Come bloccare il phishing con Defender per Office 365

Come bloccare il phishing con Defender per Office 365

14/04/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nella configurazione e nell'ottimizzazione di Microsoft Defender per Office 365 (MDO) per bloccare in modo efficace gli attacchi di phishing. Il phishing rimane una delle minacce informatiche più diffuse e pericolose, che mira a rubare credenziali, installare malware o indurre le vittime a divulgare informazioni riservate. MDO offre una solida suite di funzionalità anti-phishing che vanno oltre la protezione di base di Exchange Online Protection (EOP), fornendo difese avanzate contro attacchi sofisticati [1].

Introduzione

Gli attacchi di phishing si sono evoluti da e-mail generiche a campagne altamente mirate e convincenti note come spear-phishing, whaling e compromissione e-mail aziendale (BEC). Queste tattiche sfruttano la fiducia umana e possono aggirare le difese tradizionali. Microsoft Defender per Office 365 è progettato per combattere queste minacce avanzate utilizzando l'intelligenza artificiale, l'apprendimento automatico e l'analisi del comportamento per rilevare e bloccare i messaggi di posta elettronica dannosi prima che raggiungano le caselle di posta degli utenti [2].

Questa guida pratica riguarderà la configurazione delle policy anti-phishing in MDO, inclusa la protezione dallo spoofing, l'intelligence della casella di posta, la protezione dalla rappresentazione e collegamenti e allegati sicuri. Verranno fornite istruzioni dettagliate, esempi di configurazione e metodi di convalida in modo che il lettore possa rafforzare la difesa della propria organizzazione contro gli attacchi di phishing e istruire gli utenti sulle migliori pratiche.

Perché Defender per Office 365 è essenziale contro il phishing?

  • Protezione avanzata: va oltre l'EOP, offrendo il rilevamento delle minacce zero-day e degli attacchi polimorfici.
  • Intelligence sulle minacce: utilizza la vasta intelligence sulle minacce di Microsoft per identificare i vettori e i modelli di attacco emergenti.
  • Analisi comportamentale: analizza il comportamento di e-mail e URL per identificare anomalie che indicano phishing.
  • Protezione dalla furto d'identità: difende dalle e-mail che tentano di impersonare dirigenti, marchi o partner fidati.
  • Collegamenti e allegati protetti: esegue la scansione di URL e allegati in tempo reale al momento del clic o dell'apertura, proteggendoli da contenuti dannosi.
  • Visibilità e reportistica: fornisce report dettagliati e strumenti di indagine per comprendere e rispondere agli attacchi di phishing.

Prerequisiti

Per configurare e ottimizzare i criteri anti-phishing in Microsoft Defender per Office 365, saranno necessari i seguenti elementi:

  1. Licenza: una licenza che include Microsoft Defender per Office 365 Piano 1 o Piano 2. Di solito fa parte di pacchetti come Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5 o può essere acquistata come componente aggiuntivo [3].
  2. Accesso amministrativo: un account con autorizzazioni di amministratore della sicurezza o di amministratore della conformità nel portale Microsoft 365 Defender (https://security.microsoft.com).
  3. Domini verificati: i domini di posta elettronica devono essere configurati e verificati in Microsoft 365.
  4. Record DNS e-mail: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) devono essere configurati correttamente per i tuoi domini. Questo è fondamentale per la protezione contro lo spoofing e la rappresentazione.

Passo dopo passo: configurazione delle politiche anti-phishing in MDO

Configuriamo una policy anti-phishing personalizzata per proteggere i tuoi utenti.

1. Accesso al portale Microsoft 365 Defender

  1. Apri il browser e vai a "https://security.microsoft.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.

2. Creazione di una politica anti-phishing personalizzata

Sebbene MDO disponga di una politica anti-phishing predefinita, si consiglia vivamente di creare politiche personalizzate per gruppi di utenti specifici (ad esempio dirigenti, utenti ad alto rischio) e di regolare le impostazioni di protezione.

  1. Nel riquadro di navigazione a sinistra, seleziona E-mail e collaborazione > Politiche e regole > Politiche sulle minacce.
  2. Nella sezione Politiche, fare clic su Anti-phishing.
  3. Fare clic su Crea per avviare la procedura guidata della nuova policy.

Passaggio 1: assegnare un nome alla policy

  1. Nome: "Politica anti-phishing".Personalizzato - Dirigenti` (o un nome descrittivo per il tuo gruppo target).
  2. Descrizione: "Protezione avanzata dal phishing per dirigenti e utenti ad alto rischio.".
  3. Fare clic su Avanti.

Passaggio 2: utenti, gruppi e domini

  1. Utenti, gruppi o domini: seleziona gli utenti o i gruppi a cui verrà applicato questo criterio. Per questo esempio, seleziona un gruppo di sicurezza che contiene i tuoi dirigenti.
    • Suggerimento: inizia con un piccolo gruppo di prova prima di candidarti all'intera organizzazione.
  2. Escludi questi utenti, gruppi e domini: (facoltativo) aggiungi eventuali entità che devono essere escluse da questa policy.
  3. Fare clic su Avanti.

Passaggio 3: Soglia di phishing e Soglia di furto d'identità

Questa sezione consente di configurare il livello di protezione contro phishing e imitazione.

  1. Soglia phishing: si consiglia di impostare un valore di "3" o "4" (il valore predefinito è 1). Valori più alti offrono maggiore protezione, ma possono aumentare i falsi positivi.
  2. Abilita la protezione degli utenti: fai clic su Aggiungi utente e aggiungi gli indirizzi email dei dirigenti o delle persone chiave che desideri proteggere dall'imitazione (ad esempio CEO, CFO). MDO monitorerà attivamente le e-mail che tentano di impersonare queste persone.
  3. Abilita domini da proteggere: fai clic su Aggiungi dominio e aggiungi i tuoi domini (ad esempio "tuaazienda.com"). Ciò protegge dallo spoofing del dominio interno ed esterno.
  4. Azioni: imposta le azioni per i messaggi rilevati come furto d'identità:
    • Se il messaggio viene rilevato come furto d'identità dell'utente: "Messaggio in quarantena" o "Sposta il messaggio nella cartella posta indesiderata del destinatario".
    • Se il messaggio viene rilevato come rappresentazione del dominio: "Messaggio in quarantena".
    • Suggerimento: inizia con "Sposta il messaggio nella posta indesiderata del destinatario" o nella cartella "Quarantena" per evitare di perdere email legittime.
  5. Intelligenza della casella di posta: assicurati che sia Attiva. Ciò consente a MDO di utilizzare l'intelligenza dell'apprendimento automatico per determinare i normali modelli di comunicazione per ciascun utente e rilevare anomalie.
  6. Protezione dallo spoofing: assicurati che sia Attivo e imposta l'azione per i messaggi di spoofing non autenticati su "Sposta il messaggio nella cartella posta indesiderata del destinatario" o "Messaggio in quarantena".
  7. Fare clic su Avanti.

Passaggio 4: revisione

  1. Esaminare tutte le impostazioni dei criteri.
  2. Fare clic su Crea.

3. Configurazione degli allegati sicuri

Gli allegati sicuri proteggono dal malware zero-day aprendo gli allegati in un ambiente virtualizzato (sandbox) prima di consegnarli agli utenti.

  1. Nel riquadro di navigazione a sinistra, seleziona E-mail e collaborazione > Politiche e regole > Politiche sulle minacce.
  2. Nella sezione Politiche, fare clic su Allegati protetti.
  3. Fare clic su Crea.
  4. Nome: "Politica sugli allegati sicuri".
  5. Descrizione: Scansiona gli allegati e-mail in modalità sandbox per proteggerli dal malware zero-day.
  6. Azione di risposta al malware per allegati protetti: selezionare "Blocca".
  7. Reindirizza gli allegati rilevati: (facoltativo) è possibile reindirizzare gli allegati a una casella di posta di sicurezza per ulteriori analisi.
  8. Applica a: seleziona Utenti, gruppi o domini e aggiungi gli utenti o i gruppi pertinenti.
  9. Fare clic su Crea.

4. Configurazione dei collegamenti sicuri

Safe Links riscrive gli URL nelle email e nei documenti per verificarne la reputazione in tempo reale al momento del clic, proteggendo dai collegamenti dannosi.

  1. Nel riquadro di navigazione a sinistra, seleziona E-mail e collaborazione > Politiche e regole > Politiche sulle minacce.
  2. Nella sezione Politiche, fai clic su Collegamenti protetti.
  3. Fare clic su Crea.
  4. Nome: "Politica sui collegamenti sicuri".
  5. Descrizione: Protegge da URL dannosi in e-mail e documenti.
  6. Applica collegamenti protetti ai messaggi e-mail: assicurati che sia Abilitato.
  7. Applica collegamenti protetti al contenuto nelle app Office 365: assicurati che sia Abilitato.
  8. Azioni: configura le azioni per gli URL bloccati (ad esempio "Blocca URL dannosi").
  9. Non riscrivere i seguenti URL: (Facoltativo) Aggiungi URL interni o attendibili che non devono essere riscritti.
  10. Applica a: seleziona Utenti, gruppi o domini e aggiungi gli utenti o i gruppi pertinenti.
  11. Fare clic su Crea.

Convalida e test

Convalidare l'efficacia delle politiche anti-phishing è fondamentale per garantire che la protezione funzioni come previsto.

1. Utilizzo dell'addestramento alla simulazione di attacco

MDO include uno strumento di simulazione degli attacchi di phishing che ti consente di testare la resilienza degli utenti e l'efficacia delle tue policy.

  1. Nel portale Microsoft 365 Defender, vai a E-mail e collaborazione > Training Attack Simulation.
  2. Fai clic su Avvia una simulazione.
  3. Segui la procedura guidata per creare e lanciare una campagna di phishing simulata verso un gruppo di utenti di prova.
  4. Monitorare i risultati per vedere quanti utenti sono stati compromessi e se i criteri MDO hanno intercettato le e-mail di phishing simulate.

2. Controllo dei registri di protezione

  1. Nel portale Microsoft 365 Defender, vai a E-mail e collaborazione > Explorer.
  2. Utilizza i filtri per cercare e-mail con verdetti "Phishing", "Spoof" o "Malware" per vedere se i criteri rilevano e-mail dannose.

3. Testare collegamenti e allegati sicuri

Invia un'e-mail di prova con un collegamento dannoso noto (ad esempio da un sito di test di phishing sicuro) o un file di test del malware (ad esempio EICAR) a un utente protetto e controlla se MDO riscrive il collegamento o blocca l'allegato.

Suggerimenti e best practice per la sicurezza

  • Formazione dell'utente: la linea di difesa più importante. Formare regolarmente gli utenti a riconoscere e segnalare le e-mail di phishing. Utilizza la simulazione dell'attacco di addestramento per rafforzare l'apprendimento.
  • Imposta SPF, DKIM e DMARC: questi record DNS sono fondamentali per l'autenticazione della posta elettronica e la protezione dallo spoofing. Assicurati che siano configurati correttamente per tutti i tuoi domini.
  • Politiche granulari: crea politiche anti-phishing personalizzate per diversi gruppi di utenti, in particolare per quelli ad alto rischio (ad esempio dirigenti, finanza).
  • Aumenta la soglia di phishing: valuta la possibilità di aumentare la soglia di phishing a 3 o 4 nelle policy personalizzate per una maggiore protezione monitorando i falsi positivi.
  • Rapporti di monitoraggio: esamina regolarmente i rapporti sulla protezione dalle minacce in MDO per identificare tendenze, attacchi mirati e aree in cui è possibile migliorare la protezione.
  • Integrazione con Defender for Endpoint: la protezione della posta elettronica e la protezione degli endpoint lavorano insieme per una difesa a più livelli. Se un utente fa clic su un collegamento dannoso, Defender for Endpoint può aiutare a rilevare e correggere la minaccia sul dispositivo.

Risoluzione dei problemi comuni

  • E-mail di phishing legittime che arrivano: controlla le impostazioni dei criteri anti-phishing, in particolare le soglie di phishing e le azioni per impersonificazione e spoofing. Assicurati che SPF, DKIM e DMARC siano configurati correttamente. Esaminare i log in Threat Explorer.
  • Falsi positivi (e-mail legittime bloccate): regola le soglie di phishing su un valore inferiore. Controlla le impostazioni di rappresentazione e spoofing. Aggiungi mittenti o domini attendibili all'elenco delle eccezioni (se necessario, con cautela).
  • Collegamenti non riscritti o allegati non verificati: verificare che i criteri Collegamenti sicuri e Allegati sicuri siano abilitati e assegnati agli utenti corretti. Confermare che l'e-mail venga instradata tramite MDO.
  • Problemi relativi alla simulazione di attacchi di addestramento: verificare che gli utenti di prova siano inclusi nei gruppi corretti e che non siano presenti criteri che potrebbero bloccare le e-mail di simulazione prima che raggiungano gli utenti.

Conclusione

Microsoft Defender per Office 365 è uno strumento potente e indispensabile nella lotta al phishing. Configurando e ottimizzando le policy anti-phishing, allegati sicuri e collegamenti sicuri, le organizzazioni possono stabilire una solida difesa contro un'ampia gamma di attacchi email dannosi. La combinazione di tecnologia avanzata e formazione continua degli utenti crea una strategia di sicurezza a più livelli che protegge efficacemente le identità, i dati e la reputazione dell'azienda. La vigilanza costante e l’adattamento delle politiche sono essenziali per rimanere efficaci contro le tattiche di phishing in continua evoluzione.

Riferimenti:

[1]Microsoft Learn. Microsoft Defender per Office 365. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2]Microsoft Learn. Criteri anti-phishing in Microsoft Defender per Office 365. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3]Microsoft Learn. Requisiti di licenza per Microsoft Defender per Office 365. Disponibile all'indirizzo: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)