Microsoft oferuje zautomatyzowaną ochronę przed atakami poprzez pocztę elektroniczną

Microsoft udostępnił użytkownikom korporacyjnych wersji usługi Office 365 nowe narzędzia, których zadaniem jest zapewnienie ochrony przed atakami przy użyciu złośliwego oprogramowania oraz próbami oszustw bazujących na komunikacji e-mailowej. Nowa funkcjonalność ma pomóc firmowym specjalistom ds. bezpieczeństwa w szybszym reagowaniu na nowe typy ataków i kampanie przestępcze.

Z oficjalnych informacji wynika, że testy usługi trwały od kwietnia bieżącego roku – do tej pory mogli z niej korzystać użytkownicy, którzy zdecydowali się na korzystanie z wersji testowej oprogramowania Microsoftu. Dopiero niedawno nowa usługa została udostępniona użytkownikom usługi Office 365 w wariantach ATP Plan 2 oraz Enterprise E5, a także organizacjom korzystającym z pakietu narzędzi zabezpieczających Microsoft 365 E5 Security. Funkcjonalność Automated Incident Response jest częścią pakietu Office 365 Advanced Threat Protection.

W ramach nowej usługi użytkownicy uzyskują możliwość korzystania z dwóch rodzajów automatycznych reakcji na wykrywane incydenty z dziedziny bezpieczeństwa. Pierwszą jest uruchomienie automatycznych analiz, które inicjowane są w odpowiedzi na wykrycie próby ataku na organizację – czyli np. gdy namierzony zostanie e-mail zawierający złośliwe oprogramowanie lub będący próbą ataku phishingowego. Drugi rodzaj reakcji zakłada zainicjowanie owej analizy przez użytkownika, który np. zaobserwuje podejrzaną aktywność i zdecyduje, że warto wykorzystać system Automated Incident Response na potrzeby bardziej wnikliwej oceny wykrytego zdarzenia. Co ważne, analiza taka może zostać zainicjowana z poziomu narzędzia Microsoft Threat Explorer.

Po zakończeniu zautomatyzowanej analizy użytkownicy otrzymają dostęp do raportu zawierającego konkretne instrukcje postępowania w przypadku wykrycia poszczególnych typów ataku – np. wymierzonej w pracowników firmy akcji phishingowej czy dystrybuowanego za pomocą poczty e-mail złośliwego oprogramowania. Raport podsumowujący analizę będzie również zawierał dokładne informacje o incydencie, w tym czas jego rozpoczęcia, charakter oraz zasięg.

Zastosowanie zautomatyzowanego narzędzia ma pomóc organizacjom w skuteczniejszym identyfikowaniu złośliwych operacji i efektywniejszym ich zwalczaniu. Istotną funkcją nowej usługi jest bowiem możliwość wprowadzania odpowiednich działań i zabezpieczeń w całej organizacji, mających zneutralizować dane zagrożenie – np. blokowanie wybranych urządzeń, wymuszanie na nich silniejszych mechanizmów uwierzytelniających, etc.

Microsoft wyjaśnia też, że nowe narzędzia mogą wykrywać inne potencjalnie niebezpieczne zachowania związane z komunikacją e-mail, jak np. szkodliwe dla organizacji zachowania użytkowników (takie jak przekazywanie korespondencji nieautoryzowanym użytkownikom, łamania zasad obiegu dokumentów, etc).