Security Operation Center

Digitalizace je pojem, který rezonuje v současné době v každé organizaci. Skrývá mnoho činností vedoucích k zefektivnění a zjednodušení práce. To, že mnoho takových projektů končí opakem, je věc druhá. Mezi přínosy lze počítat snazší přístup k datům podniku, nejen z firemních počítačů, ale často i ze soukromých zařízení, práci odkudkoliv a třeba i snazší integraci IoT zařízení, jako jsou kamery, čidla, senzory, čtečky karet, terminály nebo specializovaná zařízení pro práci ve skladech či dopravě.

Práva vyhrazena Konica Minolta IT Solutions Czech

Útok jako služba

Každá mince má i druhou stranu v podobě práce ze soukromých neudržovaných zařízení, přístupu prostřednictvím nezabezpečených sítí, nutnost publikovat do internetu legacy systémy, které na to nejsou připravené, nutnost rychle instalovat aktualizace na interní servery, i když fungují bez chyb. Doby, kdy uživatelům hrozilo „pouze“ zavirování a autorem viru byl geek dokazující své schopnosti, jsou ty tam.

Práva vyhrazena Konica Minolta IT Solutions Czech

IT kriminalita je dnes business jako každý jiný a z velké části využívá toho nejméně zabezpečeného a téměř nezáplatovaného, co v IT máme, uživatele. Stačí si z něj udělat svého virtuálního „přítele“ a koupit ransomware kit, do kterého „jen“ vložíte seznam adres, a čekáte, kdo z „přátel“ se chytne jako první. Jako návnada postačí odkaz na stránku se super videi, kde nám „kamarád“ v cílové organizaci „všechna ta otravná potvrzení“ odkliká. Nevědomky však předá aktivní cookies pro přístup do Microsoft 365. Kit už podle připraveného schéma rozešle Excel tabulku jeho kolegům. O takové tabulce nebude pochybovat drtivá většina uživatelů, a když je upozorníte na nutnost povolení maker, rádi to pro vás udělají.

Práva vyhrazena Konica Minolta IT Solutions Czech

V takovémto prostředí, kde nemáte pod správou přenosové trasy, zabezpečení a správu koncových zařízení, je pro „tradiční antivirus“, hledající známé sekvence kódu, nemožné čemukoliv zabránit. Z úlohy ochrany vnitřní sítě se stávají úlohy tři: ochrana identit, ochrana zařízení a ochrana dat. Zde již nestačí jen hledat známé řetězce, blokovat známé weby nebo se pomocí AI pokoušet uhodnout, jestli chování kódu je škodlivé, nebo naopak chtěné.

Microsoft Defender

Jak z toho? Zkuste využít Microsoft Defender. Jedná se o komplexní sadu nástrojů a znalostí pod jednou značkou (např. Microsoft Defender for Business, for Endpoint, for Apps, for Cloud, …), které staví na znalostech vlastních specialistů a datech získávaných z provozu Microsoft 365, Azure, připojených on-premise instalacích, uživatelských zařízení nebo spravovaných cloud instancích třetích stran.

Práva vyhrazena Konica Minolta IT Solutions Czech

Ochrana proti útokům je komplexní záležitostí zahrnující ochranu identit, například pomocí multifaktorové autorizace, pravidelné aktualizace koncových zařízení a aplikací, minimalizaci uživatelských práv a práv administrátorů (například pomocí PIM) nebo pomocí antivirové, antimalware ochrany a důsledné ochrany dat.

Práva vyhrazena Konica Minolta IT Solutions Czech

Defender for Busieness/Endpoint

Nástroj Defender for Endpont je pro enterprise zákazníky dostupný ve dvou edicích: Plan 1 a Plan 2. První jmenovaný je možné zakoupit samostatně nebo jako součást licencí Microsoft 365 E3/A3. Plan 2 je možné stejně jako Plan 1 zakoupit samostatně nebo jako součást licencí Windows 11, Enterprise E5/A5, Windows 10 Enterprise E5/A5, Microsoft 365 E5/A5/G5 (which includes Windows 10 or Windows 11 Enterprise E5), Microsoft 365 E5/A5/G5/F5 Security, Microsoft 365 F5 Security & Compliance.

Microsoft uvedl na trh produkt Microsoft Defender for Business (součástí licence Microsoft 365 Business Premium), u kterého slibuje stejnou funkcionalitu, jako má Defender for Endpoint (součástí licence Microsoft 365 E5).

Součástí Defender for Business tak získáváte nástroj, který vám nabízí Enterprise sadu nástrojů za přijatelných podmínek:

• Defender pro Office 365 – Pomáhá chránit před sofistikovanými hrozbami skrytými v e-mailových přílohách a odkazech. Získáte nejmodernější ochranu před útoky zero day, ransomwarem, pokročilým malwarem a viry.
• Mobile Device Management – Selektivní vymazání v Intune umožňuje na dálku vymazat firemní data ze ztracených nebo odcizených zařízení. Šifrování dat v mobilních zařízeních. Omezení kopírování nebo ukládání firemních informací do neautorizovaných aplikací a umístění.
• Azure Right Management – Ochrana dat bez ohledu na jejich umístění. Možnost nastavení toho, kdo má přístup k firemním informacím, na základě omezení (například nekopírovat a nepřeposílat) ve správě přístupových práv k informacím.
• Defender for Business – Můžete používat zásady, které ve Windows 11 a Windows 10 poskytují odolnost proti hrozbám omezením potenciální oblasti útoku a ochranou před zneužitím dříve, než nastane samotný útok. Zavedením ochrany proti malwaru v antivirové ochraně v programu Microsoft Defender ochráníte svoje zařízení s Windows 11 a Windows 10 před viry, spywarem a dalším škodlivým softwarem.
• Conditional Access – Pomocí pravidel lze stanovit, kdo, kde a pomocí jakého zařízení smí přistupovat k IT prostředkům. Stanovení pravidel pro autorizaci a autorizaci služeb a uživatelů.

Defender for Cloud

Je nástrojem pro komplexní ochranu nejen infrastruktury v Azure. Pomocí nástrojů z rodiny Defender for Cloud lze zajistit správu i ochranu infrastruktury v AWS nebo GCP či prostřednictvím Azure Arc zabezpečit infrastrukturu on-premise. Defender for cloud pokrývá problematiku bezpečnosti ze tří směrů

Continuously assess

• Secure score – na první pohled zjistíte vaši aktuální bezpečnostní situaci: čím vyšší je skóre, tím lepší je úroveň zabezpečení.
• Vulnerability assessment – pomocí skórování jsou vyhodnocovány jednotlivé zranitelnosti systémů s rozkladem na jednotlivé prvky virtuální infrastruktury.
•  Assess inventory – přehled o HW a SW vybavení virtuálních zařízení a služeb.
• Regulatory compliance – automatické vyhodnocování oproti pravidlům definovaných regulatorními úřady a interními compliance pravidly zjednodušuje následný audit a zajištění bezpečného provozu. 
• File integrity monitoring – monitoring změn prováděných na úrovni filesystem virtuálních serverů eliminuje možnost provádění neautorizovaných změn, například změn pomocí ransomware apod.
• Součástí licence Defender for Cloud aplikované na virtuální servery je i licence na Defender for Servers, která zajistí antivirovou, malware, ransomware kontrolu a pomocí AI neustále vyhodnocuje dění na virtuálním serveru. Zda chování uživatelů nebo prováděné akce neodpovídají některému z vektorů útoků nebo se nejedná o neobvyklou činnost.

Secure

• Security recommendations – posouzení bezpečnostních rizik na základě best practice a doporučení pro lepší zabezpečení virtuálních serverů, SQL služeb, kontejnerů, active direcotry a běhového prostředí v subscription a dalších.
• Just-in-time Virtual Machine access – ne všechny porty serveru musí být dostupné, typicky se jedná třeba o vzdálený přístup. Služba zjistí zpřístupnění pouze na dobu nezbytně nutnou a pouze pro ověřeného uživatele.
• Adaptive network hardering – díky neustálému monitoringu síťového provozu dostanete doporučení, jak upravit NSG pravidla, zda některé porty raději neschovat, neomezit rozsahy pro komunikaci apod.
• Adaptive application control – služba z provozních logů neustále vyhodnocuje aplikace, které jsou ve vaší organizaci používány, postupně z nich buduje vaši databázi bezpečných aplikací a tím minimalizuje možnost infiltrace prostřednictvím malwaru a dalších škodlivých kódů.

Defend

• Microsoft Defender – zabezpečení pro jednotlivé služby a servery, pokryty jsou: Servery (Linux, Windows), Storage, SQL, Containers, App Services, Key Vault, Resource Manager, DNS, open-source relační databáze, Azure Cosmo DB.
• Security Alerts – pakliže defender detekuje ohrožení, poskytne k němu prostřednictvím Seciruty Alert kompletní informace pro jeho trasování (napříč časem, prostředky i identitami) a doporučí postup pro remediaci (eliminaci) problému.
• Integraci s Microsoft Sentinel.

Životní cyklus správy prostředí

Můžete si pořídit sebelepší bezpečnostní nástroje, sbírat gigabajty informací o provozu serverů, stanic, spouštěných aplikacích, chování uživatelů, chování dat, ale bez znalostí vám tato data nebudou k užitku. Naopak budete zahlceni množstvím dat a ani sebelepší AI vám nepomůže. Je potřeba při správě a ochraně pokrýt celý životní cyklus správy.

Práva vyhrazena Konica Minolta IT Solutions Czech

S vyhodnocením a návrhem úprav dokáže pomoct samotný Defender, ale jejich implementaci je vždy potřeba dobře zvážit. Například už jen zbrklé zavedení multifaktorové autorizace může při opomenutí vynechání servisních účtů zastavit běh nejedné služby.

Nezbytnou součástí je i dokumentace provedených změn (nejlépe pomocí zálohy konfigurace do repository) a promítnutí změn funkčností do Compliance dokumentace. Bez kodifikace pravidel pro práci s IT prostředky a následně verifikačních postupů snadno zjistíte, že zálohy nejdou obnovit, servery nikdo neaktualizuje, uživatelé neví, kam mají hlásit incidenty. Minimem by pak mělo být zpracování:

• Disaster recovery – Definice cílů pro D&R plán, postupy pro řešení HW problémů, postupy pro obnovu dat, odpovědnosti za jednotlivé kroky, definice kontrolních mechanizmů D&R plánů.
• Data Protection – Klasifikace dat z pohledu jejich důležitosti pro běh organizace, klasifikace dat z pohledu regulatorních předpisů, pravidla pro zacházení s klasifikovanými daty, pravidla pro ochranu klasifikovaných dat.
• IT Governance – Popis procesů správy IT infrastruktury, definice odpovědnosti za realizaci těchto procesů, definice cílů IT pro podporu Business, definice metrik hodnotících funkčnost IT.

Přísloví říká „Důvěřuj, ale prověřuj“. Tímto heslem je potřeba se řídit i v IT, bez ohledu na to, zda si jej spravujete sami, nebo máte nasmlouvaný outsourcing služeb. Ve chvíli, kdy máte správně zpracovanou dokumentaci, znáte i kritéria pro správné chování a metriky, podle kterých lze správu IT hodnotit, rozvíjet a prověřovat. Výstupy z prověrek (například kontrola obnovy po úplné ztrátě dat) vám pak napoví, co je potřeba zlepšit a změnit. Ve chvíli, kdy dojde ke skutečné katastrofě, budete vědět, co se stane a jaké budou výsledky.

Pár vět na závěr

IT se mění. Z okrajové a podpůrné součásti firmy se změnilo na klíčového hráče, bez nějž si dosažení cílů firmy nelze představit. Z izolovaných počítačů se stala celosvětově propojená pavučina zvaná Internet. Nyní probíhá v IT další velká změna, přesun do cloudu a s tím i přechod od nákupu a provozu softwaru k nákupu konkrétní funkčnosti a dovednosti. To vše znamená i změnu způsobu zabezpečení a perimetrem ochrany není lokální síť, ale jednotlivé identity uživatelů, jednotlivá zařízení a jednotlivé informace bez ohledu na to, kde jsou.

Dobrý partner vám v takovém světě nebude dodávat jen služby, ale kontinuálně s vámi bude pracovat na jejich co nejefektivnějším využití, pomůže vám je provozovat a zabezpečit. S jeho pomocí své řešení zdokumentujete a nastavíte kontrolní mechanismy. Stejně tak vás bude profesionální partner tlačit do provádění kontrol, protože jedině jejich prostřednictvím lze najít chyby a dosáhnout zlepšení.

V příspěvku jsou využity informace z Microsoft digital defense report 2021 a Kybernetické incidenty pohledem NÚKIB: leden 2022

Autor: Zdeněk Havel, Solution Architect, Konica Minolta IT Solutions Czech