Advanced Threat Protection - Safe Links & Safe Attachments

Bijna iedereen heeft wel eens een mail ontvangen met daarin dubieuze bijlages of URL’s die wijzen naar vage websites. Als IT-verantwoordelijke kun je dan alleen maar hopen dat de eindgebruikers alert zijn en deze niet achteloos openen. Microsoft biedt gelukkig een dienst aan die hierbij kan helpen; Office 365 Advanced Threat Protection (ATP).

In deze blog zal ik niet alle functionaliteiten van Office 365 ATP bespreken, maar richt ik mij tot ATP Safe Links en ATP Safe Attachments.

ATP Safe Links

Met ATP Safe Links zorg je er voor dat URL’s binnen Microsoft 365 applicaties eerst worden gecontroleerd door Microsoft. Indien de URL door Microsoft als onveilig wordt geclassificeerd, zal de eindgebruiker een waarschuwing te zien krijgen. Afhankelijk van de implementatie heeft de eindgebruiker alsnog de mogelijkheid om door te klikken naar de oorspronkelijke website. Het proces ziet als volgt uit:

Eindgebruiker ontvangt een e-mailbericht/document met daarin een URL.
Bij het openen van deze URL zal Microsoft deze herschrijven naar een Microsoft URL.
Microsoft opent deze URL in een beschermde omgeving en controleert de inhoud hiervan. Eventuele URL’s die op deze pagina staan worden ook gecontroleerd.
- - Indien Microsoft de URL als veilig bestempeld, krijgt de eindgebruiker de oorspronkelijke website te zijn in zijn/haar browser.
  - Indien Microsoft de URL als onveilig bestempeld, krijgt de eindgebruiker een waarschuwing te zien.

Het scanproces van Microsoft gaat in de praktijk zéér snel. Je merkt nauwelijks dat het plaatsvindt. Mocht het scanproces toch langer duren, dan wordt de eindgebruiker hierover geïnformeerd middels bovenstaand bericht. Persoonlijk heb ik dit bericht in de praktijk nog nooit gezien.

Indien de scan heeft plaatsgevonden én Microsoft de site als onveilig bestempeld, krijgt men bovenstaand bericht. In bovenstaande afbeelding heeft men de optie om door te klikken naar de oorspronkelijke website. Deze optie kan een beheerder uitschakelen, wat ook mijn advies is.

ATP Safe Attachments

ATP Safe Attachments biedt een soortgelijke bescherming vanuit Microsoft, maar dan gericht op bijlages. Tevens is deze techniek in te stellen voor bestanden in SharePoint Online, OneDrive en Microsoft Teams.

Met deze technologie opent Microsoft de bijlages/bestanden binnen een virtuele omgeving van Microsoft. Hier wordt wederom gekeken naar afwijkend gedrag waaruit kan blijken dat het om malware gaat. Deze technologie gaat een stap verder dan de gemiddelde virusscanner, aangezien hier ook malware wordt geïdentificeerd die nog niet algemeen bekend is (zogenaamde zero day-aanvallen).

Het inschakelen van deze functionaliteit kan enige vertraging veroorzaken in de aflevering van deze bijlages/bestanden. Deze worden immers eerst door Microsoft gescand. Het proces ziet als volgt uit:

Mail komt binnen op de Exchange Online omgeving.
Indien er een bijlage aanwezig is, wordt deze losgekoppeld en getest in de virtuele omgeving van Microsoft.
De eindgebruiker kan deze mail op twee manieren ontvangen, afhankelijk van de configuratie:
- - Eindgebruiker ontvangt de mail direct, echter zonder bijlage. Als de bijlage volledig door Microsoft is gescand wordt deze later toegevoegd aan de mail (mits deze als veilig is gemarkeerd).
  - Eindgebruiker ontvangt de volledige mail als de scan door Microsoft heeft plaatsgevonden op de bijlage(s). Dit zou een maximale vertraging van 10 minuten kunnen opleveren. In de praktijk blijkt dit vaak echter maximaal 1 minuut te zijn.
Indien Microsoft de bijlage(s) classificeert als onveilig, wordt er een vervolgactie uitgevoerd, afhankelijk van de configuratie:
- - De bijlage en de mail worden geblokkeerd.
  - De bijlage wordt geblokkeerd, de verdere inhoud van de mail wordt wel bezorgd.
Bijlage(s) die geblokkeerd zijn kunnen vervolgens worden doorgestuurd naar een mailadres binnen de organisatie (IT-verantwoordelijke) ter analyse.

Conclusie

Aldus Microsoft begint 91% van de cyberaanvallen met e-mail. Het opleiden en bewust maken van alle medewerkers is een essentieel onderdeel binnen de informatiebeveiliging. Echter wordt de kwaliteit van malafide e-mails steeds professioneler, waardoor een IT’er ook niet meer in één oogopslag kan zien of een e-mail integer is of niet. Het blijft een kwestie van interpretatie door de eindgebruiker. Eén onoplettend persoon is genoeg om de gehele organisatie in problemen te brengen.

Office 365 Advanced Threat Protection kan ingezet worden om de eerste filter te zijn, voordat eventuele malafide URL’s en/of bestanden bij de eindgebruiker terecht komen. Hierdoor verklein je de kans op een cyberaanval aanzienlijk en ben je minder afhankelijk van interpretatie.