Contact

Blog Identiteit & veiligheid


Vrijwel elke dag hoor je wel iets over een nieuwe malware aanval. Het goed beveiligen van e-mailverkeer is dan ook cruciaal voor elke organisatie. Hoewel e-mail filters steeds vaker goed zijn in het ontdekken van malware aanvallen houden ze phishing aanvallen niet tegen.

Het feit dat deze filters een phishing aanval niet uit sluiten zal voor de meeste mensen geen verassing zijn. Je kunt namelijk een bijna foutloze beveiligsoplossing bouwen, maar een menselijke fout zit altijd in een klein hoekje. Waarom zou je als cybercrimineel proberen een complex altoritme te omzeilen als je gewoon iemand in de luren kunt leggen?

Deze steeds verbeterende filters betekenen natuurlijk niet dat spam en malware geen problemen meer zijn en ook niet dat ze geen risico vormen voor jouw organisatie. Maar het geeft wel aan dat we ons nog beter moeten wapenen tegen phishing aanvallen. Met de nieuwe mogelijkheden van Office 365 Advanced Threat Protection (ATP) kun je toch veilig werken zonder dat dit ten koste gaat van de gebruikersvrijheid.

Anti-phishing beleid

ATP heeft de mogelijkheid een anti-phishing beleid aan te maken. Wanneer deze optie beschikbaar is vind je die terug in de Security & Compliance Center onder Beleid. Wanneer je de eerste keer een nieuw anti-phishing beleid aanmaakt dan kan dat wat verwarrend zijn.

Eerst geef je een naam aan jouw imitatiebeleid, en vervolgens voeg je gebruikers toe die je wilt beschermen. Let wel: dit zijn de e-mail adressen die je wilt beschermen tegen imitatie aanvallen. Dit zijn niet de gebruikers die daadwerkelijk een phishing e-mail ontvangen. Denk bijvoorbeeld aan de CFO of andere leidinggevenden.

Hoe werkt dit?

Als we bijvoorbeeld niet willen dat er phishing mails worden verstuurd in naam van de HRM afdeling met de bedoeling om toegang te krijgen tot persoonsgegevens dan voegen we dat e-mail adres toe aan dit beleid. Nu kiezen we de vervolgstappen. Er kunnen afzonderlijke vervolgstappen worden bepaald voor gebruikers en domeinen. De mogelijke vervolgstappen zijn:

  • Bericht in de ‘Ongewenste e-mail’ folder zetten
  • E-mail naar een ander e-mail adres omleiden
  • Bericht versturen en andere adressen in de BCC zetten
  • Het bericht in quarantaine zetten (de gebruiker kan zelf het bericht nog vrijgegeven en vesturen)
  • Geen actie ondernemen (de gebruiker ontvangt nog steeds phishing beschermingstips).

De juiste actie is afhankelijk van het veiligheidsrisico’s voor de gebruiker en de domeinen die je wilt beschermen. Als iemand een phishing bericht ontvangt en deze in de ‘Ongewenste e-mail’ folder wordt geplaatst dan is de kans aanwezig dat de gebruiker deze phishing e-mail alsnog opent. Het is dus nog mogelijk dat de gebruiker alsnog in de phishing aanval trapt.

Als je er echter voor kiest om het bericht om te leiden naar een ander e-mail adres dan is het mogelijk dat belangrijke, tijdsgevoelige aanvragen worden gemist. Voor de meeste gebruikers zal een phishing training en het in quarantaine zetten van e-mails genoeg zijn.

Onderaan de acties vind je de link om veiligheidstips aan of uit te zetten. Dit zijn drie tips en ze staan standaard aan.

De volgende stap is postvakanalyse te bepalen. Deze is standaard ingeschakeld. Hier wordt het normale verkeer van de mailbox gebruikt om beter te kunnen bepalen wat eventuele phishing aanvallen kunnen zijn. Als jij bijvoorbeeld nog nooit een e-mail hebt gehad van de HRM afdeling dan zal er een waarschuwing staan bij de e-mail.

Vervolgens kun je “vertrouwde afzenders” en domeinen toevoegen. Hierdoor kun je het anti-phishing beleid voor bepaalde ‘veilige’ gebruikers negeren.

Vervolgens bepaal je de geadresseerden waar het beleid op draait. Dit zijn de geadresseerden die je wilt beschermen tegen het ontvangen van phishing e-mails. Deze optie is hetzelfde als het andere ATP beleidvorming. Nu kun jij beleid maken dat betrekking heeft tot:

  • Specifieke geadresseerden
  • Geadresseerden die onderdeel zijn van een groep
  • Geadresseerden binnen een bepaald domein

Vervolgens bekijk jij de instelling en kun je het beleid live zetten. Als je meer dan één beleid live hebt kun je bepalen in welke volgorde deze worden verwerkt. We verwachten dat ATP anti-phishing zich blijft ontwikkelen en ook de nieuwste aanvallen kan gaan blokkeren. Heb je Office 365 ATP al aanstaan? Dan is het aan te raden een anti-phishing beleid zo snel mogelijk aan te maken. Maak je nog geen gebruik van ATP en wil je hier meer over weten? Neem dan vrijblijvend contact met ons op.  


Vragen over ATP? Stel ze hier