El correo electrónico y las aplicaciones de mensajería son unas de las vías preferidas de los ciberdelincuentes para introducir malware en los equipos a través de archivos adjuntos o enlaces a webs maliciosas. Estas amenazas van enmascaradas en correos de falsas ofertas de empleo, notificaciones de multas, alertas de pagos vencidos e incluso provienen de remitentes afectados que son de nuestra confianza. En resumen, caer en la trampa de estos ataques es muy sencillo.
Protección avanzada con Microsoft Defender for Office 365
Office 365 ya proporciona a las empresas medidas de seguridad básicas que protegen el correo electrónico frente a correo no deseado, malware y virus conocidos. No obstante, a medida que los hackers lanzan ataques cada vez más sofisticados y dañinos las empresas necesitan nuevas herramientas capaces de neutralizarlos. Para ello Microsoft nos ofrece Microsoft Defender for Office 365, anteriormente Office 365 ATP, una herramienta que enriquece la seguridad de la plataforma proporcionando protección contra las amenazas avanzadas.
¿Qué es Microsoft Defender for Office 365?
Defender for Office 365 es el servicio de Microsoft basado en la nube que protege ante ataques de phishing, suplantación de identidad y otros tipos de ataques sofisticados de malware a través de links maliciosos que se ofrecen a través del correo electrónico y herramientas de colaboración de Office 365, incluyendo SharePoint Online, OneDrive para la empresa y Microsoft Teams. Ofrece una protección integral ofreciendo vigilancia durante todo el ciclo de vida de un ataque:
- Prevención, filtrando ataques dirigidos contra el correo electrónico empresarial, la suplantación de identidad con credenciales, el ransomware y el malware avanzado.
- Detección de contenido malintencionado y sospechoso a través de inteligencia artificial, correlacionando los patrones del ataque para identificar el peligro.
- Análisis de las amenazas mediante un panel de control, para realizar un seguimiento de los ataques al entorno.
- Respuesta y corrección, permitiendo automatizar las respuestas a los incidentes que se produzcan.
En este artículo vamos a comentar cada una de las capacidades que incluye esta potente solución de seguridad de Office 365.
Protección contra los archivos adjuntos no seguros
Microsoft Defender for Office 365 incluye dos funcionalidades de protección, Safe Attachments y Dynamic Delivery. Con Safe Attachments, los archivos adjuntos se someten a un análisis de comportamiento de malware en tiempo real que usa técnicas de aprendizaje automático para evaluarlos en busca de actividad sospechosa. Si no se detecta actividad sospechosa, el archivo se libera para su entrega con un tiempo de retraso mínimo.
Dynamic Delivery, permite al usuario leer y responder al correo mientras su archivo adjunto está siendo escaneado, evitando de esta manera la penalización en la productividad del usuario. El servicio entrega el correo al destinatario con un mensaje que indica que se está escaneando el fichero adjunto y su progreso.
Además, Dynamic Delivery muestra una vista previa del archivo que está escaneando, minimizando aún más las interrupciones de trabajo para el usuario.
Protección contra los vínculos malintencionados
Las herramientas de seguridad de Office 365 exploran los mensajes en tránsito, bloqueando cualquier hipervínculo malicioso antes de que el usuario pueda hacer clic. No obstante, en los ataques más avanzados estas urls maliciosas están ocultas en enlaces aparentemente seguros que llegan al destinatario y en los que incluso el usuario más perspicaz puede ser víctima de ellos.
Correo genérico que incluye varios enlaces maliciosos ocultos en enlaces aparentemente seguros.
Para hacer frente a estas técnicas maliciosas, Defender for Office 365 cuenta con dos funcionalidades, Safe Links y Url detonation, que actúan cuando el usuario hace clic en el enlace, realizando una comprobación de reputación y análisis del vínculo en tiempo real, bloqueando el link en caso de que sea malicioso.
Cuando el usuario hace clic en una URL malintencionada, automáticamente Microsoft Defender for Office 365 comienza la exploración, mostrando al usuario pantallas que informan de la situación. La protección de ese enlace permanece, bloqueándolo cada vez que el usuario haga clic.
Microsoft ha dado un gran paso en la cobertura de protección de Microsoft Defender for Office 365 añadiendo la funcionalidad Internal Safe Links. Esta capacidad protege a los usuarios de enlaces maliciosos enviados entre personas de una misma organización.
Internal Safe Link actúa igual que Safe Link; cuando un usuario hace click en un vínculo, la herramienta lo analiza en tiempo real y lo bloquea si es malicioso. Esta funcionalidad hace frente a los escenarios en los que alguien suplanta la identidad de una persona de nuestra organización, evitando además que los correos salgan de ésta.
​Protección contra la suplantación de identidad (Anti-Phishing)
Esta funcionalidad que nos protege de ataques de phishing que vienen de personas que a priori conocemos pero en realidad no son ellos quienes nos han enviado el correo (es lo que se denomina ataque basado en impersonación). Este tipo de ataques de phishing son extremadamente peligrosos pues el destinatario, al venir el correo “teóricamente” de quien parece un miembro de su organización, suele confiar y caer fácilmente en el engaño. Si nuestros dominios están bien configurados, una suplantación usando exactamente nuestro dominio no debería ser posible, pero Microsoft Defender for Office 365 intercepta como intentos de suplantación también aquellos remitentes que no siendo correctos, confunden al ser muy similares (Por ejemplo, recibimos un email de un remitente «zperez@softegn.es», cuando en realidad, si existiera este usuario, sería «zperez@softeng.es».
Una vez activada esta nueva funcionalidad avanzada (la política no viene activada por defecto), de manera automática el sistema va aprendiendo paulatinamente cómo cada usuario se comunica con otros de dentro y fuera de la organización, aplicando inteligencia artificial predictiva y protegiendo finalmente a todos los usuarios con licencia Microsoft Defender for Office 365.
​
Protección contra correos falsificados de dominios externos (Anti-Spoofing)
Esta capacidad ayuda a detectar y bloquear correos electrónicos falsificados de dominios externos. El spoofing es una técnica malintencionada de suplantación de identidad que se produce cuando un mensaje de correo electrónico se origina por alguien que no es quien dice ser.
Para combatir este tipo de ataques, Defender for Office 365 incluye un sistema capaz de detectar los correos falsificados a través de:
- Detección de la configuración de seguridad del dominio origen: Activando esta funcionalidad, Office 365 solo aceptará correos electrónicos que provengan de dominios que no sean vulnerables a ser suplantados. Concretamente, para cada nuevo correo que llega a nuestra empresa, comprueba que el dominio del remitente tenga la configuración de seguridad correcta*, garantizando que se ha enviado desde una cuenta que realmente pertenece a ese dominio. En caso contrario, si recibimos correos que provengan de dominios sin estos protocolos bien configurados, Microsoft Defender for Office 365 bloquea dichos correos impidiendo que lleguen a nuestros usuarios.*SPF, DMARC y DKIM son los protocolos estándar de autenticación de correo electrónico que ayudan a proteger del correo no deseado y la suplantación de identidad
- Filtros de reputación: Comprueba las listas de remitentes seguros y el historial de envíos anteriores desde ese dominio.
- Patrones de anomalías: Comprueba anomalías en los patrones comparando con envíos anteriores desde ese dominio.
​Obtén informes avanzados y realiza un seguimiento de los vínculos de los mensajes
Microsoft Defender for Office 365 ofrece amplias capacidades de información y seguimiento que proporcionan a los administradores una perspectiva sobre el tipo de ataques que están ocurriendo en la organización con información de quién es el objetivo en tu empresa, el malware y spam enviado o recibido en la compañía y la categoría de los ataques a los que te enfrentas.
Los informes avanzados te permiten investigar los mensajes que se bloquearon debido a un virus o malware desconocido:
La función de seguimiento de URL permite realizar un análisis de los enlaces en los que los usuarios han hecho clic, mostrando también los bloqueados:
Colabora de forma más segura
La capacidad de protección avanzada para los archivos que se comparten desde SharePoint Online, OneDrive para la empresa y Microsoft Teams ofrece a las compañías una manera más segura de colaborar, impidiendo que los usuarios puedan abrir o descargar archivos maliciosos.
¿Cómo adquirir Microsoft Defender for Office 365?
Defender for Office 365 nos ofrece dos planes:
Microsoft Defender for Office 365 Plan 1: Se incluye en la versión Office 365 Enterprise E5 y se puede agregar en los siguientes planes de Office 365 que tienen licencia de correo, concretamente:
- Exchange Online Plan 1 y plan 2
- Quiosco de Exchange Online
- Exchange Online Protection
- Microsoft 365 Empresa Básico
- Microsoft 365 Empresa Estándar
- Office 365 Enterprise F3
- Office 365 Enterprise E1 y E3
Microsoft Defender for Office 365 Plan 2: Este plan combina todas las capacidades del plan 1 más la solución de inteligencia de amenazas Office 365 Threat Intelligence, viene incluido en Microsoft 365 Enterprise E5 y Office 365 Enterprise E5.
Desde Softeng te ofrecemos nuestra experiencia y nuestros servicios para ayudarte a trazar y consensuar la estrategia más adecuada para implementar las soluciones de seguridad en la nube que aseguran la continuidad de tu negocio.
¿Quieres saber más? Contacta con nosotros.