Nástroje pro bezpečnost dat a Windows 10 zařízení v prostředí Microsoft 365

Microsoft 365 poskytuje pokročilou ochranu před útoky - Advanced Threat Protection, která se skládá z nástrojů pro ochranu sdílení souborů, cloudových služeb, identity i zařízení s Windows 10. Správné propojení technologií je zárukou pro kvalitně fungující a bezpečnou firemní IT infrastrikturu.

K ochraně základních nástrojů pro sdílení souborů, e-mailu, Microsoft Teams a Sharepoint slouží Microsoft Defender for Office 365 - funkce Microsoft Safe Attachments chrání soubory (přílohy), které uživatel přijímá zvenčí nebo od kolegů.

V praxi to lze popsat tak, že nad odeslaným či přijatým souborem je provedena automatická kontrola a pokud dojde ke zjištění, že se jedná o napadený soubor, je tento automaticky odebrán a dále proběhne kontrola, zda nebyl odeslán i dalším uživatelům ve firmě. Pokud ano, i toto dokáže Microsoft Defender zařídit zablokováním přístupu k příloze a jejím vsazením do tzv. karantény.

Na podobném principu funguje i nástroj Microsoft Safe Links. Pokud uživatel dostane odkaz na soubor, Microsoft Defender for Office 365 dokáže tento odkaz zkontrolovat a pokud vyhodnotí, že obsahuje nebezpečný kód, tak jej také dokáže zablokovat a předejít tím útoku na síť. Součástí Microsoft 365 ATP je i antifishing i antimalware - tedy ochrana, která je známá i u řešení dalších poskytovatelů.

Další bezpečnostní nástroj Windows Defender Advanced Threat Protection chrání již samotná koncová zařízení, na kterých může být útočníkem spuštěn škodlivý kód. Zde je opět několik komponent, jako je Windows Defender Smart Screen, což je technologie, která na zařízení dokáže zablokovat přístup na nebezpečný web či dokáže zablokovat stažení souboru lokálně do zařízení.

Endpoint Protection - další část Microsoft Defenderu, slouží pro ochranu zařízení, pokud se do něj nebezpečný soubor již dostal. Uživatel či útočník chce tento infikovaný soubor v zařízení spustit a Endpoint Protection provede kontrolu takového souboru či aplikace a pokud zjistí, že je v souboru nebezpečný kód, proces zablokuje.

Nástroj Endpoint Detection and Response napravuje případný další krok, tedy pokud je nebezpečný stažený soubor či aplikace na zařízení již spuštěn. Dokáže analyzovat chování takového souboru či aplikace, dokáže vyhodnotit nebezpečný kód, provést opatření na zařízení a předat informaci dalším koncovým zařízením ve firmě.

Využívá k tomu machine learning, který probíhá v Microsoft cloudu. Microsoft sbírá informace ze všech zařízení registrovaných v Microsoft 365, data vyhodnocuje a předchází tak možným útokům.

"Ochrana koncový zařízení pak v praxi probíhá následovně. Do zařízení uživatel stáhne soubor, který chce otevřít. Zařízení odešle do Microsoft cloudu informaci, kde ihned dochází k verifikaci, zda se nejedná o soubor či aplikaci s nebezpečným kódem. V situaci, kdy Microsoft o takovém kódu nic neví, posílá do zařízení informaci, že se jedná o neznámý kód. Zařízení potom samo provede základní testy pomocí Machine Learning na lokální úrovni a současně je vzorek kódu odeslán do Microsoft cloudu, kde se dále zkoumá a testuje. Pokud ani v této fázi nedojde ke zjištění, že se jedná o nebezpečný kód, spuštění aplikace je povoleno. Tento proces trvá jednotky sekund, uživatel prakticky ani neví, co se na jeho zařízení děje. Na straně Microsoft analýza stále trvá a vzorek kódu je dále zkoumán. Pokud dojde ke zjištění, že se přece jen jedná o riziko, je do zařízení opět odeslána informace o možném útoku a takto vyhodocený soubor je zcela zablokován, izolován a informace je odeslána do všech dalších zařízení v dané firmě," popisuje postup ochrany koncových zařízení Roman Přikryl, Senior EMM administrator společnosti System4u.

Nástroj Azure ATP (Azure Advanced Threat Protection nebo také Microsoft Defender for Identity) dokáže zamezit útokům v interní síti a zakročit proti nim, pokud se do sítě již útočník dostal. Profiluje uživatele a místo odkud komunikují, rozlišuje jejich oprávnění k přístupům do interní sítě.

Pokud zjistí, že ze zařízení některého uživatele chodí mnoho různých požadavků včetně např. požadavků pod jinou identitou na doménový řadič, může vyhodnotit toto chování jako snahu o prolomení hesla a snahu získat vyšší oprávnění v rámci organizace.

V praxi funguje tak, že Azure ATP senzor, který se instaluje na doménový kontroler nebo jako standalone řešení, sbírá všechny informace, které na doménový řadič přicházejí. Analýza síťové komunikace probíhá na L7 a díky tomu vidíme například přímo do Kerbros tiketů. Víme, odkud a jaký uživatel žádá o přístup do konkrétní aplikace či žádá-li o přístup pro dalšího uživatele. Na základě těchto informací se provádí profilování uživatelů včetně modelu jejich obvyklého chování.

Díky funkci IP Resolution dojde na základě dat z Azure ATP k vytvoření mapy zařízení včetně jejich IP adresy a funkce. Toho se využije například pokud útočník pošle dotaz na replikaci dat na doménový řadič z IP adresy osobního počítače - replikační příkazy si vyměňují pouze doménové řadiče a nikdy nepřijde z koncových stanic. Takové chování lze opět vyhodnotit jako rizikové a možnou snahu získta informace o síti zákazníka.

Všechna data z Azure ATP senzoru se zpracovávají v cloudu Microsoftu a pouze v rámci vašeho tenantu. Díky zpracování dat v cloudu je k dispozici téměř neomezený výkon pro analýzu posbíraných dat. Výsledkem je zpracování a reporting možných hrozeb v reálném čase.

Sledování chování uživatele

V předchozích krocích jsme tedy získali potřebné informace, vyprofilovali jsme uživatele a dále pak můžeme sledovat jejich abnormální chování.

Pokud např. z koncového zařízení, na kterém pracuje jeden uživatel, začnou chodit požadavky na neúspěšné ověření dalších uživatelů, opět zde vidíme snahu o uhodnutí hesla dalších uživatelů v sítí a možný útok.

Samozřejmě je možné generovat upozornění na podezřelé aktivity na síti a zobrazení detailů v administrátorské konzoli. Také je možné Azure ATP propojit s Windows Defender ATP a dostat tak ucelený pohled na možný útok v rámci časové osy.

Ochrana cloudových služeb

Další službou je Microsoft Cloud App Security - tento nástroj dokáže ochránit další cloudové služby. Provádí analýzu síťové komunikace pomocí instalace sondy na Firewall či Proxy server s cílem odhalit tzv. shadow IT, tedy zda uživatelé nepoužívají aplikace, které nejsou pod kontrolou nebo zda si nevyměňují data neoficiální cestou, např. přes Dropbox či jiným způsobem.

U nalezených aplikací je možné zobrazit jejich hodnocení v Microsoft cloud App Catalogu, který obsahuje Microsoftem sestavený seznam aplikací. Na základě negativního hodnocení lze pak aplikace zablokovat.

Také je možné vyhodnotit abnormální chování uživatelů, kdy například dojde ke stahování velkého množství souborů do lokálního počítače z cloudového uložiště. V takovém případě lze uživatele tzv. odstřihnout a zablokovat přístup. Déle může pomoci s ochranou před ransomware.

Ochrana identity

Nástroj Azure AD PIM (Azure Privileged Identity Management) je určen pro nastavování výše oprávnění uživatelů pro přístupy do firemní sítě. Je to předcházení útokům na uživatele s nejvyšším oprávněním a tím zabránění útočníkovi získat např. oprávnění globálního administrátora.

Azure AD PIM dokáže přidávat oprávnění just in time. Tedy každý uživatel má oprávnění standardní a v okamžiku, kdy potřebuje oprávnění vyšší, v daný moment si o ně teprve zažádá a po stanovené době se mu toto oprávnění opět automaticky převede na oprávnění standardního uživatele. Při přidělování rolí a oprávnění lze například vyžadovat multifaktorové ověření nebo schválení jiným uživatelem.

S ochranou identity souvisí i další nástroj, kterým je Microsoft Identiti Protection, který vyhodnocuje rizika při přihlašování uživatelů do služeb Microsoft 365. Pokud se například hlásí z anonimizované sítě, z nestandardní zeměpisné oblasti, neobvyklého času, či IP adresy, odkud komunikují infikované počítače, přihlášení se zablokuje nebo je vynucen další ověřovací faktor.

Microsoft 365 a správa Windows 10

V případě, že firma využívá služby Microsoft 365, doporučuje se využít pro hromadnou správu mobilních zařízení nástroj Microsoft Intune.

Pokud firma využívá pro správu Windows zařízení SCCM (Configuration Manager) a má stovky nebo tisíce zařízení, je složité rychle přejít na správu pomocí Microsoft Intune. Aby tento přechod proběhl plynule, hladce a postupně, stačí propojit služby Intune a SCCM.

Tímto propojením dojde k aktivaci tzv. co-management a firemní zařízení jsou spravována v jeden okamžik ze dvou systémů, aniž by docházelo ke konfliktům mezi těmito systémy.

Díky co-managementu můžete jednotlivé oblasti správy postupně migrovat z SCCM do Intune. Podmínkou pro co-management je synchronizace a registrace zařízení v Azure AD. Poté zcela automaticky dojde k aktivaci zařízení v Microsoft Intune, kde se v první fázi mohou zařízení jen auditovat, než dojde k postupnému převodu všech lze opět využít v Conditional Access politikách pro přístup k Microsoft 365 službám.

Hlavním důvodem k přechodu na Microsoft Intune je jeho umístění v cloudu a dostupnost kdykoli a odkudkoli. Tím zajistíte vždy aktuální konfiguraci a zabezpečení Windows 10 zařízení.

Co se týče licencování co-magementu, je třeba mít licence Microsoft Azure AD Premium P1 a Microsoft Intune, obě licence jsou obsažené v Microsoft Enterprise and Security nebo je lze koupit i samostatně.

Dalším důvodem proč zařízení s Windows 10 spravovat pomocí nástrojů Microsoft 365 je snadná a automatická první konfigurace nových zařízení díky nástroji Microsoft Autopilot.

Tento nástroj zajistí, že zařízení při prvním spuštění bude aktivováno do správy v Microsoft Intune, který do zařízení doručí potřebné konfigurace a aplikace.

Výsledkem je připravené zařízení během několika minut bez nutnosti první konfigurace od IT podpory.