Proteção contra malware e ransomware no Microsoft 365

  • Artigo

Proteger dados do cliente contra malware

O malware consiste em vírus, spyware e outros softwares mal-intencionados. O Microsoft 365 inclui mecanismos de proteção para impedir que o malware seja introduzido no Microsoft 365 por um cliente ou por um servidor do Microsoft 365. O uso de software anti-malware é um mecanismo principal para proteção de ativos do Microsoft 365 contra software mal-intencionado. O software anti-malware detecta e impede que vírus de computador, malware, rootkits, worms e outros softwares mal-intencionados sejam introduzidos em qualquer sistema de serviço. O software anti-malware fornece controle preventivo e detetive sobre software mal-intencionado.

Cada solução anti-malware no local rastreia a versão do software e quais assinaturas estão sendo executadas. O download automático e o aplicativo de atualizações de assinatura pelo menos diariamente do site de definição de vírus do fornecedor são gerenciados centralmente pela ferramenta anti-malware apropriada para cada equipe de serviço. As seguintes funções são gerenciadas centralmente pela ferramenta anti-malware apropriada em cada ponto de extremidade para cada equipe de serviço:

  • Verificações automáticas do ambiente
  • Verificações periódicas do sistema de arquivos (pelo menos semanalmente)
  • Verificações em tempo real dos arquivos à medida que são baixados, abertos ou executados
  • Download automático e aplicativo de atualizações de assinatura pelo menos diariamente do site de definição de vírus do fornecedor
  • Alerta, limpeza e mitigação de malware detectado

Quando ferramentas anti-malware detectam malware, elas bloqueiam o malware e geram um alerta para o pessoal da equipe de serviço do Microsoft 365, o Microsoft 365 Security e/ou a equipe de segurança e conformidade da organização Microsoft que opera nossos datacenters. O pessoal que recebe inicia o processo de resposta a incidentes. Os incidentes são rastreados e resolvidos e a análise pós-morte é executada.

Proteção do Exchange Online contra malware

Todas as mensagens de email para Exchange Online viajam por Proteção do Exchange Online (EOP), que coloca em quarentena e verifica em tempo real todos os anexos de email e email inserindo e deixando o sistema para vírus e outros malwares. Os administradores não precisam configurar ou manter as tecnologias de filtragem; eles estão habilitados por padrão. No entanto, os administradores podem fazer personalizações de filtragem específicas da empresa usando o centro de administração do Exchange.

Usando vários mecanismos de anti-malware, o EOP oferece proteção em várias camadas que foram projetadas para capturar todos os malwares conhecidos. As mensagens transportadas pelo serviço são examinadas em busca de malware (incluindo vírus e spyware). Se for detectado qualquer malware, a mensagem será excluída. Notificações também podem ser enviadas a remetentes ou administradores quando uma mensagem infectada é excluída e não é entregue. Você também pode optar por substituir anexos infectados por mensagens padrão ou personalizadas que notificam os destinatários sobre a detecção de malware.

O seguinte ajuda a fornecer proteção anti-malware:

  • Defesas em camadas contra malware – vários mecanismos de verificação anti-malware usados no EOP ajudam a proteger contra ameaças conhecidas e desconhecidas. Esses mecanismos incluem detecção heurística avançada a fim de fornecer proteção mesmo durante os estágios iniciais de um surto de malware. Ficou comprovado que essa abordagem com vários mecanismos fornece mais proteção do que usar apenas um mecanismo antimalware.
  • Resposta a ameaças em tempo real - Durante alguns surtos, a equipe anti-malware pode ter informações suficientes sobre um vírus ou outra forma de malware para escrever regras políticas sofisticadas que detectam a ameaça mesmo antes de uma definição estar disponível de qualquer um dos mecanismos usados pelo serviço. Essas regras são publicadas na rede global a cada 2 horas para fornecer à sua organização uma camada extra de proteção contra ataques.
  • Implantação rápida de definição anti-malware – a equipe anti-malware mantém relações próximas com parceiros que desenvolvem mecanismos anti-malware. Como resultado, o serviço pode receber e integrar definições e patches de malware antes de serem liberados publicamente. Nossa conexão com esses parceiros muitas vezes nos permite desenvolver nossos próprios remédios também. O serviço busca definições atualizadas para todos os mecanismos antimalware a cada hora.

Microsoft Defender para Office 365

Microsoft Defender para Office 365 é um serviço de filtragem de email que fornece proteção adicional contra tipos específicos de ameaças avançadas, incluindo malware e vírus. Proteção do Exchange Online atualmente usa uma proteção antivírus robusta e em camadas alimentada por vários mecanismos contra malware e vírus conhecidos. Microsoft Defender para Office 365 estende essa proteção por meio de um recurso chamado Anexos Seguros, que protege contra malwares e vírus desconhecidos e fornece melhor proteção de dia zero para proteger seu sistema de mensagens. Todas as mensagens e anexos que não têm uma assinatura conhecida de vírus/malware são roteadas para um ambiente especial do hipervisor, em que uma análise de comportamento é realizada usando várias técnicas de machine learning e análise para detectar intenções mal-intencionadas. Se nenhuma atividade suspeita for detectada, a mensagem será liberada para entrega na caixa de correio.

Proteção do Exchange Online também examina cada mensagem em trânsito no Microsoft 365 e fornece tempo de proteção de entrega, bloqueando quaisquer hiperlinks mal-intencionados em uma mensagem. Os invasores às vezes tentam ocultar URLs mal-intencionadas com links aparentemente seguros que são redirecionados para sites não seguros por um serviço de encaminhamento após o recebimento da mensagem. Os Links Seguros protegem proativamente seus usuários se eles selecionarem esse link. Essa proteção permanece sempre que eles selecionam o link e os links mal-intencionados são bloqueados dinamicamente enquanto bons links são acessíveis.

Microsoft Defender para Office 365 também oferece recursos avançados de relatórios e acompanhamento, para que você possa obter insights críticos sobre quem está sendo alvo em sua organização e a categoria de ataques que você está enfrentando. O rastreamento de relatórios e mensagens permite investigar mensagens que foram bloqueadas devido a um vírus ou malware desconhecido, enquanto o recurso de rastreamento de URL permite que você acompanhe links mal-intencionados individuais nas mensagens clicadas.

Para obter mais informações sobre Microsoft Defender para Office 365, consulte Proteção do Exchange Online e Microsoft Defender para Office 365.

Proteção do SharePoint e do OneDrive contra Ransomware

Há muitas formas de ataques de ransomware, mas um dos formulários mais comuns é onde um indivíduo mal-intencionado criptografa os arquivos importantes de um usuário e, em seguida, exige algo do usuário, como dinheiro ou informações, em troca da chave para descriptografá-los. Os ataques de ransomware estão aumentando, especialmente aqueles que criptografam arquivos armazenados no armazenamento em nuvem do usuário. Para obter mais informações sobre ransomware, consulte o site Microsoft Defender Security Intelligence.

A versão ajuda a proteger listas do SharePoint e bibliotecas do SharePoint e do OneDrive de alguns, mas não todos, desses tipos de ataques de ransomware. A versão é habilitada por padrão no OneDrive e no SharePoint. Como a versão está habilitada nas listas de sites do SharePoint, você pode examinar versões anteriores e recuperá-las, se necessário. Isso permite que você recupere versões de itens que pré-datam sua criptografia pelo ransomware. Algumas organizações também mantêm várias versões de itens em suas listas por motivos legais ou para fins de auditoria.

Lixeiras do SharePoint e do OneDrive

Os administradores do SharePoint podem restaurar uma coleção de sites excluída usando o centro de administração do SharePoint. Os usuários do SharePoint têm uma Lixeira onde o conteúdo excluído é armazenado. Eles podem acessar a Lixeira para recuperar os documentos excluídos e as listas, se precisarem. Os itens na Lixeira são mantidos por 93 dias. Os seguintes tipos de dados são capturados pela Lixeira:

  • Conjuntos de sites
  • Sites
  • Listas
  • Bibliotecas
  • Pastas
  • Itens da lista
  • Documentos
  • Páginas de Widget da Web

As personalizações de site feitas por meio do SharePoint Designer não são capturadas pela Lixeira. Para obter mais informações, consulte Restaurar itens excluídos da lixeira da coleção de sites. Confira também : Restaurar uma coleção de sites excluída.

A versão não protege contra ataques de ransomware que copiam arquivos, criptografam e excluem os arquivos originais. No entanto, os usuários finais podem usar a Lixeira para recuperar arquivos do OneDrive após um ataque de ransomware.

A seção a seguir entra em mais detalhes sobre as defesas e controles que a Microsoft usa para mitigar o risco de ataque cibernético contra sua organização e seus ativos.

Como a Microsoft mitiga os riscos de um ataque de ransomware

A Microsoft criou defesas e controles que usa para mitigar os riscos de um ataque de ransomware contra sua organização e seus ativos. Os ativos podem ser organizados por domínio, com cada domínio tendo seu próprio conjunto de mitigações de risco.

Domínio 1: Controles de nível de locatário

O primeiro domínio são as pessoas que compõem sua organização e a infraestrutura e os serviços de propriedade e controlados pela sua organização. Os recursos a seguir no Microsoft 365 estão ativados por padrão ou podem ser configurados para ajudar a mitigar o risco e se recuperar de um compromisso bem-sucedido dos ativos neste domínio.

Exchange Online

  • Com recuperação de item único e retenção de caixa de correio, os clientes podem recuperar itens em uma caixa de correio após exclusão prematura inadvertida ou mal-intencionada. Os clientes podem reverter as mensagens de email excluídas dentro de 14 dias por padrão, configuráveis até 30 dias.

  • Configurações adicionais do cliente dessas políticas de retenção no serviço Exchange Online permitem:

    • retenção configurável a ser aplicada (1 ano/10 ano+)
    • copiar na proteção de gravação a ser aplicada
    • a capacidade da política de retenção ser bloqueada de modo que a imutabilidade possa ser obtida

  • Proteção do Exchange Online verifica emails e anexos de entrada em tempo real, entrando e saindo do sistema. Isso está habilitado por padrão e tem personalizações de filtragem disponíveis. As mensagens que contêm ransomware ou outro malware conhecido ou suspeito são excluídas. Você pode configurar administradores para receber notificações quando isso ocorrer.

Proteção do SharePoint e do OneDrive

O SharePoint e o OneDrive Protection criaram recursos que ajudam a proteger contra ataques de ransomware.

Versão: como a versão mantém um mínimo de 500 versões de um arquivo por padrão e pode ser configurada para reter mais, se o ransomware editar e criptografar um arquivo, uma versão anterior do arquivo poderá ser recuperada.

Lixeira: se o ransomware criar uma nova cópia criptografada do arquivo e excluir o arquivo antigo, os clientes terão 93 dias para restaurá-lo da lixeira.

Biblioteca de retenção de preservação: os arquivos armazenados em sites do SharePoint ou do OneDrive podem ser mantidos aplicando as configurações de retenção. Quando um documento com versões está sujeito a configurações de retenção, as versões são copiadas para a biblioteca de Retenção de Preservação e existem como um item separado. Se um usuário suspeitar que seus arquivos foram comprometidos, ele poderá investigar alterações de arquivo examinando a cópia retida. Em seguida, a Restauração de Arquivos pode ser usada para recuperar arquivos nos últimos 30 dias.

Teams

Os chats do Teams são armazenados em Exchange Online caixas de correio e arquivos do usuário são armazenados no SharePoint ou no OneDrive. Os dados do Microsoft Teams são protegidos pelos mecanismos de recuperação e controles disponíveis nesses serviços.

Domínio 2: Controles de nível de serviço

O segundo domínio são as pessoas que compõem a Microsoft, a organização, e a infraestrutura corporativa de propriedade e controlada pela Microsoft para executar as funções organizacionais de uma empresa.

A abordagem da Microsoft para proteger seu patrimônio corporativo é Confiança Zero, implementada usando nossos próprios produtos e serviços com defesas em nossa propriedade digital. Você pode encontrar mais detalhes sobre os princípios do Confiança Zero aqui: Confiança Zero Arquitetura.

Recursos adicionais no Microsoft 365 estendem as mitigações de risco disponíveis no domínio 1 para proteger ainda mais os ativos neste domínio.

Proteção do SharePoint e do OneDrive

Versão: se o ransomware criptografasse um arquivo em vigor, como uma edição, o arquivo poderá ser recuperado até a data inicial de criação do arquivo usando recursos de histórico de versão gerenciados pela Microsoft.

Lixeira: se o ransomware criou uma nova cópia criptografada do arquivo e excluiu o arquivo antigo, os clientes terão 93 dias para restaurá-lo da lixeira. Após 93 dias, há uma janela de 14 dias em que a Microsoft ainda pode recuperar os dados. Após essa janela, os dados são excluídos permanentemente.

Teams

As mitigações de risco para o Teams descritas no Domínio 1 também se aplicam ao Domínio 2.

Domínio 3: Desenvolvedores & infraestrutura de serviço

O terceiro domínio são as pessoas que desenvolvem e operam o serviço Microsoft 365, o código e a infraestrutura que fornece o serviço e o armazenamento e o processamento de seus dados.

Os investimentos da Microsoft que protegem a plataforma Microsoft 365 e mitigam os riscos neste domínio se concentram nessas áreas:

  • Avaliação e validação contínuas da postura de segurança do serviço
  • Criar ferramentas e arquitetura que protejam o serviço contra comprometimento
  • Criando a funcionalidade para detectar e responder a ameaças se ocorrer um ataque

Avaliação e validação contínuas da postura de segurança

  • A Microsoft atenua os riscos associados às pessoas que desenvolvem e operam o serviço Microsoft 365 usando o princípio de menor privilégio. Isso significa que o acesso e as permissões aos recursos são limitados apenas ao que é necessário para executar uma tarefa necessária.
    • Um modelo JIT (Just-In-Time), just-enough-access (JEA) é usado para fornecer privilégios temporários aos engenheiros da Microsoft.
    • Os engenheiros devem enviar uma solicitação para uma tarefa específica para adquirir privilégios elevados.
    • As solicitações são gerenciadas por meio do Lockbox, que usa o RBAC (controle de acesso baseado em função) do Azure para limitar os tipos de solicitações de elevação do JIT que os engenheiros podem fazer.
  • Além do acima, todos os candidatos da Microsoft são pré-exibidos antes do início do emprego na Microsoft. Os funcionários que mantêm o Microsoft serviços online no Estados Unidos devem passar por uma Verificação de Antecedentes da Nuvem da Microsoft como um pré-requisito para acesso a sistemas de serviços online.
  • Todos os funcionários da Microsoft são obrigados a concluir o treinamento básico de conscientização sobre segurança, juntamente com o treinamento Standards of Business Conduct.

Ferramentas e arquitetura que protegem o serviço

  • O SDL (Ciclo de Vida de Desenvolvimento de Segurança) da Microsoft se concentra no desenvolvimento de software seguro para melhorar a segurança do aplicativo e reduzir vulnerabilidades. Para obter mais informações, consulte Visão geral de desenvolvimento e operações de segurança e segurança.
  • O Microsoft 365 restringe a comunicação entre diferentes partes da infraestrutura de serviço apenas ao que é necessário para operar.
  • O tráfego de rede é protegido usando firewalls de rede extras em pontos de limite para ajudar a detectar, prevenir e mitigar ataques de rede.
  • Os serviços do Microsoft 365 são projetados para operar sem engenheiros que exijam acesso aos dados do cliente, a menos que sejam solicitados explicitamente e aprovados pelo cliente. Para obter mais informações, confira Como a Microsoft coleta e processa dados do cliente.

Recursos de detecção e resposta

  • O Microsoft 365 envolve o monitoramento contínuo de segurança de seus sistemas para detectar e responder a ameaças aos Microsoft 365 Services.
  • O log centralizado coleta e analisa eventos de log para atividades que podem indicar um incidente de segurança. Os dados de log são analisados à medida que são carregados em nosso sistema de alertas e produzem alertas quase em tempo real.
  • Ferramentas baseadas em nuvem nos permitem responder rapidamente às ameaças detectadas. Essas ferramentas habilitam a correção usando ações disparadas automaticamente.
  • Quando a correção automática não é possível, os alertas são enviados aos engenheiros de plantão apropriados, que estão equipados com um conjunto de ferramentas que permitem que eles atuem em tempo real para mitigar ameaças detectadas.

Recuperar de um ataque de ransomware

Para obter as etapas para se recuperar de um ataque de ransomware no Microsoft 365, confira Recuperar de um ataque de ransomware no Microsoft 365.

Recursos de ransomware adicionais

Principais informações da Microsoft

Microsoft 365

Microsoft Defender XDR

Microsoft Azure

Microsoft Defender for Cloud Apps

Postagens no blog da equipe de segurança da Microsoft