התמודדות עם התקפות בזמן אפס וקישורים לא בטוחים בתשתיות הדואר

במאמר זה רונן מספר לנו על ATP - פתרון מבוסס ענן, מבית מיקרוסופט, למתקפות ופרצות בשירותי הדואר.

מאת | פורסם: | עודכן:

האם אתם מתבקשים להתמודד עם התקפות ופרצות בשירותי הדואר, אשר מערכת סינון דואר סטנדרטית אינה יכולה לתת להם מענה? האם יש דרישת אבטחה להתמודד עם התקפות של תוכן זדוני אשר עדיין לא מופו ואין להן חתימות (0-Day Attack)? האם אתם חוששים שקישורים מסוכנים שנשלחים בדואר האלקטרוני יגרמו לדליפת מידע, גניבת זהויות וכניסת וירוסים/טרויאנים?

לאחרונה אנחנו עדים ליותר ויותר התקפות מתוחכמות אשר מצליחות לעבור את מנגנוני האבטחה הסטנדרטיים. 
הבעיות העיקריות מקורן ב:

  1. תוכנות רוגלה ותוכנות זדוניות אשר עדיין לא זוהו ועדיין לא הוגדרו במערכות הסינון השונות, מה שקרוי Zero Day Attack
  2. קישורים הנשלחים בדואר אשר מובילים לאתרים שנראים לגיטימיים אך בפועל בכל נקודת זמן עשויים להפוך לאתרים זדוניים העשויים להעביר תוכנות רוגלה, לבצע גניבת זהויות ופישינג

בכדי להתמודד עם מתקפות מסוג זה בדואר האלקטרוני, מיקרוסופט פיתחה שירות ענן הנקרא ATP – Advanced Threat Protection

תשתית הענן ATP הינה שירות ענן עצמאי להגברת האבטחה ושיפור יכולות סינון דואר אלקטרוני, שירות זה יכול להוות תשתית נוספת מעל תשתית הסינון הבסיסית של Office365 המבוססת EOP – Exchange Online Protection, מערכת המציעה שירות אנטי וירוס (Multi Engine Anti Malware) רב שכבתי ומערכת סינון דואר זבל (Anti-SPAM).

תשתית ATP מוסיפה את היכולת לזהות וירוסים ותוכן זדוני בזמן אמת ללא חתימות (Zero Day Attack) באמצעות מערכת בדיקה המריצה את הקודים בצורה חייה על גבי תשתית הענן (Sand-Box) ומערכת סריקה ובדיקת קישורים המגיעים במיל (URL Reputation Filter).

מערכת בדיקת הקישורים למעשה עושה בדיקת Reputation לקישור ומאפשר או חוסמת את הגישה אליו.

על מנת למנוע מקרה בו קישור תקין הופך לזדוני המערכת מחליפה את הקישורים כך שכל פניה לקישור עוברת דרך תשתית הסינון, בדרך זו הקישור נבדק לא רק בזמן הגעת המייל אלא בכל נקודת זמן לאחר מכן בה לוחץ המשתמש על הקישור המופיע במייל.

מערכת ATP כוללת:

ארכיטקטורה של השירות:

מערכת להחלפת URL בלינקים בטוחים דרך הענן – שירות המבטיח קישורים בטוחים גם זמן רב לאחר שהגיע הדואר (הסריקה מתבצעת בעת הלחיצה על הקישור ולא רק בעת הגעת המייל):

מערכת להרצת קוד בזמן אמת וטיפול בהתקפות Zero Day על ידי שימוש ב Sand-Box וב Detonation Chambers וירטואליים:

מידע נוסף על מערכות הסינון והאבטחה של Office365 Microsoft Exchange Online ATP advanced-threat-protection

https://technet.microsoft.com/en-us/library/mt148491(v=exchg.150).aspx

http://blogs.office.com/2015/04/08/introducing-exchange-online-advanced-threat-protection/

רונן גבאי

אודות כותב המאמר

רונן גבאי - מייסד שותף, סמנכ"ל טכנולוגיות ו-Microsoft Office 365 P-Seller בחברת U-BTech Solutions

רונן הוא מומחה בינלאומי המביא איתו שנים של ידע ונסיון, גם כמרצה מוביל ו-CTO בג'ון ברייס מכללת הי-טק וגם כיועץ בכיר לחברות וארגונים. בעשור האחרון רונן מוביל את תחום ה-Ofice 365 בתור Microsoft P-Seller, מנהל את Exchange User Group ומוביל פרויקטים של הטמעות ואינטגרציה של Windows Server, Active Directory, Microsoft Exchange Server ופלטפורמות הענן של מיקרוסופט.

comments powered by Disqus