Android. Questo può essere fatto nel Microsoft Defender Security Center ed è un’estensione della potenza degli indicatori personalizzati già disponibili per Windows.

Malware scanning
Le aziende che implementano Android possono sfruttare le protezioni integrate nella piattaforma per limitare l’installazione di applicazioni da fonti affidabili e strumenti come Google Play Protect per ridurre significativamente la superficie di minaccia delle app potenzialmente dannose. Microsoft Defender ATP rafforza questo aspetto introducendo visibilità e controlli aggiuntivi per fornire ulteriori garanzie sul mantenimento dei dispositivi liberi da minacce e sicuri.

Microsoft Defender ATP per Android utilizza una protezione cloud basata sul deep learning e sull’euristica, per fornire una copertura dagli segnali a “bassa fedeltà” gestiti dalle “firme”, oltre ad offrire il rilevamento di malware basato sulle “firme”. Questa protezione si estende sia alle app dannose che ai file sul dispositivo.

Le scansioni vengono eseguite istantaneamente per rilevare malware e applicazioni potenzialmente indesiderate (PUA). Se viene scaricata un’applicazione sicura, l’utente finale vedrà una notifica che gli farà sapere che l’applicazione è pulita.

Blocco dell’accesso ai dati sensibili
Ulteriori livelli di protezione contro l’accesso alle informazioni aziendali sensibili sono offerti dall’integrazione con Microsoft Endpoint Manager, che comprende sia Microsoft Intune che Configuration Manager. Ad esempio, se un dispositivo è compromesso, viene bloccato l’accesso alla posta elettronica di Outlook. Quando Microsoft Defender ATP per Android scopre che un dispositivo ha installato applicazioni dannose, classificherà il dispositivo come “ad alto rischio” e lo segnalerà nel Microsoft Defender Security Center. Microsoft Intune utilizza il livello di rischio del dispositivo in combinazione con le politiche di conformità predefinite per attivare le regole di accesso condizionato che bloccano l’accesso alle risorse aziendali dal suddetto dispositivo. La schermata mostra un esempio di come l’utente finale riceve una notifica che il suo device non è conforme alle politiche della sua azienda e come porvi rimedio. Una volta disinstallata l’applicazione dannosa, l’accesso alle risorse aziendali viene ripristinato automaticamente. Per maggiori informazioni consultate la documentazione al seguente link: https://docs.microsoft.com/en-us/mem/intune/protect/advanced-threat-protection

Esperienza Unificata SecOps
Il Microsoft Defender Security Center funge da unico pannello per i team di sicurezza per ottenere una visione centralizzata delle minacce e delle attività. Qui vengono visualizzati tutti gli avvisi di phishing e malware sui dispositivi Android. Come parte dell’alert, gli analisti vedono il nome della minaccia, la sua gravità, i processi di allerta per l’incidente e altri contesti aggiuntivi, compresi i dettagli dei file e le informazioni SHA associate. Anche gli allarmi relativi ai dispositivi Android vengono inseriti nell’incidente, dove gli analisti possono ottenere una visione più olistica degli attacchi associati a un dispositivo.

Nell’elenco dei dispositivi, anche quelli Android sono visibili con i livelli di rischio associati. Nella pagina di informazioni sui device, gli analisti della sicurezza possono vedere il numero di incidenti, gli avvisi attivi e gli utenti collegati associati al dispositivo.

Questa è la stessa esperienza che viene fornita ai team di sicurezza per Windows, Mac e Linux.

Nei prossimi mesi, Microsoft lancerà altre funzionalità per Android e nel corso di quest’anno rilascerà Microsoft Defender ATP per iOS.

Per iniziare con Microsoft Defender ATP per Android
I clienti che hanno attivato le funzioni di anteprima possono iniziare subito a provare Microsoft Defender ATP per Android. Se non l’avete ancora fatto, vi invitiamo ad attivare le funzioni di anteprima nel Microsoft Defender Security Center oggi stesso.

Per ulteriori informazioni, compresi i requisiti di sistema dettagliati, i prerequisiti, le fasi di implementazione e configurazione e un elenco di miglioramenti e nuove funzionalità, consulta la documentazione a questo link: https://docs.microsoft.com/it-it/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-atp-android.

Per condividere i feedback, è possibile utilizzare l’opzione “Invia feedback” nell’applicazione Microsoft Defender ATP per Android.


Le informazioni riportate in questo post, sono prese dall’articolo originale: https://techcommunity.microsoft.com/t5/microsoft-defender-atp/announcing-microsoft-defender-atp-for-android/ba-p/1480787?_lrsc=a3210712-d9f4-4db4-889e-87ef972046b1.