Office 365 Malware Protection ve Anti-Phishing Özelliği

Kurumsal mail iletişiminde çok Büyük bir payı olan Office 365, günde 6,5 trilyon mailin üzerinden geçtiği bir platform için mutlaka güvenlik sağlamak zorunda. Tabiki %100 güvenlik diye bir kavram yoktur ancak özellikle minimum dışa bağımlı sistemler müşteriler tarafından tercih edilen bir modeldir. Yıllarca aslında bunu Exchange server’ ın her ne kadar varsayılan anti spam ve anti malware özelliği olsa da aslında çok başarı olmadığından dolayı mutlaka ya sunucu üzerinde çalışan ya da smtp gateway olarak sunucu önünde çalışan 3. Parti güvenlik üreticilerinin ürünlerini kullandık ve kullanmaya devam ediyoruz.

Her şirketin güvenlik disiplini ve beklentileri farklı olmak ile beraber ben genelde her ne kadar yönetim maliyeti hatta uzman personelin olmadığı durumlarda yönetim zafiyeti oluşturma riski olsa da güvenlik ürünlerinde tek elden korunmayı doğru bulmuyorum. Yani firewall üreticim ile anti spam üreticim hatta anti virüs üreticimin ayrı olması güvenlik noktasında bana daha avantajlı geliyor. Ancak tabiki bunun tam tersi durumların yani örneğin bir endpoint ile konuşan firewall’ un ne kadar proaktif çözüm üreteceğini veya tek bir ajan ile hem DLP hem AV yapmanın keyfini biliyorum. Zaten bu konu çok tartışılan bir konu, yani kesin bir doğrusu olmayan hatta benim bile farklı müşterilerimde müşteri dinamiklerinden kaynaklı farlı çözümler önerdiğim ve kurduğum oluyor.

İş mail güvenliğine gelince eğer imkânınız var ise mutlaka Office 365 EOP ve ATP yanında alternatif bir ürün kullanmanızı öneririm ancak eğer imkânınız yok veya mevcut ürünler neler yapabiliyor diyorsanız doğru yerdesiniz.

2010 yılından beri office 365 anlatmaya çalışan birisi olarak her ne kadar pek çok ürün içerse de exchange ve özelindeki konulara daha çok ilgi alanıma giriyor. Bu zamana kadar belki de Microsoft’ un güvenliği hiç bu kadar ciddiye aldığını hatırlamıyorum (eski bir forefront mvp si olarak forefront ürün ailesi de buna dahil). Ancak durum aşağıdaki gibi olunca bu işin pek şakası yok aslında;

Böylesi devasa bir network yöneten ekiplerinde devasa olması gerekiyor ki Microsoft bu konuda 3500’ den fazla güvenlik personeli çalıştırarak bu işi ne kadar ciddiye aldığını gösteriyor.

Microsoft’ ın Office 365 ile bize bütünleşik sunduğu EOP ve yine bütünleşik olmasına karşın ek olarak satılan ATP’ deki başarısının altında yatan detaya yakından bakmak gerekli;

Microsoft Intelligent Security Graph

Peki nedir Microsoft Intelligent Security Graph?

Aslında temel olarak yukarıda da gördüğünüz gibi milyarlarca posta kutusu üzerindeki büyük verinin makine öğrenme teknolojisi ile incelenip sonuçların yine entegre çalışan platformlar sayesinde kullanıcıları koruyacak tedbirlerin alınmasını sağlayan teknolojilerin bütünüdür, özetle aşağıdaki gibi 3 başlıkta toplanabilir;

Bunu 3500’ den fazla personel ile gerçekleştiriyor, rakamlar ise inanılmaz;

Evet bunlar reklam kokan hareketler, günün sonunda posta kutusuna spam veya kötü içerikli mail düşen çalışanlar yukarıdaki rakamlar ile pek ilgilenmeyebilir. Yukarıdaki giriş aslında tüm güvenlik üreticileri için geçerli, eğer dikkat ederseniz firewall üreticileri, proxy veya AV tarafında hep kurulu kutu veya kullanılan aktif kullanıcı sayılarını vermeye gayret gösterirler, tabiki eğer bu rakamlar yüksek ise. Bunun sebebi çok basit aslında, Microsoft’ un yaptığı gibi büyük veri var ise elinizde, dünyanın her bölgesinden yeterli veri alabiliyorsanız global bir koruma için bu veriyi izlemek, incelemek ve olası bir atağı algılayarak ilk sorun yaşayan kullanıcıların dışındakileri korumak kolaylaşıyor. Yani güvenlik sektöründe de bilgi güçtür. Tabiki bu tarz ürünler genel ataklar için çok başarılıdır, hedefli ataklarda durum farklı olup bu makalenin konusu değildir.

Peki Microsoft bu konudaki başarısını nasıl ölçüyor?

Bana sorarsanız mükemmel değil, bunu neye dayanarak söylüyorum? Öncelikle ücretiz olarak sunulan EOP çok çok iyi ama ücretsiz bir ürün için, tüm şirket mail güvenliğini EOP ile korumanız mümkün değil. Zaten böyle bir şey olsa ATP ürününü Microsoft ücretli olarak satmaz. EOP niye değerli? Pek çok mail kullanıcısı office 365’ e geçtiği andan itibaren ücretsiz olarak korunuyor bundan dolayı çok değerli bir hizmet ancak bazı kritik ataklar için ATP veya 3 parti ürünler kullanmanızı tavsiye ederim.

Evet Microsoft özellikle ATP ile sunduğu hizmeti sürekli ölçüyor, çünkü bu aslında 3 parti güvenlik ürünleri ile rekabet ediyor ve acaba verilecek para ATP ye mi yoksa 3 parti ürünlere mi verilecek büyük bir soru işareti?

Öncelikle yaygın senaryo aşağıdaki gibidir;

Yani öncelikle maillerinizi 3 parti bir güvenlik sağlayıcısına gönderip oradan temizlendiğini düşündüğünüz mailleri office 365’ e gönderiyoruz. Burada aslında kaçırılan maillerin olup olmadığını pek kontrol etmiyoruz. İlk kontrol noktası burasıdır. Yani rakip ürünlerin temizlemediği ama office 365’ in yakaladığı kaç mail oluyor? Bu genelde müşterilerin atladığı bir nokta olup bunu kontrol etmenizi tavsiye ediyorum. Bu nedenle zaten özellikle bulut mail güvenlik ürünleri için POC öneriyorum.

Peki burada ne tür teknolojiler kullanılıyor?

Zero-hour auto purge (ZAP)

Kullanıcılarınızın gelen kutularına daha önce gönderilen phishing, spam veya kötü amaçlı yazılım içeren mesajları tespit eden ve ardından kötü amaçlı içeriği zararsız hale getiren bir e-posta koruma özelliğidir. ZAP tüm office 365 posta kutuları için aktif olarak çalışan bir hizmet olup istenmesi halinde tenant bazlı kapatılabilir;

 Set-HostedContentFilterPolicy -Identity Test -ZapEnabled $false

ZAP varsayılan olarak çalışa bile müşteriler için aşağıdaki durumların olması şart olup bunların değişmesi durumun da aktif olarak çalışmadığını görebilirsiniz;

Öncelikle ZAP varsayılan olarak açık olduğu için sizin kişiselleştirilmiş yeni anti spam policy’ ler ZAP’ a göre baskın olur, bir nevi kullanıcı bazlı kurallarınız daha öncelikli çalışır.

Varsayılan olarak anti spam policy’ de spam mail bulunması durumunda action olarak “Move message to Junk Email folder” seçili olmalıdır.

Kullanıcıların junk mail koruması açık ve ayarları varsayılan olmalıdır.

Office 365 düzenli olarak anti-spam motorunu ve malware imzalarını günceller. Bu sayede ZAP hali hazırda bir kullanıcınızın posta kutusuna düşmüş ve bu güncelleme ile fark edilmiş maillerin taşınmasını sağlayabilir.

Örneğin okunmamış ancak spam olarak işaretlenmiş mailler otomatik junk klasörüne taşınır.

Eğer isterseniz okunmuş veya okunmamış olmasına bakmadan spam olarak işaretlenmiş mailler otomatik junk klasörüne taşınır

Eğer yeni algılanmış bir spam ise yine okunup okunmadığına bakmadan ekler posta’ dan silinebilir.

Bu ayarları https://protection.office.com ardından Threat managemenet – Anti Spam sekmesinden kontrol edebilirsiniz;

Bir diğer konu ise Phishing mailleri;

Burada ise yukarıdaki gibi pek çok farklı yöntem kullanılmaktadır (header meta-data, message fingerprints ve URL listeleri gibi). Bu tarz bilinen teknolojilere ek ise kullanıcılardan gelen istihbarat, makine öğrenme teknolojisi, sürekli tarama teknolojisi gibi yetenekler ile daha gelişmiş bir phishing koruması sağlar. Buradaki en önemli kriter tüm bu sistemin tepesinde yetişmiş güvenlik personelinin olması. Çünkü hala AI veya ML gibi teknolojiler için insan kontrolü başarıyı arttırıyor.

Burada gördüğümüz bir sorun ise özellikle rakip 3 parti ürünlerden office 365 geçişi sonrası yapılandırma kopyalanma isteğidir. Yani eski üründeki ayarları birebir kopyalamak isteyen müşteriler her zaman başarılı bir sonuç elde edememiştir. Bunun nedeni ise her programda olduğu gibi Microsoft da kendi iş sisteminde çok ciddi bir algoritma ve ekip kullandığı için bu tarz farklılıklar başarı sonuçlarını etkilemektedir.

Son olarak özellikle bu tarz konularda pek çok test görebilirsiniz ancak yukarıda da bahsettiğim gibi en iyi test sizin gerçek ortamınızdaki testtir. Çünkü pek çok test merkezi veya bizim gibi sektör uzmanlarının yaptığı testlerde ( ben bu yüzden yapıp yayınlamıyorum, her müşterimde poc yapmayı tercih ediyorum çünkü her müşterinin mail alan, gönderen kullanıcı, müşteri ve partner profili ya da iş ihtiyaçları farklıdır) aşağıdaki gibi bazı eksiklikler bulunmaktadır;

Yukarıdaki her bir kutucuk bir test başlığını ifade ediyor, bunu genel olarak testlerde görebilirsiniz, ancak karşılaştırma testlerini gerçek ortam yerine test ortamında yaptığınız zaman kırmızı ve mavi kutuları aslında test etmemiş oluyorsunuz. Çünkü kırmızı kutular için gerçek gönderici, mavi kutular için ise gerçek alıcılar gereklidir.

Evet sözün özü, piyada da benim güvendiğim Microsoft dahil 3 marka var. Diğer ikisini buraya yazmaya gerek yok, ancak eğer bir mail güvenliği işi konuşuluyor ve işin içinde office 365 var ise mutlaka EOP + ATP veya iki bu konuda çok başarılı rakip ürün ile POC yapıp sonuca göre satın alım yaptırıyorum.

Peki on prem sistemler söz konusu ise? Her ne kadar bu makalenin konusu olmasa da bu durumda ürün sayısı biraz daha genişliyor, çünkü bazı çok başarılı ama office 365 desteği olmayan birkaç üretici var.

Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.

Kaynak;

https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/How-Microsoft-Measures-Effectiveness-of-Malware-amp-Phish-Catch/ba-p/263248

 

 

Exit mobile version