+22 голоса |
Основная цель злоумышленников состоит в том, чтобы получить и расширить доступ к ресурсам организации, закрепиться там и ждать возможности украсть или зашифровать как можно больше конфиденциальной информации, чтобы получить наибольшую прибыль.
Специалистам по защите необходима прозрачность во всех ресурсах и автоматическое сопоставление признаков вредоносной деятельности в электронной почте, идентификационных данных, конечных точках и облачных приложениях, чтобы увидеть полную картину атаки. Только тогда специалисты по защите смогут «вылечить» зараженные устройства, применить условный доступ (Conditional Access) и предотвратить повторение таких же или похожих атак.
Хотелось бы напомнить какие средства защиты встроены в продукты Microsoft, и предложить вариант того, как можно правильно расставить приоритеты.
Вы можете защищать конечные устройства с помощью Microsoft Defender ATP — до пяти устройств лицензированных пользователей одновременно, которые легко подключить в любое время. Стоит обратить внимание, что Microsoft Defender ATP отслеживает угрозы на всех платформах, включая macOS.
Включите многофакторную проверку подлинности (MFA) и контроль доступа по условию через Azure Active Directory для защиты идентификационных данных. Сейчас, когда пользователи работают из дома, как никогда важно избегать компрометации учетных данных. Настоятельно рекомендую подключать все приложения — от SaaS до локальных приложений — к Azure AD для единого входа, включать MFA и применять политики доступа по условию, а также предоставлять безопасный доступ подрядчикам и партнерам. Вы также можете задействовать бесплатную службу Azure AD для единого входа, включая MFA с использованием приложения Microsoft Authenticator.
Почтовые ящики и учетные записи электронной почты можно защитить с помощью Office 365 ATP. Эта облачная служба фильтрации поставит надежный барьер против фишинга и вредоносных программ. Она также включает функции для защиты вашей организации от нарушений политики обмена сообщениями, целевых атак, уязвимостей нулевого дня и вредоносных URL-адресов. Интеллектуальные рекомендации от Security Policy Advisor помогут уменьшить распространение макроатаки, а служба Office Cloud Policy Service упростит внедрение базовых показателей безопасности.
Еще один сервис - Microsoft Cloud App Security - поможет защититься от использования теневой ИТ-инфраструктуры и несанкционированных приложений. Плюс к этому он позволяет выявлять и прекращать атаки в облаке, а также контролировать передачу данных между облачными приложениями разных производителей.
Microsoft Threat Protection сопоставляет сигналы из всех этих источников, используя Azure ATP, Microsoft Defender ATP, Office 365 ATP и Microsoft Cloud App Security, чтобы понять всю цепочку атаки. Это позволяет CISO определить, какие угрозы необходимо устранить в первую очередь, и автоматически восстановить поврежденные учетные записи, почтовые ящики, конечные устройства и облачные приложения до безопасного состояния.
Cредства анализа угроз Microsoft учитывают сигналы не только от одного вектора атаки (такого как фишинговые письма), а сразу по всем направлениям, включая электронные письма, идентификаторы, конечные устройства и облачные приложения, чтобы понять, как меняется ландшафт угроз, и встроить эти знания в наши продукты для предотвращения разрастания и усиления атак. Встроенные средства автоматического устранения атак в этих решениях помогают уменьшить нагрузку на специалистов по защите, возрастающую из-за появления множества новых устройств и соединений.
Хотел бы также обратить внимание на Azure Sentinel — полностью облачное решение SIEM, которое объединяет данные анализа из Microsoft Threat Protection и Azure Security Center, а также журналов любых сторонних и клиентских приложений, чтобы облегчить специалистам по безопасности обнаружение, рассмотрение и расследование угроз по всему предприятию. Как и во всех продуктах Microsoft Security, клиенты Azure Sentinel получают преимущества интеллектуального анализа угроз для обнаружения и поиска атак. Решение позволяет легко добавлять новые источники данных и масштабировать существующие, используя встроенные рабочие книги, поисковые запросы и аналитику, чтобы помочь в идентификации угроз, их приоритизации и реагирования на них. Недавно был представлен блокнот для поиска угроз, связанных с COVID-19, в Azure Sentinel.
Средства защиты, предоставляемые облаком, важны, чтобы получать актуальные обновления и исправления безопасности. Если вы еще не используете их, настоятельно рекомендую это делать.
В заключение хотел бы также напомнить, что в Microsoft работают 3500 специалистов в области информационной безопасности. Эта команда очень тщательно следит за ландшафтом угроз, их главная задача — помогать, предоставляя ресурсы и рекомендации, а для критических случаев предлагается поддержка таких служб, как Microsoft Detection and Response (DART, группа обнаружения и реагирования), чтобы помочь в расследовании и исправлении ситуации.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+22 голоса |