Protezione dal malware di Microsoft Office 365: una breve guida

Il malware si sta diffondendo in tutto il mondo e infetta molti computer ogni giorno. Il malware può causare la corruzione dei dati e la perdita dei dati che riflette negativamente su un determinato utente e l’intera azienda. Gli hacker utilizzano tecniche sofisticate e algoritmi complessi per implementare furto di identità e attacchi di malware.

Se utilizzi macchine virtuali nel cloud, possono essere a rischio anche loro. Ecco perché dovresti proteggere tutte le macchine contro il malware. Esistono diversi modi in cui il malware infetta i computer, tra cui la distribuzione di file dannosi su archivi di condivisione, allegati di posta elettronica, collegamenti dannosi e così via. Questo post sul blog spiega come proteggersi dal malware quando si utilizza il backup di Microsoft Office 365 e copre la protezione contro il malware di Microsoft Office 365.

Principali categorie di malware

Per prima cosa, scopriamo cos’è il malware e quali sono i tipi noti di malware. Comprendere questo aiuta a definire una strategia di protezione contro il malware.

I virus sono una forma classica di malware. Un virus è il programma che infetta i file per diffondersi ed infettare altri file e computer. I file infetti utilizzati dai programmi o dai file eseguibili infetti vengono utilizzati per diffondere un virus. Un virus può essere un codice dannoso che può essere allegato ai tipi di file appropriati, ad esempio, i macro in un file DOC possono contenere codice dannoso e infettare altri file e computer. Un verme informatico è un tipo di virus informatico che utilizza vulnerabilità software per diffondersi in una rete e infettare file su altri computer. Ad esempio, Stuxnet è uno dei worm informatici più noti che può prendere di mira una centrale nucleare per impedire la produzione di armi nucleari.

Se noti che il tuo computer sta lavorando lentamente, alcuni file di sistema del tuo sistema operativo sono mancanti, vengono visualizzati errori o mancano alcuni componenti nell’interfaccia grafica utente del sistema operativo, dovresti verificare il tuo computer per i virus.

Spyware è un altro tipo di malware utilizzato per rubare dati da computer. Lo spyware è un software indesiderato che può raccogliere/rubare password inserite, chiavi di sicurezza, siti visitati, dati personali e file archiviati. Lo spyware può contenere un keylogger. Quindi i dati rubati possono essere venduti a società di pubblicità o possono essere utilizzati per compromettere account da diversi computer, siti o servizi. Gli attaccanti della criminalità informatica possono rubare dati sulle carte di credito e sui conti bancari utilizzati per il pagamento via internet per rubare denaro alle loro vittime. Lo spyware è spesso difficile da identificare perché è sviluppato per essere invisibile.

Lo spyware può essere suddiviso in quattro tipi:

• Adware
• Trojan
• Cookie di tracciamento
• Il monitor di sistema

Ransomware è probabilmente il tipo più pericoloso di malware. Quando un computer è infetto da ransomware, il ransomware inizia a crittografare i tipi di file target (ad esempio, JPG, DOC, XLS, MOV, AVI, VMDK, VHD, VDI) con una lunga chiave di crittografia. I file crittografati sono file danneggiati che non possono essere riparati nella maggior parte dei casi. Dopo aver crittografato i file, il ransomware richiede che un utente paghi denaro per decrittografare i file entro un periodo di tempo limitato. Tuttavia, nella maggior parte dei casi, il recupero dei file è impossibile poiché non possono essere riparati/decifrati anche dopo aver pagato i soldi. Trovare la chiave di decrittazione è praticamente impossibile. Ad esempio, il tempo necessario per decifrare una chiave a 128 bit richiede 500 miliardi di anni con l’attuale livello di prestazioni dei computer. Pertanto, i file crittografati sono file irreversibilmente danneggiati in questo caso.

La crittografia dei file è una funzionalità legale integrata nei moderni sistemi operativi ed è per questo che gli antivirus non possono rilevare il ransomware in tutti i casi. Alcune versioni leggere di ransomware possono bloccare un sistema operativo modificando i file di sistema e la configurazione senza danneggiare altri file sui dischi. Tuttavia, oggi questo tipo di ransomware è l’eccezione piuttosto che la regola. Quando i file sono danneggiati da ransomware, la probabilità di ripristinare i file è estremamente bassa. I metodi più efficaci per evitare la perdita di dati sono le misure preventive. Si consiglia di predefinire una strategia di protezione da malware.

Come prevenire l’infezione da malware

Raccomandazioni generali per prevenire l’infezione da malware:

• Non scaricare file da fonti non attendibili e sospette
• Non fare clic su messaggi pop-up
• Non aprire allegati di posta elettronica da mittenti sconosciuti
• Installa patch di sicurezza critiche per i software installati
• Utilizza password forti
• Mantieni i certificati in un luogo sicuro
• Esegui il backup dei tuoi dati

Per quanto riguarda la protezione dai malware di Microsoft Office 365, oltre alle raccomandazioni di cui sopra, puoi utilizzare due approcci che si completano a vicenda:

• Utilizza Microsoft Office 365 Advanced Threat Protection e le relative funzionalità per la protezione dai malware
• Esegui il backup di Microsoft Office 365

Protezione dai malware in Microsoft Office 365

Gli utenti che stanno considerando l’utilizzo di Microsoft Office 365 di solito chiedono:

• Microsoft Office 365 include protezione antivirus?
• Microsoft Office 365 include Exchange Online Protection?
• Microsoft Office 365 è sicuro dai ransomware?

La risposta è “Sì”. Leggi le informazioni sottostanti per saperne di più.

La protezione dai malware in Microsoft Office 365 è fornita da tre componenti principali, che sono integrati tra loro:

• Microsoft Office 365 Advanced Threat Protection
• Microsoft Office 365 Exchange Online Protection
• Microsoft Office 365 Intelligence sulle minacce

Questi principali componenti di Microsoft Office 365 contengono molte funzionalità più piccole che possono proteggere gli utenti di Microsoft Office 365 dalle minacce. Queste minacce includono i modi più popolari di infezione da malware, come collegamenti o allegati dannosi in messaggi di posta elettronica inviati da indirizzi di mittente falsificati, email con allegati infettati e email contenenti script o scritte utilizzando tecniche di ingegneria sociale. La distribuzione di malware tramite email è uno dei metodi più popolari per infettare le vittime.

Ora che conosci i principali tipi di malware, i metodi di infezione e la diffusione del malware, esaminiamo come puoi utilizzare i componenti nativi e le funzionalità di Microsoft per proteggere Microsoft Office 365 dal malware.

Configurazione della protezione dal malware in Microsoft Office 365

Esaminiamo come configurare la protezione dal malware in Microsoft Office 365 utilizzando l’interfaccia web.

1. Apri l’admin center di Microsoft Office 365 Security & Compliance utilizzando il link:
   https://protection.office.com/
   Puoi anche accedere alla pagina di Microsoft Office 365 Security & Compliance dalla Microsoft 365 admin center.
2. Nel riquadro di sinistra, fare clic su Gestione delle minacce e quindi fare clic su Criteri. I criteri antimalware vengono utilizzati per controllare le impostazioni della rilevazione malware e le opzioni di notifica.
3. Nella pagina Criterio fare clic su Antimalware.Ora siete nel centro protezione antimalware di Microsoft Office 365.
4. È possibile visualizzare e modificare il criterio predefinito che può essere visualizzato e modificato dagli amministratori, ma non può essere eliminato. Creiamo un nuovo criterio.
5. Fare clic sull’icona + per creare un nuovo criterio antimalware.
6. A new window opens. You should enter a policy name and description. Settings are grouped in multiple sections.

Risposta alla rilevazione malware

L’opzione di risposta alla rilevazione malware consente di notificare i destinatari se viene rilevato malware negli allegati di posta elettronica. Per impostazione predefinita, questa opzione è disabilitata e i destinatari non vengono automaticamente avvisati quando viene rilevato malware e il messaggio di posta elettronica viene spostato nella quarantena. È possibile abilitare le notifiche automatiche ai destinatari utilizzando una delle opzioni suggerite:

• Si, e usa il testo di notifica predefinito
• Si, e usa il testo di notifica personalizzato

Se abiliti le notifiche utilizzando la prima opzione con il testo di notifica predefinito, tutti gli allegati verranno rimossi da un messaggio di posta elettronica consegnato. Gli allegati rimossi verranno sostituiti con il file Malware Alert Text.txt che contiene le seguenti informazioni:

È stato rilevato malware in uno o più allegati inclusi in questo messaggio di posta elettronica.

Azione: Sono stati rimossi tutti gli allegati.

<Nome originale dell’allegato malware> <Risultato di rilevamento del malware>

Se si seleziona di utilizzare il testo di notifica personalizzato, il messaggio personalizzato sostituirà il testo predefinito nel file Malware Alert Text.txt allegato al messaggio di posta elettronica invece dei file malware messi in quarantena o eliminati.

Filtro Tipi di Allegati Comuni

Questo filtro consente di bloccare alcuni tipi di file con gli estensioni appropriate che possono costituire una minaccia. Si consiglia di bloccare i tipi di file eseguibili come EXE, BAT, COM, CMD, PS1, SH, RPM, JS, DMG, VBS e altri. Si fa il massimo sforzo per il rilevamento del tipo di file appropriato indipendentemente dall’estensione del file. Per impostazione predefinita, il Filtro Tipi di Allegati Comuni è disabilitato e si dovrebbe attivarlo manualmente selezionando l’opzione appropriata (vedi lo screenshot qui sotto).

Fai clic sull’icona + per aggiungere i tipi di file che devono essere bloccati quando rilevati negli allegati di posta elettronica.

Per impostazione predefinita, ACE, ANI, APP, DOCM, EXE, JAR, REG, SCR, VBE e VBS sono selezionati.

Malware Zero-Hour Auto Purge

Malware Zero-Hour Auto Purge (ZAP) sposta i messaggi di posta elettronica dannosi dopo che questi messaggi sono stati consegnati alle caselle di posta Exchange Online. Questa funzionalità è attivata per impostazione predefinita e si consiglia di lasciare attiva questa funzionalità per la protezione antimalware di Microsoft Office 365.

Notifiche

Le notifiche da parte del mittente consentono di informare un mittente se un messaggio inviato non viene consegnato a causa della rilevazione di malware e dello spostamento del messaggio in quarantena. Per impostazione predefinita, questa opzione è disabilitata. Per abilitare le notifiche da parte del mittente, selezionare la casella di controllo appropriata per notificare i mittenti interni e/o notificare i mittenti esterni (vedere lo screenshot qui sotto). I mittenti interni sono mittenti all’interno della propria organizzazione e i mittenti esterni sono i mittenti al di fuori della propria organizzazione che utilizzano un altro nome di dominio.

Il testo della notifica predefinita contiene le informazioni:

Da: Postmaster [email protected]

Oggetto: Messaggio non consegnato

Questo messaggio è stato creato automaticamente da software di consegna della posta elettronica. Il tuo messaggio di posta elettronica non è stato consegnato ai destinatari previsti perché è stato rilevato malware. Sono stati eliminati tutti gli allegati.

È inoltre possibile configurare la spedizione di notifiche all’amministratore del messaggio non consegnato da parte di mittenti interni ed esterni.

Le opzioni Personalizza notifiche ti consentono di impostare un nome, un account e-mail, un oggetto e-mail e un testo per le notifiche che devono essere impostate per mittenti interni ed esterni.

Applicato a

Le Filtri destinatari ti consentono di definire condizioni e eccezioni per i destinatari. Determinano gli utenti a cui si applica la policy. È possibile specificare utenti, gruppi o domini utilizzando le condizioni:

• Il destinatario è (selezionare uno o più account e-mail)
• Il dominio del destinatario è (selezionare uno o più domini)
• Il destinatario è membro di (è possibile selezionare un account e-mail di gruppo che contiene più utenti)

È possibile impostare più condizioni ed eccezioni. Le stesse condizioni o eccezioni utilizzano la logica OR e condizioni o eccezioni diverse utilizzano la logica AND. Ad esempio:

• domain1.com o domain2.com
• [email protected] e membro di [email protected]

Quindi, nella sezione Se fare clic sulla freccia verso il basso e selezionare l’opzione necessaria, quindi fare clic su aggiungi condizione. Fare clic su aggiungi condizione una seconda volta per aggiungere la seconda condizione.

Successivamente, nella sezione Tranne se fare clic su aggiungi condizione e aggiungere la condizione di eccezione necessaria. È possibile aggiungere più eccezioni alla policy anti-malware.

Premi Salva per salvare le impostazioni e creare una nuova policy anti-malware per la protezione dai malware in Microsoft Office 365.

Ora la politica anti-malware creata viene visualizzata nell’elenco delle politiche sulla pagina delle politiche anti-malware. Puoi abilitare, disabilitare, modificare e eliminare le politiche. Se desideri disabilitare una politica, dovresti deselezionare la casella di controllo vicino al nome della politica. Se desideri spostare una politica su o giù nell’elenco per cambiare l’ordine (priorità) delle politiche, dovresti fare clic sulla politica e premere le icone delle frecce nell’interfaccia web. Fai doppio clic sul nome di una politica per modificarla. Una politica in cima all’elenco ha la priorità più alta.

Puoi testare le tue politiche anti-malware configurate per la protezione dal malware di Microsoft Office 365 inviando una email di test con un file allegato speciale utilizzato per testare gli antivirus. Crea il file EICAR.TXT e aggiungi la stringa a questo file:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Questa stringa deve essere l’unica stringa nel file di testo. La dimensione del file deve essere di 68 byte dopo il salvataggio. Salva questo file, crea un nuovo messaggio di posta elettronica, allega il file IECAR.TXT e invia questo messaggio a un utente nel tuo dominio utilizzato per Microsoft Office 365.

La protezione anti-spam e anti-malware di Microsoft Office 365 dovrebbe filtrare questo messaggio di posta elettronica e inviare un messaggio di notifica in base alla configurazione della tua politica e alle impostazioni di risposta alla rilevazione di malware (l’intero messaggio può essere eliminato o l’allegato può essere eliminato).

Protezione dal Malware Utilizzando una Soluzione di Backup

Un’altra strategia preventiva per proteggere i tuoi dati quando si utilizza Microsoft Office 365 è eseguire il backup dei dati.

Leggi i nostri post sul blog su backup di OneDrive, backup di SharePoint e backup di Exchange Online per saperne di più.

Puoi eseguire il backup dei dati di Microsoft Office 365 oltre all’utilizzo delle capacità di protezione antimalware di Microsoft Office 365 fornite da Microsoft.

Conclusion

La protezione contro il malware è importante per ogni singolo utente e per l’intera azienda. Questo post del blog ha coperto raccomandazioni generali sulla protezione antimalware e spiegato come utilizzare la protezione antimalware di Microsoft Office 365. La protezione di Microsoft Office 365 include tre componenti principali e molte funzionalità. Dovresti configurare regole e politiche nell’interfaccia web del centro amministrativo di Microsoft Office 365 in base ai tuoi requisiti e alla politica di sicurezza. Microsoft fornisce anche un servizio che può essere utilizzato per inviare file sospetti per analisi malware.