Microsoft Defender – Forsvar på tvers av angrepskjeder
Microsoft har endelig lyktes med å samle alle sine sikkerhetsprodukter under paraplyen Microsoft Defender, med ett unntak: Microsoft Sentinel, som opprinnelig het Azure Sentinel. Microsoft Cloud App Security er nå Microsoft Defender for Cloud Apps. Azure Security Center og Azure Defender er blitt til Microsoft Defender for Cloud. Azure Defender for IoT heter Microsoft Defender for IoT. Det er en imponerende portefølje som bidrar til å danne et lagdelt dybdeforsvar på tvers av skyplattformer, lokal infrastruktur og angrepskjeder. Sammen med funksjoner i Azure Active Directory (AD), som betinget tilgang, multifaktor-autentisering (MFA) og identitetsbeskyttelse, utgjør de grunnlaget for å implementere Microsofts forståelse av sikkerhetsmodellen Zero Trust.
Innsiderisikoer og eksterne trusler
Microsoft Defender med Microsoft Sentinel gir avansert ende-til-ende-beskyttelse mot mangfoldet av angrepsteknikker, både utenfra og fra innsiden. Angripere er fleksible og kan benytte en rekke metoder under en angrepskjedesekvens for å nå sitt endelige mål – som oftest for å stjele data eller å plante løsepengevirus. Microsoft tilbyr et integrert sett med utvidet deteksjon og respons (XDR) og SIEM/SOAR-funksjoner som gir varsler av høy kvalitet med få falske positiver, samt automatiserte undersøkelses- og utbedringsmekanismer. Disse verktøyene er utviklet for å fungere sammen og inkluderer:
- Microsoft Defender for Office 365(MDO) beskytter mot angrep i e-post, SharePoint, Teams, OneDrive og andre Office 365-funksjoner.
- Microsoft Defender for Endpoint (MDE) sørger for endepunktsdeteksjon og -respons (EDR) på arbeidsstasjoner, bærbare, mobilenheter og servere.
- Microsoft Defender for Identity (MDI) dekker identitetsstadiene i et angrep i lokale Windows AD-nettverk. Azure AD Identity Protection foretar tilsvarende trusseloppdagelser i skyen.
- Microsoft Defender for Cloud Apps (MDCA) fungerer som sikkerhetsmegler for skytilgang, med funksjoner for å avdekke skygge-IT, overvåke og kontrollere sesjoner og sørge for informasjonsbeskyttelse og hindring av datatap.
- Microsoft Defender for Cloud (MDC) sikrer virtuelle maskiner, SQL-servere, containere og lagringsområder med mer.
- Microsoft Defender for IoT (MDIT) håndterer oppdagelse av aktiva og trussel-administrasjon for IoT-enheter. Den beskytter mot angrep på operasjonell teknologi (OT), som forstyrrelse av fabrikk- og kraftproduksjon og medisinsk utstyr.
Microsoft Sentinel stiller i en klasse for seg selv og gir enhetlig synlighet for disse verktøyene, samt hendelseslogger og varsler fra andre sikkerhetsverktøy, forretningsapper, nettverksenheter med mer. Sentinel er Microsofts neste-generasjons skybaserte SIEM- og SOAR-løsning. SIEM står for Security Information and Event Management eller sikkerhetsinformasjon og hendelseshåndtering. Den sørger for overvåking, deteksjon og varslinger av hendelser, sammen med en omfattende og sentralisert oversikt over sikkerheten i din IT-infrastruktur. SOAR betegner Security Orchestration, Automation and Response eller sikkerhetsorkestrering, automatisering og respons.
Anatomien i et angrep
En kort illustrasjon kan vise hvordan disse verktøyene fungerer sammen for å holde organisasjonen sikker og redusere mengden repeterende oppgaver for analytikere:
- Angrep. Bruker sjekker personlig webmail fra bedriftsenheten og åpner et vedlegg med skadelig programvare, utformet for å unngå tradisjonelle virussignaturer og detonasjonskammeret i Defender for Office 365.
- Deteksjon. Defender for Endpoint oppdager at vedlegget inneholder en trojaner, undersøker den, oppretter en automatisert sekvens for å rette opp trusselen og ber en analytiker om å godkjenne utbedringen, noe som også kan skje automatisk.
- Informasjonsdeling. Defender for Endpoint gir opplysninger om den nye skadevaren til Microsofts systemer for trusselintelligens og utløser andre Microsoft-sikkerhetsfunksjoner (MDE, MDO, MDCA, MDI osv.), som søker etter lignende skadelig programvare på tvers av kunder og rydder opp i postbokser, enheter, skyen og tjenester.
- Skadebegrensning. Inntil analytikeren godkjenner utbedringen, blokkerer Azure AD Conditional Access tilgangen til bedriftsapplikasjoner fra denne enheten. Når Defender for Endpoint kommuniserer at alt er klart for enheten, gjenoppretter Azure AD brukertilgang.
- Ytterligere utbedring. En automatisert arbeidsflyt i Microsoft Sentinel utløses for å modifisere Palo Alto-brannmuren, som blokkerer IP-adressene til angriperens kommando-og-kontroll server (C2).
Innside-risikostyring
Organisasjoner står også overfor innsiderisikoer der pålitelige innsidere med tilgang til sensitive ressurser kan velge å misbruke tilliten av en rekke årsaker. Intern risikostyring i Microsoft 365-Samsvar bidrar til å minimere risikoene ved å gjøre det mulig for deg å oppdage, undersøke og reagere på ondsinnete og utilsiktede aktiviteter i organisasjonen din. Du kan avdekke sensitive data-lekkasjer og tyveri av immateriell eiendom, undersøke varsler for å avgjøre om brukeraktiviteten var skadelig eller utilsiktet, og reagere raskt for å imøtekomme organisasjonens krav til samsvar.
Grunnprinsippene for Zero Trust
Oppdraget er det samme som før: holde bedriftsressurser unna angripere. Men det har fått et nytt strategisk perspektiv. IT-miljøene vi drifter har vært komplekse fra dag én, sammensatt av mange enheter, brukeridentiteter og interaksjoner mellom dem. Vi begynte med klarerte nettverk for å beskytte oss mot angrep. Sikkerhetsperimeteren med brannmurer fungerte godt, i og med at mesteparten av jobben ble utført på kontoret på lokalnettet, med stasjonære datamaskiner og lokale servere, eventuelt terminaler knyttet til mini- og stormaskiner.
Så økte bruken av mobile enheter og bærbare med folk som jobbet på farten og hjemmekontor. Lokale applikasjoner ble erstattet av skyapper. Samtidig utvidet truslene seg eksponentielt med stadig nye kreative angrepsteknikker for å komme seg rundt nettverksperimeteren. Angrepene har gått over fra å være nettverksbaserte til å angripe identiteter med phishing og legitimasjonstyveri. Disse faktorene har fremtvunget en ny sikkerhetsmodell som betegnes som Zero Trust.
Microsoft Defender og Zero Trust
Microsoft-teknologiene med Azure AD, Defender, Information Protection og Sentinel fungerer sammen ved å anvende Zero Trust-prinsipper for tilgangskontroll til bedriftsressurser. Det omfatter identiteter, endepunkter, applikasjoner, data, infrastruktur og nettverk. Verktøyene bidrar til å automatisere sikkerheten og sørge for samsvar. Dermed reduseres muligheten for datainnbrudd. Microsofts Zero Trust Rapid Modernization Plan (RaMP) hjelper det i gang.
For kjapt å modernisere sikkerheten basert på elementer som gir den høyeste positive effekt, er dette de kritiske prioriteringene for å modernisere sikkerheten: brukertilgang og produktivitet; data, samsvar og styring; og moderne sikkerhetsoperasjoner. Ved behov, som vanligvis er drevet av skyadopsjon eller OT/IoT-bruk, kan du plusse på med infrastruktur og utvikling og operasjonell teknologi (OT) og Industriell IoT (som ikke utdypes her).
Brukertilgang og produktivitet
- Brukerkontoer. Konfigurer passordløs autentisering eller godkjenning med flere faktorer (MFA) for alle. Vurder bruker- og påloggingsrisiko med trusselintelligens og atferdsanalyse.
- Endepunkter. Krev at enheter er i samsvar med virksomhetens retningslinjer før det gis tilgang, først med tanke på konfigurasjon, så på XDR-signaler.
- Applikasjoner. Aktiver forenklet engangspålogging (SSO) for alle skyapper og VPN-autentisering. Bruk Azure AD Application Proxy for lokale eller eldre apper som ikke støtter integrasjon i Azure AD.
- Nettverk. Sett opp grunnleggende trafikkfiltrering og segmentering for å isolere forretningskritiske eller sårbare ressurser.
Data, samsvar og styring
- Beredskap for løsepengevirus. Sørg for at sikkerhetskopier er validerte, sikre og uforanderlige for å muliggjøre rask gjenoppretting.
- Data. Oppdag og beskytt sensitive data med Microsoft Information Protection, Defender for Cloud Apps og Conditional Access App Control.
Moderne sikkerhetsoperasjoner
- Strømlinjeform responser på vanlige angrep med XDR for Endpoint/E-post/Identity pluss Cloud (med Microsoft 365 & Defender for Cloud).
- Foren synlighet med moderne sikkerhetsinformasjon og hendelsesadministrasjon (SIEM med Microsoft Sentinel).
- Reduser manuell innsats – bruk automatisert etterforskning/utbedring (SOAR), håndhevelse av varsler og proaktiv trusseljakt.
Microsoft 365 Defender og Sentinel
Microsoft 365 Defender fyller på mange måter samme rolle som Microsoft Sentinel, men er begrenset til sikkerhetsproduktene for Microsoft 365. De støtter XDR – Extended Detection and Response – som betyr at det vil oppdage trusler på tvers av flere sikkerhetslag, så som e-post, endepunkter og identiteter. Det gir et enkelt vindu på tvers av hendelser og varsler, et fugleperspektiv over sikkerheten i Microsoft 365 uten at du må gå inn i de enkelte portalene for nyttelastene. Det faktureres ikke basert på bruk som med Microsoft Sentinel.
Men Sentinel kan gi massevis av merverdi på toppen av Microsoft 365 Defender. Noen av fordelene er støtte for eksterne datakilder utover Microsofts skyprodukter, forbedret hendelseshåndtering, automatisering med Azure Logic Apps og funksjoner som er rettet mot Managed Security Service Providers (MSSP) – din partner som kan hjelpe deg med administrasjon og overvåking. Med Sentinel for du overvåket brannmurer, nettverksenheter, servere med mer.
Multisky- og hybridbeskyttelse i Microsoft Defender for Cloud
Sikkerhets- og administrasjonsverktøyene i Azure er utvidet til å omfatte multisky-miljøer (AWS + GCP). Microsoft Defender for Cloud (MDC) utnytter Azure Arc for å forenkle onboarding og sikkerhet for virtuelle maskiner som kjører i Amazon Web Services, Google Cloud Platform og hybridskyer. Ressursene integreres i Azure som native objekter og kan forvaltes og sikres med Azure-funksjoner. Eksempler er Sikkerhetsvurdering, Samsvarsrapportering, Azure Policy, Defender for Cloud.
Avsluttende ord
Siktepunktet her var å gi en oversikt over Microsofts sikkerhetsprodukter og hvordan de kan hjelpe deg på din Zero Trust-reise. En 100-prosents sikkerhet finnes ikke. Men om du følger rådene her, er du betydelig bedre rustet til å motstå sofistikerte angrep som vi ser stadig mer av. Vårt kjerneprodukt i Lillevik IT for små og mellomstore bedrifter er Microsoft 365 Business Premium. Det gir en rimelig balanse mellom produktivitet, administrasjon og sikkerhet.
For tiden følger bare ett Defender-produkt med i pakken, som er Defender for Office 365. En modifisert versjon av Defender for Endpoint er annonsert og vil representere en markant forbedring. Du kan vurdere å tegne tilleggslisenser som gir deg Azure AD Identity Protection og den fulle versjon av Defender for Cloud Apps. En annen mulighet er selvfølgelig å se nærmere på Microsoft 365 E5 eller E5-sikkerhetspakken. Det er en mye dyrere løsning, men gir bedre beskyttelse.
Plansjene er hentet fra Microsoft Cybersecurity Reference Architectures (MCRA), oppdatert i desember 2021, og er noe modifiserte og fornorsket.