System4u pomáha svojim zákazníkom v oblasti digitálneho pracovného priestoru. Správne prepojenie technológií je zárukou dobre fungujúceho a bezpečného IT prostredia pre spoločnosti.
Pokročilá ochrana pred útokmi poskytovaná službou Microsoft 365 – Advanced Threat Protection (ATP ) – obsahuje 3 základné časti, ktoré budú predmetom dnešného článku.
Prvou časťou, o ktorej budeme hovoriť, je Microsoft Defender pre O365 . Slúži na ochranu základných nástrojov na zdieľanie súborov spoločnosti Microsoft, t. j. e-mailu, Microsoft Teams, Sharepoint. Microsoft Safe Attachments chráni súbory (prílohy), ktoré používateľ dostáva zvonku alebo od kolegov.
V praxi to možno opísať tak, že sa vykoná automatická kontrola odoslaného alebo prijatého súboru a ak sa zistí, že ide o “infikovaný” súbor, tento súbor sa automaticky odstráni a ďalej sa vykoná kontrola, či tento súbor nebol odoslaný iným používateľom vo firme, a ak áno, program Microsoft Defender sa o to môže postarať tak, že zablokuje prístup k prílohe a vloží ju do tzv. karanténa.
Na podobnom princípe funguje aj ďalší nástroj – Microsoft Safe Links. Ak používateľ dostane odkaz na súbor, O365 môže odkaz skontrolovať a ak vyhodnotí, že obsahuje škodlivý kód, môže súbor zablokovať a zabrániť útoku na sieť. Microsoft 365 ATP zahŕňa aj ochranu proti phishingu a antimalvéru, ktorá je známa aj z riešení iných poskytovateľov.
Pokročilá ochrana pred hrozbami systému Windows Defender. Tento ďalší bezpečnostný nástroj od spoločnosti Microsoft chráni práve koncové zariadenia, na ktorých môže útočník spustiť škodlivý kód. Aj v tomto prípade existuje niekoľko komponentov, napríklad Windows Defender Smart Screen, čo je technológia, ktorá dokáže zablokovať prístup na nebezpečnú webovú lokalitu v zariadení alebo môže zablokovať lokálne stiahnutie súboru do zariadenia.
Ochrana koncových bodov, ďalšia súčasť programu Microsoft Defender, sa používa na ochranu zariadenia, ak sa doň už dostal škodlivý súbor. Používateľ alebo útočník chce v zariadení spustiť infikovaný súbor a ochrana koncových bodov skontroluje súbor alebo aplikáciu a v prípade zistenia škodlivého kódu proces zablokuje.
Funkcia Endpoint Detection and Response (Detekcia koncového bodu a reakcia) opraví ďalší krok, ak je nebezpečný stiahnutý súbor alebo aplikácia už spustená v zariadení. Tento nástroj dokáže spätne analyzovať správanie takéhoto súboru alebo aplikácie, vyhodnotiť škodlivý kód, prijať opatrenia v zariadení a odovzdať informácie ostatným koncovým zariadeniam v spoločnosti. Využíva strojové učenie, ktoré prebieha v cloude spoločnosti Microsoft. Spoločnosť Microsoft zhromažďuje informácie zo všetkých zariadení zaregistrovaných v službe Microsoft 365, vyhodnocuje tieto údaje a zabraňuje potenciálnym útokom.
Ako sa ochrana koncových bodov vykonáva v praxi? Používateľ stiahne súbor, ktorý chce otvoriť, do zariadenia. Zariadenie odošle informácie do cloudu spoločnosti Microsoft, ktorý okamžite overí, či súbor alebo aplikácia nie sú škodlivým kódom. V situácii, keď spoločnosť Microsoft o takomto kóde nič nevie, odošle do zariadenia informáciu, že ide o neznámy kód. Zariadenie potom vykoná základné testy pomocou strojového učenia na miestnej úrovni a zároveň sa vzorka kódu odošle do cloudu spoločnosti Microsoft na ďalšie preskúmanie a testovanie. Ak sa aplikácia ani v tejto fáze nezistí ako škodlivý kód, je jej spustenie povolené. Tento proces trvá niekoľko sekúnd a používateľ prakticky nevie, čo sa deje v jeho zariadení. Na strane spoločnosti Microsoft analýza stále prebieha a vzorka kódu sa ďalej skúma. Ak sa zistí, že existuje riziko, do zariadenia sa opäť odošle informácia o možnom útoku a súbor sa úplne zablokuje, izoluje a informácia sa odošle do všetkých ostatných zariadení v spoločnosti.
Azure Advanced Threat Protection (Azure ATP ) alebo Microsoft Defender for Identity môžu zabrániť útokom v internej sieti a čeliť im, ak už útočník do siete vstúpil. Tento nástroj vytvára profily používateľov a miesta, odkiaľ komunikujú, a rozlišuje ich oprávnenia na prístup do internej siete. Ak zistí, že zo zariadenia používateľa prichádza veľa rôznych požiadaviek vrátane napr. pod inou identitou ako radič domény, môže toto správanie vyhodnotiť ako pokus o prelomenie hesla a získanie vyšších oprávnení v rámci organizácie.
V praxi to opäť funguje tak, že senzor Azure ATP , ktorý je nainštalovaný na radiči domény alebo ako samostatné riešenie, zhromažďuje všetky informácie, ktoré prichádzajú do radiča domény. Analýza sieťovej komunikácie prebieha v systéme L7 a vďaka tomu môžeme vidieť napríklad priamo do lístkov Kerbros. Vieme, odkiaľ a ktorý používateľ žiada o prístup k určitej aplikácii alebo či žiada o prístup pre iného používateľa. Tieto informácie sa používajú na vytvorenie profilu používateľov vrátane modelu ich bežného správania.
Funkcia IP Resolution vytvorí mapu zariadení vrátane ich IP adresy a funkcie na základe údajov ATP. Používa sa napríklad vtedy, ak útočník odošle požiadavku na replikáciu údajov do radiča domény z IP adresy osobného počítača – príkazy na replikáciu sa vymieňajú len medzi radičmi domény a nikdy neprichádzajú z koncových staníc. Takéto správanie možno opäť vyhodnotiť ako rizikové a ako možný pokus o získanie informácií o sieti zákazníka.
Všetky údaje zo senzora Azure ATP sa spracúvajú v cloude spoločnosti Microsoft a len v rámci vášho nájomcu. Vďaka spracovaniu údajov v cloude je na analýzu zhromaždených údajov k dispozícii takmer neobmedzený výkon. Výsledkom je spracovanie a nahlasovanie potenciálnych hrozieb v reálnom čase.
V predchádzajúcich krokoch sme získali potrebné informácie, vyprofilovali používateľov a potom môžeme sledovať ich abnormálne správanie. Ak napríklad. z koncového zariadenia, na ktorom pracuje jeden používateľ, začnú prichádzať požiadavky na neúspešné overenie iných používateľov, opäť tu vidíme pokus o uhádnutie hesiel iných používateľov v sieti a možný útok.
Samozrejme, je možné generovať upozornenia na podozrivú aktivitu v sieti a zobraziť podrobnosti v konzole správcu. Azure ATP je možné prepojiť aj s Windows Defender ATP a získať tak komplexný prehľad o potenciálnom útoku na celej časovej osi.
Ďalšou službou je Microsoft Cloud App Security. Tento nástroj dokáže chrániť ďalšie cloudové služby. Analyzuje sieťovú komunikáciu nainštalovaním sondy na bránu firewall alebo proxy server na zistenie tzv. tieňové IT, t. j. či používatelia používajú aplikácie, ktoré nie sú pod ich kontrolou, alebo či si vymieňajú údaje neoficiálnym spôsobom, napr. prostredníctvom služby Dropbox alebo iným spôsobom.
Hodnotenia nájdených aplikácií si môžete pozrieť v cloudovom katalógu aplikácií Microsoft, ktorý obsahuje zoznam aplikácií zostavený spoločnosťou Microsoft (v súčasnosti je v ňom približne 15 000 aplikácií). Na základe negatívneho hodnotenia sa potom môžu žiadosti zablokovať.
Takisto je možné vyhodnotiť neobvyklé správanie používateľa, keď sa napríklad do lokálneho počítača stiahne veľké množstvo súborov z cloudového úložiska. V takomto prípade je možné zavolať používateľa. odrezať a zablokovať prístup. Dlhšie môže pomôcť s ochranou pred ransomvérom.
Ďalším nástrojom, tentoraz na ochranu identity, je Azure Privileged Identity Management (Azure AD PIM). Tento nástroj sa používa na nastavenie množstva používateľských oprávnení pre prístup do podnikovej siete. Tým sa zabráni útokom na používateľov s najvyššími oprávneniami a útočník tak nemôže získať napr. globálne oprávnenia správcu. Azure AD PIM môže pridať oprávnenia “just in time”. Každý používateľ má teda štandardné oprávnenie, a keď potrebuje vyššie oprávnenie, požiada oň len v danom okamihu a po určitom čase sa toto oprávnenie automaticky opäť zmení na oprávnenie štandardného používateľa. Pri prideľovaní rolí a oprávnení sa môže vyžadovať napríklad viacfaktorové overenie alebo schválenie iným používateľom.
Ďalším nástrojom súvisiacim s ochranou identity je Microsoft Identiti Protection. Tento nástroj hodnotí riziko používateľov prihlasujúcich sa do služieb Microsoft 365. Ak sa napríklad hlásia z anonymizovanej siete, neštandardnej geografickej oblasti, neobvyklého času alebo adresy IP, z ktorej komunikujú infikované počítače, prihlásenie sa zablokuje alebo sa vynúti ďalší faktor overenia.
Správa služby Microsoft 365 a systému Windows 10
Ak spoločnosť využíva služby Microsoft 365, odporúča sa na hromadnú správu mobilných zariadení používať službu Microsoft Intune. Ak spoločnosť používa SCCM (Configuration Manager) na správu zariadení so systémom Windows a má stovky alebo tisíce zariadení, je ťažké rýchlo prejsť na správu Intune. Aby bol tento prechod hladký, plynulý a postupný, stačí prepojiť služby Intune a SCCM. Toto pripojenie aktivuje
spoločná správa a podnikové zariadenia sú spravované z dvoch systémov súčasne bez konfliktov medzi týmito systémami.
Vďaka spoločnej správe môžete postupne migrovať jednotlivé oblasti správy z SCCM do Intune. Predpokladom spoločnej správy je synchronizácia a registrácia zariadení v službe Azure AD. Potom sa zariadenia automaticky aktivujú v službe Microsoft Intune, kde sa v prvej fáze môžu zariadenia iba kontrolovať, kým sa postupne všetky opäť začnú používať v politikách podmieneného prístupu na prístup k službám MS365.
Hlavným dôvodom prechodu na službu Microsoft Intune je jej umiestnenie v cloude
a prístupnosť kedykoľvek a odkiaľkoľvek. Tým sa zabezpečí, že konfigurácia je vždy aktuálna.
a zabezpečenie v zariadeniach so systémom Windows 10.
Pokiaľ ide o licencie na spoločnú správu, musíte mať licencie Microsoft Azure AD Premium P1 a Microsoft Intune, ktoré sú súčasťou balíka Microsoft Enterprise and Security alebo sa dajú zakúpiť samostatne.
Ďalším dôvodom, prečo spravovať zariadenia so systémom Windows 10 pomocou nástrojov Microsoft 365, je jednoduchá a automatická konfigurácia nových zariadení pri prvom použití. Microsoft Autopilot. Tento nástroj zabezpečí, aby sa zariadenie pri prvom spustení aktivovalo na správu v službe MS Intune, ktorá do zariadenia dodá potrebné konfigurácie a aplikácie. Výsledkom je pripravené zariadenie v priebehu niekoľkých minút bez potreby počiatočnej konfigurácie zo strany IT podpory.
Autori článku:
Roman Přikryl, systémový architekt
