Advanced Threat Protection: Safe Links & Safe Attachments

Was ist ATP – Advanced Threat Protection?

ATP steht für Advanced Threat Protection. Es handelt sich hierbei um ein Paket von Microsoft in Office 365, welches die eigene Organisation vor bösartigen Bedrohungen von außen schützen soll. Neben dem Schutz in den E-Mail Funktionalitäten können zum Beispiel auch verdächtige Nutzeraktionen, plötzlich abweichende Berechtigungen im Active Directory und Anmeldefehlversuche automatisch überwacht und erkannt werden. Tritt ein Risiko auf, werden die Informationen an einen festgelegten Administrator geschickt.
Mit Blick auf die E-Mail Schutzfunktionalitäten wird der Nutzer nicht nur beim Arbeiten in seinem Posteingang behütet, sondern auch wenn die Applikationen SharePoint, OneDrive und Microsoft Teams genutzt werden.

Wie funktioniert ATP Safe Attachements?

Die klassische Prüfung von Nachrichten basiert auf Signaturen, die von den Antivirus Systemen aus vorhandenen Datenbanken gegen die Anhänge geprüft werden. Mit dieser Technologie sind neue Infektionen nie direkt in den Datenbanken vorhanden, wodurch diese nicht erkannt werden können. Genau bei dieser Problematik setzt die Technologie von Microsoft an. Anhänge werden mit ATP nicht abgeglichen, sondern in einer Sandbox Umgebung geprüft. Dabei wird die Datei in der geschützten Umgebung ausgeführt. Nach der Ausführung wird protokolliert ob in der Umgebung unerwartete Änderungen vorgenommen werden oder ob ein Produkt etwa „nach Hause telefonieren“ möchte. Wird also zum Beispiel ein ganz normales Word Dokument geöffnet, wird der Anhang zugestellt. Wird beim Öffnen jedoch ein Makro ausgeführt was einen Virus nachladen will, wird das Verhalten von ATP erkannt. Wie beim Fund einer infizierten Nachricht vorgegangen werden soll, kann über das Security & Compliance Center gesteuert werden.

Da die Zustellung einer Nachricht zum Empfänger durch die Kontrolle verzögert wird, lässt sich unter Anderem festlegen, dass die Nachricht zuerst ohne Anhang zugestellt und nach erfolgreicher Prüfung der Anhang nachgereicht wird.

Im Beispiel aus dem Screenshot ist festgelegt, dass der Empfänger den Original Anhang nicht erhält. Dieser wird dann an eine festgelegte E-Mail Adresse zur Prüfung weiter gereicht.

Die Einstellungen können entweder für die ganze Office 365 Umgebung, für einzelne Gruppen oder für einzelne Personen vorgenommen werden. Da sich mehrere Regeln anlegen lassen, kann das Verhalten von RTP entsprechend flexibel gesteuert werden.

Ein weiterer toller Punkt ist die Option Dateien aus SharePoint, OneDrive und Teams scannen zu lassen.

Microsoft schreibt zur Erklärung der Technik auf seiner Produktseite (Klick), dass nicht jede einzelne Datei gescannt wird. ATP wird bei den Tools für die Zusammenarbeit erst tätig, wenn Dateien geteilt werden oder Dateien durch Gäste hochgeladen werden. Auch hierbei läuft ein intelligenter Algorithmus im Hintergrund, der entscheidet, ob eine Datei gescannt werden muss oder nicht.

Wie funktioniert ATP Safe Links?

Die Technologie Safe Links überprüft die Ziele von Links aus E-Mails und Office Dokumenten auf bedrohliches Verhalten. Die Technologie stützt sich dabei auf Hilfsmittel, wie Datenbanken, aus denen bekannte Definitionen hervorgehen, sowie intelligente Mechanismen, die wie bei den Safe Attachements in einer Sandbox Umgebung prüfen, wie sich die Webseite oder die heruntergeladene Datei verhält. Folglich dauert es einen kleinen Moment länger bis eine Webseite geöffnet oder ein Download gestartet wird. Technisch gesehen wird der Link von Office 365 im Hintergrund umgeschrieben. Wenn der Nutzer den Link anklickt, wird die Navigation zuerst über die Schutzmechanismen geleitet. Der Nutzer merkt diese Umleitung optisch nur durch die veränderte Adresszeile im Browser.

Die ursprüngliche Webseite wird nach erfolgreicher Prüfung geöffnet.

Sollte die Webseite nicht sicher sein, bekommt der Nutzer eine ausdrucksstarke Fehlermeldung:

Quelle

Wird der Link aus Outlook herauskopiert, kann man sich die im Hintergrund liegende Safelink URL anschauen.

Konfigurieren lässt sich das Feature über das Office 365 Security & Compliance Center. Hier können neben einer URL-Blacklist verschiedene Regeln, wie bei den Safe Attachements für die Zielgruppen Nutzer, Benutzergruppe und die ganze Domäne festgelegt werden.

Unterm Strich lässt sich sagen, dass die Funktionalitäten des Microsoft Advanced Threat Protection Pakets einen enormen Sicherheitsgewinn bringen. Dies wird dadurch gewährleistet, dass jede Datei und jeder Link proaktiv in einer Sandbox Umgebung geprüft wird.

Enthalten ist ATP in den Plänen Office 365 Enterprise E5, Office 365 Education A5 und Microsoft 365 Business. Wird ein niedrigerer Plan verwendet, lässt sich ATP einfach dazu kaufen. Hierfür bietet Microsoft zwei Pläne mit unterschiedlichem Funktionsumfang an.

Wenn Sie Fragen haben oder in Erwägung ziehen das Produkt bei Ihnen einzusetzen, sprechen Sie uns einfach an. Wir helfen Ihnen gerne von der Beratung bis zur Einrichtung.

Fragen zum Thema?

Gemäß geltendem Datenschutz möchten wir Sie über unsere Datenverarbeitung aufklären. Dies entnehmen Sie bitte der Datenschutzerklärung. Sollten Sie mit der Verarbeitung gemäß unserer Datenschutzerklärung einverstanden sein, aktivieren sie bitte das Auswahlkästchen