L'impennata degli attacchi di phishing impone agli amministratori di trovare delle soluzioni per abbassare la soglia di rischio per la propria azienda. Dove filtri e soluzioni per le email non sono sufficienti, si può agire a livello di applicazioni. Quasi sempre gli attacchi di phishing spingono gli utenti ad accedere a un sito Web o ad aprire un documento di Office.

Concentriamoci su quest'ultimo caso, che è molto frequente. Quasi sempre l'apertura di un documento di Office richiama uno script, che esegue macro nascoste e dannose. La prima domanda da porsi è quindi se tutti i dipendenti abbiano davvero bisogno di una versione completa di Office. La prima mossa da fare è limitare l'uso delle macro solo ai dipendenti che ne hanno bisogno per la loro produttività.

In presenza di un'infrastruttura tradizionale, per limitare l'uso delle macro di Office è sufficiente agire sui Criteri di gruppo. Questa possibilità esiste fin da Office 2010, perché l'uso delle macro come minacce è nota da tempo. Non solo. Da Office 2016 gli amministratori possono bloccare le macro nei documenti provenienti dal Web.
Una misura ancora più estrema è passare a una versione di Office basata sul web. Non essendo installata direttamente nel sistema, è facile disporre che venga eseguita in modalità sandbox. Da notare che Microsoft ha recentemente rilasciato in anteprima una nuova funzionalità di abbonamento a Microsoft 365 E5 chiamata Safe Documents. Il servizio verifica i documenti Excel, PowerPoint e Word prima che l'utente possa aprirli.

Un altro servizio in anteprima è Application Guard per Office 365 Pro Plus, che esegue Office in un ambiente sandbox. La funzione è simile a Windows Defender Application Guard per il browser Edge. Posiziona i documenti dannosi in una sandbox di modo che non possano danneggiare il sistema.

Chi dispone di una licenza Microsoft 365 E5 può abilitare l'anteprima tramite il Centro sicurezza di Office 365. L'impostazione da attivare è "Safe Documents for Office clients". Quella da disabilitare è "Allow people to click through Protected View even if Safe Documents identifies the file as malicious". Per usufruire di Application Guard è necessario iscriversi alla beta privata.

È importante sapere che si possono combinare diverse versioni delle licenze all'interno di Office 365. Così facendo si può dare priorità alla protezione di Office per determinati utenti e abilitare le versioni Web della piattaforma Office per gli altri.

Oltre ai provvedimenti concreti, è indispensabile l'attività di formazione. È bene spiegare ai dipendenti come possono apparire i file dannosi e come gestirli. Gli indizi sono da ricercare anche negli allegati provenienti dai mittenti noti.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.