In de afgelopen jaren hebben diverse bedrijven beveiligingsproducten of diensten uitgebracht onder de noemer “Advanced Threat Protection” of kortweg ATP. Ook Microsoft biedt sinds begin 2015 een viertal ATP diensten:
  • Office 365 Advanced Threat Protection
  • Windows Defender Advanced Threat Protection
  • Azure Advanced Threat Protection
  • SQL Advanced Threat Protection

In deze blogpost ga ik in op de mogelijkheden van diverse ATP oplossingen die Microsoft biedt.

Office 365 Advanced Threat Protection

Office 365 ATP richt zich op het beschermen van uw Exchange Online oplossing tegen ongewenste e-mails en bijlages. Dit doen zij met de hulp van de onderstaande drie onderdelen:

1. Safe Links
Door gebruik te maken van een Safe Links beleid worden alle URL links in een e-mail gecontroleerd en vervolgens herschreven naar een “veilige” URL link binnen het Microsoft platform. Wanneer een medewerker een verdachte link aanklikt zal deze worden verwezen naar een waarschuwingspagina.

2. Safe Attachments
Met gebruik van een Safe Attachments beleid worden alle bijlage in een sandbox gecontroleerd en vergeleken tegen het Microsoft Cloud platform welke een database bijhoudt, gebaseerd op miljoenen e-mails die dagelijks door Exchange Online Protection (EOP) worden gescand.

Nu zult u denken, binnen uw bedrijf zijn alle medewerkers prima op de hoogte van het advies om URL links met tekst niet te openen, maar eerst het echte adres linksonder in het scherm te bekijken. En goed op te letten of de bijlage in die ene e-mail daadwerkelijk afkomstig is van die collega die altijd heel actief is op de sociale media platformen. Office 365 ATP maakt een einde aan deze onzekerheid middels een uitgebreide rapportage in het “Security & Compliance” beheer centrum. Deze geef inzicht in welke medewerkers per ongeluk toch nog een malware URL link hebben aangeklikt.
ATP is ook selectief in te zetten. Bijvoorbeeld alleen voor medewerkers die extra vatbaar zijn voor zogenaamde “spear-phish” aanvallen welke vaak zijn gericht op personeel van financiële afdelingen, personeelszaken en hogere management functies.

3. Office 365 ATP voor SharePoint, OneDrive en Teams
Inmiddels is het Office 365 ATP product uitgebreid met meer beschermingsmogelijkheden voor Exchange Online, maar bied ook bescherming voor SharePoint Online, OneDrive voor Bedrijven en de meest recente collaboratie oplossing “Microsoft Teams”.

Office 365 ATP voor SharePoint, OneDrive en Teams is gericht op het verder beveiligen van bestanden op een vergelijkbare wijze zoals dat bij ATP voor de Exchange Online service gebeurd. Wanneer hier een kwaadaardig bestand wordt gedetecteerd binnen SharePoint, OneDrive of Teams wordt kan deze vervolgens niet meer worden geopend, verplaatst of gekopieerd, maar enkel worden verwijderd.
Dat ATP niet alleen malware bedreigingen in e-mail kan detecteren en voorkomen is te zien aan de andere manieren waarop ATP door Microsoft wordt aangeboden voor haar andere producten.

Windows Defender ATP

Windows Defender ATP scant uw werkplekken, servers en mobiele apparaten op verdacht gedrag en onderneemt actie op gevonden bedreigingen. Windows Defender ATP is gericht op zero-day bedreigingen nadat deze reeds gestart zijn op het werkstation. Windows Defender ATP is gericht op rapportage, analyse en het gedeeltelijk of volledig oplossen van een bedreiging. Windows Defender ATP geeft IT-personeel een duidelijke rapportage van een besmetting na actie te hebben ondernomen. Dit is nuttig omdat de zero-day bedreigingen welke op werkplekken gevonden worden veelal de scanner(s) aan de rand van het netwerk reeds hebben verslagen.

Nadat een de bedreiging is gedetecteerd gebruikt Windows Defender ATP Artificial intelligence (AI) om de best toepasbare actie te bepalen en uit te voeren. Denk hierbij aan het isoleren van werkplekken, het blokkeren van toegang tot de bron (e-mail bijlage of bestand) en/of het herstellen van de werkplek door het windows besturingssysteem opnieuw te installeren Windows Defender ATP kan zijn rapportage integreren met bestaande Security information en event management (SIEM) oplossingen, Microsoft Intune en met de andere ATP producten zoals Office 365 en Azure ATP.

Azure Advanced Threat Protection

Azure ATP scant uw netwerk(en) en Active Directory infrastructuur op wijzigingen welke op gecompromitteerde accounts en hack aanvallen kunnen wijzen. Door het gebruik van sensoren binnen de infrastructuur en de kracht en intelligentie vanuit de Azure Cloud wordt er een profilering gedaan op basis van detectie, machine-learning en gedragsalgoritmen.

Advanced Threat Protection for Azure SQL Databases

SQL ATP levert een set aan beveiligingsmogelijkheden voor Azure SQL databases zoals:

1. Data Discovery & Classification (in preview)
Data Discovery & Classification kan worden ingezet voor het zichtbaar maken, classificeren, labelen en beschermen van gevoelige data in een Azure SQL database.

2. Vulnerability Assessment
De Vulnerability assesment informeert onder andere over best practices, potentiële gevaren, permissies en lekken, maar ook over de compliance status van de database welke voor de AVG/ (GDPR) privacy wetgeving erg nuttig kan zijn.

3. Threat Detection
Threat detection voorziet in het continue monitoren van databases op verdacht gedrag, potentiele kwetsbaarheden en kwaadaardige SQL injecties

Conclusie

Is ATP dé oplossing voor al uw beveiligingsvraagstukken? Daarop willen wij bij PQR graag antwoord geven. ATP is beschikbaar als aanvullende dienst op bestaande abonnementen of als onderdeel van Microsoft 365 en Office 365 Enterprise E5 abonnementen. Vraag uw PQR-contactpersoon voor meer informatie en/of de mogelijkheden.

Geplaatst door

Erik Stiphout

Erik Stiphout is senior consultant bij PQR.