Office 365 Malware Protection ve Anti-Phishing Özelliği

Kurumsal mail iletişiminde çok Büyük bir payı olan
Office 365, günde 6,5 trilyon mailin üzerinden geçtiği bir platform için mutlaka
güvenlik sağlamak zorunda. Tabiki %100 güvenlik diye bir kavram yoktur ancak
özellikle minimum dışa bağımlı sistemler müşteriler tarafından tercih edilen bir
modeldir. Yıllarca aslında bunu Exchange server’ ın her ne kadar varsayılan anti
spam ve anti malware özelliği olsa da aslında çok başarı olmadığından dolayı
mutlaka ya sunucu üzerinde çalışan ya da smtp gateway olarak sunucu önünde
çalışan 3. Parti güvenlik üreticilerinin ürünlerini kullandık ve kullanmaya
devam ediyoruz.

Her şirketin güvenlik disiplini ve beklentileri farklı
olmak ile beraber ben genelde her ne kadar yönetim maliyeti hatta uzman
personelin olmadığı durumlarda yönetim zafiyeti oluşturma riski olsa da güvenlik
ürünlerinde tek elden korunmayı doğru bulmuyorum. Yani firewall üreticim ile
anti spam üreticim hatta anti virüs üreticimin ayrı olması güvenlik noktasında
bana daha avantajlı geliyor. Ancak tabiki bunun tam tersi durumların yani
örneğin bir endpoint ile konuşan firewall’ un ne kadar proaktif çözüm
üreteceğini veya tek bir ajan ile hem DLP hem AV yapmanın keyfini biliyorum.
Zaten bu konu çok tartışılan bir konu, yani kesin bir doğrusu olmayan hatta
benim bile farklı müşterilerimde müşteri dinamiklerinden kaynaklı farlı çözümler
önerdiğim ve kurduğum oluyor.

İş mail güvenliğine gelince eğer imkânınız var ise
mutlaka Office 365 EOP ve ATP yanında alternatif bir ürün kullanmanızı öneririm
ancak eğer imkânınız yok veya mevcut ürünler neler yapabiliyor diyorsanız doğru
yerdesiniz.

2010 yılından beri office 365 anlatmaya çalışan birisi
olarak her ne kadar pek çok ürün içerse de exchange ve özelindeki konulara daha
çok ilgi alanıma giriyor. Bu zamana kadar belki de Microsoft’ un güvenliği hiç
bu kadar ciddiye aldığını hatırlamıyorum (eski bir forefront mvp si olarak
forefront ürün ailesi de buna dahil). Ancak durum aşağıdaki gibi olunca bu işin
pek şakası yok aslında;

clip_image002

Böylesi devasa bir network yöneten ekiplerinde devasa
olması gerekiyor ki Microsoft bu konuda 3500’ den fazla güvenlik personeli
çalıştırarak bu işi ne kadar ciddiye aldığını gösteriyor.

Microsoft’ ın Office 365 ile bize bütünleşik sunduğu
EOP ve yine bütünleşik olmasına karşın ek olarak satılan ATP’ deki başarısının
altında yatan detaya yakından bakmak gerekli;

Microsoft Intelligent Security Graph

Peki nedir Microsoft Intelligent Security
Graph?

Aslında temel olarak yukarıda da gördüğünüz gibi
milyarlarca posta kutusu üzerindeki büyük verinin makine öğrenme teknolojisi ile
incelenip sonuçların yine entegre çalışan platformlar sayesinde kullanıcıları
koruyacak tedbirlerin alınmasını sağlayan teknolojilerin bütünüdür, özetle
aşağıdaki gibi 3 başlıkta toplanabilir;

clip_image004

Bunu 3500’ den fazla personel ile gerçekleştiriyor,
rakamlar ise inanılmaz;

clip_image006

Evet bunlar reklam kokan hareketler, günün sonunda
posta kutusuna spam veya kötü içerikli mail düşen çalışanlar yukarıdaki rakamlar
ile pek ilgilenmeyebilir. Yukarıdaki giriş aslında tüm güvenlik üreticileri için
geçerli, eğer dikkat ederseniz firewall üreticileri, proxy veya AV tarafında hep
kurulu kutu veya kullanılan aktif kullanıcı sayılarını vermeye gayret
gösterirler, tabiki eğer bu rakamlar yüksek ise. Bunun sebebi çok basit aslında,
Microsoft’ un yaptığı gibi büyük veri var ise elinizde, dünyanın her bölgesinden
yeterli veri alabiliyorsanız global bir koruma için bu veriyi izlemek, incelemek
ve olası bir atağı algılayarak ilk sorun yaşayan kullanıcıların dışındakileri
korumak kolaylaşıyor. Yani güvenlik sektöründe de bilgi güçtür. Tabiki bu tarz
ürünler genel ataklar için çok başarılıdır, hedefli ataklarda durum farklı olup
bu makalenin konusu değildir.

Peki Microsoft bu konudaki başarısını nasıl
ölçüyor?

Bana sorarsanız mükemmel değil, bunu neye dayanarak
söylüyorum? Öncelikle ücretiz olarak sunulan EOP çok çok iyi ama ücretsiz bir
ürün için, tüm şirket mail güvenliğini EOP ile korumanız mümkün değil. Zaten
böyle bir şey olsa ATP ürününü Microsoft ücretli olarak satmaz. EOP niye
değerli? Pek çok mail kullanıcısı office 365’ e geçtiği andan itibaren ücretsiz
olarak korunuyor bundan dolayı çok değerli bir hizmet ancak bazı kritik ataklar
için ATP veya 3 parti ürünler kullanmanızı tavsiye ederim.

Evet Microsoft özellikle ATP ile sunduğu hizmeti
sürekli ölçüyor, çünkü bu aslında 3 parti güvenlik ürünleri ile rekabet ediyor
ve acaba verilecek para ATP ye mi yoksa 3 parti ürünlere mi verilecek büyük bir
soru işareti?

Öncelikle yaygın senaryo aşağıdaki gibidir;

clip_image008

Yani öncelikle maillerinizi 3 parti bir güvenlik
sağlayıcısına gönderip oradan temizlendiğini düşündüğünüz mailleri office 365’ e
gönderiyoruz. Burada aslında kaçırılan maillerin olup olmadığını pek kontrol
etmiyoruz. İlk kontrol noktası burasıdır. Yani rakip ürünlerin temizlemediği ama
office 365’ in yakaladığı kaç mail oluyor? Bu genelde müşterilerin atladığı bir
nokta olup bunu kontrol etmenizi tavsiye ediyorum. Bu nedenle zaten özellikle
bulut mail güvenlik ürünleri için POC öneriyorum.

Peki burada ne tür teknolojiler
kullanılıyor?

Zero-hour auto purge (ZAP)

Kullanıcılarınızın gelen kutularına daha önce
gönderilen phishing, spam veya kötü amaçlı yazılım içeren mesajları tespit eden
ve ardından kötü amaçlı içeriği zararsız hale getiren bir e-posta koruma
özelliğidir. ZAP tüm office 365 posta kutuları için aktif olarak çalışan bir
hizmet olup istenmesi halinde tenant bazlı kapatılabilir;

  Set-HostedContentFilterPolicy
-Identity Test -ZapEnabled $false

ZAP varsayılan olarak çalışa bile müşteriler için
aşağıdaki durumların olması şart olup bunların değişmesi durumun da aktif olarak
çalışmadığını görebilirsiniz;

Öncelikle ZAP varsayılan olarak açık olduğu için sizin
kişiselleştirilmiş yeni anti spam policy’ ler ZAP’ a göre baskın olur, bir nevi
kullanıcı bazlı kurallarınız daha öncelikli çalışır.

Varsayılan olarak anti spam policy’ de spam mail
bulunması durumunda action olarak “Move message to Junk Email folder” seçili
olmalıdır.

Kullanıcıların junk mail koruması açık ve ayarları
varsayılan olmalıdır.

Office 365 düzenli olarak anti-spam motorunu ve malware
imzalarını günceller. Bu sayede ZAP hali hazırda bir kullanıcınızın posta
kutusuna düşmüş ve bu güncelleme ile fark edilmiş maillerin taşınmasını
sağlayabilir.

Örneğin okunmamış ancak spam olarak işaretlenmiş
mailler otomatik junk klasörüne taşınır.

Eğer isterseniz okunmuş veya okunmamış olmasına
bakmadan spam olarak işaretlenmiş mailler otomatik junk klasörüne
taşınır

Eğer yeni algılanmış bir spam ise yine okunup
okunmadığına bakmadan ekler posta’ dan silinebilir.

Bu ayarları https://protection.office.com ardından
Threat managemenet – Anti Spam sekmesinden kontrol edebilirsiniz;

Anti Malware için ATP ile gelen safe attachment
özelliği başlı başına çok başarı, bu konuda aşağıdaki videomu izlemenizi tavsiye
ederim;

https://tv.cozumpark.com/video/792/Exchange-Online-Protection-EOP-ve-Advanced-Threat-Protection-ATP-Nedir-Nasil-calisir

Bir diğer konu ise Phishing mailleri;

clip_image010

Burada ise yukarıdaki gibi pek çok farklı yöntem
kullanılmaktadır (header meta-data, message fingerprints ve URL listeleri gibi).
Bu tarz bilinen teknolojilere ek ise kullanıcılardan gelen istihbarat, makine
öğrenme teknolojisi, sürekli tarama teknolojisi gibi yetenekler ile daha
gelişmiş bir phishing koruması sağlar. Buradaki en önemli kriter tüm bu sistemin
tepesinde yetişmiş güvenlik personelinin olması. Çünkü hala AI veya ML gibi
teknolojiler için insan kontrolü başarıyı arttırıyor.

Burada gördüğümüz bir sorun ise özellikle rakip 3 parti
ürünlerden office 365 geçişi sonrası yapılandırma kopyalanma isteğidir. Yani
eski üründeki ayarları birebir kopyalamak isteyen müşteriler her zaman başarılı
bir sonuç elde edememiştir. Bunun nedeni ise her programda olduğu gibi Microsoft
da kendi iş sisteminde çok ciddi bir algoritma ve ekip kullandığı için bu tarz
farklılıklar başarı sonuçlarını etkilemektedir.

Son olarak özellikle bu tarz konularda pek çok test
görebilirsiniz ancak yukarıda da bahsettiğim gibi en iyi test sizin gerçek
ortamınızdaki testtir. Çünkü pek çok test merkezi veya bizim gibi sektör
uzmanlarının yaptığı testlerde ( ben bu yüzden yapıp yayınlamıyorum, her
müşterimde poc yapmayı tercih ediyorum çünkü her müşterinin mail alan, gönderen
kullanıcı, müşteri ve partner profili ya da iş ihtiyaçları farklıdır) aşağıdaki
gibi bazı eksiklikler bulunmaktadır;

clip_image012

Yukarıdaki her bir kutucuk bir test başlığını ifade
ediyor, bunu genel olarak testlerde görebilirsiniz, ancak karşılaştırma
testlerini gerçek ortam yerine test ortamında yaptığınız zaman kırmızı ve mavi
kutuları aslında test etmemiş oluyorsunuz. Çünkü kırmızı kutular için gerçek
gönderici, mavi kutular için ise gerçek alıcılar gereklidir.

Evet sözün özü, piyada da benim güvendiğim Microsoft
dahil 3 marka var. Diğer ikisini buraya yazmaya gerek yok, ancak eğer bir mail
güvenliği işi konuşuluyor ve işin içinde office 365 var ise mutlaka EOP + ATP
veya iki bu konuda çok başarılı rakip ürün ile POC yapıp sonuca göre satın alım
yaptırıyorum.

Peki on prem sistemler söz konusu ise? Her ne kadar bu
makalenin konusu olmasa da bu durumda ürün sayısı biraz daha genişliyor, çünkü
bazı çok başarılı ama office 365 desteği olmayan birkaç üretici var.

Umarım faydalı bir makale olmuştur. Bir sonraki
makalemde görüşmek üzere.

 

 

Kaynak;

https://www.cozumpark.com/blogs/cloud_computing/archive/2018/12/30/office-365-malware-protection-ve-anti-phishing-ozelligi.aspx