Email Seguro do Office 365: Melhores Práticas / Prevenção de Ameaças. Atacar através de comunicações por e-mail continua sendo um dos tipos mais comuns de ataques cibernéticos, portanto, garantir a comunicação por e-mail é uma das tarefas mais importantes para os administradores de TI. Este artigo se concentra nas melhores práticas e estratégias de prevenção de ameaças para garantir a comunicação por e-mail do Microsoft 365. Da prevenção de spam e phishing até spoofing e prevenção de perda de dados, exploramos medidas abrangentes para fortalecer sua infraestrutura de e-mail.
Observe que a disponibilidade das ferramentas descritas depende do tipo de assinatura (os recursos mais avançados requerem Planos 2 do Defender para Office 365 ou licenças do Microsoft 365 E5) e de sua infraestrutura (algumas das ferramentas não funcionariam para caixas de correio locais em implantações híbridas).
Vamos continuar com o artigo sobre como Segurar o Email do Office 365: Melhores Práticas / Prevenção de Ameaças na próxima seção.
Melhores Práticas de Prevenção de Spam e PhishingEmail & Colaboração , em Políticas & regras > Políticas de ameaça .
A primeira coisa a fazer para garantir o fluxo de e-mails do Microsoft 365 é configurar as políticas de ameaças. Elas são encontradas no portal do Microsoft 365 Defender na seção Email & Colaboração, em Políticas e regras > Políticas de ameaças.
Use uma das políticas predefinidas (Padrão ou Estrito), ou personalize de acordo com suas necessidades. A política Estrita é mais agressiva e coloca mais mensagens em quarentena. Essas políticas são atribuídas ao nível do usuário e geralmente a política Estrita é atribuída aos usuários mais sensíveis, enquanto a política Padrão – aos demais. A comparação dessas políticas é encontrada no portal de documentação da Microsoft.
Ou, você pode criar políticas personalizadas. Existem 3 políticas disponíveis para proteção do fluxo de emails: anti-spam, anti-malware e anti-phishing. Elas incluem vários filtros, ações e configurações de notificação. Mais informações podem ser encontradas aqui: Configurações recomendadas para segurança do EOP e Microsoft Defender para Office 365. A boa prática é criar várias políticas diferentes e atribuir as mais rigorosas às caixas de correio que são mais propensas a serem atacadas (por exemplo, caixas de correio disponíveis na página de Contatos do seu site corporativo).
Durante o planejamento de prevenção contra phishing, é importante entender que nenhuma ferramenta oferece proteção garantida de 100%. A conscientização do usuário ajuda a garantir a segurança de sua infraestrutura. Mantenha os usuários informados sobre o perigo de abrir anexos e links enviados por remetentes desconhecidos. O Microsoft 365 contém uma ferramenta integrada chamada Treinamento de simulação de ataque que é usada para simular diferentes tipos de ataques de phishing para educar os funcionários. Mais detalhes sobre esta ferramenta estão aqui Comece a usar o treinamento de simulação de ataque. Pela minha experiência, o treinamento do usuário é a maneira mais eficaz de proteção contra o phishing. Se você não tem orçamento para isso, considere ferramentas de terceiros (a mais popular é o Knowbe4). Também leia Colaboração Segura no Office 365: Gerenciar Compartilhamento Externo e Acesso de Convidados
Durante a elaboração de planos de prevenção contra phishing, é importante entender que nenhum instrumento oferece proteção garantida de 100%. A conscientização do usuário ajuda a garantir a segurança de sua infraestrutura. Mantenha os usuários informados sobre os riscos de abrir anexos e links enviados por remetentes desconhecidos. O Microsoft 365 contém uma ferramenta integrada chamada Treinamento de simulação de ataques que é usada para simular diferentes tipos de ataques de phishing para educar os funcionários. Mais detalhes sobre essa ferramenta estão aqui Comece a usar o Treinamento de simulação de ataques. Na minha experiência, o treinamento de usuários é a maneira mais eficaz de se proteger contra o phishing. Se você não tiver orçamento para isso, considere ferramentas de terceiros (a mais popular é a Knowbe4).
Melhores Práticas para Prevenção de Spoofing
O spoofing (falsificação do domínio de envio) é o método comum usado por spammers para enganar os usuários e fazê-los abrir o arquivo ou link malicioso. É responsabilidade do administrador de TI evitar que seu domínio seja falsificado e impedir que emails que falsificam outros domínios sejam entregues. O Microsoft 365 fornece várias ferramentas que podem ser usadas para esse fim.
Alertar os usuários sobre Remetentes Externos
Para proteger os usuários contra falsificação, certifique-se de ativar mensagens de aviso sobre os remetentes externos. Use o cmdlet PowerShell Get-ExternalInOutlook (módulo PowerShell do Exchange Online é necessário) para visualizar o status de configuração atual e Set-ExternalInOutlook para alterá-lo. Quando ativado, o Outlook exibe um banner que avisa o usuário de que o remetente da mensagem é externo, permitindo identificar o remetente malicioso.
Configurar a Validação de Email
A implementação de uma validação de email adequada ajuda a autorizar o remetente e protege seu domínio contra falsificação. Os padrões comuns usados para verificar o domínio são SPF, DKIM e DMARC, idealmente, você deve usar os três.
SPF é o mais importante, é um registro DNS TXT que contém informações sobre remetentes legítimos que podem enviar mensagens usando o nome de domínio. Por exemplo, se você usa apenas o Microsoft 365 para comunicação por e-mail, o registro deve ser semelhante a “v=spf1 include:spf.protection.outlook.com -all”, o que significa que apenas o Microsoft 365 pode enviar mensagens usando seu domínio. Uma configuração comum incorreta que pode fazer com que seu domínio seja impersonado:
- Usar soft fail (“~all”) em vez de hard fail (“-all”).
- Adição de entradas extras ao registro (por exemplo, “A” – endereço IPv4 do registro A DNS do domínio, “MX” – endereço IPv4 do registro MX DNS do domínio, “ip4:xx.xx.xx.xx” – endereço IPv4 personalizado, etc.). Especifique apenas as entradas necessárias, não “apenas por precaução”.
No entanto, a adição de entradas extras ao registro SPF pode ser necessária em vários cenários:
- Vários sistemas de e-mail são usados para enviar mensagens de e-mail usando seu domínio.
- Um gateway de e-mail de terceiros é usado para roteamento de mensagens.
- Envio direto SMTP ou recursos de retransmissão SMTP são usados para entrega de mensagens de algumas aplicações/dispositivos.
Outro aspecto a considerar ao planejar a validação de e-mails é o roteamento do fluxo de correio. Se as mensagens enviadas forem processadas e alteradas por outro sistema de e-mail (por exemplo, uma solução de prevenção de perda de dados local) antes de serem entregues, o cabeçalho da mensagem é alterado, tornando o endereço do remetente e a assinatura DKIM inválidos, o que causa falha na validação do e-mail.Nesse cenário, o recurso Authenticated Received Chain (ARC) deve ser configurado no portal do Microsoft 365 Defender. Ele permite que os administradores configurem outros sistemas de e-mail como seladores ARC de terceiros confiáveis e melhorem a capacidade de entrega.
Utilize Assinaturas Digitais
Assegure autenticação de mensagem e não repúdio – assinatura digital da mensagem usando Extensões de Correio da Internet Seguras/Multipropósito (S/MIME). Ele usa certificados para assinar (e, se necessário, criptografar) a mensagem para confirmar a identidade do remetente. Requer um certificado individual para cada usuário e geralmente é usado com uma autoridade de certificação interna. Mais informações podem ser encontradas no portal de documentação do Exchange Online.Leia também Utilize a Ferramenta de Relatórios do Office 365 da InfraSOS
Quando tanto SPF quanto DKIM estão em vigor, o DMARC (Domain-based Message Authentication, Reporting and Conformance) pode ser configurado. Os cabeçalhos de e-mail contêm 2 atributos que definem o endereço do remetente – MailFrom e From. O registro SPF ajuda apenas a autenticar o endereço MailFrom, o que dá aos atores maliciosos a oportunidade de falsificação. O registro TXT do DMARC ajuda a fechar essa vulnerabilidade autorizando o atributo From do cabeçalho. Para formar o conteúdo do registro, siga as instruções da documentação da Microsoft.
Roteamento de Fluxo de E-mail
Outra coisa a considerar ao planejar a validação de e-mail é o roteamento de fluxo de e-mail. Se as mensagens enviadas forem processadas e alteradas por outro sistema de e-mail (por exemplo, uma solução de prevenção de perda de dados local) antes de serem entregues, o cabeçalho da mensagem é alterado, tornando o endereço do remetente e a assinatura DKIM inválidos, o que causa a falha na validação do e-mail.
Neste cenário, o recurso Authenticated Received Chain (ARC) deve ser configurado no portal Microsoft 365 Defender. Isso permite que os administradores configurem outros sistemas de e-mail como seladores de ARC de terceiros confiáveis e melhorem a capacidade de entrega.
Use Assinaturas Digitais
Garanta autenticação de mensagem e não repúdio – assinatura digital da mensagem usando Extensões de Correio da Internet Seguro/Multipropósito (S/MIME). Ele usa certificados para assinar (e criptografar, se necessário) a mensagem para confirmar a identidade do remetente. Ele requer um certificado individual para cada usuário e geralmente é usado com uma autoridade de certificação interna. Mais informações encontradas em Portal de documentação do Exchange Online.
Práticas recomendadas de prevenção de perda de dados
Use criptografia digital. A maneira mais eficaz de garantir a confidencialidade do e-mail é criptografar a mensagem – para que ela possa ser descriptografada apenas pelo destinatário pretendido. O Microsoft 365 suporta 3 métodos de criptografia: Criptografia de Mensagem do Microsoft Purview, S/MIME e Gerenciamento de Direitos de Informação (IRM). Compare-os aqui.
Aplicar restrições de uso de dados. Neste caso, é necessário implantar o IRM – a solução permite configurar o controle sobre a mensagem depois que ela for enviada. Quando o IRM é implementado, você cria rótulos de sensibilidade que restringem o uso dos dados – por exemplo, impedir que os dados das mensagens de e-mail sejam editados ou impressos. A lista de permissões disponíveis está aqui.
Use o Microsoft Purview Data Loss Prevention. Outra funcionalidade para evitar vazamento de dados são as políticas de Prevenção de Perda de Dados (DLP), que podem ser configuradas no portal do Microsoft Purview, em Soluções > Prevenção de Perda de Dados. As políticas garantem que os dados sigilosos não saiam da empresa: as regras de DLP escaneiam o conteúdo do e-mail e realizam as ações configuradas caso encontrem informações confidenciais. Por exemplo, uma organização médica configura políticas de DLP para bloquear todas as mensagens de saída que contenham informações médicas confidenciais para evitar vazamento de dados.
Outras Práticas de Prevenção de Ameaças
Utilize a Configuração Segura de Envio SMTP.
Se você precisar usar o Microsoft 365 para enviar mensagens SMTP de suas aplicações ou dispositivos multifuncionais, você tem três opções: envio de cliente SMTP, envio direto e retransmissão SMTP, conforme descrito aqui. Certifique-se de usar o envio de cliente SMTP sempre que possível, pois ele autentica o remetente no nível da caixa de correio e é considerado o modo mais seguro de enviar mensagens. Caso seu dispositivo não suporte o envio autorizado (o que é muito raro nos dias de hoje), use o retransmissão SMTP. Ao configurar o conector para a retransmissão, use a autenticação por certificado, pois é mais confiável do que as conexões baseadas em endereço IP.
Ative o recurso de Purga Automática de Zero Hora
Todas as mensagens de e-mail encaminhadas através do Exchange Online Protection estão sendo verificadas em busca de malware para evitar a entrega de vírus. A purga automática de última hora (ZAP) melhora o sistema antimalware removendo conteúdo malicioso não apenas em transição, como faz a política antimalware regular, mas também em repouso. Vamos imaginar um cenário em que um novo vírus é enviado para a sua caixa de correio e, porque é desconhecido para os filtros antimalware, está sendo entregue. Mais tarde, quando as assinaturas de malware no serviço são atualizadas, o ZAP identifica o vírus e o remove da sua caixa de correio. O ZAP é parte da política antimalware e está ativado por padrão. Mais informações sobre o ZAP: Purga automática de última hora (ZAP) no Microsoft Defender para Office 365.
Avoid using IP-based Whitelists
As políticas de filtro de conexão do Exchange Online permitem configurar endereços IP confiáveis: todos os filtros de spam serão ignorados para as mensagens enviadas a partir do IP especificado (ou intervalos de endereços IP). Isso é considerado uma prática ruim, uma vez que, em caso de mudança do proprietário do bloco de endereços IP, seu sistema de e-mail se tornará vulnerável. Caso precise minimizar o bloqueio de mensagens falsas positivas de algum remetente, tente usar outras opções possíveis de listagem branca, como Lista de Permissão do Locatário.
É isso. Espero que tenha gostado de aprender. O artigo Segurança de Email do Office 365: Melhores Práticas / Prevenção de Ameaças está concluído.
Segurança de Email do Office 365: Melhores Práticas / Conclusão de Prevenção de Ameaças
Proteger a comunicação por email do Microsoft 365 exige uma abordagem multifacetada, considerando o cenário em constante evolução das ameaças cibernéticas. Ao implementar políticas de ameaças robustas, configurar validação de email e implementar medidas de prevenção de perda de dados, as organizações podem aprimorar significativamente a postura de segurança de seus emails. A conscientização do usuário e o treinamento contínuo, aliados a recursos avançados como simulação de ataques, contribuem para uma defesa holística contra tentativas de phishing. À medida que a tecnologia avança, manter-se informado e proativo na adoção dos últimos recursos de segurança é crucial para manter um ambiente de comunicação por email resiliente.
Source:
https://infrasos.com/secure-office-365-email-best-practices-threat-prevention/