Microsoft Defender for Endpoint – Securitate de top pe toate platformele și dispozitivele

Vizualizări: 157

În articolul ”Noile suite de Securitate Microsoft 365 Defender si Azure Defender” descriam familia de produse de securitate oferite de liderul soluíilor de securitate conform The Forester Wave, compania Microsoft. Voi continua să prezint caracteristicile și funcționalitățile fiecărui produs, în acets articol fiind ca subiect Microsoft Defender for Endpoint, denumit anterior Microsoft Defender ATP.

Descrierea făcută de vendor a acestui produs de securitate este următoarea:

“Microsoft Defender pentru Endpoint este o platformă concepută pentru a ajuta rețelele enterprise să prevină, să detecteze, să investigheze și să răspundă la amenințările avansate la punctele lor finale.”

Pentru înțelege însă mult mai rapid și eficient această definiție, vă propun, să analizăm împreună graficul de mai jos, ce ilustrează cronologia tipică unui atac direcționat:

Sursa docs.microsoft.com

Prima etapă a unui astfel de atac este cea de cercetare asupra companiei atacate și pregătirea pentru atac, urmată de creșterea privilegiilor (de obicei prin furtul de identitate sau abuzarea instrumentelor administrative) și în final extragerea datelor în scopuri ilicite și rău intenționate.

După cum este reprezentat în graficul amintit, pdată cu compromiterea primului dispozitiv, durează maxim 48 de ore până la compromiterea credențialelor administrtaive la nivelul domeniului Active Directory și ulterior acestei etape, atacatorul poate rămâne nedescoperit între 99 și 200 de zile (conform observațiilor făcute pe baza experienței echipelor Microsoft de răspuns la incidente similară cu alte analize similare din industrie).

În mediul actual  de pericole cibernetice, echipele de securitate ale companiilor se confruntă cu o creștere permanentă a numărului și tipurilor de riscuri și sunt obligate să riposteze folosind analize avansate de securitate, tehnologiile de învățare automată (machine learning) și cunoștințele experților ce folosesc sisteme de apărare agile și capabile să se adapteze rapid la specificul amenințării detectate.

În timpul analizei zecilor de mii de alerte de securitate cibernetică generate de platformele active de protecție, detecție și răspuns, multe atacuri pot trece neobservate și pot genera daune foarte mari companiilor, întrucât o organizație mare va fi obligată să analizeze în medie peste 17000 de avertismente malware saptămânal.

Cum perioada medie de descoperire a unei breșe active de securitate într=o companie este de peste 99 de zile, ținând cont că doar în 48 d eore atacatorul are deja controlul complet asupra unei rețele este ușor de înțeles de ce interesul atacoturilor crește, costul mediu al breșelor de securitate pentru o companie ajungând la peste 4 milioane de dolari!

Sursa Microsoft Learn

Viziunea Microsoft asupra nevoilor de securitate ale organizațiilor a fost integrată în platforma Microsoft 365 Defender ce oferă capacitatea organizațiilor de a preveni, detecta, investiga și remedia atacurile complexe desfășurate pe mai multe domenii.

În această suită, rolul Microsoft Defender pentru Endpoint este de platformă unificată pentru punctele finale (endpoints) pentru protecție preventivă, detectarea încălcării securității acestora și investigarea și răspunsul automat.

Sursa docs.microsoft.com

Odată cu activarea licenței pentru Microsoft Defender for Endpoint vor fi disponibile următoarele capabilități:

  • Gestionarea amenințărilor și vulnerabilităților – întrucât platforma oferă vizibilitate în timp real și ajută la identificarea modalităților de îmbunătățire a securității.
  • Protecția avansată – folosind învățarea automată (Machine Learning) și analiza avansată (Deep Analysis) pentru a proteja infrastuctura împotriva programelor malware bazate pe fișiere.
  • Detectarea și răspunsul punctelor finale – prin monitorizarea comportamentelor și tehnicilor atacatorilor pentru a detecta și a răspunde la atacuri avansate.
  • Folosirea inteligenței artificială – pentru a investiga automat alertele și a remedia amenințările complexe în câteva minute.
  • Reducerea suprafeței de atac – prin eliminarea zonelor riscante sau inutile și restricționarea rulării codurilor periculoase.
  • Experții în amenințări Microsoft – oferă cunoștințe aprofundate și mecanisme de vânătoare (hunting) proactivă a amenințărilor centrului de operațiuni de securitate al companiei.

Microsoft Defender pentru Endpoint utilizează următoarele tehnologii integrate în Windows 10/11 și platforma de cloud Microsoft 365:

  • Cloud security analytics (Analiza avansată a securității în cloud) – prin folosirea unor bazine de date enorme, platforma de învățare automată implementată de Microsoft în ecosistemul Windows și în produsele cloud pentru mediile enterprise (Office 365) active online, preia semnalele comportamentale pe care le traduce în informații, informații ce permit detecția și răspunsurile recomandate la amenințările avansate.

 

  • Threat Intelligence (Inteligența amenințărilor) – informațiile generate de hunteri (vânători) și echipele de securitate Microsoft, completate cu informațiile furnizate de parteneri despre amenințările cibernetice, permit platformei Microsoft Defender pentru Endpoint să identifice instrumentele, tehnicile și procedurile atacatorilor și să genereze alerte atunci când acestea sunt observate în datele senzorilor colectate.

 

  • Endpoint behavioral sensors (Senzori comportamentali activi pe punctul final) – au fost încorporați în Windows 10/11 cu rolul de a colecta și procesa semnalele comportamentale provenite de la sistemul de operare și datele trimise prin telemetrie către instanța privată izolată din cloud ce aparține organizației prin licența de Microsoft Defender for Endpoint.

 

Una din cele mai importante funcționalități ale acestui produs este identificarea, evaluarea și remedierea eficientă a punctelor slabe ale terminalelor (endpoints), ce este esențială pentru implementarea unui program de securitate sănătos și pentru reducerea riscului la nivelul organizației.  Numită managementul amenințărilor și vulnerabilităților, servește ca o infrastructură pentru reducerea zonei de expunere și pentru întărirea securității la nivelul dispozitivelor contribuind astfel la creșterea capacității organizației de a rezista atacurilor cibernetice.

Această infrastructură ajută organizațiile să descopere vulnerabilități și configurări greșite în timp real, pe baza senzorilor, fără a fi nevoie de agenți sau scanări periodice și este capabilă să prioritizeze problemele descoperite pe baza unui număr de factori: tipul amenințărilor, aparițiile acestora la nivelul organizației și informațiile sensibile despre dispozitivele vulnerabile și contextul utilizării infrastructurii.

Managementul amenințărilor și vulnerabilităților este integrat în timp real cu conglomeratul de securitate Microsoft Endpoint, Microsoft Intelligent Security Graph și baza de cunoștințe de analiză a aplicațiilor și se poate asocia cu politicile de securitate gestionate de platforma de MDM (Microsoft Device Management) Microsoft Endpoint Manager.

A doua funcționalitate majoră a platformei Microsoft Defender for Endpoint este reducerea suprafeței de atac, considerată a fi prima linie de apărare conform modelelor de securitate din industrie, asigurându-se că setările de configurare sunt setate corect și că sunt aplicate tehnici de atenuare a exploatării (governance and compliance). Mai jos am pus câteva din funcționalitățile implementate în platformă, ce au rolul de a reduce suprafața de atac:

  • Izolarea bazată pe hardware – protejează și menține integritatea sistemului atunci când pornește și în timp ce rulează și validează integritatea sistemului
  • Firewall-ul de rețea folosește filtrarea traficului de rețea în două sensuri, bazată pe gazdă, care blochează traficul neautorizat de rețea care intră sau iese din dispozitivul local.
  • Protecția rețelei extinde protecția împotriva programelor malware și a ingineriei sociale oferite de Microsoft Defender SmartScreen în Microsoft Edge pentru a acoperi traficul de rețea și conectivitatea pe dispozitivele organizației dvs.
  • Accesul controlat la foldere ajută la protejarea fișierelor din folderele cheie ale sistemului de modificările făcute de aplicații rău intenționate și suspecte, inclusiv malware-ul ransomware de criptare a fișierelor.
  • Controlul aplicațiilor se îndepărtează de modelul tradițional de încredere în aplicații, în care toate aplicațiile sunt considerate demne de încredere în mod implicit, la unul în care aplicațiile trebuie să câștige încredere pentru a putea rula.
  • Protecția împotriva exploatării aplică tehnici de atenuare aplicațiilor pe care le utilizează organizația dvs., atât la nivel individual, cât și la nivel de organizație.
  • Reducerea suprafeței de expunere a aplicațiilor prin creerea de reguli inteligente care opresc vectorii utilizați de programele malware bazate pe Office, scripturi și e-mail.

Generația nouă de soluții de securitate implementate în sistemele de operare Microsoft Microsoft  Windows 10/11 numită generic Defender Antivirus, este o soluție antimalware încorporată care oferă protecție de ultimă generație pentru desktop-uri, computere portabile și servere. Microsoft Defender Antivirus include:

  • Protecție oferită în cloud pentru detectarea și blocarea aproape instantanee a amenințărilor
  • Scanare permanentă, folosind monitorizarea avansată a comportamentului fișierelor și proceselor (protecție în timp real).
  • Actualizări dedicate protecției bazate pe învățare automată, analiză umană și automată.

Mecanisme de securitate implementate în Windows 11 ce contribuie activ la reducerea suprafeței de atac a dispozitivului

Capabilitățile de protecție ale platformei Microsoft Defender for Endpoint continuă cu cele de detecție și răspuns, atacurile avansate fiind detectate în timp real, oferind analiștilor de securitate oportunitatea de a prioritiza alertele, de a obține vizibilitatea asupra încălcării principiilor de securitate și de a lua rapid măsuri de răspuns cu scopul remedierii amenințărilor detectate.

Acest mod de lucru este Inspirat de mentalitatea „asumați breșa de securitate”, platforma colectând continuu date de telemetrie cibernetică comportamentală ce includ informații despre proces, activități în rețea, vizibilitate în profunzimea kernelului și managerului de memorie, activități de conectare a utilizatorului, modificări ale registrilor și ale sistemului de fișiere.

Informațiile sunt stocate timp de șase luni, permițând unui analist să se întoarcă investigativ înapoi în timp până la începutul unui atac și să poată obține diferite puncte de vedere necesare pentru a aborda o investigație prin mai mulți vectori de atac.

Volumul mare al alertelor generate poate fi o provocare pentru o echipă tipică de operațiuni de securitate dacă le abordează individual. Pentru a face față acestei provocări, Microsoft Defender pentru Endpoint utilizează capabilități automate de investigare și remediere pentru a reduce semnificativ volumul alertelor care trebuie investigate individual.

Această funcție folosește diverși algoritmi de inspectare și procese analitice pentru a examina alertele și a lua măsuri imediate de remediere în scopul rezolvării încălcărilor de securitate, ceea ce reduce semnificativ volumul alertelor, permițând experților în operațiuni de securitate să se concentreze asupra amenințărilor mai sofisticate și a altor investigații de o importanță mai ridicată.

Microsoft Defender pentru Endpoint permite generarea și utilizarea de interogări de hunting (vânătoare de amenințări) pentru a crea reguli personalizate de detectare ce pot rula automat pentru a verifica și a răspunde la diferite evenimente și stări ale sistemului, inclusiv activitatea de încălcare suspectată și mașini configurate greșit.

Sursa Microsoft Learn

  • Pentru a consulta toată gama de cursuri Microsoft oferite de Bittnet Training, click aici.
  • Pentru a consulta toată gama de cursuri din tehnologia cyber security oferite de Bittnet Training, click aici.
  • Pentru a consulta toată gama de cursuri din tehnologia cloud oferite de Bittnet Training, click aici.