Cómo usar simulaciones de phishing y buzones de seguridad con el nuevo modelo de seguridad de Microsoft 365


La postura «segura por defecto» de Microsoft 365 elimina algunas herramientas utilizadas por los equipos de seguridad. A continuación, le mostramos cómo solucionar las nuevas restricciones.

12-microsoft-silicon-valley.jpg

Imagen: iStock / jejim

Vivimos en un mundo peligroso. Solo tiene que mirar los titulares para ver otro ataque de ransomware o alguien a quien los phishers le han robado sus ahorros. Los delincuentes han encontrado una gran riqueza en el mundo electronic, con el correo electrónico como ruta hacia sus sistemas y sus cuentas bancarias.

VER: 83 consejos de Excel que todo usuario debería dominar (TechRepublic)

Eso es en parte culpa nuestra como industria. Tenemos todo tipo de herramientas de seguridad en nuestras aplicaciones y servicios, pero la mayoría de las veces no las usamos. Tal vez el software program se envíe en un modo de baja seguridad, o tal vez eliminemos los controles para que las cosas sean cómodas para nuestros usuarios más ruidosos. La mayoría de las veces es la primera Puede resultar complicado agregar seguridad a un sistema en ejecución sin afectar la forma en que todos hacen su trabajo, en algunos casos, incluso el equipo de seguridad.

Mejora de la seguridad en Microsoft 365

Entonces, ¿qué sucede cuando las anulaciones que elegimos desaparecen repentinamente? Eso le está sucediendo a Microsoft 365 a medida que lo traslada a un modelo «seguro por defecto». Es un proceso que la notificación inicial describió como Microsoft asumiendo la responsabilidad de su función como servicio de seguridad y actuando «en su nombre para evitar que sus usuarios se vean comprometidos». A medida que el proceso continúa desarrollándose, uno de los efectos más obvios será que los equipos de seguridad prueben sus sistemas y su private.

Una de las áreas en las que se está reforzando la seguridad es la entrega de correo electrónico. Eso no es sorprendente: el correo electrónico es un método de entrega importante para el malware y los ataques financieros, a menudo utilizando correos electrónicos de phishing cuidadosamente diseñados para atraer objetivos a sitios maliciosos o para obtener acceso a credenciales o transacciones financieras.

Microsoft está endureciendo las reglas que se utilizan para bloquear y poner en cuarentena los correos electrónicos maliciosos, extendiendo sus bloques de malware a correos electrónicos de phishing. Es un cambio importante, usar el gráfico de seguridad de Microsoft para construir un modelo de mensajes de phishing que sea lo suficientemente bueno como para identificarlos con mucha confianza. Si no ha implementado ninguna anulación, los mensajes marcados con etiquetas de «phish de alta confianza» ya se moverán automáticamente a la carpeta de cuarentena de Exchange On the web para su inspección antes de su entrega o eliminación.

Además, es importante informar los mensajes que se han clasificado incorrectamente utilizando las herramientas del sistema de cuarentena. Las herramientas de seguridad de correo de Microsoft son un proyecto de aprendizaje automático masivo, construido usando señales de Microsoft Graph. Aprende continuamente, basándose en las señales de los usuarios que informan sobre correo basura, cargas útiles de malware y phishing utilizando las herramientas integradas en las distintas versiones de Outlook. Eso incluye los mensajes que salen de la carpeta de correo basura de Outlook, así como los que están marcados como basura.

VER: Windows 10: listas de comandos vocales para reconocimiento de voz y dictado (PDF gratuito) (TechRepublic)

Las herramientas de cuarentena de Microsoft 365 tienen una función identical, con una ponderación algo mayor en las reglas. Los mensajes enviados a los usuarios desde la cuarentena se pueden informar a Microsoft como seguros, lo que le permite usarlos como una señal adicional en su capacitación de aprendizaje automático.

La nueva postura de seguridad por defecto significa que se ignorará cualquier anulación de regla de correo existente que haya implementado. Esto bloqueará los mensajes de phishing de alta confianza de las listas de dominios o remitentes permitidos, de las direcciones IP permitidas y de los remitentes seguros de Outlook. Microsoft ahora está ampliando esto al eliminar las anulaciones de las reglas de transporte de correo. Los mensajes de menor confianza, como el spam, aún se pueden administrar mediante anulaciones, pero se recomienda permitir que las herramientas de Microsoft los manejen por usted.

¿Se interpone en el camino de la seguridad?

Si bien este enfoque hace que los usuarios estén más seguros, es comprensible que induce problemas a los equipos de seguridad, ya que las anulaciones del transporte de correo eran una forma recomendada de hacer las cosas y, en algunos casos, se usaban para el cumplimiento normativo. Microsoft ya ha retrasado el cambio desde su fecha límite inicial de junio hasta finales de agosto de 2021, y la implementación se completará a finales de septiembre., por lo que es hora de comenzar a hacer cambios si aún no lo ha mirado.

Está claro que esta etapa remaining del proceso podría causar algunos problemas en los equipos de seguridad, ya que el sistema de flujo de correo de Exchange se united states a menudo para administrar simulaciones de ataques y para enrutar mensajes sospechosos a herramientas de seguridad de terceros y buzones de correo de seguridad personalizados que no forman parte de Trade. herramienta de cuarentena de correo. Microsoft está proporcionando algunas soluciones, con el lanzamiento de una nueva Política de entrega avanzada.

Cómo utilizar las políticas de entrega avanzadas

La política de entrega avanzada es una herramienta poderosa, ya que evita que los mensajes definidos por la política se filtren, utilizando anulaciones específicas para simulaciones de phishing y para buzones de correo de seguridad específicos. La política solo puede ser administrada por usuarios con los roles de administrador de seguridad y administración de la organización. Esto limita sensiblemente el acceso a un subconjunto muy limitado de usuarios, reduciendo el riesgo de compromiso.

Configurar una simulación de phishing le permite configurar cómo ejecutará un simulacro de phishing en su organización. Esto bloquea los detalles específicos de un mensaje, lo que garantiza que solo se entregará su phish simulado. Cualquier regla de simulación necesita el dominio de envío, su dirección IP y una lista de URL que estarán en su mensaje. Puede tener hasta 10 de cada uno, lo que le permite construir una serie de phishing diferentes para enviar a diferentes grupos de usuarios de diferentes fuentes.

La lista de URL protegidas es importante: las URL en los phishing detectados normalmente son bloqueadas por SmartScreen, y también son inspeccionadas automáticamente en una caja de arena. La configuración de esta opción evita que las herramientas de seguridad de Trade Online los intercepten.

Puede usar el portal de Microsoft 365 para configurar y administrar las políticas de entrega avanzadas o puede usar PowerShell para configurar las políticas de anulación de SecOps. Estos definen los buzones de correo utilizados con fines de seguridad, con herramientas para verificar las reglas y eliminar las no válidas, por ejemplo, agregando buzones de seguridad adicionales. Del mismo modo, puede usar PowerShell para configurar simulaciones de phishing. No hay diferencia entre usar el portal web y PowerShell sin embargo, la opción PowerShell le brinda la capacidad de usar scripts para crear nuevas políticas antes de ejecutar una prueba, eliminarlas después de que se complete y garantizar que las mismas funciones se puedan usar para pruebas futuras.

Otra opción para una opción de exclusión completa es usar Microsoft Defender para Business con un registro MX que no sea de Microsoft. Esto le permite pasar mensajes a través de otra retransmisión antes de entregarlos a Trade, bloqueando el funcionamiento seguro por defecto. Esto le permite utilizar servicios de filtrado de terceros, sin la confusión de tener correo filtrado más de una vez.

Hacer que Microsoft 365 sea seguro de forma predeterminada (o lo más parecido posible) es esencial en el panorama de amenazas genuine. Aunque eso puede resultar incómodo para algunos usuarios, los beneficios generales son claros y existen soluciones para ciertos servicios esenciales. Puede ser más complicado configurar sus instancias de Microsoft 365, pero proteger a los usuarios de los ataques de phishing merece una configuración adicional.

Ver también



Enlace a la noticia primary