Proteção contra malware e ransomware Microsoft 365

Protegendo os dados do cliente contra malware

O malware consiste em vírus, spyware e outros softwares mal-intencionados. Microsoft 365 inclui mecanismos de proteção para impedir que o malware seja introduzido no Microsoft 365 por um cliente ou por um Microsoft 365 servidor. O uso de software anti-malware é um mecanismo principal para proteção de Microsoft 365 ativos contra software mal-intencionado. O software anti-malware detecta e impede que vírus de computador, malware, rootkits, worms e outros softwares mal-intencionados seja introduzido em qualquer sistema de serviço. O software anti-malware fornece controle preventivo e de detetive sobre software mal-intencionado.

Cada solução anti-malware no local rastreia a versão do software e quais assinaturas estão sendo executados. O download automático e o aplicativo de atualizações de assinatura pelo menos diariamente do site de definição de vírus do fornecedor são gerenciados centralmente pela ferramenta anti-malware apropriada para cada equipe de serviço. As seguintes funções são gerenciadas centralmente pela ferramenta anti-malware apropriada em cada ponto de extremidade para cada equipe de serviço:

  • Verificações automáticas do ambiente
  • Verificações periódicas do sistema de arquivos (pelo menos semanal)
  • Verificações em tempo real dos arquivos à medida que são baixados, abertos ou executados
  • Download automático e aplicativo de atualizações de assinatura pelo menos diariamente do site de definição de vírus do fornecedor
  • Alerta, limpeza e mitigação de malware detectado

Quando as ferramentas anti-malware detectam malware, elas bloqueiam o malware e geram um alerta para a equipe de serviço do Microsoft 365, Microsoft 365 Segurança e/ou a equipe de segurança e conformidade da organização da Microsoft que opera nossos datacenters. A equipe de recebimento inicia o processo de resposta a incidentes. Os incidentes são rastreados e resolvidos e a análise pós-morte é executada.

Proteção do Exchange Online contra malware

Todas as mensagens de email para Exchange Online viajam pelo Proteção do Exchange Online (EOP), que coloca em quarentena e verifica em tempo real todos os anexos de email e email que entram e deixam o sistema em busca de vírus e outros malwares. Os administradores não precisam configurar ou manter as tecnologias de filtragem; eles são habilitados por padrão. No entanto, os administradores podem fazer personalizações de filtragem específicas da empresa usando o Exchange de administração.

Usando vários mecanismos de anti-malware, o EOP oferece proteção em várias camadas que foram projetadas para capturar todos os malwares conhecidos. As mensagens transportadas pelo serviço são verificados por malware (incluindo vírus e spyware). Se algum malware for detectado, a mensagem será excluída. Notificações também podem ser enviadas a remetentes ou administradores quando uma mensagem infectada é excluída e não é entregue. Você também pode optar por substituir anexos infectados por mensagens padrão ou personalizadas que notificam os destinatários sobre a detecção de malware.

O seguinte ajuda a fornecer proteção anti-malware:

  • Defesas em camadas contra malware - Vários mecanismos de verificação anti-malware usados no EOP ajudam a proteger contra ameaças conhecidas e desconhecidas. Esses mecanismos incluem uma detecção heurística poderosa para fornecer proteção mesmo durante os estágios iniciais de uma epidemia de malware. Essa abordagem multi-mecanismo foi mostrada para fornecer significativamente mais proteção do que usar apenas um mecanismo anti-malware.
  • Resposta contra ameaças em tempo real - Durante alguns surtos, a equipe anti-malware pode ter informações suficientes sobre um vírus ou outra forma de malware para escrever regras de política sofisticadas que detectem a ameaça mesmo antes de uma definição estar disponível em qualquer um dos mecanismos usados pelo serviço. Essas regras são publicadas na rede global a cada 2 horas para fornecer à sua organização uma camada extra de proteção contra ataques.
  • Implantação rápida de definição anti-malware - A equipe anti-malware mantém relações próximas com parceiros que desenvolvem mecanismos anti-malware. Como resultado, o serviço pode receber e integrar definições de malware e patches antes de ser lançado publicamente. Nossa conexão com esses parceiros geralmente nos permite desenvolver nossos próprios recursos também. O serviço verifica definições atualizadas para todos os mecanismos anti-malware a cada hora.

Microsoft Defender para Office 365

O Microsoft Defender para Office 365 é um serviço de filtragem de email que fornece proteção adicional contra tipos específicos de ameaças avançadas, incluindo malware e vírus. Proteção do Exchange Online atualmente usa uma proteção antivírus robusta e em camadas alimentada por vários mecanismos contra malwares e vírus conhecidos. O Microsoft Defender for Office 365 estende essa proteção por meio de um recurso chamado Cofre Attachments, que protege contra malwares e vírus desconhecidos e oferece uma proteção melhor de dia zero para proteger seu sistema de mensagens. Todas as mensagens e anexos que não têm uma assinatura de vírus/malware conhecida são roteadas para um ambiente especial de hipervisor, onde uma análise de comportamento é executada usando uma variedade de técnicas de aprendizado de máquina e análise para detectar intenção mal-intencionada. Se nenhuma atividade suspeita for detectada, a mensagem será liberada para entrega na caixa de correio.

Proteção do Exchange Online também verifica cada mensagem em trânsito no Microsoft 365 e fornece tempo de proteção de entrega, bloqueando todos os hiperlinks mal-intencionados em uma mensagem. Os invasores às vezes tentam ocultar URLs mal-intencionadas com links aparentemente seguros que são redirecionados para sites não seguros por um serviço de encaminhamento depois que a mensagem é recebida. Cofre Os links protegem proativamente seus usuários se clicarem nesse link. Essa proteção permanece sempre que clicam no link e os links mal-intencionados são bloqueados dinamicamente enquanto os bons links são acessíveis.

O Microsoft Defender para Office 365 também oferece recursos avançados de relatórios e controle, para que você possa obter informações críticas sobre quem está sendo direcionado em sua organização e a categoria de ataques que você está enfrentando. O relatório e o rastreamento de mensagens permitem investigar mensagens que foram bloqueadas devido a um vírus ou malware desconhecido, enquanto o recurso de rastreamento de URL permite rastrear links mal-intencionados individuais nas mensagens que foram clicadas.

Para obter mais informações sobre o Microsoft Defender para Office 365, consulte Proteção do Exchange Online e Microsoft Defender para Office 365.

SharePoint Proteção online e OneDrive for Business Contra Ransomware

Há muitas formas de ataques de ransomware, mas um dos formulários mais comuns é onde um indivíduo mal-intencionado criptografa os arquivos importantes de um usuário e exige algo do usuário, como dinheiro ou informações, em troca da chave para descriptografá-los. Os ataques de ransomware estão em alta, especialmente aqueles que criptografam arquivos armazenados no armazenamento em nuvem do usuário. Para obter mais informações sobre ransomware, consulte o site do Microsoft Defender Security Intelligence.

O versioning ajuda a proteger SharePoint online e SharePoint online e OneDrive for Business bibliotecas de algumas, mas não todas, desses tipos de ataques de ransomware. O versioning é habilitado por padrão no OneDrive for Business e SharePoint Online. Como o versioning está habilitado SharePoint listas de sites online, você pode olhar para versões anteriores e recuperá-las, se necessário. Isso permite recuperar versões de itens que pré-datam a criptografia pelo ransomware. Algumas organizações também retêm várias versões de itens em suas listas por motivos legais ou de auditoria.

SharePoint Lixeiras online e OneDrive for Business

SharePoint Os administradores online podem restaurar um conjunto de sites excluído usando o centro de administração SharePoint Online. SharePoint Os usuários online têm uma Lixeira onde o conteúdo excluído é armazenado. Eles podem acessar a Lixeira para recuperar os documentos excluídos e as listas, se precisarem. Os itens na Lixeira são mantidos por 93 dias. Os seguintes tipos de dados são capturados pela Lixeira:

  • Conjuntos de sites
  • Sites
  • Listas
  • Bibliotecas
  • Pastas
  • Itens da lista
  • Documentos
  • Páginas de Widget da Web

As personalizações dos sites feitas por meio do SharePoint Designer são capturadas pela Lixeira. Para obter mais informações, consulte Restore deleted items from the site collection recycle bin. Consulte também, Restaurar um conjunto de sites excluído.

O versioning não protege contra ataques de ransomware que copiam arquivos, os criptografam e excluem os arquivos originais. No entanto, os usuários finais podem aproveitar a Lixeira para recuperar OneDrive for Business arquivos depois que ocorrer um ataque de ransomware.

A seção a seguir entra em mais detalhes sobre as defesas e controles que a Microsoft usa para reduzir o risco de ataques cibernéticos contra sua organização e seus ativos.

Como a Microsoft reduz os riscos de um ataque de ransomware

A Microsoft criou defesas e controles que usa para reduzir os riscos de um ataque de ransomware contra sua organização e seus ativos. Os ativos podem ser organizados pelo domínio com cada domínio com seu próprio conjunto de mitigações de risco.

Domínio 1: controles de nível de locatário

O primeiro domínio são as pessoas que comem sua organização e a infraestrutura e os serviços pertencentes e controlados por sua organização. Os recursos a seguir no Microsoft 365 estão ativos por padrão ou podem ser configurados para ajudar a reduzir o risco e recuperar de um comprometimento bem-sucedido dos ativos neste domínio.

Exchange Online

  • Com a recuperação de item único e retenção de caixa de correio, os clientes podem recuperar itens em uma caixa de correio após a exclusão prematura inadvertida ou mal-intencionada. Os clientes podem reverter as mensagens de email excluídas dentro de 14 dias por padrão, configuráveis até 30 dias.

  • Configurações adicionais do cliente dessas políticas de retenção no serviço Exchange Online permitem:

    • retenção configurável a ser aplicada (1 ano/10 ano+)
    • copiar na proteção de gravação a ser aplicada
    • a capacidade de a política de retenção ser bloqueada de forma que a imutabilidade possa ser atingida
  • Proteção do Exchange Online verifica emails de entrada e anexos em tempo real entrando e saindo do sistema. Isso é habilitado por padrão e tem personalizações de filtragem disponíveis. As mensagens que contêm ransomware ou outro malware conhecido ou suspeito são excluídas. Você pode configurar administradores para receber notificações quando isso ocorrer.

SharePoint Proteção online e OneDrive for Business online

SharePoint A Proteção OneDrive for Business online e a proteção têm recursos integrados que ajudam a proteger contra ataques de ransomware.

Controle de versão : como o controle de versão mantém no mínimo 500 versões de um arquivo por padrão e pode ser configurado para reter mais, se o ransomware editar e criptografar um arquivo, uma versão anterior do arquivo poderá ser recuperada.

Lixeira: se o ransomware criar uma nova cópia criptografada do arquivo e excluir o arquivo antigo, os clientes terão 93 dias para restaurá-la da lixeira.

Biblioteca de retenção de preservação: os arquivos armazenados SharePoint ou OneDrive sites podem ser mantidos aplicando configurações de retenção. Quando um documento com versões está sujeito a configurações de retenção, as versões são copiadas para a biblioteca de Retenção de Preservação e existem como um item separado. Se um usuário suspeita que seus arquivos foram comprometidos, ele pode investigar alterações de arquivo revendo a cópia retida. A restauração de arquivo pode ser usada para recuperar arquivos nos últimos 30 dias.

Teams

Teams chats são armazenados Exchange Online caixas de correio de usuário e arquivos são armazenados no SharePoint Online ou OneDrive for Business. Microsoft Teams dados são protegidos pelos controles e mecanismos de recuperação disponíveis nesses serviços.

Domínio 2: controles de nível de serviço

O segundo domínio são as pessoas que comem a Organização da Microsoft e a infraestrutura corporativa de propriedade e controlada pela Microsoft para executar as funções organizacionais de uma empresa.

A abordagem da Microsoft para proteger seu patrimônio corporativo é a Confiança Zero, implementada usando nossos próprios produtos e serviços com defesas em nosso estado digital. Você pode encontrar mais detalhes sobre os princípios do Zero Trust aqui: Arquitetura de Confiança Zero.

Recursos adicionais Microsoft 365 estender as mitigações de risco disponíveis no domínio 1 para proteger ainda mais os ativos nesse domínio.

SharePoint Proteção online e OneDrive for Business online

Versioning: Se o ransomware criptografou um arquivo no local, como uma edição, o arquivo pode ser recuperado até a data de criação inicial de arquivo usando recursos de histórico de versão gerenciados pela Microsoft.

Lixeira: se o ransomware criou uma nova cópia criptografada do arquivo e excluiu o arquivo antigo, os clientes têm 93 dias para restaurá-lo da lixeira. Após 93 dias, há uma janela de 14 dias em que a Microsoft ainda pode recuperar os dados. Após essa janela, os dados serão excluídos permanentemente.

Exchange Online

Os grupos de disponibilidade de banco de dados (DAG) ajudam a fornecer proteção contra corrupção de dados de caixa de correio Exchange Online. Exchange Online tem 4 grupos de disponibilidade de banco de dados, 4 ativos e 1 com atraso de 14 dias de logs de transação atrasados.

Se um ataque de ransomware afetar o servidor de caixa de correio que hospeda a cópia ativa de uma transação de email, ocorrerá o failover para outro DAG ativo, transparente para os clientes. Todas as três cópias de uma transação de email nos bancos de dados ativos teriam que ser afetadas pelo ataque de ransomware para voltar ao DAG com o defasado. Os mecanismos de isolamento de falha reduzem o raio de explosão de um ataque de ransomware.

Teams: As mitigações de riscos para Teams descritas no domínio 1 também se aplicam ao domínio 2.

Domínio 3: desenvolvedores & infraestrutura de serviço

O terceiro domínio são as pessoas que desenvolvem e operam o serviço de Microsoft 365, o código e a infraestrutura que fornece o serviço e o armazenamento e o processamento de seus dados.

Os investimentos da Microsoft que garantem Microsoft 365 plataforma e mitigam os riscos neste domínio se concentram nessas áreas:

  • Avaliação contínua e validação da postura de segurança do serviço
  • Ferramentas de construção e arquitetura que protegem o serviço contra comprometimentos
  • Criar a capacidade de detectar e responder a ameaças se ocorrer um ataque

Avaliação contínua e validação da postura de segurança

  • A Microsoft reduz os riscos associados às pessoas que desenvolvem e operam o serviço Microsoft 365 usando o princípio de privilégio mínimo. Isso significa que o acesso e as permissões aos recursos estão limitados apenas ao necessário para executar uma tarefa necessária.
    • Um modelo Just-In-Time (JIT), Just-Enough-Access (JEA) é usado para fornecer privilégios temporários aos engenheiros da Microsoft.
    • Os engenheiros devem enviar uma solicitação para que uma tarefa específica adquira privilégios elevados.
    • As solicitações são gerenciadas por meio do Lockbox, que usa o controle de acesso baseado em função do Azure (RBAC) para limitar os tipos de solicitações de elevação JIT que os engenheiros podem fazer.
  • Além do acima, todos os candidatos da Microsoft são pré-selecionados antes do início do trabalho na Microsoft. Os funcionários que mantêm os serviços online da Microsoft nos Estados Unidos devem passar por uma Verificação de Plano de Fundo do Microsoft Cloud como um pré-requisito para acesso aos sistemas de serviços online.
  • Todos os funcionários da Microsoft são necessários para concluir o treinamento básico de reconhecimento de segurança juntamente com o treinamento standards of Business Conduct.

Ferramentas e arquitetura que protegem o serviço

  • O SDL (Ciclo de Vida do Desenvolvimento de Segurança) da Microsoft se concentra no desenvolvimento de software seguro para melhorar a segurança do aplicativo e reduzir as vulnerabilidades. Para obter mais informações, consulte Security and Security development and operations overview.
  • Microsoft 365 restringe a comunicação entre diferentes partes da infraestrutura de serviço apenas ao que é necessário para operar.
  • O tráfego de rede é protegido usando firewalls de rede extras em pontos de limite para ajudar a detectar, evitar e mitigar ataques de rede.
  • Microsoft 365 os serviços são projetados para operar sem que os engenheiros exijam acesso aos dados do cliente, a menos que sejam solicitados explicitamente e aprovados pelo cliente. Para obter mais informações, consulte Como a Microsoft coleta e processa dados do cliente.

Recursos de detecção e resposta

  • O Microsoft 365 envolve o monitoramento contínuo de segurança de seus sistemas para detectar e responder a ameaças aos Microsoft 365 Services.
  • O registro em log centralizado coleta e analisa eventos de log para atividades que podem indicar um incidente de segurança. Os dados de log são analisados à medida que são carregados no sistema de alertas e produzem alertas em tempo real.
  • As ferramentas baseadas em nuvem nos permitem responder rapidamente a ameaças detectadas. Essas ferramentas habilitam a correção usando ações disparadas automaticamente.
  • Quando a correção automática não é possível, os alertas são enviados aos engenheiros de chamada apropriados, que são equipados com um conjunto de ferramentas que permitem que eles ajam em tempo real para mitigar as ameaças detectadas.

Recuperar de um ataque de ransomware

Para as etapas a serem recuperadas de um ataque de ransomware no Microsoft 365, consulte Recover from a ransomware attack in Microsoft 365.

Recursos adicionais de ransomware

Principais informações da Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Cloud App Security:

Postagens de blog da equipe de Segurança da Microsoft: