Vizualizări: 25
Echipele IT au sarcina de a găsi echilibrul în configurarea unui acces facil la aplicații păstrând permanent controlul pentru a putea proteja datele critice ale companiilor. În acest context, platforma de securitate Microsoft Defender for Cloud Apps (fosta Microsoft Cloud App Security sau MCAS) a devenit obligatorie în rolul său de Cloud Access Security Broker (CASB) ce face legătura între aplicațiile din cloud și utilizatori, oferind în același timp facilități de jurnalizare, conectori API, servicii proxy în ambele sensuri ale conexiunilor, vizibilitatea datelor în tranzit și mai ales mecanisme analitice avansate necesare identificării și combaterii amenințărilor cibernetice ce targhetează serviciile companiilor.
Odată cu apariția platformei centrale Microsoft 365 Defender, noul Microsoft Defender for Cloud Apps s-a integrat nativ cu Microsoft Defender for Endpoint și Microsoft Defender for Identity, fiind dezvoltat pe baza nevoilor profesioniștilor de securitate și oferind o implemnetare simplificată, administrare centralizată și capabilități avansate de automatizare a multor activități.
Conform studiilor Gartner, platformele cu rol de broker CASB sunt considerate punctele principale de aplicare a politicilor de securitate care vor condiționa accesul consumatorilor serviciilor de cloud la aplicațiile oferite de vendori. Scopul principal este de a implementa și controla politicile de securitate ale companiei pe măsură ce utilizatorii adresează resursele bazate pe cloud, de a ne ajuta să monitorizăm securitatea utilizatorilor și a datelor, fiind practic echivalentele clasicelor “firewall-uri” din infrastructurile tradiționale.
În rol de CASB, Microsoft Defender for Cloud Apps ajută profesioniștii IT să identifice și să combată amenințările cibernetice ce adresează serviciile cloud și nu numai, integrându-se ușor cu produsele Microsoft. O reprezentare schematică a modului în care datele organizației circulă în cloud și poziționarea CASB-ului este în această figură.
Sursa Microsoft Learn
Principalele funcționalități oferite de Microsoft Defender for Cloud Apps:
- Descoperire și control Shadow IT(servicii gestionate în afara departamentului IT: identifică aplicațiile cloud, IaaS și serviciile PaaS utilizate de organizațe pentru a putea controla mai bine riscul.
- Protejarea informațiilor sensibile oriunde în cloud: îdentificarea, clasificarea și protecția informațiilor sensibile stocate, capabilități de prevenire a pierderii datelor (DLP) aplicate diferitele puncte de scurgere de date din organizații.
- Protecția împotriva amenințărilor cibernetice și a anomaliilor: Detectarea comportamentului neobișnuit între aplicații, utilizatori și aplicații cu potențial ransomware, combinănd mai multe metode de detectare printre care UEBA (User Entity Behavioral Analysis), detecția bazată pe reguli și vizualizarea rapidă a modului în care sunt folosite aplicațiile.
- Evaluarea conformității aplicațiilor cloud: evaluând dacă acestea respectă reglementările și standardele din industrie specifice organizației.
Portalul de administrare poate fi accesat la adresa portal.cloudappsecurity.com
Prima secțiune administrativă din portalul platformei Microsoft Defender for Cloud Apps este cea de Discovery (descoperire) unde poți vedea atât aplicațiile cloud cunoscute cât și cele pe care nu sunt vizibile, semnele de Shadow IT și aplicațiile nesancționate ce pot încălca politicile de securitate și standardele de conformitate ale companiilor.
Prin analiza jurnalelor de trafic pe care le compară cu o librărie cu peste 15000 de aplicații de cloud introduse în catalogul vendorului, platforma poate clasifica fiecare aplicație identificată și o compară cu peste 80 de factori de risc oferind vizibilitate asupra riscurilor, Shadow IT și modul de utilizare a aplicațiilor și datelor din cloud.
Prin secțiunea Dashboard (tabloul de bord) Discovery se obține rapid o privire de ansamblu asupra tipurilor de aplicații utilizate, alertelor deschise, nivelurilor de risc ale aplicațiilor din organizație și se poate vedea cine sunt cei mai buni utilizatori ai aplicației și de unde provine fiecare aplicație folosind filtre pentru datele colectate.
Pentru a înțelege ce se întâmplă în mediul de cloud asociat organizației în scopul împiedicării în timp real a încălcării standardelor de securitate și pentru a permite utilizatorilor să-și aducă dispozitivele proprii protejând în același timp organizația împotriva scurgerii și furtului de date, Microsoft Defender for Cloud Apps se integrează cu furnizorii de identitate (Identity providers) prin intermediul Conditional Access App Control (Controlul aplicației cu acces condiționat).
Se pot folosi politicile de acces și de sesiune în portalul Microsoft Defender for Cloud Apps pentru a perfecționa și mai mult filtrele și pentru a seta acțiunile care trebuie întreprinse asupra unui utilizator, astfel încât:
- Să fie prevenită exfiltrarea datelor: prin blocarea descărcării, preluării de conținut, copierii și imprimării documentelor sensibile
- Să se implementeze protecția la descărcare: în loc să se blocheze descărcarea documentelor sensibile, se poate impune ca acestea să fie etichetate și protejate cu Azure Information Protection, asigurându-se faptul că documentul este protejat și că accesul utilizatorului este restricționat într-o sesiune cu risc potențial.
- Se previn încărcarea fișierelor neetichetate: înainte ca un fișier sensibil să fie încărcat, distribuit și utilizat de către alții, este important să aibe eticheta și protecția potrivite, putând ulterior să se blocheze încărcarea unui fișier înainte de a fi clasificat conținutul.
- Să se monitorizeze sesiunile utilizatorilor pentru verificarea conformității: fiind monitorizați utilizatorii riscanți atunci când se conectează la aplicații și înregistrează acțiunile lor din cadrul sesiunii. Se poate investiga și analiza comportamentului utilizatorilor pentru a înțelege unde și în ce condiții să fie aplicate politicile de sesiune în viitor.
- Să se blocheze accesul: pentru anumite aplicații și utilizatori, în funcție de mai mulți factori de risc.
- Să fie blocate activitățile personalizate: cum ar fi trimiterea de mesaje cu conținut sensibil în aplicații precum Microsoft Teams fiind verificate mesajele pentru conținut sensibil și blocate în timp real.
Nu în ultimul rând, una din funcționalitățile importante Microsoft Defender for Cloud Apps este cea de clasificare și protecție a informațiilor clasificate ca sensibile, foarte butilă pentru a împiedica utilizatorii să expună accidental fișiere critice sau informații vitale pentru organizație cu grave consecințe juridice.
În acest scop, Microsoft a integrat produsul nativ cu Azure Information Protection, o platformă cloud based specializată în clasificarea și protecția fișierelor și mesajelordin organizație. Acest produs stă la baza implementării protecției informațiilor prin următoarele etape:
- Descoperirea datelor organizației
- Clasificarea informațiilor sensibile și etichetarea lor ca date personale, date publice, date cu caracter general, confidențial sau strict confidențial
- Activarea integrării Azure Information Protection în Microsoft Defender for Cloud Apps în setările platformei
- Protecția activă a datelor prin creerea politicilor de fișiere cu rolul de a detecta activ informațiile sensibile și a acționa în funcție de sensibilitatea acestora astfel:
-
- Declanșare de alerte și notificări prin e-mail.
- Modificarea permisiunilor de partajare pentru fișiere.
- Trimiterea fișierelor În carantină unde vor fi analizate ulterior.
- Eliminarea permisiunilor necorespunzătoare pentru fișiere sau foldere.
- Ștergerea fișierelor
- Ultima etapă este cea de monitorizare și raportare unde alertele pot fi investigate pentru a înțelege mai bine problemele semnalate și se poate decide dacă sunt reale sau fals pozitive.
În Microsoft Defender for Cloud Apps se pot defini totodată politicvi de detectare a anomaliilor pentru o varietate largă de probleme de securitate dintre care amintesc:
- Călătorie imposibilă (imposible travel):activități simultane ale aceluiași utilizator în locații diferite într-o perioadă mai scurtă decât timpul estimat de călătorie între cele două locații.
- Activitate din țară puțin frecventă (Activity from infrequent country):înregistrată într-o locație care nu a fost vizitată recent sau niciodată de către utilizatorii din organizație.
- Detectarea programelor malware (Malware detection):scanarea fișierelor din aplicațiile cloud ale organizației și a rulării de fișiere suspecte prin Microsoft’s threat intelligence engine (motorul Microsoft de informații despre amenințări) pentru a determina dacă sunt asociate cu programe malware cunoscute.
- Activitate ransomware:detecția încărcării de fișiere în cloud care ar putea fi infectate cu ransomware.
- Activitate de la adrese IP suspecte care a fost identificată ca riscantă de Microsoft Threat Intelligence.
- Redirecționare suspectă în căsuța de e-mail: detectează regulile suspecte de redirecționare a căsuței primite stabilite în căsuța de e-mail a unui utilizator.
- Activități neobișnuite de descărcare de fișiere multiple într-o singură sesiune în raport cu șablonul (baselineul) recomandat, ceea ce ar putea indica o încercare de încălcare.
- Activități administrative neobișnuite: detectate într-o singură sesiune în raport cu șablonul (baselineul) recomandat, ceea ce ar putea indica o încercare de încălcare.
Pentru a aprofunda cunoștințele îți recomand cursul oficial Microsoft SC-200 Microsoft Security Operations Analyst asociat certificării role based Microsoft Certified: Security Operation Analyst Associate.
- Pentru a consulta toată gama de cursuri Microsoft oferite de Bittnet Training, click aici.
- Pentru a consulta toată gama de cursuri din tehnologia cyber security oferite de Bittnet Training, click aici.
- Pentru a consulta toată gama de cursuri din tehnologia cloud oferite de Bittnet Training, click aici.
