Ochrona anty-malware w EOP

17 września 2020

Exanet Microsoft

Ochrona przed malware w Exchange Online Protection

Automatyczna ochrona przed malware

W organizacjach korzystających ze skrzynek pocztowych Exchange Online oraz w organizacjach korzystających z Exchange Online Protection w ramach rozwiązań poczty e-mail na zasadzie autonomicznych systemów zlokalizowanych on-premises (np. Exchange Server lub inne rozwiązanie SMTP, tzw. standalone), wiadomości poczty elektronicznej są automatycznie chronione przed malware dzięki EOP.

Ochrona przed różnymi rodzajami malware

Malware to różnego rodzaju złośliwe oprogramowanie mające szkodliwe działanie na komputer lub urządzenie mobilne użytkownika.

  •  Wirusy – infekują programy lub dane, rozprzestrzeniając się za pośrednictwem zainfekowanego komputera lub w sieci w poszukiwaniu programów do zainfekowania.
  •  Spyware – złośliwe oprogramowanie gromadzące informacje o użytkowniku, np. dane logowania lub dane osobiste, w celu przesłania do twórcy spyware.
  •  Ransomware – rodzaj malware służący do zaszyfrowania danych w celu wymuszenia okupu od użytkownika (“ransom” – z angielskiego “okup”) . Co ważne, oprogramowanie anty-malware nie jest w stanie pomóc w odszyfrowaniu danych zajętych przez ransomware, ale skutecznie wykrywa i usuwa z systemu malware powiązane z atakami ransomware.
software developing Exanet

Wielowarstwowa ochrona przed malware dzięki EOP

Exchange Online Protection zapewnia wielowarstwową ochronę przed malware, która jest zaprojektowana do wychwytywania wszystkich znanych przykładów malware przesyłanych do lub z organizacji. Ochrona przeciw malware zawiera kilka funkcjonalności.

  •  Warstwowa obrona przed malware. Kilka silników skanowania przed malware pomaga zapewnić ochronę przed znanymi i nieznanymi zagrożeniami. Stosowana technologia uwzględnia wykrywanie heurystyczne dla zapewnienia bezpieczeństwa nawet podczas wczesnych stadiów realizacji ataków malware w Internecie.
  •  Odpowiedź na zagrożenia w czasie rzeczywistym. W przypadku niektórych ataków wirusów lub malware, dedykowany zespół specjalistów do walki z zagrożeniami malware w sieci może posiadać wystarczająco dużo informacji, by sformułować zaawansowane reguły polityk bezpieczeństwa jeszcze przed włączeniem definicji zagrożenia do silnika skanowania. Wspomniane reguły bezpieczeństwa są publikowane w Internecie co dwie godziny w celu zapewnienia dodatkowej warstwy zabezpieczenia przed atakami dla organizacji.
  •  Szybkie wdrożenie nowych definicji anty-malware. Inżynierowie w zespole anty-malware pozostają w stałej komunikacji ze specjalistami rozwijającymi silniki anty-malware. Dzięki temu pojawia się możliwość, by usługa otrzymywała nowe definicje oraz łatki malware zanim zostaną opublikowane. Współpraca z partnerami technologicznymi pozwala również na wypracowywanie własnych rozwiązań odpowiedzi na zagrożenia. Usługa pobiera aktualizacje definicji zagrożeń do wszystkich silników anty-malware co godzinę.
Exanet sending an email message

Kwarantanna wiadomości e-mail zawierających malware

Wiadomości e-mail, w których wykryty zostaje malware, trafiają na kwarantannę i mogą zostać uwolnione jedynie przez administratora. Polityki bezpieczeństwa w zakresie kwarantanny zainfekowanych wiadomości mogą być konfigurowane przez admina. Malware w wiadomościach lub plikach może również być zgłaszany bezpośrednio do Microsoft.

Polityki bezpieczeństwa anty-malware

Polityki anty-malware w EOP mogą być konfigurowane. Domyślne ustawienia oraz opcje powiadomień mogą być zmienione przez administratora. Wśród dostępnych ustawień warto zwrócić uwagę na najważniejsze.

  •  Powiadomienia dla odbiorców. Odbiorca wiadomości przekazanej na kwarantannę z powodu malware nie jest domyślnie informowany. Jest możliwość, by włączyć powiadomienia odbiorców. Wówczas oryginalna wiadomość jest dostarczona do odbiorcy bez zainfekowanych załączników. Załączniki, z powodu których wiadomość trafiła na kwarantannę, są zastępowane pojedynczym plikiem ” Malware Alert Text.txt”, który zawiera informację techniczną dla odbiorcy.
  •  Filtr popularnych typów załączników. Możemy wyróżnić pewne rodzaje plików, których nie powinno się przesyłać jako załącznik w wiadomości e-mail (na przykład pliki wykonywalne). Filtr określany mianem Common Attachment Types Filter, jeśli zostanie aktywowany przed administratora IT (domyślnie jest nieaktywny), może usprawnić działanie usługi dzięki blokowaniu plików z określonymi rozszerzeniami (wówczas pliki nie są skanowane, zostają automatycznie potraktowane jako malware). Lista rozszerzeń plików może być modyfikowana. Domyślnie filtrowane są pliki z rozszerzeniami: .ace, .ani, .app, .docm, .exe, .jar, .reg, .scr, .vbe, .vbs.
  •  Natychmiastowe automatyczne czyszczenie malware. Malware ZAP (zero-hour auto purge) przekazuje wiadomości mailowe zawierające malware na kwarantannę, gdy tylko zostaną dostarczone do skrzynek Exchange Online. ZAP jest domyślnie włączony. Rekomenduje się pozostawienie domyślnego ustawienia.
  •  Powiadomienia dla nadawcy. Nadawca wiadomości nie jest domyślnie informowany o tym, że e-mail został przekazany do kwarantanny z powodu malware. Administrator ma możliwość włączenia powiadomień dla nadawców, zależnie od pochodzenia nadawcy (z wewnątrz organizacji lub spoza organizacji). Konfiguracja pozwala na zdefiniowanie dodatkowych odbiorców powiadomień (np. admin) dla wiadomości przekazanych na kwarantannę od nadawców z wewnątrz organizacji lub z zewnątrz.
  •  Filtry odbiorców. Przy konfiguracji indywidualnych polityk anty-malware w EOP jest możliwość, by określić warunki oraz wyjątki dotyczące odbiorców w zakresie danej polityki bezpieczeństwa. Administrator korzysta z właściwości odbiorcy, takich jak: “Odbiorca to”, “Domena odbiorcy to”, “Odbiorca jest uczestnikiem grupy”. Warunki lub wyjątki mogą być użyte jednokrotnie, ale mogą zawierać kilka wartości z wykorzystaniem operatora “lub” (OR). Warunki lub wyjątki w polityce oddzielone są operatorem “i” (AND).
  •  Priorytet. Posiadając własne polityki anty-malware, administrator ma możliwość określenia kolejności obowiązywania. Dwie różne polityki nie mogą mieć takiego samego poziomu priorytetu. Po zastosowaniu danej polityki w konkretnym przypadku dalsze procesowanie polityk według hierarchii ważności ustaje.
computer screen code software Exanet

Ochrona anty-malware FAQ

Jak często aktualizowane są definicje malware w EOP?

Każdy serwer sprawdza dostępność nowych definicji malware co godzinę.

Czy jest możliwość wyboru silnika anty-malware?

Microsoft realizuje współpracę z kilkoma dostawcami technologii wykrywania złośliwego oprogramowania. Zasadą jest, że Exchange Online Protection zawsze korzysta z kilku silników ochrony przed malware od różnych dostawców rozwiązań. Klient korzystający z usługi nie ma możliwości, by wybrać osobiście preferowane rozwiązanie w zakresie partnerów rozwiązań anty-malware.

Gdzie realizowane jest skanowanie malware?

Skanowanie w celu wykrycia malware jest realizowane w przypadku wszystkich wiadomości wysłanych z danej skrzynki lub adresowanych do danej skrzynki, znajdujących się w drodze (in transit). Dodatkowo, w przypadku skrzynek w usłudze Exchange Online, stosowane jest rozwiązanie ZAP (zero-hour auto purge) do skanowania malware w wiadomościach, które zostały dostarczone. Jeśli wiadomość jest ponownie wysłana ze skrzynki, zostaje powtórnie skanowana w trakcie znajdowania się w drodze.

Exanet send an email

Czy usługa skanuje również wiadomości przesyłane wewnątrz organizacji?

Firmy korzystające z Exchange Online otrzymują ochronę w postaci skanowania anty-malware dla wszystkich przychodzących i wychodzących wiadomości, również w zakresie wiadomości przesyłanych między członkami organizacji.

Firmy korzystające z subskrypcji EOP w rozwiązaniach poczty w formie autonomicznych systemów zlokalizowanych on-premises (np. Exchange Server lub inne rozwiązanie SMTP, tzw. standalone) uzyskują skanowanie wiadomości, które przychodzą lub wychodzą z systemu poczty. Wiadomości przesyłane między użytkownikami w ramach organizacji nie są skanowane. Istnieje możliwość by korzystać z wbudowanych w Exchange Server funkcjonalności anty-malware.

Czy silniki anty-malware mają włączone skanowanie heurystyczne?

Tak, skanowanie heurystyczne wykorzystywane jest w odniesieniu do znanych oraz nieznanych przypadków złośliwego oprogramowania.

Czy usługa jest w stanie skanować pliki skompresowane (np. pliki .zip)?

Tak, silniki przeciwdziałające malware są w stanie skanować skompresowane pliki archiwum.

software development Exanet

Czy wspierane jest rekursywne skanowanie skompresowanych załączników?

Tak, skanowanie rekursywne plików skompresowanych (np. plik .zip zawierający skompresowany plik .zip, itd) jest wspierane. Skanowanych jest wiele warstw wgłąb w przypadku skompresowanych plików .zip.

Czy usługa działa ze starszymi wersjami Exchange Server lub ze środowiskami non-Exchange?

Tak, usługa jest niezależna od rozwiązań Exchange.

Jak usługa radzi sobie z wirusami zero-day?

Wirus określany mianem “zero-day” jest pierwszą generacją, wcześniej nie znanego wariantu malware, która nie była dotychczas przechwycona lub analizowana. Po uzyskaniu kodu złośliwego oprogramowania i przeanalizowaniu przez silniki anty-malware, tworzona jest definicja oraz sygnatura niezbędna do wykrywania malware. W momencie stworzenia definicji i sygnatury, wirus nie jest uznawany za zagrożenie zero-day.

Exanet phishing protection

Czy można skonfigurować usługę tak, by blokowała przesyłanie określonych typów plików wykonywalnych?

EOP pozwala na włączenie funkcjonalności Common Attachment Types Filter (znaną również jako blokada popularnych typów załączników). Dodatkowo możliwe jest stworzenie reguły przepływu e-mail (transport rule), która zablokuje załączniki posiadające wykonywalną zawartość. Dla zwiększenia bezpieczeństwa, przy definiowaniu reguły przepływu maili można wykorzystać warunek “any attachment file extension includes these words” (rozszerzenie któregokolwiek załącznika zawiera następujące słowa) do zablokowania możliwości wysyłania załączników zawierających pliki z rozszerzeniami określonymi przez administratora.

Co zrobić w przypadku otrzymania wiadomości e-mail z nieznanym typem załącznika?

W przypadku otrzymania wiadomości z nieznanym załącznikiem, rekomendowana jest ostrożność. Najlepiej jeśli użytkownik nie otwiera załącznika, którego nie rozpoznaje. Jest możliwość, by zbadać podejrzany załącznik korzystając z Malware Protection Center.

computer anti-malware Exanet

Gdzie znajdują się wiadomości usunięte przez filtry malware?

Ze względów bezpieczeństwa, użytkownikom nie jest umożliwiany dostęp do wiadomości e-mail zawierających aktywny złośliwy kod malware. Potwierdzone przypadki niebezpiecznych wiadomości zostają trwale usunięte.

Czy dostępne są raporty dotyczące wykrytych przypadków malware?

Tak, dostęp do raportów jest możliwy w panelu administratora (admin center).

Czy można wykorzystywać rozwiązania anty-malware oraz anty-spam od innych dostawców w połączeniu z Exchange Online?

Tak. Najczęściej rekomendowane jest skonfigurowanie rekordów MX, by kierowały wiadomości do EOP. Jeśli potrzebne jest kierowanie wiadomości najpierw w inne miejsce niż EOP, należy włączyć opcję Enhanced Filtering for Connectors w celu udostępnienia filtrom EOP informacji o prawdziwym źródle wiadomości.

Czy prowadzone są dochodzenia odnośnie autorów spamu lub malware i czy informacje przekazywane są do organów ścigania?

Usługa EOP koncentruje się przede wszystkim na wykrywaniu i eliminowaniu spamu oraz zagrożeń malware. Istnieje możliwość realizacji głębszego dochodzenia z uwzględnieniem działu prawnego w zakresie autorów malware, szczególnie w przypadku: wykrycia botnet spam, konieczności blokowania atakującemu podmiotowi korzystania z usług, przekazania informacji do organów ścigania.

law entity