Краткая история службы Office 365 Advanced Threat Protection

Октябрь прошлого года был объявлен месяцем национальной осведомленности о кибербезопасности.  Мы хотим вкратце рассказать вам о том замечательном пути развития и совершенствования, который проделала служба Office 365 Advanced Threat Protection (Office ATP) с момента своего первого запуска в июне 2015 года.  Как уже известно многим из вас, Office ATP защищает всю вашу экосистему Office 365 от самых сложных на сегодняшний день неизвестных угроз, включая угрозы нулевого дня, целевые атаки и другие сложные формы вредоносного ПО.  Как мы уже рассказывали недавно, Office 365 ATP сегодня защищает больше пользователей Office 365, чем все конкуренты вместе взятые. Мы очень гордимся тем, что клиенты доверяют нашей способности защитить их конечных пользователей, и хотим рассказать вам, как мы совершенствовали возможности Office 365 Advanced Threat Protection с момента выпуска первой версии и как мы намерены развивать свою службу в дальнейшем.

Эффективность обнаружения вредоносного ПО

Как нетрудно представить, важнейшим аспектом любой продвинутой защиты является способность обнаруживать вредоносное ПО.  За последние два года наблюдается взрывной рост как количества, так и сложности угроз, нацеленных на предприятия.  По данным отчета Verizon о расследованиях нарушений безопасности в 2017 году, почти две трети всех вредоносных программ, которые устанавливаются на устройства, поступают в виде вложений электронной почты.  Группа US-CERT (американский центр реагирования на компьютерные инциденты) сообщает, что в 2016 году в среднем предпринималось по 4000 попыток заражения программами-вымогателями в день.  Ожидается, что в 2017 году потери из-за этой растущей угрозы программ-вымогателей превысят 5 млрд долл.  Нет сомнений, что киберугрозы по-прежнему угрожают бизнесу серьезным ущербом и необходимо решение, которое не просто защитит пользователей от угроз сегодняшнего дня, но будет совершенствоваться, чтобы успешно противостоять развивающимся угрозам завтра.  Несмотря на растущее количество и сложность угроз, эффективность их обнаружения службой Office 365 ATP постоянно улучшается с момента ее появления.  В настоящее время в почту пользователей попадает менее 0,1 % всего вредоносного ПО, и мы с удовлетворением сообщаем об этих положительных изменениях, учитывая, что мы защищаем больше почтовых ящиков, чем все наши конкуренты.  Мы не только лучше обнаруживаем, но и блокируем больше угроз, чем любой другой поставщик решений для защиты от сложных угроз.

 

Улучшение показателей обнаружения вредоносных программ службой Office 365 Advanced Threat Protection за все время использования
Улучшение показателей обнаружения вредоносных программ службой Office 365 Advanced Threat Protection за все время использования

Большинство других поставщиков решений было бы рады просто догнать нас по уровню обнаружения, поэтому мы хотим рассказать о работе, которая не прекращается с 2015 года и помогает нам достигать такой высокой точности.  В 2015 году был внесен ряд усовершенствований в антивирусные подсистемы, которые используются службой Office ATP.  Каждое сообщение электронной почты, которое поступает в Office 365, должно пройти через несколько фильтров, прежде чем попадет в папку «Входящие» конечного пользователя, и наши антивирусные подсистемы играют в этом процессе важнейшую роль, поэтому улучшения, внедренные в 2015 году, помогли нам существенно повысить процент обнаружения в 2016 году.  В прошлом году мы получили достаточно отзывов, чтобы понять, что служба Office ATP крайне важна для наших клиентов и их бизнеса, — а значит, мы должны продолжать ее совершенствовать, с тем чтобы обеспечить наилучшую защиту пользователей.  Впервые запустив службу ATP, мы использовали технологию песочницы, эвристический анализ, несколько разных антивирусных подсистем (нашу собственную и в дополнение к ней лучшие в отрасли решения сторонних поставщиков) и репутационные списки. Мы внесли ряд усовершенствований в технологию песочницы, включая более совершенное обнаружение техник избегания песочниц, и это заметно улучшило нашу способность блокировать новое вредоносное ПО.  Также мы регулярно обновляем антивирусные подсистемы и репутационные списки, чтобы предоставлять клиентам только лучшие компоненты для блокировки вредоносного ПО.

В этом году мы наблюдали всплеск кампаний по распространению сложных фишинговых угроз и поэтому сосредоточили усилия на совершенствовании существующих антифишинговых возможностей.  Компонент ATP Safe Links и прежде защищал пользователей от сложных фишинговых атак.  Однако мы выявили дополнительные возможности защиты за счет интеграции платформ. Теперь компонент Microsoft Intelligent Security Graph объединяет сигналы Windows и Office 365.  Такая интеграция привела к экспоненциальному росту числа фишинговых ссылок и веб-сайтов, которые Office 365 Safe Links может отметить как вредоносные. Более глубокая интеграция с Bing и Edge также позволяет нам теперь эффективно блокировать любой сайт, отмеченный поисковой системой либо браузером.  В ближайшие недели Safe Links получит возможность блокировать ссылки в сообщениях, отправленных с внутренних адресов организации: это обеспечит защиту в случае компрометации учетной записи пользователя.  Также в течение всего года мы будем совершенствовать обнаружение фишинга службой ATP за счет более эффективного анализа ссылок в песочнице.  В дополнение к этому до конца текущего календарного года мы добавим новые возможности для обнаружения спуфинга и использования чужих имен (как личных, так и корпоративных).  Более подробно о том, как Microsoft и служба Office ATP помогают бороться со сложными фишинговыми кампаниями, рассказано в недавно выпущенном техническом документе.

Создание возможностей для продуктивной работы

Хотя основная цель службы Office ATP — защита пользователей от сложных угроз, решение Office 365 должно помогать продуктивной работе пользователей.  Решения для защиты, приводящие к ухудшению продуктивности, в конечном счете замедляют работу всей компании.  Когда служба Office ATP с функцией Safe Attachment была запущена впервые, клиенты просили нас поработать над сокращением задержки при доставке сообщений электронной почты с вложениями.  Чтобы поддержать их продуктивную работу, в начале 2017 года мы выпустили компонент Dynamic Delivery.  Однако и после этого наши инженерные группы продолжали активно трудиться над сокращением фактического времени задержки.  Такое взаимодействие разных команд помогает постепенно сокращать время задержки.  Сегодня мы с гордостью можем объявить, что примерное время задержки при проверке вложений электронной почты составляет 60 секунд.  Мы уверены, что такое среднее время задержки как минимум не уступает ни одному из других решений, представленных на рынке отрасли.  Так быстро и эффективно сократить время задержки в течение нескольких месяцев нам удалось лишь за счет концентрации усилий нескольких инженерных отделов.  Мы часто говорим, что интеграция — одно из преимуществ и уникальных качеств наших решений, и такое быстрое сокращение задержки убедительно демонстрирует, как мы объединяем усилия различных инженерных групп, чтобы выполнить пожелания клиентов.  Для пользователей, которым требуется работать с вложениями немедленно после получения электронного сообщения, мы запустили компонент Document Preview.  Он расширяет возможности Safe Attachment, позволяя пользователю просматривать документ из вложения, пока его проверка еще выполняется.  Пользователь не только может просматривать документ, но также взаимодействовать с ним и вносить изменения.  Компоненты Dynamic Delivery и Document Preview позволили нам эффективно устранить возможное негативное воздействие на производительность в ходе проверки вложений.

 

Быстрое сокращение задержки при проверке вложений службой ATP
Быстрое сокращение задержки при проверке вложений службой ATP

Широкий набор функций

Хотя данная статья посвящена в первую очередь безопасности и соблюдению требований в Office 365, важно помнить, что Office 365 — лишь часть гораздо более широкой системы, безопасность которой обеспечивает Microsoft.  Корпорация Microsoft много лет вкладывает значительные средства в разработки для обеспечения безопасности, и мы надеемся, что вы уделите несколько минут и ознакомитесь с некоторыми нашими достижениями на странице  Microsoft Secure.   Также вы можете посмотреть это видео, чтобы расширить ваши представления по следующим темам:

  • Как группы Оперативного центра кибербезопасности Microsoft защищают вас на нашей платформе, обнаруживают угрозы и реагируют на них.
  • Как Центр противодействия киберпреступности Microsoft борется с вредоносными программами, снижает риски использования цифровых технологий и защищает уязвимые группы населения.
  • Как Microsoft использует аналитические данные, получаемые в результате этой деятельности, для защиты своих клиентов.

Обратите внимание, что эта инфраструктура поддерживает все службы безопасности и продолжает расти, так как корпорация Microsoft вкладывает все больше средств в развитие технологий и выделяет все больше ресурсов для обеспечения безопасности вашей организации и пользователей даже в условиях постоянно растущих угроз.  Это отражается также на уровне обслуживания: вы можете отметить быстрое добавление новых возможностей в Office 365 ATP с момента запуска службы.  Мы и далее будем прилагать не меньше усилий и уделять не меньше внимания созданию новых возможностей, доступных через Интернет, и в ближайшие месяцы вас ждет очередное расширение существующих функций. Мы делаем все, чтобы предоставлять нашим клиентам самые современные средства защиты в рамках службы Office 365.

Растущий набор возможностей ATP
Растущий набор возможностей ATP

Мы надеемся, что вы уже воспользовались возможностью опробовать службу Office 365 Advanced Threat Protection в вашей организации.  Если вы еще не работали с Office ATP, обратитесь к своему торговому представителю, чтобы узнать о существующих возможностях, или просто начните работу с бесплатной пробной версии Office 365 E5 и защитите вашу организацию от самых сложных современных угроз уже сегодня.

Впервые опубликовано на официальном блоге Офисное пространство

Связанные посты