אלי שלמה

עוד יום של סייבר בענן

הגנה על תעבורת הדואר באמצעות Office ATP

by · 23/08/2017

בתקופה האחרונה ישנם יותר ויותר מקרים של מתקפות חכמות ובמקרים רבים מצליחים התוקפים לעבור את מנגנוני ההגנה והאבטחה הרגילים ולעיתים המתקדמים, אין ספק שכיום התוקפים חכמים יותר וסוגי המתקפות מגוונים ושונים ולכן המתקפות שאנו חווים בתקופה האחרונה הם בעלי עוצמה רבה יותר ובבקרים רבים נקודתיות.

אחת המערכות שחוות את המתקפות הרבות הם שירותי הדואר למינהם בהם Exchange Online, כמות הדואר שנשלח ומתקבל היא עצומה ולכן גם הסיכון גדול יותר, כיום שירות Exchange Online Protection מבצע הגנה על שירותי הדואר של Exchange Online ומספק הגנה מתקדמת ומבוסס על שירות אנטי וירוס עם מספר מנועים רב שכבתי ומערכת סינון דואר זבל.

יחד עם זאת סוגי המתקפות חכמות יותר ולכן אנו עושים שימוש בטכנולוגיה חדשה שנקראת Advanced Threat Protection שעובדת עם Exchange Online Protection ומאפשרת לבצע הגנה מתקדמת והתמודדות עם התקפות בזמן אפס Zero Day Attack.

היתרונות של ATP הם מאפשרים לנו יכולות נוספות, כגון:

  • התמודדות עם התקפות בזמן אפס
  • סינון מתקדם שאינו מבוסס על חתימות
  • טכנולוגיה מתקדמת לבדיקה בזמן אמת
  • בדיקת קבצים וקישורים על גבי מערכת Sandbox
  • שירות מובנה בשירות Office 365

רוב המשתמשים אינם יכולים לזהות את ההבדל בין מייל אמיתי או מייל מזויף ולכן משתמשים “משתפים” פעולה עם המייל ופותחים את המייל בצורה הרגילה ולמעשה מאפשרים לתוקף לקבל את המידע הנדרש ולבצע את התקיפה. התקיפות עלולות להיות תקיפות מסוג spear phishing או תקיפות מסוג zero-day exploits.

Image

ארכיטקטורה ודרכי פעולה

תשתית ATP הינה תשתית עצמאית מבוססת שירות Office 365 ושירות Azure ועובדת עם Exchange Online Protection בצורה אינטגרלית ומאפשרת לנו לבצע הגנה מתקדמת ולחסום קבצים וקישורים עוד לפני שהגיעו אל תיבת הדואר.

ATP בנוי מכמה פלטפורמות שונות המספקות אפשרויות לבצע מספר פעולות:

  • למידה של כל סוגי הוירוסים, תוכנות זדוניות ספאם כולם חדשים וישנים באמצעות Machine Learning
  • המידע עובר ניתוח לפי פרמטרים שונים בכדי לסווג כל וירוס וסיכון
  • ביצוע הפעולה של פתיחה של הקובץ או הקישור ובדיקת התוכן נעשה על מכונות בסביבת Azure (פעולת Sandbox)
  • המידע שעובדים בו שימוש עובד על גבי פלטפורמה של Malware detonation as a service
  • בנוסף ישנו צוות (zero-day sandbox detection detonation chamber) שכל תפקידו הוא לוודא שהתהליך מתבצע באופן אוטומטי, לנתח את המידע, לוודא עדכון חתימות ופעולות נוספות

במקור ATP הוא מתבסס על פרויקט Sonar שמטרתו היא הקמת מאגר המידע הגדול בעולם שמבוסס בענן, מאגר המידע מכיל בתוכו מידע עצום לגבי מיליוני וירוסים, תוכנות זדוניות, מלווירים ועוד.

השימוש של Malware detonation as a service או MaaS נועד לשירותי ענן נוספים, כגון:  Windows Defender Advanced Threat Protection ולכן השימוש בפעולת Sandbox ושימוש במנגנון detonation chamber יחזור על עצמו בטכנולוגיות סייבר נוספות.

איך עובד השירות

מכיוון שהשירות מאפשר לנו לבצע בדיקה של קישורים ושל קבצים הבדיקה שמתבצעת היא כפולה ומאפשרת למשתמש בהתאם לפוליסי גישה אל התוכן שנבדק.

הגנה על קישורים (Safe Links)

המטרה של יכולת Safe Links היא למנוע מתקפות פישינג בדגש על Spear Phishing, כיום מתקפות מסוג Spear Phishing נעשות אל מול ממשלות וארגונים.

כאשר נעשה סינון של קישורים הפעולה של בדיקת הקישורים נעשית פעמיים: כאשר מתקבל מייל והשניה כאשר הקישור נפתח ע”י המשתמש ולכן הסיכון בלחיצה על קישור לא אמין מורידה את הסיכון בצורה משמעותית.

תהליך הגנה על קישורים

  • מייל נשלח אל תיבת דואר בשירות Exchange Online
  • שירות Exchange Online Protection בודק את המייל ואת התוכן
  • לאחר מכן ובהתאם לפוליסי התוכן נבדק מול ATP
  • במידה והתוכן שנבדק מתאים לפוליסי ברמת ATP נעשית פעולה של replace עם קישור חלופי
  • הקישור שבוצע לו החלפה הוא קישור פנימי שמקבל את הסיומת של safelinks.protection.outlook
  • מייל נשלח את המשתמש עם הקישור החלופי
  • במידה והמשתמש פותח את הקישור נעשית בדיקה נוספת של הקישור ומבצע הפניה
  • במידה והקישור אינו תקין והינו קישור בטוח המשתמש יוכל לגשת אל הקישור
  • במידה והקישור אינו תקין והינו קישור שאינו תקין מסוג פישינג המשתמש יקבל אזהרה ובהתאם לפוליסי ייחסם או יופנה לקישור כללי

Image

דגשים נוספים בתהליך

  • הבדיקה שנעשית על הקישורים היא על מכונות Azure
  • הבדיקה היא למעשה פעולה Sabdbox באזור בטוח
  • בכל התהליך ישנו רשום לוגים הן מבחינת התהליך והן מבחינת זיהוי וירוסים וכו’

הגנה על קבצים (Safe Attachments)

בהגנה על קבצים נעשה תהליך דומה לזה של הגנה על קישורים, אך עם שינוי קל של שימוש עם Anti-Malware.

תהליך הגנה על קבצים

  • מייל נשלח אל תיבת דואר בשירות Exchange Online
  • שירות Exchange Online Protection בודק את המייל ואת התוכן
  • במידה ומוגדר פוליסי עם ATP המייל נבדק על מכונות Azure
  • במכונות Azure נעשית פעולה מסוג detonation chamber שפותחת את הקבצים ומוודאת שאין וירוסים בקובץ
  • במידה והקובץ נגוע הקובץ לא ישלח אל המשתמש
  • במידה והקובץ תקין הקובץ ישלח אל המשתמש

Image

דגשים נוספים בתהליך

  • תהליך הבדיקה עלול לקחת עד 35 דקות
  • ישנה אפשרות  להגדיר מה יתבצע כאשר נעשית בדיקה (פוליסי)

סיכום

שירות ATP מגיע עם יכולות חדשות ומאפשר לנו להתמודד עם המתקפות החכמות שנעשות לאחרונה, בשימוש עם ATP אנו מורידים את הסיכונים בצורה משמעותית.

הטכנולוגיה שעמה משתמשים עם ATP מאפשרת לנו לקבל את המידע העדכני ע”י שימוש במאגר המידע העצום, השימוש של ATP יכול להיעשות בסנריו של שרתי דואר מקומיים או שירות Exchange Online ומצריך יישום קצר.

Tags:

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *