Cómo bloquear el phishing con Defender para Office 365

Cómo bloquear el phishing con Defender para Office 365

14/04/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la configuración y optimización de Microsoft Defender para Office 365 (MDO) para bloquear eficazmente los ataques de phishing. El phishing sigue siendo una de las amenazas cibernéticas más frecuentes y peligrosas, cuyo objetivo es robar credenciales, instalar malware o engañar a las víctimas para que divulguen información confidencial. MDO ofrece un sólido conjunto de funciones antiphishing que van más allá de la protección básica de Exchange Online Protection (EOP), proporcionando defensas avanzadas contra ataques sofisticados [1].

Introducción

Los ataques de phishing han evolucionado desde correos electrónicos genéricos hasta campañas muy específicas y convincentes conocidas como phishing, caza de ballenas y compromiso de correo electrónico empresarial (BEC). Estas tácticas explotan la confianza humana y pueden eludir las defensas tradicionales. Microsoft Defender para Office 365 está diseñado para combatir estas amenazas avanzadas mediante el uso de inteligencia artificial, aprendizaje automático y análisis de comportamiento para detectar y bloquear correos electrónicos maliciosos antes de que lleguen a las bandejas de entrada de los usuarios [2].

Esta guía práctica cubrirá la configuración de políticas antiphishing en MDO, incluida la protección contra suplantación de identidad, inteligencia de buzones de correo, protección contra suplantación de identidad y enlaces y archivos adjuntos seguros. Se proporcionarán instrucciones paso a paso, ejemplos de configuración y métodos de validación para que el lector pueda fortalecer la defensa de su organización contra ataques de phishing y educar a los usuarios sobre las mejores prácticas.

¿Por qué Defender para Office 365 es esencial contra el phishing?

  • Protección avanzada: va más allá de EOP y ofrece detección de amenazas de día cero y ataques polimórficos.
  • Inteligencia sobre amenazas: utiliza la amplia inteligencia sobre amenazas de Microsoft para identificar vectores y patrones de ataque emergentes.
  • Análisis de comportamiento: Analiza el comportamiento de los correos electrónicos y URL para identificar anomalías que indiquen phishing.
  • Protección contra suplantación: protege contra correos electrónicos que intentan hacerse pasar por ejecutivos, marcas o socios de confianza.
  • Enlaces y archivos adjuntos seguros: escanea las URL y los archivos adjuntos en tiempo real en el momento de hacer clic o abrirlos, protegiéndolos contra contenido malicioso.
  • Visibilidad e informes: proporciona herramientas de investigación e informes detallados para comprender y responder a los ataques de phishing.

Requisitos previos

Para configurar y optimizar las políticas antiphishing en Microsoft Defender para Office 365, necesitará los siguientes elementos:

  1. Licencia: una licencia que incluye Microsoft Defender para Office 365 Plan 1 o Plan 2. Generalmente forma parte de paquetes como Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5 o se puede comprar como complemento [3].
  2. Acceso administrativo: una cuenta con permisos de Administrador de seguridad o Administrador de cumplimiento en el portal de Microsoft 365 Defender (https://security.microsoft.com).
  3. Dominios verificados: sus dominios de correo electrónico deben estar configurados y verificados en Microsoft 365.
  4. Registros DNS de correo electrónico: SPF (marco de políticas del remitente), DKIM (correo identificado con claves de dominio) y DMARC (autenticación, informes y conformidad de mensajes basados en dominio) deben estar configurados correctamente para sus dominios. Esto es fundamental para la protección contra la suplantación de identidad y la suplantación de identidad.

Paso a Paso: Configurar Políticas Anti-Phishing en MDO

Configuremos una política antiphishing personalizada para proteger a sus usuarios.

1. Acceso al portal de Microsoft 365 Defender

  1. Abra su navegador y navegue hasta https://security.microsoft.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.

2. Creación de una política antiphishing personalizada

Aunque MDO tiene una política antiphishing predeterminada, se recomienda encarecidamente crear políticas personalizadas para grupos de usuarios específicos (por ejemplo, ejecutivos, usuarios de alto riesgo) y ajustar la configuración de protección.

  1. En el panel de navegación izquierdo, seleccione Correo electrónico y colaboración > Políticas y reglas > Políticas de amenazas.
  2. En la sección Políticas, haga clic en Antiphishing.
  3. Haga clic en Crear para iniciar el asistente de nueva política.

Paso 1: Nombre la política

  1. Nombre: Política antiphishingPersonalizado - Ejecutivos (o un nombre descriptivo para su grupo objetivo).
  2. Descripción: Protección avanzada contra phishing para ejecutivos y usuarios de alto riesgo.
  3. Haga clic en Siguiente.

Paso 2: Usuarios, Grupos y Dominios

  1. Usuarios, grupos o dominios: Seleccione los usuarios o grupos a los que se aplicará esta política. Para este ejemplo, seleccione un grupo de seguridad que contenga a sus ejecutivos.
    • Consejo: Comience con un pequeño grupo de prueba antes de postularse para toda la organización.
  2. Excluir estos usuarios, grupos y dominios: (Opcional) Agregue cualquier entidad que deba excluirse de esta política.
  3. Haga clic en Siguiente.

Paso 3: Umbral de phishing y suplantación de identidad

Esta sección le permite configurar el nivel de protección contra phishing y suplantación.

  1. Umbral de phishing: se recomienda establecer un valor de "3" o "4" (el valor predeterminado es 1). Los valores más altos ofrecen más protección, pero pueden aumentar los falsos positivos.
  2. Permitir que los usuarios protejan: haga clic en Agregar usuario y agregue las direcciones de correo electrónico de los ejecutivos o personas clave que desea proteger contra la suplantación de identidad (por ejemplo, director ejecutivo, director financiero). MDO monitoreará activamente los correos electrónicos que intenten hacerse pasar por estas personas.
  3. Habilite dominios para proteger: haga clic en Agregar dominio y agregue sus propios dominios (por ejemplo, suempresa.com). Esto protege contra la suplantación de dominio interna y externa.
  4. Acciones: establezca acciones para mensajes detectados como suplantación:
    • Si se detecta que el mensaje es una suplantación de usuario: "Mensaje en cuarentena" o "Mover el mensaje a la carpeta de correo electrónico no deseado del destinatario".
    • Si el mensaje se detecta como suplantación de dominio: Poner el mensaje en cuarentena.
    • Consejo: Comience con Mover mensaje al correo electrónico no deseado del destinatario' o la carpetaCuarentena` para evitar perder correos electrónicos legítimos.
  5. Inteligencia del buzón: asegúrese de que esté Activado. Esto permite a MDO utilizar inteligencia de aprendizaje automático para determinar patrones de comunicación normales para cada usuario y detectar anomalías.
  6. Protección contra suplantación de identidad: asegúrese de que esté Activado y configure la acción para mensajes de suplantación de identidad no autenticados en "Mover el mensaje a la carpeta de correo no deseado del destinatario" o "Poner el mensaje en cuarentena".
  7. Haga clic en Siguiente.

Paso 4: Revisar

  1. Revise todas las configuraciones de políticas.
  2. Haga clic en Crear.

3. Configuración de archivos adjuntos seguros

Secure Attachments protege contra el malware de día cero abriendo archivos adjuntos en un entorno virtualizado (sandbox) antes de entregárselos a los usuarios.

  1. En el panel de navegación izquierdo, seleccione Correo electrónico y colaboración > Políticas y reglas > Políticas de amenazas.
  2. En la sección Políticas, haga clic en Adjuntos seguros.
  3. Haga clic en Crear.
  4. Nombre: Política de archivos adjuntos seguros.
  5. Descripción: Analiza los archivos adjuntos de correo electrónico en el espacio aislado para protegerlos contra el malware de día cero.
  6. Acción de respuesta de malware para archivos adjuntos seguros: seleccione "Bloquear".
  7. Redireccionar archivos adjuntos detectados: (Opcional) Puede redirigir los archivos adjuntos a un buzón de seguridad para su posterior análisis.
  8. Aplicar a: seleccione Usuarios, grupos o dominios y agregue los usuarios o grupos relevantes.
  9. Haga clic en Crear.

4. Configurar enlaces seguros

Safe Links reescribe las URL en correos electrónicos y documentos para verificar su reputación en tiempo real en el momento de hacer clic, protegiendo contra enlaces maliciosos.

  1. En el panel de navegación izquierdo, seleccione Correo electrónico y colaboración > Políticas y reglas > Políticas de amenazas.
  2. En la sección Políticas, haga clic en Enlaces seguros.
  3. Haga clic en Crear.
  4. Nombre: Política de enlaces seguros.
  5. Descripción: Protege contra URL maliciosas en correos electrónicos y documentos.
  6. Aplicar enlaces seguros a mensajes de correo electrónico: asegúrese de que esté Habilitado.
  7. Aplicar vínculos seguros al contenido de las aplicaciones de Office 365: asegúrese de que esté Habilitado.
  8. Acciones: configure acciones para URL bloqueadas (por ejemplo, "Bloquear URL maliciosas").
  9. No reescriba las siguientes URL: (Opcional) Agregue URL internas o confiables que no se deben reescribir.
  10. Aplicar a: seleccione Usuarios, grupos o dominios y agregue los usuarios o grupos relevantes.
  11. Haga clic en Crear.

Validación y pruebas

Validar la eficacia de las políticas antiphishing es fundamental para garantizar que la protección funcione como se espera.

1. Uso del entrenamiento de simulación de ataques

MDO incluye una herramienta de simulación de ataques de phishing que le permite probar la resiliencia del usuario y la eficacia de sus políticas.

  1. En el portal de Microsoft 365 Defender, vaya a Correo electrónico y colaboración > Simulación de ataque de entrenamiento.
  2. Haga clic en Iniciar una simulación.
  3. Siga el asistente para crear y lanzar una campaña de phishing simulada para un grupo de usuarios de prueba.
  4. Supervise los resultados para ver cuántos usuarios se vieron comprometidos y si las políticas de MDO interceptaron los correos electrónicos de phishing simulados.

2. Comprobación de registros de protección

  1. En el portal de Microsoft 365 Defender, vaya a Correo electrónico y colaboración > Explorador.
  2. Utilice filtros para buscar correos electrónicos con veredictos de "Phishing", "Spoof" o "Malware" para ver si las políticas detectan correos electrónicos maliciosos.

3. Prueba de enlaces y archivos adjuntos seguros

Envíe un correo electrónico de prueba con un enlace malicioso conocido (por ejemplo, desde un sitio de prueba de phishing seguro) o un archivo de prueba de malware (por ejemplo, EICAR) a un usuario protegido y compruebe si MDO reescribe el enlace o bloquea el archivo adjunto.

Consejos de seguridad y mejores prácticas

  • Educación del usuario: La línea de defensa más importante. Capacite periódicamente a los usuarios para que reconozcan y denuncien correos electrónicos de phishing. Utilice la simulación de ataque de entrenamiento para reforzar el aprendizaje.
  • Configurar SPF, DKIM y DMARC: estos registros DNS son cruciales para la autenticación de correo electrónico y la protección contra suplantación de identidad. Asegúrese de que estén configurados correctamente para todos sus dominios.
  • Políticas granulares: cree políticas antiphishing personalizadas para diferentes grupos de usuarios, especialmente para aquellos con alto riesgo (por ejemplo, ejecutivos, finanzas).
  • Aumentar el umbral de phishing: considere aumentar el umbral de phishing a 3 o 4 en las políticas personalizadas para obtener una mayor protección mediante la supervisión de falsos positivos.
  • Monitorear informes: revise periódicamente los informes de protección contra amenazas en MDO para identificar tendencias, ataques dirigidos y áreas donde se puede mejorar la protección.
  • Integre con Defender para Endpoint: la protección del correo electrónico y la protección de endpoints funcionan juntas para una defensa en capas. Si un usuario hace clic en un enlace malicioso, Defender for Endpoint puede ayudar a detectar y remediar la amenaza en el dispositivo.

Solución de problemas comunes

  • Envío legítimo de correos electrónicos de phishing: verifique la configuración de su política antiphishing, especialmente los umbrales de phishing y las acciones para suplantación y suplantación de identidad. Asegúrese de que SPF, DKIM y DMARC estén configurados correctamente. Revise los registros en Threat Explorer.
  • Falsos positivos (correos electrónicos legítimos bloqueados): ajuste los umbrales de phishing a un valor más bajo. Verifique la configuración de suplantación y suplantación de identidad. Agregue remitentes o dominios confiables a la lista de excepciones (si es necesario, con precaución).
  • Enlaces no reescritos o archivos adjuntos no verificados: Verifique que las políticas de Enlaces seguros y Archivos adjuntos seguros estén habilitadas y asignadas a los usuarios correctos. Confirme que el correo electrónico se esté enrutando a través del MDO.
  • Problemas de simulación de ataques de entrenamiento: Verifique que los usuarios de prueba estén incluidos en los grupos correctos y que no existan políticas que puedan bloquear los correos electrónicos de simulación antes de que lleguen a los usuarios.

Conclusión

Microsoft Defender para Office 365 es una herramienta poderosa e indispensable en la lucha contra el phishing. Al configurar y optimizar sus políticas antiphishing, Archivos adjuntos seguros y Enlaces seguros, las organizaciones pueden establecer una defensa sólida contra una amplia gama de ataques de correo electrónico maliciosos. La combinación de tecnología avanzada con educación continua de los usuarios crea una estrategia de seguridad en capas que protege eficazmente las identidades, los datos y la reputación de la empresa. La vigilancia constante y la adaptación de políticas son esenciales para seguir siendo eficaces contra las tácticas de phishing en constante evolución.

Referencias:

[1] Microsoft aprende. Microsoft Defender para Office 365. Disponible en: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] Microsoft aprende. Políticas antiphishing en Microsoft Defender para Office 365. Disponible en: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] Microsoft aprende. Requisitos de licencia de Microsoft Defender para Office 365. Disponible en: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)