Как защитить MS Office 365 дополнительно

Облачные сервисы доступны, надежны и удобны. Однако возникает вопрос, насколько они безопасны? Cloud App Security от Trend Micro обеспечивает дополнительную защиту популярного сервиса MS Office 365. Об этом рассказал на специальном вебинаре инженер по предпродажной подготовке Дмитрий Остапенко из компании Elcore.

Докладчик начал с того, что отметил - в соглашении об использовании данного сервиса прямо указано, что MS Office 365 защищает от уже известных угроз. Но реальность такова, что подавляющее большинство угроз, по статистике Trend Micro за прошлый год, ранее никогда не встречалось. Они не определяются ни сигнатурным анализом, ни репутацией. Для защиты от таких угроз необходимо использовать дополнительные средства.

Обычно для атак злоумышленники предпочитают использовать канал электронной почты, поскольку он самый распространенный для получения информации как корпорациями, так и частными лицами. Ситуация усугубляется тем, что в связи с массовым переходом на удаленную работу, пересылка контента выходит за пределы организации. Обычно файлы размещают в облаке, и при необходимости доступа к ним передается только ссылка.

Иногда злоумышленникам удается проникнуть внутрь организации и получить доступ к почтовому ящику определенного сотрудника. Такие коммуникации также желательно отслеживать. Но трудность в том, что подавляющее большинство решений, в том числе и MS Office 365, не проверяют внутреннюю почту. Традиционно этому каналу уделяется мало внимания с точки зрения информационной безопасности.

Путей получения доступа к ящикам внутренней почты довольно много, и наиболее распространенными механизмами являются всякого рода фишинговые атаки, в числе которых подделка легитимных сайтов. Чтобы больше ввести пользователей в заблуждение, злоумышленники прибегают к тонким психологическим приемам. К ним относятся точное копирование стилистики доверенного сервиса, подделка внешнего вида фишинг-сайта, определение имени пользователя из файлов cookie, его login, адрес e-mail.

Компания Trend Micro с помощью таких технологий, как компьютерное зрение, ИИ, использования многочисленных фильтров, сопоставления элементов брендирования, оптического распознавания элементов на странице, повышает уровень достоверности отображаемых страниц и блокирует страницы, которые могут принести вред организации. Также в англоязычном сегменте Интернета у злоумышленников существует еще один очень серьезный инструмент для воровства — это атаки типа Business Email Compromise (BEC). Они заключаются в том, что злоумышленники получают доступ во внутреннюю сеть организации, изучают стилистику писем, составляют стилистический портрет чуть ли не каждого сотрудника и стараются написать письмо, скажем, в финансовый департамент, контрагентам, клиентам, подставив поддельные реквизиты для платежей, чтобы их получить. Такие атаки наносят существенный ущерб. По данным ФБР, за период 2014–2019 гг. более половины средств в крупных организациях были украдены с помощью таких механизмов. Для минимизации подобных потерь компания Trend Micro предлагает продукт Cloud App Security (CAS), который на уровне API встраивается в учетную запись MS Office 365 и Google G Suite, а также в файловые хранилища SharePoint, OneDrive, Dropbox и др.

Как показывает практика, не существует абсолютной защиты, и ее можно непрерывно улучшать. По статистике за 2019 г., было обнаружено свыше 12 млн. вредоносных писем. Предпосылками для достижения этих результатов были тестирования многими компаниями, такими как Gartner, Forrester, NSS Labs, IDC, решений, присутствующих на рынке. Много внимания также уделяется защите конечных точек. Так, компания Forrester Wave протестировала средства защиты электронной почты. По результатам тестирования, Trend Micro отмечена наивысшим баллом за технологичность. Это обусловлено, в частности, тем, что компания уже более 30 лет занимается исключительно разработкой продуктов в сфере ИБ. У Trend Micro есть платформа, называемая Zero Day Initiative, где исследователи в сфере ИБ и другие специалисты обмениваются информацией о найденных уязвимостях во всем ПО, которое есть на рынке. По данным за 2016–2018 гг., покупателем более половины уязвимостей нулевого дня в Dark Internet являлась компания Trend Micro. Другими словами, она знает об уязвимостях больше всех остальных компаний вместе взятых.

Это позволяет инженерам компании реализовать необходимые защитные механизмы в своих продуктах. Если говорить о пакетах MS Office Е3 и ниже, то они в свой арсенал защиты включают только репутационные базы и сигнатурный анализ объектов, доставляемых по почте. Что касается пакета Е5, то он имеет дополнительные средства защиты и содержит песочницу от Microsoft. В предлагаемом решении CAS от Trend Micro реализован механизм дополнительной фильтрации, анализирующей объекты на присутствие вредоносного кода, похожего на уже исследованные образцы. По статистике за 2019 г., применение таких подходов дает хорошие результаты. Так, заблокировано и отправлено в карантин порядка 8 млн. писем после того, как они прошли проверку по тарифным планам MS Office 365. Если сравнивать с тарифными планами с большей защищенностью, такими как Е3 + Advance Thread Protection либо Е5, то, как показывает статистика, здесь также есть определенные преимущества.

Интеграция этого решения с учетными записями поддерживаемых сервисов осуществляется очень просто. Она выполняется посредством предоставления учетных данных и согласия на взаимодействие с объектами внутри этих учетных записей. При этом не важно, где географически находится пользователь.

Докладчик обратил внимание на еще ряд важных аспектов CAS. К ним относятся машинное обучение до запуска, которое выполняет диагностику файла, используя тысячи атрибутов и модель машинного обучения, выявление эксплойтов в документах и анализ в песочницах нескольких ОС. Это влияет на время доставки писем пользователю. Если поток данных большой, то с большой вероятностью средства защиты от Microsoft потратят больше времени на проверку. В то же время, CAS отправляет в песочницу только около 2% писем.

Подводя итог теоретической части, Дмитрий Остапенко отметил, что наиболее распространенные пакеты MS Office 365 E3 и ниже защищают в основном от известных угроз. На практике же доказана эффективность использования сторонних решений. Опыт, накопленный Trend Micro, показывает эффективность дополнительных средств защиты. У компании есть также сервис, позволяющий выполнить тестирование существующих подписок MS Office 365. В рамках этого тестирования можно осуществить проверку степени защищенности конечных точек и получить подробный отчет.

Затем докладчик перешел к демонстрации основных возможностей CAS. Первым шагом является добавление учетной записи. После этого можно увидеть на мониторе те сервисы, которые поддерживаются CAS. Далее можно перейти на вкладку Advance Thread Protection и, в частности, настроить политики, которые будут применяться к обработке почты. Начать нужно с выбора групп либо отдельных пользователей, к которым будут применяться политики. Если речь идет о защите от спама, то можно проверять как входящие, так и исходящие письма, либо выбрать только входящие. Среди прочего существуют списки заблокированных отправителей, можно также создавать правила, по которым почта будет фильтроваться. Предлагается довольно богатый инструментарий действий, которые можно применять для тех или иных писем. Можно формировать уведомления для администратора или для самого пользователя. В число возможностей входит сканирование писем на присутствие вредоносного кода как для входящей, так и для исходящей корреспонденции.

Что касается машинного обучения, то по умолчанию оно отключено. В Интернете можно найти отдельный документ по настройке CAS и Quick Deployment Guide, в котором описаны шаги по настройке.

Очень часто злоумышленники распространяют вредоносный код, маскируя тип файла. Для предотвращения этого можно указать определенные типы файлов, которые нужно блокировать. Также проверяется на репутацию каждая ссылка в теле письма либо внутри объекта и принимается решение, нужно ли отправлять письмо на карантин. В отличие от шлюзовых решений по защите электронной почты CAS позволяет выполнять сканирование уже существующего содержимого внутри учетной записи пользователя MS Office 365 и Google G Suite. Это может быть полезным, когда заказчик пользуется этим решением уже некоторое время и решает на каком-то этапе проверить почту. Это делается путем включения функции Monitor Only, которая не нарушает содержимого почтового ящика. Интерес представляет также функция Data Loss Prevention, защищающая от утечки данных. Здесь необходимо заметить, что в CAS эта функция только информирует пользователя, но не предотвращает отправление тех или иных писем, которые подпадают под политики на основе регулярных выражений или словарей. Письма, отправленные на карантин, доступны для просмотра.

В заключение выступающий ответил на заданные аудиторией вопросы. В частности, один из таких - что происходит, если ссылка отправляет на вредоносный сайт? Тогда, по словам выступающего, дальнейшие действия определяются установленными политиками. Он может быть либо помещен в карантин, либо пропущен под ответственность пользователя. Еще один интересный вопрос состоял в том, смог бы CAS предотвратить атаку M.E.DOC? При этой атаке, по словам докладчика, был взломан FTP-сервер производителя и туда помещена библиотека с вредоносным кодом. И когда пользователи выполняли обновление, они копировали с легитимного сервера вредоносный код, который затем распространялся внутри организации. По мнению докладчика, канал электронной почты в рассматриваемом случае не использовался. Еще одна интересная возможность заключается в том, что пользователь, при соответствующей настройке, может быть уведомлен об изменении содержимого письма.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365