Giới thiệu về Safe Links
Safe Links là một tính năng bảo mật quan trọng trong Microsoft Defender for Office 365 (MDO), giúp bảo vệ người dùng trước các liên kết độc hại trong email và tài liệu.
Phishing (lừa đảo qua email) hiện là một trong những mối đe dọa lớn nhất đối với mọi tổ chức, và việc triển khai Safe Links được xem là một trong những biện pháp phòng thủ hiệu quả nhất nhằm ngăn chặn các cuộc tấn công kiểu này.
Bài viết sẽ đi sâu phân tích cơ chế kỹ thuật của Safe Links, lợi ích bảo mật mà nó mang lại, cũng như cách triển khai cấu hình Safe Links trên Microsoft 365. Chúng ta cũng sẽ so sánh sự khác biệt giữa Plan 1 và Plan 2, chia sẻ tình huống thực tế, kinh nghiệm triển khai, các hạn chế cần lưu ý, cùng những khuyến nghị & best practices giúp tận dụng tối đa tính năng này. Đặc biệt, bài viết có phần chuyên sâu về Kusto Query Language (KQL) để phân tích log Safe Links, dành cho các chuyên gia bảo mật muốn khai thác dữ liệu sự kiện Safe Links một cách chi tiết.
Cơ chế hoạt động
Về cơ bản, Safe Links quét và phân tích các URL trong email, Teams và tài liệu Office của tổ chức. Khi một email đến hộp thư với Defender for Office 365, mọi liên kết trong email đó sẽ được quét và có thể được ghi đè (rewrite) thành một URL an toàn trước khi tới tay người nhận. URL sau khi ghi đè sẽ mang một tiền tố đặc biệt https://<Datacenterlocation>.safelinks.protection.outlook.com/…, ví dụ https://nam01.safelinks.protection.outlook.com cho biết liên kết này đã được Safe Links xử lý. Khi người dùng bấm vào liên kết, hệ thống sẽ kiểm tra lại URL đó trong thời gian thực. Đây chính là cơ chế “time-of-click verification” – kiểm tra vào thời điểm nhấn chuột.
Đây là một cơ chế cực kỳ hữu ích để phòng ngừa những liên kết URL độc hại sau khi chúng đến hộp thư. Cụ thể, ban đầu những kẻ tấn công sẽ gửi URL vô hại trong email để có thể vượt qua các bước phòng thủ của các hệ thống bảo mật, và sau đó chúng sẽ vũ khí hóa những URL này liên kết đến các tác nhân độc hại.
Phạm vi bảo vệ
Safe Links bảo vệ các liên kết trên nhiều ứng dụng Microsoft 365 như:
- Email (Exchange Online): Các liên kết trong email (bao gồm cả email nội bộ nếu được bật) đều được Safe Links ghi đè và kiểm tra trước khi truy cập. Lưu ý Safe Links chỉ hỗ trợ các định dạng liên kết dùng giao thức HTTP/HTTPS/FTP, không bảo vệ các URL trong email dạng Rich Text (RTF/TNEF) hoặc email đã được mã hóa S/MIME.
- Microsoft Teams: Các URL được gửi trong cuộc trò chuyện Teams (chat, channel) sẽ được kiểm tra tự động khi nhấn vào nhưng không bị ghi đè.
- Các ứng dụng Office (Word, Excel, PowerPoint): Các liên kết trong tài liệu Office cũng được bảo vệ. Nếu người dùng mở tài liệu Office (trên desktop, web hoặc mobile) và bấm vào một liên kết bên trong, Safe Links sẽ kiểm tra liên kết đó (yêu cầu người dùng đã đăng nhập bằng tài khoản Microsoft 365 và được áp dụng chính sách Safe Links).
Lợi ích bảo mật
Triển khai Safe Links đem lại nhiều lợi ích thiết thực cho bảo mật doanh nghiệp, đặc biệt trong việc chống các cuộc tấn công lừa đảo qua email:
- Chặn đứng các cuộc tấn công phishing có chứa URL độc hại: Nhờ kiểm tra URL ngay trước khi người dùng truy cập, Safe Links có thể chặn kịp thời những liên kết dẫn tới trang web giả mạo (phishing site) hoặc trang phân phối phần mềm độc hại (malware). Điều này giảm thiểu đáng kể nguy cơ người dùng vô tình tiết lộ thông tin nhạy cảm hoặc nhiễm mã độc chỉ vì một cú nhấp chuột nhầm.
- Bảo vệ cả trước các mối đe dọa động (dynamic) theo thời gian: Một thủ đoạn tinh vi của kẻ tấn công là gửi email với liên kết ban đầu chưa bị phát hiện là độc hại, sau đó mới vũ khí hóa (weaponize) liên kết. Ví dụ như đổi nội dung trang web thành trang lừa đảo sau khi email đã vào hộp thư nạn nhân. Safe Links hiệu quả trong trường hợp này vì nó không chỉ quét lúc email đến, mà còn kiểm tra lại lúc người dùng nhấn chuột. Như vậy, dù liên kết trở nên nguy hiểm vài giờ hay vài ngày sau khi gửi, Safe Links vẫn có thể phát hiện và block trong thời gian thực.
- Phạm vi bảo vệ rộng và đồng nhất: Safe Links hoạt động trên nhiều dịch vụ Microsoft 365 (Email, Teams, Office) nên đảm bảo người dùng đi tới đâu cũng được bảo vệ. Người dùng có thể yên tâm bấm vào các liên kết trong tài liệu Word, hoặc trong cuộc họp Teams, với mức an tâm tương tự như khi bấm vào liên kết trong email, vì tất cả đều qua cơ chế Safe Links. Điều này tạo ra một môi trường làm việc an toàn đồng nhất, giảm khe hở bảo mật giữa các ứng dụng khác nhau.
- Giúp phát hiện tài khoản nội bộ bị xâm nhập: Khi Safe Links được cấu hình để bảo vệ cả email nội bộ, nó còn giúp ngăn chặn các tấn công xuất phát từ tài khoản nhân viên đã bị xâm nhập. Ví dụ, nếu tài khoản của một nhân viên bị tin tặc chiếm quyền và gửi email chứa link độc hại cho đồng nghiệp, Safe Links vẫn có thể chặn các link đó. Nhờ đó, thiệt hại do tấn công lừa đảo được hạn chế.
- Tích hợp Threat Intelligence của Microsoft: Safe Links sử dụng dữ liệu threat intelligence khổng lồ từ Microsoft (bao gồm thông tin về các URL xấu được thu thập trên toàn cầu. Microsoft cũng liên tục học hỏi từ hàng tỷ email để cập nhật các mô hình máy học phục vụ việc nhận diện URL lừa đảo một cách chủ động.
- Báo cáo và khả năng truy vết: Safe Links ghi lại nhật ký mọi lần nhấp chuột và hành động đối với mỗi URL. Quản trị viên có thể sử dụng các báo cáo thời gian thực để thấy được có bao nhiêu liên kết bị chặn, bao nhiêu lần người dùng cố truy cập trang độc hại,… Nhận thức này giúp đội ngũ bảo mật hiểu rõ mức độ tấn công nhắm vào tổ chức và hiệu quả của các chính sách bảo vệ.
Tóm lại, Safe Links chủ động bảo vệ người dùng cuối trước liên kết độc hại, và cung cấp thông tin để đội bảo mật nâng cao khả năng phát hiện, phản ứng. Đây là một thành phần quan trọng trong chiến lược bảo vệ nhiều lớp (defense-in-depth) của Microsoft 365, kết hợp cùng các biện pháp khác như Safe Attachments (quét file đính kèm) và Anti-phishing (chống lừa đảo) để tạo nên lá chắn toàn diện.
Giấy phép và so sánh
Giấy phép
Để sử dụng được Safe Links, tổ chức cần có bản quyền Microsoft Defender for Office 365 Plan 1 hoặc Plan 2 cho người dùng tương ứng.
Tính năng này tích hợp sẵn trong một số gói như Microsoft 365 Business Premium, Office 365 E5, Microsoft 365 E3/E5,…hoặc có thể mua rời dưới dạng add-on cho các gói Microsoft 365 chưa tích hợp sẵn.
Để tạo, cấu hình, chỉnh sửa các chính sách của Safe Links yêu cầu quản trị viên cần có quyền tối thiểu Security Administrator.
So sánh MDO Plan 1 và MDO Plan 2
| Defender for Office 365 Plan 1 | Defender for Office 365 Plan 2 |
Các khả năng về ngăn chặn và phát hiện:
Các khả năng điều tra và phản hồi: |
Tất cả chức năng của Defender for Office 365 Plan 1
— cộng thêm — Các chức năng ngăn chặn và phát hiện: Các khả năng điều tra và phản hồi: |
Cách triển khai và cấu hình Safe Links
Triển khai Safe Links dựa trên các preset bảo mật tích hợp sẵn
Mặc dù Microsoft không có sẵn chính sách Safe Links theo mặc định nhưng nếu bạn đã kích hoạt Built-in protection (một preset có sẵn) thì chính sách này sẽ tự động cung cấp chức năng Safe Links cho mọi người dùng.
Trên MDO sẽ gồm có 3 preset chính là:
- Standard preset (chính sách bảo mật cài ở chế độ Tiêu chuẩn)
- Strict preset security policy (chính sách bảo mật ở chế độ Nghiêm ngặt)
- Built-in protection preset security policy (chính sách bảo mật có sẵn Bảo vệ tích hợp sẵn). Preset này cung cấp các bảo vệ Safe Attachments và Safe Links trong Defender for Office 365 cho tất cả người dùng
- Không bị loại trừ khỏi Bảo vệ tích hợp.
- Không nằm trong chính sách Standard hoặc Strict.
- Không nằm trong các chính sách Safe Attachments hoặc Safe Links tùy chỉnh.
Quản trị viên có thể truy cập portal Microsoft 365 Defender (https://security.microsoft.com) và điều hướng tới Email & Collaboration > Policies & Rules > Threat Policies > Preset Security Policies
Tại đây sẽ gồm 3 preset là Built-in protection, Standard protection, Strict protection trong đó Built-in protection là cơ chế mặc định được kích hoạt trên tất cả các tenant Microsoft 365 có tích hợp Defender for Office 365.
Bài viết minh họa Cấu hình Strict Protection
Chọn Manage protection settings, trong giao diện hiện ra cấu hình các thẻ sau:
- Exchange online protection: chọn danh sách các hộp thư người dùng sẽ bảo vệ thông qua cơ chế Exchange Online Protection gồm All recipients (tất cả người dùng), Specific recipients (một vài người dùng cụ thể) hoặc None (không bảo vệ ai cả). Lưu ý có thể bảo vệ người dùng theo nhóm (Groups) và theo tên miền (Domains).
- Defender for Office 365 protection: chọn danh sách người dùng sẽ được bảo vệ bằng hai chức năng Safe Links và Safe Attachments.
- Impersonation protection: cơ chế bảo vệ chống mạo danh. Tính năng này xác định các email có thông tin người gửi được tạo ra giống với người gửi hợp pháp. Tại đây gồm có 2 thiết lập chính:
- Add email addresses to flag when impersonated by attackers: Thêm địa chỉ email nội bộ hoặc bên ngoài của những người có thể bị kẻ tấn công mạo danh, chẳng hạn như các giám đốc điều hành cấp cao, thành viên hội đồng quản trị và những người khác giữ vai trò quan trọng. Các tin nhắn được phát hiện có người gửi mạo danh sẽ bị cách ly.
- Add domains to flag when impersonated by attackers: Các tên miền này có thể là của tổ chức hoặc tên miền thuộc về các nhà cung cấp và đối tác. Các tin nhắn được phát hiện có tên miền người gửi giả mạo sẽ bị cách ly.
- Add trusted email addresses and domains to not flag as impersonation: danh sách người gửi và tên miền tin cậy. Các tin nhắn email từ những người gửi này sẽ không bị gắn cờ là mạo danh.
- Policy mode: chọn cơ chế là Turn on the policy when finished (Kích hoạt chính sách khi hoàn thành) hoặc Leave it turned off (Tắt chính sách, cấu hình nhưng chưa sử dụng liền).
Cuối cùng xem lại các thiết lập ở trang Review and confirm your changes > Confirm.
Cấu hình chính sách Safe Links tùy chỉnh
Truy cập Email & Collaboration > Policies & Rules > Threat Policies > Safe Links.
Quá trình tạo một policy Safe Links gồm các bước chính sau đây:
- Bước 1: Naming your policy
Nhập tên và mô tả cho chính sách để dễ quản lý.
- Bước 2: Users and domains
Chọn phạm vi người dùng và tên miền sẽ áp dụng chính sách. Với thiết lập này, tổ chức có thể linh hoạt áp dụng cho toàn bộ công ty hoặc chỉ nhóm/người dùng cụ thể. Best practice là áp dụng theo nhóm hoặc tên miền, tránh áp dụng từng người lẻ vì khó quản lý về sau. Ví dụ, có thể có chính sách riêng cho nhóm nhân sự cao cấp với các cài đặt nghiêm ngặt hơn so với nhân viên thông thường. Nếu có nhiều chính sách chồng chéo lên nhau (một người thuộc hai hoặc nhiều nhóm chính sách, thì độ ưu tiên (priority) của policy sẽ quyết định chính sách nào sẽ có hiệu lực.
- Bước 3: URL & click protection settings
Đây là các thiết lập cốt lõi quyết định Safe Links sẽ làm gì trên Email, Teams, Office 365 Apps. Gợi ý nên đánh chọn vào tất cả các tùy chọn để kích hoạt bảo vệ toàn diện
-
- Email: Một số tùy chọn quan trọng như:
- Safe Links checks a list of known, malicious links when users click links in email. URLs are rewritten by default: Khi người dùng bấm vào link trong email, hệ thống sẽ kiểm tra link có độc hại không. Link sẽ được ghi đè (đổi sang link kiểm tra an toàn).
- Apply Safe Links to email messages sent within the organization: Áp dụng Safe Links cho cả email nội bộ trong công ty.
- Apply real-time URL scanning for suspicious links and links that point to files: Quét link theo thời gian thực để phát hiện link đáng ngờ và link dẫn đến tập tin độc hại.
- Wait for URL scanning to complete before delivering the message: Chờ quét link xong mới chuyển email đến người nhận. Tùy chọn này có thể khiến email đến hộp thư của người dùng chậm hơn, nhưng bù lại sẽ an toàn hơn.
- Do not rewrite URLs, do checks via Safe Links API only: Không viết lại link, chỉ kiểm tra bằng Safe Links API. Link trong email giữ nguyên.
- Do not rewrite the following URLs in email: cho phép nhập các URL/domain đáng tin cậy mà bạn muốn bỏ qua Safe Links (không bị ghi đè và không bị chặn). Chỉ thêm vào khi chắc chắn URL đó an toàn, vì những URL này sẽ không được quét. Best practice là giữ danh sách này càng nhỏ càng tốt, tránh lạm dụng.
- Safe Links checks a list of known, malicious links when users click links in email. URLs are rewritten by default: Khi người dùng bấm vào link trong email, hệ thống sẽ kiểm tra link có độc hại không. Link sẽ được ghi đè (đổi sang link kiểm tra an toàn).
- Teams:
- Safe Links checks a list of known, malicious links when users click links in Microsoft Teams. URLs are not rewritten: Bật Safe Links cho Microsoft Teams, link sẽ được kiểm tra khi bấm, không viết lại link.
- Office 365 Apps:
- Safe Links checks a list of known, malicious links when users click links in Microsoft Office apps. URLs are not rewritten: Bật Safe Links cho các ứng dụng Office, kiểm tra link khi bấm, không viết lại link.
- Click protection settings: các thiết lập khi người dùng nhấn vào link
- Track user clicks: theo dõi hành vi nhấn vào link của người dùng
- Let Users click through to the original URL: Cho phép người dùng có thể nhấn vào link để mở link gốc.
- Display the organization branding on notification and warning pages: hiển thị logo/nhận diện công ty trên trang cảnh báo/thông báo. Bạn có thể sử dụng thông báo mặc định khi Safe Links chặn (trang web Microsoft hiển thị bằng tiếng Anh), hoặc tùy chỉnh thông điệp.
- Track user clicks: theo dõi hành vi nhấn vào link của người dùng
- Email: Một số tùy chọn quan trọng như:
Xem lại các lựa chọn trên màn hình tổng quan cuối cùng và nhấn Submit để tạo chính sách mới. Sau đó, policy mới sẽ xuất hiện trong danh sách với một độ ưu tiên cụ thể.
Thêm domain tùy chỉnh để chặn trong Safe Links
Bên cạnh các tên miền được MDO tự động xác định nguy hiểm và chặn đứng, tổ chức có thể thêm các tên miền tùy chỉnh để chặn đính kèm trong email theo nhu cầu sử dụng riêng.
Trong giao diện Threat policies chọn Tenant Allow/Block Lists
Trong giao diện Tenant Allow/Block Lists, chọn thẻ URL > Add > Block. Nhập các trang web muốn chặn vào khung Add URLs with wildcard (20 max), thời gian chặn và mở chặn (Remove block entry after) cùng một số ghi chú vào ô Optional note. Sau khi cấu hình xong chọn Add.
Kiểm tra hoạt động của Safe Links
Khi người dùng nhấn vào link trong email, Teams, Office Apps có chứa đường link độc hại sẽ nhận cảnh báo như bên dưới.
Các liên kết khi được kiểm tra với Safe Links sẽ có thông báo Verifying link từ Microsoft Defender for Office 365.
Tham khảo
