Office365自带邮件安全产品的优与劣

电子邮件仍然是企业通信的命脉，但它现在正经历重大转变，向云端的转变。在海外转向邮箱云服务的的企业中，超过一半是Office 365用户。同时也有微软落地在世纪互联的Office365，面向国内的企业用户。基于云的Office365产品能提高了组织的敏捷性并简化了企业应用程序管理。

微软已经尝试通过在其Office 365套件中包含一系列电子邮件安全功能来简化这种过渡，使客户能够摆脱内部部署的安全电子邮件网关 (SEG)。
我们介绍下Office365自带电子邮件安全产品的优势和差距。
01. Exchange在线保护 (Exchange Online Protection)

EOP是一种基于云的电子邮件过滤服务，可帮助保护Office365用户免受垃圾邮件、恶意软件的侵害。企业支付EOP作为E3和E5 O365许可证的一部分。

EOP可防止：垃圾邮件、恶意软件、大规模网络钓鱼活动。

EOP安全功能包括：

反垃圾邮件保护：通过使用 URL 和域列表、内容过滤和连接过滤来阻止垃圾邮件。
反恶意软件保护：包含多个反恶意软件引擎以及可自定义的恶意软件过滤规则。
邮件路由和流量规则：按域、地区、关键字、主题行和其他参数路由和过滤电子邮件。
报告和日志记录：审核日志、基于Web的报告和消息跟踪，提供电子邮件活动可见性。
服务级别协议(SLA)和支持：提供 >99% 的垃圾邮件有效性SLA和100%的病毒检测/阻止SLA。

02. Microsoft Defender for Office365
Microsoft Defender是一种附加安全产品，可防止电子邮件、链接 (URL) 和协作工具构成的恶意威胁。组织支付Defender作为E5 O365许可证的一部分；有两个Defender计划可用。

Microsoft Defender利用威胁情报和机器学习模型来：

检测高级网络钓鱼尝试
阻止零日恶意软件
提供攻击模拟以改善最终用户教育

Microsoft Defender安全功能包括：

安全附件和链接：通过动态分析防止零日恶意软件，并为所有URL提供点击时间验证。
SharePoint、OneDrive和Teams支持：识别并阻止团队网站和文档库上的恶意文件以实现跨平台保护。
反网络钓鱼防护：应用机器学习模型进行高级网络钓鱼防护。
威胁调查和响应：使用威胁情报和实时报告进行威胁识别和分析。
攻击模拟：运行真实的攻击场景以识别组织漏洞。

Office 365自带的电子邮件安全产品还有哪些差距.

虽然电子邮件安全产品已经成熟，但网络犯罪并非一成不变。新的电子邮件威胁使用社会工程学来突破传统的安全控制并产生新的危害。其中包括高级冒充攻击和工资欺诈等。

这些攻击广泛归类在商业邮件欺诈(BEC)下，随着时间的推移已导致数十亿美元的损失。FBI在2020年收到了 19,369件BEC投诉，损失超过18.26亿美元。

让我们看看为什么BEC攻击通常会越过Office 365自带的电子邮件安全控制。

BEC攻击不是使用大规模网络钓鱼攻击的散弹枪方法，而是由攻击者进行的细致基础工作和研究产生的。攻击者通常知道受害者的姓名、职务、上下级关系等，有时甚至知道他们休假的日子。

BEC攻击很少包含包含恶意的URL或附件，尤其是在第一封电子邮件中。在攻击者获得受害者的充分信任后，才可能会在电子邮件中加入链接或附件，看起来是来自受害者认识的人员的请求。

由于BEC攻击量少且精准，因此邮件安全规则不足以捕获它们。这些安全保护技术可能会导致误判或让精心设计的BEC攻击逃脱其控制。

BEC攻击利用人性，依靠诸如紧迫感、权威、说服和恐惧等心理技巧，这些电子邮件中的语言鼓励受害者泄露敏感信息，而不必过度思考。

我们说Office365自带的邮件安全产品还不足以完全检测到BEC攻击，这时候我们可能还需要第三方电子邮件安全产品来为O365用户提供更有效的补充。我们将在后面继续介绍第三方邮件安全产品如何和O365集成，如何为客户提供更好的邮件安全帮助。