V předchozím textu, který je určený menším firmám, jsme rozebrali přechod na cloudové služby Office 365, bezpečné přístupy a správu zařízení.
Microsoft 365 a bezpečnost: jaké nástroje nabízí?
V tomto článku rozebereme nejznámější nástroje, které Microsoft využívá k bezpečnosti a ochraně.
Microsoft celý svůj bezpečnostní balíček nazývá Advanced Threat Protection (ATP) a obsahuje desítky menších či větších bezpečnostních nástrojů. V článku proto rozebíráme jen ty nejvýznamnější.
Microsoft Defender for O365
Základní bezpečnostní nástroj sloužící k ochraně aplikací pro sdílení souborů, tedy například Outlooku, Teams nebo Sharepointu. Součástí nástroje je funkce Microsoft Safe Attachments, která automaticky kontroluje všechny soubory (přílohy), ať už přijdou zvenčí nebo interně od kolegů.
V praxi se nad každým odeslaným či přijatým souborem provede automatická kontrola. Pokud nástroj zjistí, že se jedná o nakažený soubor, ihned jej odebere. Následně zkontroluje, zda tento soubor nedostali také další uživatelé. Pokud ano, zablokuje přístup k příloze a vloží jej do karantény.
Na podobném principu funguje i nástroj Microsoft Safe Links. Když uživatel dostane odkaz na soubor, O365 tento odkaz zkontroluje, a jestliže vyhodnotí, že obsahuje nebezpečný kód, zablokuje jej a předejde tím útoku na síť. Součástí Microsoft 365 ATP je i antiphishing nebo antimalware.
Windows Defender Advanced Threat Protection
Tento nástroj chrání koncová zařízení, na kterých by útočník mohl spustit škodlivý kód. Součástí nástroje je Windows Defender Smart Screen, který umí preventivně zablokovat přístup na nebezpečný web nebo stažení souboru.
Aplikace Endpoint Protection slouží pro ochranu zařízení, pokud se do něj nebezpečný soubor již dostal. Uživatel či útočník chce infikovaný soubor spustit, Endpoint Protection provede kontrolu, a pokud zjistí, že je v souboru nebezpečný kód, spuštění zablokuje.
Endpoint Detection and Response řeší situace, kdy se nebezpečný soubor či aplikace již spustily. Nástroj zpětně analyzuje chování souboru či aplikace, vyhodnotí jeho nebezpečnost, provede definovaná opatření a předá informaci dalším koncovým zařízením ve firmě. Využívá k tomu mimo jiné machine learning přímo v Microsoft cloudu. Microsoft díky tomu sbírá informace ze všech zařízení registrovaných v Microsoft 365, data vyhodnocuje a dokáže včas varovat další uživatele.
Jak to vypadá v praxi? Uživatel si stáhne soubor, který chce otevřít. Zařízení odešle do Microsoft cloudu informaci, kde ihned dochází k verifikaci, zda se nejedná o soubor či aplikaci s nebezpečným kódem. V případě, že Microsoft tento kód nezná, posílá do zařízení informaci, že se jedná o neznámý kód. Zařízení následně provede základní testy pomocí machine learning na lokální úrovni a současně vzorek kódu odešle do Microsoft cloudu, kde se dál zkoumá a testuje.
Pokud vypadá vše v pořádku, systém spuštění aplikace povolí. Celý proces trvá jednotky sekund, uživatel ani neví, co se na jeho zařízení děje. Microsoft však i nadále soubor analyzuje, a pokud později zjistí, že je rizikový, pošle do zařízení informaci o možném útoku a takto vyhodnocený soubor zablokuje, izoluje a zašle upozornění všem zařízením v dané firmě.
Azure Advanced Threat Protection (Azure ATP)
Nazývá se také Microsoft Defender for Identity a dokáže zamezit útokům v interní síti nebo zakročit proti nim, pokud se útočník do sítě již dostal. Tento nástroj profiluje uživatele a místo, odkud komunikují, nebo rozlišuje jejich oprávnění k přístupům do interní sítě. Pokud zjistí, že ze zařízení některého uživatele chodí nadstandardní množství požadavků, včetně například požadavků pod jinou identitou na doménový řadič, vyhodnotí toto chování jako snahu o prolomení hesla a snahu získat vyšší oprávnění.
V praxi to funguje tak, že Azure ATP senzor, který se instaluje na doménový kontroler nebo jako stand-alone řešení, sbírá všechny informace, které na doménový řadič přicházejí. Díky analýze síťové komunikace vidíte, odkud a jaký uživatel žádá o přístup do konkrétní aplikace nebo přístup pro dalšího uživatele. Na základě těchto informací se provádí profilování uživatelů včetně modelu jejich obvyklého chování.
Díky funkci IP Resolution dojde na základě dat z Azure ATP k vytvoření mapy zařízení včetně jejich IP adres a funkcí. Toho využijete, pokud útočník například pošle dotaz na replikaci dat na doménový řadič z IP adresy osobního počítače – replikační příkazy si vyměňují pouze doménové řadiče a nikdy nepřijdou z koncových stanic. Takové chování proto systém vyhodnotí jako rizikové a včas provede patřičné kroky.
Všechna data z Azure ATP senzoru se zpracovávají v cloudu Microsoftu a pouze v rámci vaší organizace. Díky zpracování dat v cloudu je k dispozici téměř neomezený výkon pro analýzu posbíraných dat. Výsledkem je zpracování a reporting možných hrozeb v reálném čase.
Ještě jeden příklad z praxe. Pokud z koncového zařízení, na kterém pracuje jeden uživatel, začnou chodit požadavky na neúspěšné ověření dalších uživatelů, opět to systém vyhodnotí jako snahu o uhodnutí hesla dalších uživatelů a možný útok.
Azure ATP můžete navíc propojit s Windows Defender ATP a získat tak ucelený pohled na možný útok v rámci časové osy.
Microsoft Cloud App Security
Tento nástroj chrání další cloudové služby. Provádí analýzu síťové komunikace pomocí instalace sondy na firewall či proxy server s cílem odhalit takzvané shadow IT. Tedy zda uživatelé nepoužívají aplikace, které nejsou pod kontrolou, nebo zda-li si nevyměňují data neoficiální cestou, například přes Dropbox.
Pokud takovou aplikaci „ve stínu“ najde, umožní vám zobrazit její hodnocení v Microsoft cloud App Catalogu, který obsahuje seznam přibližně 15 000 aplikací. Na základě hodnocení pak aplikaci můžete zablokovat.
Nástroj dokáže také vyhodnotit abnormální chování uživatelů, například stahování velkého množství souborů do lokálního počítače z cloudového uložiště. V takovém případě můžete uživatele odstřihnout a zablokovat mu přístup. Dále pomáhá s ochranou před ransomware.
Azure Privileged Identity Management (Azure AD PIM)
Tento nástroj slouží k nastavování oprávnění uživatelů pro přístupy do firemní sítě. Brání zejména útokům na uživatele s nejvyšším oprávněním a tím útočníkovi zabraňuje získat nejvyšší oprávnění globálního administrátora.
Azure AD PIM umí také přidávat oprávnění just in time. Každý uživatel má tak standardní oprávnění a jen ve chvíli, kdy potřebuje oprávnění vyšší, si o něj zažádá. Po stanovené době se mu oprávnění opět převede na standardního uživatele. Při přidělování rolí a oprávnění lze pak vyžadovat multifaktorové ověření nebo schválení jiným uživatelem.
S ochranou identity souvisí i nástroj Microsoft Identity Protection. Tento nástroj vyhodnocuje rizika při přihlašování uživatelů do Microsoft 365. Pokud se například hlásí z anonymizované sítě, z nestandardního místa a času, nebo z IP adresy, odkud běžně komunikují infikované počítače, přihlášení se zablokuje nebo vynutí další ověřovací faktor.
Seznam bezpečnostních aplikací není konečný, jen nastiňuje možnosti, které při nasazení Microsoft 365 máte. Vzhledem k robustnosti a komplexitě nástrojů doporučujeme Microsoft 365 nasazovat s certifikovaným partnerem. V Česku je to například brněnská společnost System4u ( ), která má jakožto Microsoft Gold Partner s tímto tématem bohaté zkušenosti.
