Microsoft Advanced Threat Protection - Cum aleg varianta corectă?

Valentin Ghiță

Azure Senior System Engineer

valentin.ghita@alef.com

Suntem înconjurați de exemple de transformare digitală. Tot mai multe business-uri adoptă tehnologii și servicii de tip Cloud, fie el public, privat sau hibrid. Comunicarea ajunge să existe exclusiv în mediul virtual. Deși aceste schimbări aduc cu ele multe avantaje, trebuie să înțelegem că astfel suprafata de atac se mărește.

În funcție de serviciile folosite din Cloud, Microsoft ne pune la dispoziție mai multe produse din familia ATP (Advanced Thread Protection), pe care o să le descriu în rândurile ce urmeaza:

password-block

Microsoft Office 365 Advanced Threat Protection

Un serviciu cloud-based de filtrare a E-mail-urilor, ce oferă, contra unui cost suplimentar, o protecție sporită împotriva atașamentelor periculoase, a virusurilor, malware-urilor si a link-urilor inselatoare ce ascund pagini compromise. Este o protectie asigurată în timp real, ce oferă transparență în ceea ce privește atacurile (reușite sau nereușite) asupra organizației tale. Office 365 ATP oferă prin intermediul dashboard-urilor cloud-based o multitudine de opțiuni de vizualizare, moderare si configurare. Din punct de vedere licențiere, Office 365 ATP este inclus în Office 365 Enterprise E5, Education A5 și Microsoft 365 Business. În cazul în care aveți o licență ce nu include Office 365 ATP, se poate adauga ca add-on.

Microsoft Azure Advanced Threat Protection

Dupa cum bine știți, orice tenant de Microsoft 365, Office 365 Azure si Dynamics CRM Online este automat și un tenant de Azure Active Directory. Azure AD este serviciul cloud-based folosit de Microsoft pentru management-ul identităților (adica al user-ilor ce se autentifică in Cloud).

Rolul lui Azure ATP este de a detecta, investiga și mitiga atacuri complexe ce pot surveni atât într-o infrastructură on-premises, cât și una hibridă sau cloud-only. Azure ATP se folosește de o multitudine de surse de date (log-uri și event-uri din rețea) pentru a crea un profil comportamental pentru fiecare entitate ce exista la nivel de tenant și pentru a putea identifica astfel, prin comparație, în mod automatizat (prin intermediul componentelor de Machine Learning) activitățile suspecte, ieșite din comun.

 

Printre aceste activități suspecte se numără lucruri ca:

  • Mișcări laterale - folosite de atacatori pentru a-și mări suprafața de atac și a compromite conturi cu un nivel de permisiuni din ce în ce mai ridicat.
  • Munca de recunoaștere – procesul prin care un atacator își face temele și încearcă să identifice puncte slabe în organizația noastră, potențiale zone prin care se poate infiltra.
  • Persistența – se spune că nu există infrastructuri impenetrabile, ci doar infrastructuri care nu știu că au fost sparte. Cel mai bun hacker este acela care reușește să se infiltreze într-o infrastructură fără să fie detectat, să extragă datele (sau să facă alte acțiuni după caz) și să șteargă toate urmele atacului. Azure ATP asigură măsuri de protecție împotriva atacurilor persistente, ce încearcă la infinit, până reușesc să găsească o breșă.

Este bine de știut că Azure ATP nu monitorizează doar device-urile de tip domain-joined, ci toate device-urile dintr-o rețea (incluzând non-Windows devices și device-uri mobile) ce se autentifică la Active Directory.

Azure ATP este inclus în Enterprise Mobility + Security E5 (EMS E5) și ca licență de tip standalone.

Windows Defender Advanced Threat Protection

Se integrează cu Azure ATP și are ca focus protejarea endpoint-urilor (adică al device-urilor folosite). Ca și resurse se folosește de:

  • Senzori comportamentali la nivel de endpoint – incluși în Windows 10, acești senzori colecteaza și analizeaza semnale comportamentale la nivel de sistem de operare și le trimit mai departe către instanța din Cloud de Windows Defender ATP, care va lua o decizie plecând de la aceste date.
  • Security analytics – componente de Big Data, Machine Learning și Artificial Intelligence (toate cloud-based) sunt folosite pentru a oferi semnale cât mai detaliate despre comportamentul la nivel de endpoint.
  • Experiența contra atacatorilor – în Microsoft există numeroase echipe de securitate (unde regăsim și foști hackeri) ce au rolul de a ajuta la identificarea vectorilor de atac nou aparuți și de a îngloba aceste semnale în timp real la nivel de Windows Defender ATP.

Daca doriți să beneficiați de Windows Defender ATP aveți nevoie de o licență de volum de tip Windows 10 Enterprise E5, Windows 10 Education E5 sau Microsoft 365 E5 (ce include Windows 10 E5).

Mai există și o componentă de SQL Advanced Threat Protection, dar personal o consider parte a Azure ATP, așa că nu o voi trata separat. Pentru mai multe detalii, vă rog sa accesați link-ul acesta.

Pentru a ințelege exact care versiune(i) de Advanced Threat Protection se pretează business-ului vostru, vă așteptăm cu drag la o discuție.