18/04/2018 Publicado por: Softeng

Office 365 Advance Threat Protection

El correo electrónico es una de las vías preferidas de los ciberdelincuentes para introducir malware en los equipos a través de archivos adjuntos o enlaces a webs maliciosas. Estas amenazas van enmascaradas en correos de falsas ofertas de empleo, notificaciones de multas, alertas de pagos vencidos e incluso provienen de remitentes afectados que son de nuestra confianza. En resumen, caer en la trampa de estos ataques es muy sencillo

Protección avanzada con Office 365

Office 365 ya proporciona a las empresas medidas de seguridad básicas que protegen el correo electrónico frente a correo no deseado, malware y virus conocidos. No obstante, a medida que los hackers lanzan ataques cada vez más sofisticados y dañinos las empresas necesitan nuevas herramientas capaces de neutralizarlos. Para ello, Microsoft nos ofrece Office 365 Advanced Threat Protection (ATP), una herramienta que enriquece la seguridad de la plataforma proporcionando protección contra las amenazas avanzadas.

¿Qué es Office 365 ATP?

Office 365 Advanced Threat Protection (ATP) es un servicio de filtrado de correo basado en la nube que ayuda a proteger tus buzones frente a cualquier tipo de ataque sofisticado y ofrece una respuesta inmediata a los ataques de día cero (Ataque que aprovecha una vulnerabilidad desconocida). Asimismo, Microsoft anunció que extiende la protección avanzada contra ataques a archivos de SharePoint Online, OneDrive para la empresa y Microsoft Teams. En este artículo vamos a comentar cada una de las capacidades que incluye esta potente solución de seguridad de Office 365.

 

Office 365 Advance Threat ProtectionProtección contra los archivos adjuntos no seguros
Office 365 Advance Threat ProtectionATP incluye dos funcionalidades de protección, Safe Attachments y Dynamic Delivery. Con Safe Attachments, los archivos adjuntos se someten a un análisis de comportamiento de malware en tiempo real que usa técnicas de aprendizaje automático para evaluarlos en busca de actividad sospechosa. Si no se detecta actividad sospechosa, el archivo se libera para su entrega con un tiempo de retraso mínimo.

Dynamic Delivery, permite al usuario leer y responder al correo mientras su archivo adjunto está siendo escaneado, evitando de esta manera la penalización en la productividad del usuario. El servicio entrega el correo al destinatario con un mensaje que indica que se está escaneando el fichero adjunto y su progreso.

Microsoft está trabajando en una nueva funcionalidad de Dynamic Delivery que mostrará una vista previa del archivo que está escaneando, minimizando aún más las interrupciones de trabajo para el usuario.

 

Office 365 Advance Threat ProtectionProtección contra los vínculos malintencionados
Las herramientas de seguridad de Office 365 exploran los mensajes en tránsito, bloqueando cualquier hipervínculo malicioso antes de que el usuario pueda hacer clic. No obstante, en los ataques más avanzados estas urls maliciosas están ocultas en enlaces aparentemente seguros que llegan al destinatario y en los que incluso el usuario más perspicaz puede ser víctima de ellos. 

Protege tu correo de empresa con Office 365 Advance Threat Protection

                                                                                                                                      Correo genérico que incluye varios enlaces maliciosos ocultos en enlaces aparentemente seguros.

Para hacer frente a estas técnicas maliciosas, ATP cuenta con dos funcionalidades, Safe Links y Url detonation, que actúan cuando el usuario hace clic en el enlace, realizando una comprobación de reputación y análisis del vínculo en tiempo real, bloqueando el link en caso de que sea malicioso.

Cuando el usuario hace clic en una URL malintencionada, automáticamente ATP comienza la exploración, mostrando al usuario pantallas que informan de la situación. La protección de ese enlace permanece, bloqueándolo cada vez que el usuario haga clic.

Office 365 Advance Threat Protection

Protege tu correo de empresa con Office 365 Advance Threat Protection

 

Microsoft ha dado un gran paso en la cobertura de protección de Office 365 ATP añadiendo la nueva funcionalidad Internal Safe Links. Esta nueva capacidad protege a los usuarios de enlaces maliciosos enviados entre personas de una misma organización.  

Internal Safe Link actúa igual que Safe Link; cuando un usuario hace click en un vínculo, la herramienta lo analiza en tiempo real y lo bloquea si es malicioso. Esta funcionalidad hace frente a los escenarios en los que alguien suplanta la identidad de una persona de nuestra organización, evitando además que los correos salgan de ésta.
 

Protege tu correo de empresa con Office 365 Advance Threat ProtectionProtección contra la suplantación de identidad (Anti-Phishing)
Nueva funcionalidad que nos protege de ataques de phishing que vienen de personas que a priori conocemos pero en realidad no son ellos quienes nos han enviado el correo (es lo que se denomina ataque basado en impersonación). Este tipo de ataques de phishing son extremadamente peligrosos pues el destinatario, al venir el correo “teóricamente” de quien parece un miembro de su organización,  suele confiar y caer fácilmente en el engaño. Si nuestros dominios están bien configurados, una suplantación usando exactamente nuestro dominio no debería ser posible, pero Office 365 ATP intercepta como intentos de suplantación también aquellos remitentes que no siendo correctos, confunden al ser muy similares (Por ejemplo, recibimos un email de un remitente "zperez@softegn.es", cuando en realidad, si existiera este usuario, sería "zperez@softeng.es".

Una vez activada esta nueva funcionalidad avanzada (la política no viene activada por defecto), de manera automática el sistema va aprendiendo paulatinamente cómo cada usuario se comunica con otros de dentro y fuera de la organización, aplicando inteligencia artificial predictiva y protegiendo finalmente a todos los usuarios con licencia Office 365 ATP.

Protege tu correo de empresa con Office 365 Advance Threat Protection

Protección contra correos falsificados de dominios externos (Anti-Spoofing)
Esta nueva capacidad ayuda a detectar y bloquear correos electrónicos falsificados de dominios externos. El spoofing es una técnica malintencionada de suplantación de identidad que se produce cuando un mensaje de correo electrónico se origina por alguien que no es quien dice ser.

Para combatir este tipo de ataques, Office 365 ATP incluye un sistema capaz de detectar los correos falsificados a través de:

  • Detección de la configuración de seguridad del dominio origen:  Activando esta funcionalidad, Office 365 solo aceptará correos electrónicos que provengan de dominios que no sean vulnerables a ser suplantados. Concretamente, para cada nuevo correo que llega a nuestra empresa, comprueba que el dominio del remitente tenga la configuración de seguridad correcta*, garantizando que se ha enviado desde una cuenta que realmente pertenece a ese dominio. En caso contrario, si recibimos correos que provengan de dominios sin estos protocolos bien configurados, Office 365 ATP bloquea dichos correos impidiendo que lleguen a nuestros usuarios.

    *SPF, DMARC y DKIM son los protocolos estándar de autenticación de correo electrónico que ayudan a proteger del correo no deseado y la suplantación de identidad

  • Filtros de reputación: Comprueba las listas de remitentes seguros y el historial de envíos anteriores desde ese dominio.
  • Patrones de anomalías: Comprueba anomalías en los patrones comparando con envíos anteriores desde ese dominio.

 Office 365 Advance Threat ProtectionObtén informes avanzados y realiza un seguimiento de los vínculos de los mensajes
ATP ofrece amplias capacidades de información y seguimiento que proporcionan a los administradores una perspectiva sobre el tipo de ataques que están ocurriendo en la organización con información de quién es el objetivo en tu empresa, el malware y spam enviado o recibido en la compañía y la categoría de los ataques a los que te enfrentas.

Los informes avanzados te permiten investigar los mensajes que se bloquearon debido a un virus o malware desconocido:

Office 365 Advance Threat Protection

La función de seguimiento de URL permite realizar un análisis de los enlaces en los que los usuarios han hecho clic, mostrando también los bloqueados:

Protege tu correo de empresa con Office 365 Advance Threat Protection

Protege tu correo de empresa con Office 365 Advance Threat ProtectionColabora de forma más segura

La capacidad de protección avanzada para los archivos que se comparten desde SharePoint Online, OneDrive para la empresa y Microsoft Teams ofrece a las compañías una manera más segura de colaborar, impidiendo que los usuarios puedan abrir o descargar archivos maliciosos.

 

¿Cómo adquirir Office 365 Advanced Threat Protection?

ATP se incluye en la versión Office 365 Enterprise E5 y se puede agregar en los siguientes planes de Office 365 que tienen licencia de correo, concretamente:

  • Exchange Online Plan 1 y plan 2
  • Quiosco de Exchange Online
  • Exchange Online Protection
  • Office 365  Essentials
  • Office 365 Empresa premium
  • Office 365 Enterprise E1 y E3
  • Office 365 Enteprise K1

Desde Softeng te ofrecemos nuestra experiencia y nuestros servicios para ayudarte a trazar y consensuar la estrategia más adecuada para implementar las soluciones de seguridad en la nube que aseguran la continuidad de tu negocio

¿Quieres saber más? Contacta con nosotros para descubrir cómo proteger tu empresa!

¡Sí, quiero saber más!

 

 

<< volver al blog
FacebookTwitterLinkedInWhatsapp
Enviando...

¿Quieres recibir los artículos en tu correo?


Suscripciones al Blog Rss del Blog