MDO-SecOps 02 "Las Cinco Murallas: Arquitectura de Defensa en Profundidad MDO"
Capa 1: Edge / Exchange Online Protection (EOP)
EOP es la primera barrera incluida en todas las licencias Exchange Online. Filtra el volumen más alto del tráfico malicioso con técnicas de bajo costo computacional Exchange Online Protection overview.
Tecnologías activas:
1.1 Connection Filtering (Reputación IP)
- Motor: Microsoft Threat Intelligence.
- Accion: Bloqueo de IPs reportadas maliciosas.
1.2 Email Authentication (SPF/DKIM/DMARC)
- SPF: Verifica dominio autorizado mediante DNS.
- DKIM: Verifica firmas criptográficas.
- DMARC: Indica política ante fallos SPF/DKIM.
- Decisión: Microsoft combina estos métodos con análisis de reputación y contenido Anti-spam message headers.
1.3 Anti-Spam Filtering
- Motores: Reglas + clasificador ML.
- Acciones: Delete, Quarantine, Junk, Prepend subject, Redirect.
- SCL: Rango -1 a 9 permite personalización.
1.4 Anti-Malware (Firmas conocidas)
- Motores: Detección basada en willing signatures.
- Actualización: Cada 1-2 horas. Cobertura sobre amenazas con firma.
- Limitación: No detecta zero-day. Para esos casos existe Safe Attachments Anti-malware protection.
Ejemplo bloqueado:
Envío con dominio typosquatting, SPF fail, sin DKIM, adjunto ejecutable conocido. Bloqueado por Connection Filtering + Anti-Malware.
Capa 2: Safe Attachments
Primera capacidad exclusiva de MDO Plan 1/2, opera detonando adjuntos en sandbox virtual para observar comportamientos maliciosos antes de entregar al usuario Safe Attachments overview.
Componentes:
2.1 Dynamic Delivery
El usuario recibe el email con el adjunto reemplazado por un placeholder durante el análisis.
2.2 Sandbox Detonation
Se ejecuta en VM Windows reales con monitoreo de APIs, cambios en sistema, conexiones de red, etc.
2.3 Tipos de Archivos
Soporta Office, PDF, ejecutables, scripts, comprimidos. Archivos cifrados y >150MB no se analizan (acción configurable) Safe Attachments types of files.
2.4 Acciones Post-Detonación
- Clean: Entrega.
- Malicious: Bloqueo y cuarentena.
- Suspicious: Configurable.
- Timeout/Error: Acciones según reportes o advertencias.
Ejemplo: Un adjunto HTML legítimo pasa capa 1, pero en sandbox se detecta que ensambla malware; es bloqueado.
Capa 3: Safe Links
Permite proteger URLs mediante reescritura y verificación dinámica en el momento del clic, previniendo ataques time-bomb o sitios comprometidos post-entrega Safe Links overview.
Componentes:
3.1 URL Rewriting
Transforma URLs originales a proxys de Safe Links con firma de integridad.
3.2 Time-of-Click Verification
Cuando el usuario hace clic:
- Verifica en feeds de amenazas.
- Realiza detonation si la reputación es desconocida.
- Detecta redirecciones, scripts, forms sospechosos.
3.3 Protección Extendida
Cubre Office, Teams y algunos eventos de terceros vía API Safe Links for Teams.
3.4 Do Not Rewrite Lists
Permite exceptuar URLs internas o socios de confianza, siempre con advertencia operacional.
3.5 Tracking y Reporting
Registra eventos de clicks, bloqueos, y genera alertas de seguridad.
Ejemplo: Email sin inline malware es liberado al inbox, pero Safe Links bloquea un enlace de phishing al hacer click.
Capa 4: Anti-Phishing + Mailbox Intelligence
Analiza contexto, identidad y comportamiento para detectar ingeniería social sofisticada y ataques BEC usando ML Anti-phishing policies in Microsoft Defender for Office 365.
Componentes:
4.1 Impersonation Protection
Detecta imitaciones de usuarios clave (C-level, finanzas) o dominios protegidos mediante algoritmos de similitud y listas protegidas
4.2 Mailbox Intelligence
Aprende relaciones normales de cada usuario; identifica intentos sospechosos de contacto e interacciones inusuales.
4.3 Spoof Intelligence
Cruza autenticación compuesta con comportamiento y contexto, muestra insights de los remitentes y permite decisiones manuales.
4.4 Safety Tips
Muestra banners y advertencias ante señales leves de suplantación, primer contacto o caracteres sospechosos.
Ejemplo: Un remitente con display name del CEO y correo externo es entregado pero marcado con warning.
Capa 5: ZAP (Zero-Hour Auto Purge)
Defensa retroactiva: elimina emails después de entregados cuando nueva inteligencia detecta amenaza Zero-hour auto purge (ZAP).
Arquitectura:
5.1 Triggers
Activa cuando surge nueva firma de malware, cambio de reputación en URL, o campaña detectada.
5.2 Tipos de ZAP
- Phishing ZAP: mueve a Junk o Quarantine.
- Malware ZAP: siempre va a meterse en Quarantine.
- Spam ZAP: mueve a Junk.
5.3 Condiciones que Previenen ZAP
Excluidos: emails movidos por usuario, buzones en hold legal, POP3/IMAP, desactivado via política.
5.4 Auditoría
Registra eventos en Threat Explorer, Audit Log, y tablas de PostDeliveryEvents.
Ejemplo: Email entregado, pero horas después es reclasificado como malware y eliminado retroactivamente.
Notas de Soporte / Insights Estratégicos
Insight 1: Redundancia Asimétrica
Cada capa emplea metodologías distintas, lo que obliga a que el atacante deba evitar múltiples técnicas sucesivas. Si una es evadida, las siguientes pueden detectar el ataque.
| Capa | Metodología | Fortaleza | Debilidad |
|---|---|---|---|
| EOP | Reputación+Firmas | Rápida | No cubre zero-day |
| Safe Attachments | Sandbox | Desconocidos | Latencia |
| Safe Links | URL dinámica | Time-bomb | Requiere clic |
| Anti-Phishing | ML contextual | Ingen. social/BEC | Requiere baseline |
| ZAP | Inteligencia global | Corre erroes previos | Post-compromiso |
Insight 2: Ejemplo Real de Flujo de Decisión
- Email con typo en dominio, adjunto macro, URL sospechosa.
- Capa 1: Pasa.
- Capa 2: Detecta macro y bloquea/quarantina.
- Si no, Capa 3: Bloquea URL de phishing.
- Si no, Capa 4: Detecta suplantación, quarantina.
- Si aún así pasa, Capa 5: ZAP elimina tras places correlacionadas.
Insight 3: Configuración según Postura de Riesgo
| Elemento | Standard Preset | Strict Preset | Recomendación SecOps |
|---|---|---|---|
| Safe Attachments action | Dynamic Delivery | Block | Block (organizaciones reguladas) |
| Safe Links action | On (track clicks) | On (track + block) | On + block + no permitir override |
| Impersonation action | Junk Folder | Quarantine | Quarantine |
| Mailbox Intelligence | Enabled | Enabled + agresivo | Enabled + Priority Accounts |
| ZAP Phishing | Enabled | Enabled | Enabled |
| ZAP Malware | Enabled | Enabled | Enabled (forzado) |
Revisar recomendaciones en políticas Microsoft Preset security policies.
Insight 4: Conexiones Externas
- Relaciona con matrix de amenazas detectadas, operaciones diarias y validación mensual de configuración estricta.
Insight 5: Métricas de Efectividad
Las cinco capas progresivamente minimizan amenazas, siempre dependiendo de configuración, entrenamiento de usuario y hunting.
Diagrama de Flujo Completo
[INTERNET]
│
▼
┌───────────────┐
│ CAPA 1: EOP │
│ IP·SPF·SPAM·AV│
└───────┬───────┘
│
▼
┌───────────────┐
│ CAPA 2: SAFE │
│ Sandbox Deton │
└───────┬───────┘
│
▼
┌───────────────┐
│ CAPA 3: SAFE │
│ Time-of-Click │
└───────┬───────┘
│
▼
┌───────────────┐
│ CAPA 4: ANTI- │
│ Contextual │
└───────┬───────┘
│
▼
[INBOX / QUARANTINE]
│
│ (Post-entrega)
▼
┌───────────────┐
│ CAPA 5: ZAP │
│ Retroactive │
└───────────────┘
Cinco capas. Cinco metodologías. Una sola misión: minimizar el riesgo de llegada de amenazas al usuario final. El próximo bloque revela cómo estas capas operan en ciclo continuo: PREVENT → DETECT → INVESTIGATE → RESPOND → IMPROVE.