I utgangspunktet sørger Office 365 kun for tradisjonell antivirusbeskyttelse av e-post. Antivirusbeskyttelsen bruker flere motorer for å skanne meldinger, og er basert på signaturer som oppdateres flere ganger om dagen, i tillegg til Microsofts generelle erfaringer med virusangrep. Denne løsningen egner seg godt som førstelinjeforsvar, men svikter i møte med ukjent skadelig programvare og nulldagstrusler som vi stadig ser mer av. Det er her Office 365 Advanced Threat Protection (ATP) kommer inn. Den skjermer deg mot usikre vedlegg, farlige koblinger og forsøk på nettfiske. Nytt er støtte for dokumenter som deles i OneDrive, SharePoint og Microsoft Teams. I dette innlegget skal vi se nærmere på de innebygde beskyttelsesmekanismene og hvorfor du bør plusse på med Office 365 ATP. Avhengig av abonnement kan den kreve en tilleggslisens, som er forbausende rimelig.
Et lagdelt dybdeforsvar
Alle innkommende og utgående meldinger passerer gjennom Exchange Online Protection, den skybaserte tjenesten som tar seg av meldingshygiene. Figuren over viser de enkelte lagene. Tilkoblingsfilteret avviser meldinger fra dynamiske IP-adresser og andre suspekte nettverk. Filteret for skadelig programvare håndterer skadevare. Regler for meldingsflyt utfører handlinger på meldinger ut fra kriterier du angir. Søppelpostfilteret beskytter mot uønsket e-post. Til slutt slår avansert trusselbeskyttelse inn for å hindre et eventuelt sikkerhetsbrudd som ikke er fanget opp av tidligere lag.
Senteret for sikkerhet og samsvar
Du kan konfigurere filteret for skadelig programvare i Exchange-portalen, men det er mer naturlig å benytte Sikkerhets- og samsvarssenteret. Microsoft er i ferd med å flytte administrasjonen av alle sikkerhetsrelaterte tjenester hit. Samme sted finner du også de tre modulene som inngår i Office 365 Advanced Threat Protection. I det følgende skal vi ta for oss to av dem: Klarerte ATP-vedlegg og ATP-klarerte koblinger. Policyene for ATP-anti-phishing bør sees i sammenheng med andre tiltak – som DNS-oppføringer og søppelpostfilteret – og fortjener en egen blogg.
Tradisjonell beskyttelse mot skadelig programvare
Det er ikke mye du kan konfigurere eller endre i filteret for skadelig programvare. Du kan ikke slå av antivirus-funksjonen. Det er ingen opsjon for å skanne postbokser; beskyttelsen tar seg bare av meldinger i transitt. Infisert e-post blir satt i karantene og kan kun slettes eller frigis av systemansvarlig. Til gjengjeld kan og bør du blokkere for risikable filtyper og sette opp varslinger for avsendere, mottakere og administratorer. Det er også mulig å benytte forskjellige policyer for ulike brukere. Her følger vårt forslag til et grunnleggende oppsett:
Du bør aktivere filteret for vanlige typer vedlegg, som blant annet omfatter Word-dokumenter med makroer (.docm), programmer (.exe) og filer som kan endre registeret (.reg). Utover dette kan du legge til rundt 90 filtyper. Ut av boksen er denne funksjonen slått av.
Nå kan det være hensiktsmessig å varsle mottakerne, så de selv ser hva som blir filtrert bort og ved behov kan få frigitt e-post. Kryss av for «Ja, og bruk egendefinert varseltekst». Systemgenererte meldinger gir ofte for dårlig informasjon.
Sett også opp avsender- og administratorvarsler for utgående meldinger som ikke kan leveres, med en tilpasset beskjed som: «En utgående melding er avvist fordi et vedlegg inneholder skadelig programvare eller er en risikabel filtype.» Det kan gi brukeropplæring og varsler systemansvarlig om mulig skadevare i organisasjonen. Men det er liten grunn til å advare eksterne avsendere da det her kan dreie seg om folk som er ute etter å samle opp gyldige e-postadresser og ofte seiler under falskt flagg. Administrator trenger heller ingen informasjon om denne type meldinger. Erfaringsmessig fører det til for mye e-post.
Signaturbasert beskyttelse mot skadevare
Beskyttelsen de innebygde mekanismene i Exchange Online Protection gir, bruker signaturfiler for å gjenkjenne virus. Disse signaturene er samlet i et bibliotek eller en database som gir en oversikt over all kjent skadevare forskere har funnet. Fordelen ved denne type beskyttelse er at virusskanningen foregår lynkjapt og med en høy grad av nøyaktighet. Problemet er at det tar tid fra et nytt virus ser dagens lys, blir identifisert og til et fingeravtrykk er på plass. I løpet av denne perioden kan meldinger som inneholder dette viruset, trenge gjennom og ende opp i Office 365-organisasjonen din. Og dette har vi sett mye av i de senere årene i form av løsepengevirus, annonsesvindelprogram, forsøk på phishing og andre typer skadelig programvare. I angrepslandskapet dominerer e-post fortsatt som viktigste innfallsport for trusler.
Avansert trusselbeskyttelse
Office 365 Advanced Threat Protection (ATP) fyller tomrommet som signaturbasert skanning etterlater seg. Figuren ovenfor, som er hentet fra Microsoft, gir en idé om arkitekturen i ATP, men kan også være egnet til å misforstås. Samtlige vedlegg, delte dokumenter og koblinger undersøkes. Alle ATP-funksjoner fungerer som et tillegg til Exchange Online Protection (EOP). Meldinger er bare gjenstand for ytterligere skanning og behandling hvis ingen av de andre EOP-funksjonene har funnet noe mistenkelig.
ATP omdirigerer e-postvedlegg og arbeidsdokumenter til en virtuell sandkasse – eller et detonasjonskammer, som det kalles. Her foretas en atferdsanalyse av innholdet basert på maskinlæring (kunstig intelligens). Under denne prosessen «detoneres» dokumentene, dvs. de åpnes og undersøkes for mistenkelig aktivitet, så som forsøk på å skrive til filsystemet og registeret eller laste ned programkode. Koblinger til nettadresser kontrolleres i sanntid idet du klikker på dem. Er nettstedet utrygt, blir du enten advart eller opplyst om at det er blokkert. Detaljert rapportering og meldingssporing gir innsikt i type angrep og hvem i organisasjonen som er målet.
Konfigurere klarerte ATP-vedlegg
Velg Policy under Trusselhåndtering i portalen for sikkerhet og samsvar. Klikk på Klarerte ATP-vedlegg. Kryss av for «Aktiver ATP for SharePoint, OneDrive og Microsoft Teams» og klikk på Lagre. Dermed blir dokumenter i skyen undersøkt av ATP straks du deler dem. Dette er en naturlig konsekvens av at Microsoft ønsker at vi skal gå bort fra e-postvedlegg og i stedet sende koblinger. Klikk så på pluss-tegnet for å opprette en ny policy. Ikke glem at du til slutt må angi hvem policyen skal gjelde for. For vår del er det hele domenet, men det kan også være enkeltpersoner eller grupper.
De øverste to valgene som slår av beskyttelsen – Av og Overvåk – vises ikke her. I praksis vil folk flest velge Erstatt eller Dynamisk levering. Infiserte vedlegg plasseres i karantene og kan bare frigis av en administrator. Overvåk-, erstatt- og blokker-handlinger kunne tidligere føre til en betydelig forsinkelse av e-postleveringen. Microsoft anga 2–15 minutter. Analysen av dokumenter går mye kjappere nå, vannligvis under ett minutt. Dermed er det en smaksak hvilet alternativ man foretrekker. Dynamisk levering kan føre til at du får beskjed to ganger om at samme melding er kommet inn i postboksen – først uten, så med med vedlegg.
Her er det krysset av for «Aktiver omdirigering» og «Du kan bruke valget ovenfor hvis det oppstår tidsavbrudd eller feil når vedlegg kontrolleres for skadelig programvare.» Dette er mest eksperimentelt og strengt tatt ikke nødvendig.
Med dynamisk levering får du meldingen med det samme og en beskjed om at ATP-skanning pågår. Her kan du klikke på plassholderen for dokumentet og velge forhåndsvisning i Office Online.
Konfigurere ATP-klarerte koblinger
Klarerte koblinger hindrer brukere i å følge koblinger i e-postmeldinger og dokumenter som går til nettsteder som gjenkjennes som skadelige. Her er det to typer policyer. Ovenfor er default-policyen som gjelder hele organisasjonen. Her kan du angi en nettside som forklarer hvorfor en nettadresse er blokkert. Ellers burde skjermbildet være selvforklarende nok.
Her har vi satt opp en policy for e-post som i vårt tilfelle gjelder hele domenet. Men du kan også operere med forskjellige regelsett og bruke dem på enkeltpersoner og grupper.
Brukere er i dag ofte opplært til å bevege musen over koblinger for å se hva de peker mot. Fortsatt er ATP-klarerte koblinger lite brukervennlige. Det går frem av veikartet for Office 365 ATP at Microsoft jobber med å endre dette.
Konklusjon
Trusselbildet har endret seg. Opprinnelig kom angrepene stort sett fra skript-kiddies som spredte hærverk. I dag har vi i større grad å gjøre med profesjonelle aktører som er ute etter økonomisk vinning, driver med industrispionasje eller har ideologiske motiver. Resultatet er at ny skadelig programvare lanseres daglig. Dermed er det viktig at alle lag i tradisjonelle beskyttelsestiltak er konfigurert optimalt. Men til syvende og sist kommer de til kort overfor ukjente trusler. Det gjør det nødvendig å gå andre veier, nærmere bestemt å undersøke hvilken atferd vedlegg og dokumenter utviser. Det er nettopp dét Office 365 Advanced Threat Protection gjør.
Klarerte ATP-vedlegg skjermer organisasjonen mot skadelig innhold i e-postvedlegg og filer i SharePoint, OneDrive og Microsoft Teams. ATP-klarerte koblinger hindrer eller advarer brukere mot å åpne og dele skadelige koblinger i e-postmeldinger, nå også i Office 365 ProPlus og Office for iOS og Android. I tillegg sørger ATP-anti-phishing for å beskytte brukere mot nettfiske-angrep. Office 365 Advanced Threat Protection er ikke lenger bare en opsjon, men en nødvendig tjeneste for enhver Office 365-organisasjon.
Relaterte blogginnlegg:
Sikre e-post med Office 365 meldingskryptering Beskyttelse og sikring av enheter, identiteter og informasjonAvansert beskyttelse mot søppelpost
