Evoluzione di Office 365 Advanced Threat Protection: URL Detonation e Dynamic Delivery
Office 365 Advanced Threat Protection nasce dalla volontà di fornire un strumento per la protezione delle email che fosse potente ma non impattasse sulla produttività dell’azienda. Advanced Threat Protection difende la tua organizzazione dai sempre più frequenti attacchi provenienti dall’esterno la maggior parte dei quali avviene tramite email. Lo strumento garantisce una protezione potente: la funzione Safe Links evita che gli utenti clicchino o abbiano accesso a link infetti mentre la funzione Safe Attachment protegge l’utente da allegati dannosi ed email corrotte.
Da qualche giorno, Microsoft ha rilasciato due nuove funzioni: la URL Detonation e Dynamic Delivery che migliorano ulteriormente l’efficacia e la sicurezza di Advanced Threat Protection mantenendo la produttività degli utenti.
Disponibilità della URL Detonation
La funzione URL Detonation previene il danneggiamento dell’utente e della sua casella di posta proteggendolo dai files dannosi collegati ad una URL infetta.
Email con link a file infetti
Quando riceviamo una mail, Advanced Threat Protection analizza l’URL della stessa per rilevare eventuali comportamenti dannosi.
La nuova URL Detonation va a completare una funzione già esistente in Advanced Threat Protection: quella che effettua una “check reputation” dell’ URL della mail in entrata. Se l’utente, durante la scansione, clicca sul sul link apparirà la scritta “This link is being scanned”. Se il link dovesse essere identificato come maligno, si apre una pop-window che notifica all’utente che il file è danneggiato avvertendolo di non aprirlo.
Nell’immagine qui sotto potete vedere: a sinistra la notifica di scansione in corso, a destra la notifica di link danneggiato.
Gli amministratori IT possono configurare una policy su SafeLink che attivi una funzione di traccia della URL in grado di monitorare i click degli utenti, cosa che risulta molto utile nel caso in cui l’utente bypassi l’avvertimento e clicchi su pagine bloccate.
Nell’immagine qui sotto la URL trace dell’attività dell’utente
Preview di Dynamic Delivery
Rispetto al lancio di Safe Attachment, Microsoft ha ridotto notevolmente il tempo necessario alla scansione delle email che contengono allegati. Mentre qualsiasi soluzione di ricerca malware richiede un lasso di tempo per rilevare eventuali attacchi sospetti, Advanced Threat Protection ti dà la possibilità di continuare a lavorare mentre è in corso il processo di scansione. Adesso, con la funzione Dynamic Delivery, chi riceve la mail può leggere e rispondere alla mail stessa mentre l’allegato è in via di scansione. Dynamic Delivery recapita email alla casella di posta del ricevente, insieme ad un sostituto dell’allegato che notifica all’utente che l’allegato vero e proprio è in via di scansione.Tutto questo con uno scarto temporale davvero minimo.
Come potete vedere nell’immagine in basso, l’utente può leggere il corpo dell’email mentre l’allegato è in scansione con Safe Attachment.
Se l’utente dovesse cliccare sul sostituto dell’allegato, vedrà un messaggio che gli indica l’avanzamento della scansione, come potete vedere nell’immagine qui sotto.
Come abilitare la URL Detonation e Dynamic Delivery
La URL Detonation può essere attivata tramite il controllo di policy nella finestra di Safe Links dell’amministratore, tra le impostazioni. Per abilitarla, selezionate il bottone ON e in seguito selezionate l’utilizzo del Safe Attachment per effettuare la scansione del contenuto scaricabile.
Qui sotto la finestra di controllo dell’amministratore per la policy di Safe Link. Come si vede dall’immagine, in questo caso, sono abilitati sia la URL Detonation sia il Dynamic Delivery.
Il Dynamic Delivery può essere attivato dal controllo policy: dalle impostazioni della finestra di controllo dell’amministratore del Safe Attachment. È sufficiente selezionare il bottone Dynamic Delivery.
Nell’immagine che segue vediamo la finestra di controllo dell’Admin per le policy di Safe Attachments: in questo caso il Dynamic Delivery è attivato.
