V predchádzajúcom článku, ktorý je určený pre menšie podniky, sme sa venovali prechodu na cloudové služby Office 365, bezpečnému prístupu a správe zariadení.
Microsoft 365 a bezpečnosť: aké nástroje ponúka?
V tomto článku sa budeme venovať najznámejším nástrojom, ktoré spoločnosť Microsoft používa na zabezpečenie a ochranu.
Spoločnosť Microsoft nazýva celý svoj balík bezpečnostných nástrojov Advanced Threat Protection (ATP ) a obsahuje desiatky menších i väčších bezpečnostných nástrojov. V tomto článku sa preto venujeme len tým najdôležitejším.
Microsoft Defender pre O365
Základný bezpečnostný nástroj používaný na ochranu aplikácií na zdieľanie súborov, ako sú Outlook, Teams a Sharepoint. Nástroj obsahuje funkciu Microsoft Safe Attachments, ktorá automaticky kontroluje všetky súbory (prílohy) bez ohľadu na to, či pochádzajú zvonku alebo interne od kolegov.
V praxi sa vykonáva automatická kontrola každého odoslaného alebo prijatého súboru. Ak nástroj zistí, že súbor je infikovaný, okamžite ho odstráni. Potom skontroluje, či tento súbor dostali aj iní používatelia. Ak áno, zablokuje prístup k prílohe a umiestni ju do karantény.
Na podobnom princípe funguje aj služba Microsoft Safe Links. Keď používateľ dostane odkaz na súbor, systém O365 ho skontroluje a ak vyhodnotí, že obsahuje škodlivý kód, zablokuje ho, čím zabráni útoku na sieť. Microsoft 365 ATP zahŕňa aj antiphishing alebo antimalware.
Pokročilá ochrana pred hrozbami systému Windows Defender
Tento nástroj chráni koncové zariadenia, na ktorých by útočník mohol spustiť škodlivý kód. Nástroj obsahuje funkciu Windows Defender Smart Screen, ktorá môže zabrániť prístupu na nebezpečnú webovú lokalitu alebo sťahovaniu súborov.
Ochrana koncového bodu sa používa na ochranu zariadenia, ak sa do neho už dostal škodlivý súbor. Ak chce používateľ alebo útočník spustiť infikovaný súbor, ochrana koncových bodov skontroluje súbor a zablokuje jeho spustenie, ak zistí škodlivý kód.
Detekcia a reakcia na koncové body rieši situácie, keď sa už spustil škodlivý súbor alebo aplikácia. Nástroj analyzuje správanie súboru alebo aplikácie, vyhodnocuje ich nebezpečnosť, vykonáva definované akcie a odovzdáva informácie ďalším koncovým zariadeniam vo firme. Okrem iného využíva strojové učenie priamo v cloude spoločnosti Microsoft. Spoločnosť Microsoft zhromažďuje informácie zo všetkých zariadení registrovaných v službe Microsoft 365, vyhodnocuje ich a môže včas varovať ostatných používateľov.
Ako to vyzerá v praxi? Používateľ si stiahne súbor, ktorý chce otvoriť. Zariadenie odošle informácie do cloudu spoločnosti Microsoft, ktorý okamžite overí, či súbor alebo aplikácia nie sú škodlivým kódom. Ak spoločnosť Microsoft tento kód nepozná, odošle do zariadenia informáciu, že ide o neznámy kód. Zariadenie potom vykoná základné testy pomocou strojového učenia na miestnej úrovni a súčasne odošle vzorku kódu do cloudu spoločnosti Microsoft, kde sa ďalej skúma a testuje.
Ak všetko vyzerá v poriadku, systém povolí spustenie aplikácie. Celý proces trvá niekoľko sekúnd a používateľ ani nevie, čo sa v jeho zariadení deje. Spoločnosť Microsoft však súbor naďalej analyzuje a ak neskôr zistí, že je rizikový, odošle do zariadenia informáciu o možnom útoku a zablokuje ho, izoluje a odošle upozornenie všetkým zariadeniam v spoločnosti.
Azure Advanced Threat Protection (Azure ATP)
Nazýva sa aj Microsoft Defender for Identity a dokáže zabrániť útokom na internú sieť alebo im čeliť, ak už útočník do siete vstúpil. Tento nástroj profiluje používateľov a miesta, odkiaľ komunikujú, alebo rozlišuje ich oprávnenia na prístup do internej siete. Ak zistí, že zariadenie používateľa vykonáva nadmerný počet požiadaviek vrátane napríklad požiadaviek pod inou identitou na radič domény, vyhodnotí toto správanie ako pokus o prelomenie hesla a získanie vyšších oprávnení.
V praxi to funguje tak, že senzor Azure ATP, ktorý je nainštalovaný na radiči domény alebo ako samostatné riešenie, zhromažďuje všetky informácie, ktoré prichádzajú do radiča domény. Analýzou sieťovej prevádzky môžete zistiť, kde a ktorý používateľ požaduje prístup k určitej aplikácii alebo prístup pre iného používateľa. Tieto informácie sa používajú na vytvorenie profilu používateľov vrátane modelu ich bežného správania.
Rozlíšenie IP vytvára mapu zariadení vrátane ich IP adries a funkcií na základe údajov Azure ATP. To môžete využiť, ak napríklad útočník odošle požiadavku na replikáciu údajov do radiča domény z IP adresy osobného počítača – príkazy na replikáciu sa vymieňajú len medzi radičmi domény a nikdy neprichádzajú z koncových staníc. Systém preto vyhodnotí takéto správanie ako rizikové a včas prijme príslušné opatrenia.
Všetky údaje zo senzorov Azure ATP sa spracúvajú v cloude spoločnosti Microsoft a len v rámci vašej organizácie. Vďaka spracovaniu údajov v cloude je na analýzu zhromaždených údajov k dispozícii takmer neobmedzený výkon. Výsledkom je spracovanie a nahlasovanie potenciálnych hrozieb v reálnom čase.
Ešte jeden príklad z praxe. Ak z koncového zariadenia, na ktorom pracuje jeden používateľ, začnú prichádzať požiadavky na neúspešné overenie iných používateľov, systém to opäť vyhodnotí ako pokus o uhádnutie hesiel iných používateľov a možný útok.
Okrem toho môžete Azure ATP prepojiť s Windows Defender ATP a získať tak komplexný pohľad na potenciálny útok na celej časovej osi.
Zabezpečenie aplikácií Microsoft Cloud
Tento nástroj chráni ďalšie cloudové služby. Analyzuje sieťovú komunikáciu nainštalovaním sondy na firewall alebo proxy server s cieľom odhaliť takzvané tieňové IT. Teda či používatelia používajú aplikácie, ktoré nemajú pod kontrolou, alebo či zdieľajú údaje neoficiálnym spôsobom, napríklad prostredníctvom služby Dropbox.
Ak nájde takúto aplikáciu “v tieni”, umožní vám zobraziť jej hodnotenie v cloudovom katalógu aplikácií Microsoft, ktorý obsahuje približne 15 000 aplikácií. Na základe hodnotenia môžete aplikáciu zablokovať.
Nástroj dokáže vyhodnotiť aj neobvyklé správanie používateľa, napríklad sťahovanie veľkého množstva súborov do miestneho počítača z cloudového úložiska. V takom prípade môžete používateľa odpojiť a zablokovať mu prístup. Pomáha aj pri ochrane pred ransomvérom.
Správa privilegovaných identít Azure (Azure AD PIM)
Pomocou tohto nástroja môžete nastaviť oprávnenia používateľov na prístup do podnikovej siete. Zabraňuje najmä útokom na používateľov s najvyššími oprávneniami, čím sa útočníkovi zabráni získať najvyššie globálne administrátorské oprávnenia.
Azure AD PIM môže tiež včas pridať oprávnenia. Každý používateľ má štandardné oprávnenia a o vyššie oprávnenie požiada len vtedy, keď ho potrebuje. Po uplynutí určeného času sa jeho oprávnenia prenesú späť na štandardného používateľa. Pri prideľovaní rolí a oprávnení sa potom môže vyžadovať viacfaktorové overenie alebo schválenie iným používateľom.
S ochranou identity súvisí aj ochrana identity spoločnosti Microsoft. Tento nástroj hodnotí riziko používateľov prihlasujúcich sa do služby Microsoft 365. Ak sa napríklad hlásia z anonymizovanej siete, z neštandardného času a miesta alebo z adresy IP, z ktorej infikované počítače bežne komunikujú, prihlásenie sa zablokuje alebo sa vynúti ďalší faktor overenia.
Tento zoznam bezpečnostných aplikácií nie je konečný, iba načrtáva možnosti, ktoré máte pri nasadení služby Microsoft 365. Vzhľadom na robustnosť a zložitosť nástrojov odporúčame nasadiť Microsoft 365 u certifikovaného partnera. V Českej republike je to napríklad brnenská spoločnosť System4u ( ), ktorá má ako zlatý partner spoločnosti Microsoft s touto problematikou bohaté skúsenosti.