En el contexto informático actual, cuando hablamos en el ámbito de las grandes empresas, la gestión de correo y documentación ofimática es una ardua tarea y supone una vulnerabilidad. Para ello Microsoft actualiza sus herramientas con nuevas características que nos permiten hacer más sencilla la administración de cuentas y la detección de ciertos ataques de ingeniería social destinados a los usuarios, en este caso de alto cargo.

Las cuentas administradas por altos cargos suelen tener acceso a información más sensible y contar con privilegios de acceso, Microsoft denomina a estas como cuentas prioritarias o de alta prioridad.

Lo que hace más difícil de proteger este tipo de cuentas es que, hay una gran cantidad de tráfico legítimo y necesario, pero de igual manera, tráfico irregular que suele ser spam, phishing, etc. Y es en esto en lo que se pueden basar los atacantes para realizar sus incursiones. Estudian el tráfico que fluye, tanto de correo como documentación y lo pueden utilizar para solicitar algún tipo de acceso o privilegio, incluso directamente hacerse con la cuenta.

Las mejores medidas convencionales contra este tipo de ataques, es prevenir a través de una buena política de concienciación y formación constantes, habilitando además una zona de reportes de correo sospechoso entre otros.

Desde Sidertia Solutions, somos conscientes de la problemática actual que esto conlleva y por ello hacemos esto mismo con simulacros para que nuestros empleados estén siempre alertas y minimizar riesgos, ya que tratamos con información sensible.

Además de siempre intentar concienciar a nuestros clientes de este tipo de medidas y lo importante que es su aplicación en todos los niveles y tipos de usuarios.

Microsoft incorpora continuamente herramientas de inteligencia que cada vez más ayudan a mitigar este tipo de problemáticas. Con herramientas de análisis y de control de tráfico, etiquetando como hemos dicho, los tipos de cuenta a nivel administrativo y valorando las direcciones y los dominios a los que pertenecen. Aprendiendo de ataques anteriores y mejorando el sistema de análisis con cada intento de ataque.

Microsoft 365 ha añadido dos nuevas funcionalidades para la protección en este ámbito:

  • Protección de cuenta prioritaria
  • Supervisión de flujo de correo premium.

Protección de cuentas prioritarias Microsoft

Microsoft Defender para Office 365 admite el uso de etiquetas especiales en las cuentas prioritarias que se pueden usar como filtros en alertas, informes e investigaciones.

Las etiquetas se habilitan desde el panel de seguridad:

Se añaden además dos funcionalidades extra sobre estas cuentas:

  • Heuristica adicional: La etiqueta de cuentas prioritarias ofrece un análisis con una heurística adicional especial que se adapta singularmente a las cuentas de cargos ejecutivos. Aprendiendo de análisis previamente

Supervisión de flujo de correo premium

La capacidad en un servicio de correo, de fluir de manera eficiente y sin dar grandes fallos, es una característica especialmente importante en estas cuentas que manejan información sensible, por tanto, esta opción que nos da la etiqueta de cuenta prioritaria, consiste en alertas para los administradores cuando los correos fallidos o pendientes de reenvío superan cierto umbral de fallo, mismo que el administrador deberá valorar con base en el tipo de cuenta prioritaria y su experiencia.

Con esta opción activada podremos ver también informes de los eventos fallidos de los últimos 15 minutos y los mensajes de correo electrónico retrasados de las últimas 6 horas que se enviaron desde cuentas prioritarias.

La sección de correo electrónico incorrecto muestra la siguiente información sobre los mensajes del usuario marcado como prioritario:

  • Fecha
  • Remitente
  • Destinatario
  • Asunto
  • Estado, siendo el valor de este último Fallido o Retrasado.

Requisitos a tener en cuenta:

La característica de protección de cuentas prioritarias sólo está disponible con los siguientes requisitos:

  • Microsoft defender para Office 365 plan 2, incluidos aquellos con Office 365 E3, Office 365 E5 o Microsoft 365 E5 Security.

La característica de supervisión de flujo de correo premium está disponible con los siguientes requisitos:

  • Tener al menos 5000 licencias de uno o varios de los siguientes servicios: Office 365 E3, Microsoft 365 E3, Office 365 E5, Microsoft 365 E5.
  • Tener al menos 50 usuarios activos mensuales para una o más cargas de trabajo principales: Teams, One Drive for Business, SharePoint Online, Exchange Online y aplicaciones de Office.

La seguridad continúa siendo una de las mayores preocupaciones y una gran responsabilidad que enfrentan las actuales empresas, sobre todo las PYMES, que suelen ser el principal objetivo de los atacantes.

Microsoft ha tomado cartas en el asunto presentando Microsoft Defender for Business, una solución de seguridad para pequeñas y medianas empresas integrada en Microsoft 365 Business Premium.

Desde Sidertia Solutions consideramos que, contar con esta solución de seguridad es de suma importancia para cualquier entorno, aplicando y trabajando sobre esta solución en los propios, así como recomendándola a nuestros clientes.

Funcionamiento de Microsoft Defender

Microsoft Defender for Business está diseñado para brindar seguridad de endpoint para pequeñas y medianas empresas, ofreciendo diferentes capacidades como la gestión de amenazas y vulnerabilidades, reducción de la superficie de ataque, protección de próxima generación, detección y respuesta de Endpoint, investigación y remediación automatizadas y API e integración.

En los endpoint es donde comienzan los ataques, y por todos es sabido que ofrecen protección contra virus y amenazas en estos mismos, su objetivo es solventar las amenazas antes de que se establezcan y se propaguen lateralmente en su entorno y así evitar que las amenazas se conviertan en administradores de su sistema, pudiendo modificar su infraestructura y servicios u obtener información sensible, Microsoft Defender for Business investigará y responderá automáticamente ante las amenazas.

Microsoft Defender for Business es compatible y aplicable a cualquier entorno independientemente del Sistema Operativo que este disponga, tales como Windows, Android y iOS. Estos sistemas pueden ser incorporados de diferentes maneras como puede ser desde Microsoft 365 Defender, directivas locales o desde Microsoft Intune.

Integración de Microsoft Defender for Business con Microsoft 365 Lighthouse

Lo más importante si hablamos de consultoría, es mantener protegidos y securizados a los clientes, Microsoft ha integrado los servicios de Microsoft Defender for Business y Microsoft 365 Lighthouse para poder brindar un servicio de protección a los clientes que estén en Microsoft 365 Lighthouse ofreciendo a los socios la posibilidad de ver todas las alertas de seguridad que puedan presentarse en los sistemas tanto Windows como Linux.

Configuración de directivas de seguridad

Las directivas de seguridad son un conjunto de reglas que hacen referencia a diferentes características, servicios y permisos con el fin de configurarlos adecuándose a las preferencias de su entorno y de este modo garantizar un extra de seguridad.
Microsoft Defender for Business dispone de la configuración de directivas de seguridad aplicables a través de grupos de dispositivos.

Visualización y respuesta ante amenazas detectadas

Microsoft Defender for Business ofrece un panel de administración de incidentes, en el cual se puede ver información como puntuación de exposición de la amenaza y los dispositivos que están expuestos.
En el caso de presentarse algún incidente, seleccionándolo se accederá a la información de este mediante un panel emergente, en el que se podrá ver información relevante como título y lista de recursos afectados, realizar acciones contra el incidente, así como asignarlo a usuarios o administrarlo.

Una pregunta que puede surgir es ¿de qué sirve asignarlo o administrarlo si no puedo tomar acciones contra la amenaza? Pues resulta que, sí se pueden tomar acciones, Microsoft Defender for Business dispone de un apartado llamado “Action center” el cual incluye distintas posibilidades de acciones contra infecciones en su entorno.

Uno de los mejores métodos para mantenerse protegido, es mantenerse informado, para ello, Microsoft Defender for Business contiene un apartado llamado “Threat Analytics”, en el que trabajan expertos investigadores de seguridad de Microsoft para brindarle información relacionada sobre las amenazas más recientes y las amenazas que actualmente están en curso, de este modo podrá anticiparse a la infección con malware.

En conclusión, Microsoft Defender for Business es una herramienta sencilla e intuitiva con la cual mantener seguro un entorno de no más de 300 usuarios.