Microsoft 365 Defender – w jaki sposób inteligentna ochrona pomoże zabezpieczyć Twój biznes?

Według badań Deloitte, aż 91% cyberataków ma swoje źródło w poczcie e-mail – a konkretniej, w wiadomościach będących phishingiem. 

Z tego powodu, weźmiemy dziś na tapet funkcje Defendera dedykowane usługom Microsoft 365 (Microsoft Defender for Office 365), a konkretniej poczcie e-mail i dokumentom.

• Anti-phishing, czyli prawdziwie inteligentna skrzynka pocztowa

Najczęściej, codzienne maile wymieniamy z kilkoma i tymi samymi osobami. Przy wykorzystaniu sztucznej inteligencji, narzędzie uczy się tego z kim najczęściej komunikujemy się mailowo, zarówno w organizacji, jak i poza nią. Na tej podstawie, tworzony jest graf połączeń, na bazie którego system ocenia stopień potencjalnego zagrożenia płynącego z otrzymywanych wiadomości. Może się więc zdarzyć, że mail zawierający załącznik lub link od osoby, z którą wcześniej rzadko, bądź wcale korespondowaliśmy, oznaczony zostanie jako niebezpieczny, lub trafi na tzw. „kwarantannę”. Nie musisz obawiać się natarczywych i zbyt częstych komunikatów bezpieczeństwa – otrzymasz je tylko wtedy, gdy wystąpi realne zagrożenie. Wszystko po to, by zminimalizować ryzyko wyłudzenia danych i zidentyfikować przypadki podszywania się pod inne osoby.

• Bezpieczne linki i załączniki (safe links, safe attachments)

Doskonale wiemy, że linki i załączniki to te elementy wiadomości, które potrafią wyrządzić najwięcej złego. I tu z pomocą przychodzi Defender! 

Jeśli będziesz chciał otworzyć linka przesłanego w treści maila lub dokumentu, system najpierw przekieruje Cię do bezpiecznego środowiska Microsoft 365. Następnie, porówna link ze spisem stron internetowych zaklasyfikowanych jako niebezpieczne i/lub złośliwe. Jeśli wszystko będzie w porządku, zostaniesz przekierowany pod docelowy adres. W przeciwnym wypadku, otrzymasz komunikat informujący o próbie ataku. Co ważne, link poddawany jest analizie po każdym kliknięciu – na wypadek, gdyby strona, na którą ktoś usiłuje Cię skierować, została zainfekowana. Ochronie podlegają łącza zawarte w treści wiadomości, a także programach klasycznego pakietu Office, a więc w Wordzie, Excelu, czy Power Pointcie.

Jeśli chodzi zaś o załączniki – po wstępnej analizie, kierowane są do specjalnego środowiska, gdzie zostają poddane tzw. analizie behawioralnej. Przy udziale sztucznej inteligencji sprawdza się, czy dany plik nie wykazuje złośliwych zamiarów. Jeśli wszystko jest w porządku, zostaje on dopuszczony i zaklasyfikowany jako bezpieczny i gotowy do otwarcia. 

Ochrona działa również wtedy, gdy plik zostanie przesłany do usługi Share Point, czy OneDrive. W przypadku wykrycia podejrzanej aktywności, narzędzie zablokuje plik, uniemożliwiając jego otwarcie.

• Symulacje ataków

Symulacje ataków, czyli najlepsza forma rozrywki Specjalistów ds. cyberbezpieczeństwa w zgoda.net! 
A zupełnie poważnie, regularne prowadzenie ćwiczeń z zakresu phishingu i socjotechniki w zespole, uczy czujności i wyłapywania poszczególnych elementów świadczących o tym, że mamy do czynienia z próbą ataku.

Defender daje nam do wyboru kilka metod ataku, a jedną z nich, jest „drive-by-URL”. Atak polega na rozesłaniu silnie profilowanych wiadomości do członków zespołu z linkiem kierującym do strony ze złośliwym oprogramowaniem. Naturalnie na potrzeby ćwiczenia link jest zupełnie bezpieczny, ale po jego kliknięciu naszym oczom ukazuje się komunikat o tym, że naraziliśmy się na niebezpieczeństwo. 

Na czym polega wspomniane profilowanie?

Na jak najlepszym odwzorowaniu specyficznego stylu komunikacji osoby, pod którą się podszywamy. Skąd haker może mieć te informacje? Wystarczy, że do ataku przygotuje się dużo wcześniej, bacznie obserwując wspomniany styl komunikacji, by trudniej nam było zorientować się, że mamy do czynienia z atakiem. Po ukończonym ćwiczeniu, osoba je przeprowadzająca ma pełen wgląd do wyników, a więc zachowań poszczególnych użytkowników poddanych symulowanemu atakowi. Dzięki temu wie, które obszary wymagają dodatkowej pracy i uświadomienia członków zespołu.

• Automatyczne śledztwo i reakcja (AIR)

Defender for Office 365 zapewnia funkcję automatycznego śledztwa i reakcji (automated investigation and response). 

Na czym to polega? 

Załóżmy, że pracownicy działu marketingu zgłaszają do działu IT podejrzaną aktywność na swojej skrzynce mailowej. Zaraz po nich, kolejne zgłoszenia wpływają od księgowości, sprzedaży i nagle z 20 powiadomień o zagrożeniu, robi się ich 100. Każde z nich musi zostać zbadane, odpowiednio spriorytetyzowane i przydzielone konkretnej osobie. Ogrom pracy, czasu i konieczność zaangażowania w proces kilku osób. 

Tymczasem, AIR jest w stanie zidentyfikować najczęściej występujące zagrożenia i zaproponować gotowe rozwiązania. Zadaniem specjalistów działu IT jest więc przejrzenie i zatwierdzenie tych rozwiązań. Zdjęcie z ich barków tych ważnych, jednak często bardzo pracochłonnych zadań pozwala na sporą oszczędność czasu i bardziej efektywne wykorzystanie zasobów.