Microsoft
E-Mail-Schutz mit Office 365 Advanced Threat Protection
Angreifer versuchen häufig per E-Mail Schadsoftware in Unternehmen einzuschleusen. Hier soll Office 365 Advanced Threat Protection einen erweiterten Schutz bieten.
Office 365 verfügt bereits über integrierte Sicherheitsmechanismen. Eingehende E-Mails lassen sich auf Malware und Spam überprüfen. Außerdem können Administratoren Regeln festlegen, wie Office 365 mit eingehenden E-Mails verfahren soll. Die Überwachung der Aktionen findet über interne Bordmittel statt.
Office 365, ebenso wie Exchange 2013/2016, ist aber relativ machtlos gegen Zero-Day-Attacken. Dabei handelt es sich um Malware, für die es noch keine Definitionsdateien für Virenscanner gibt. Um auch hier besser geschützt zu sein, hat Microsoft die Sicherheitsfunktionen von Office 365 erweitert.
Unternehmen, die für Office 365 einen besseren Schutz einbinden wollen, können in Office 365 einen weiteren Dienst mit der Bezeichnung „Microsoft Advanced Threat Protection (ATP)“ dazu buchen. Der Dienst erweitert den Malware- und Spam-Schutz in Office 365 mit zusätzlichen Funktionen. Bei der Verwendung von ATP werden die bereits vorhandenen Sicherheitsfunktionen von Office 365 erweitert. ATP schützt nicht nur die Postfächer in der Cloud, sondern kann in hybriden Umgebungen auch E-Mails schützen, die zu lokalen Exchange-Servern weitergestellt werden.
Prüfung von E-Mail-Anhängen
Zunächst werden die Anhänge in einer sicheren Umgebung auf Malware überprüft. Dazu sucht ATP nach auffälligem Verhalten. Die Prüfung hängt also nicht von Definitionsdateien ab, sondern verwendet Machine-Learning- und Analysetechniken. Das verzögert zwar die Zustellung von E-Mails um mehrere Minuten, stellt dafür aber sicher, dass keine unbekannten Angreifer in das Netzwerk gelangen können. Wie bei allen Produkten von Microsoft können auch hier eigene Regeln erstellt werden, die genau steuern, welche E-Mails genauer überprüft werden sollen, und welche direkt durchgestellt werden.
Erkennt ATP, dass sich bereits eine E-Mail im Postfach befindet, die potentiell als gefährlich eingestuft wird, löscht Office 365 diese Mail. Das funktioniert auch bei bereits zugestellten E-Mails. Die E-Mails lassen sich aber durch Administratoren wiederherstellen. Dazu steht in ATP auch eine Quarantäne zur Verfügung, die gefährliche Nachrichten zwischenspeichern kann.
Prüfung von Links in Nachrichten
Neben dem Schutz vor gefährlichen Anhängen prüft ATP auch die Links in den E-Mails. Klicken Anwender auf einen Link, prüft ATP, ob dieser ungefährlich ist. Die Überprüfung findet unabhängig von den sonstigen Sicherheitsfunktionen im Browser, dem Virenscanner und auch von anderer Zusatzsoftware statt. Wenn es sich beim Link um eine Gefährdung handelt, blockiert ATP den Zugriff.
So funktioniert Office 365 Advanced Threat Protection
Einfach ausgedrückt arbeitet ATP mit dem Sandbox-Verfahren. Bei diesem Verfahren werden potentiell gefährliche Anhänge und Links in einem geschlossenen Container getestet. Zeigt sich schädliches Verhalten, kann die Malware aus dem Container nicht ausbrechen und wird von ATP entsprechend blockiert. Die Tests dauern natürlich einige Zeit, so dass sich E-Mails um mehrere Minuten verzögern können.
Zunächst werden E-Mails, die in Office 365, also Exchange Online, eingehen, mit den Bordmitteln in Office 365 auf Malware und Spam geprüft. Dabei arbeitet Office 365 mit dem Standard-Virenscanner und Spam-Schutz (Exchange Online Protection). Für Benutzer, die über ATP verfügen, wird anschließend ein weiterer Test durchgeführt.
Mit Office 365 ATP lassen sich außerdem nicht nur Postfächer in Exchange Online oder auf lokalen Exchange-Servern sichern, sondern auch Dateien in SharePoint, Microsoft Teams und Dateien, die Anwender in OneDrive speichern.
Windows Defender Advanced Threat Protection
Auch für Endpunkte im Netzwerk stellt Microsoft Lösungen bereit, um Zero-Day-Attacken abzufangen. Windows Defender Advanced Threat Protection (ATP) ist ein Cloud-Dienst, der Unternehmen in die Lage versetzt, Angriffe auf das eigene Netzwerk zu erkennen. Die Verwaltung erfolgt über ein webbasiertes Dashboard, in dem die Daten der einzelnen angebundenen Firmenrechner angezeigt werden. Der Schutz kann also parallel zu Office 365 ATP eingesetzt werden.
Windows Defender Advanced Threat Protection benötigt bislang Rechner mit Windows 10 Pro, Enterprise oder Education im Netzwerk. Im Februar 2018 hat Microsoft die Unterstützung von Windows-7-Clients angekündigt.
Defender ATP hat nicht die Aufgabe, Firewalls oder Virenscanner zu ersetzen, sondern soll die vorhandenen Technologien einbinden, um Netzwerke sicherer zu betreiben. ATP erkennt Angriffe, bei denen Firewall und Virenscanner überfordert sind, oder keine Maßnahmen ergreifen können. ATP arbeitet mit Machine Learning, und erkennt, ob sich Rechner im Netzwerk anders verhalten, als es der Norm entspricht. Die Lösung analysiert dazu nicht nur einzelne Rechner im Netzwerk, sondern nutzt die Daten von allen angebundenen Rechnern.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!