מאמר זה מתמקד באופן כללי באפשרויות הגנה של Microsoft Threat Protection.
אבטחת מידע היא עולם רחב ועמוק שאינו מפסיק להתעדכן מידי יום בין אם בצד התוקף או בצד המגן, בשורה התחתונה, מטרתה היא אחת והיא להגן על הנכסים החשובים מפני סיכונים קיימים וסיכונים חדשים.
הגנה על המערכות הארגוניות אינו דבר פשוט כלל, ומידי יום אנו רואים מסביב אינספור פריצות, זליגת מידע, אירועי תקיפה ושלל התקפות קטנות וגדולות. בימינו, אף אחד אינו חסין והשאלה היא מתי זה עלול לקרות.
כידוע, המטרה של הקבוצה הכחולה היא להקטין את שטח התקיפה באופן משמעותי וגם אם היה והתרחש אירוע סייבר, אנו צריכים לגרום לאותו אירוע להיות קטן ככל האפשר ואולי גם חסר משמעות.
ישנן דרכים רבות להקטין את שטח התקיפה, החל הפעולות הבסיסיות של ביצוע הקשחות מקצה לקצה, ועד למצב של יישום אינספור פתרונות אבטחה.
טיפ: הקשחה מערכות שונות כדוגמת Active Directory או Office 365 היא פעולה חשובה מאוד בגלל שהיא מאפשרת להקטין את שטח המתקפה באופן משמעותי, למשל הקשחה בתחנות קצה ע"י הורדת אדמין מקומי למשתמשי קצה.
אז ליישם מערכות עם 7 ספרות אינו מספק פתרון הגנה אפקטיבי ואינו נותן שום ערך, ולמעשה חוץ מהעובדה שאתם יכולים למלא משאיות עם המידע שמתקבל אנו לא מקבלים כלום, המשפט האחרון אינו אומר שאין צורך בפתרונות אבטחה, אך כן חשוב לשלב אותם בצורה נכונה ולא להעמיס מערכות.
המגמה כיום היא לשלב בין מספר הגנות ספציפיות המתבססות על הדגשים הבאים:
• הגנה מבוססת Security Baseline – לבצע הקשחות של כל רכיב
• נראות והגנה מפני איומים – מערכת המספקת נראות ומענה אוטומטי מקצה לקצה
• Intrusion Prevention & Deception – מערכות הגנה חכמות המספקות מניעת חדירות ומציגה נכסים אחרים לתוקף
אז מאיפה מתחילים? אפשר לומר שביצוע הקשחות במערכות ארגוניות החל מתשתית Active Directory ועד למערכות SAP היא עבודה מתמשכת עד שמגיעים לסגירה ברמת הבורג, ולכן הוא מקביל לביצוע הקשחות אנו חייבים לתת מענה לפתרון שמספק נראות, זיהוי ותגובה לאירועי אבטחה או כאלה שעלולים להתפתח.
טיפ: מומלץ: כדאי לדעת איך עובד מסלול kill Chain, מפני שנתיב של מסלול Kill Chain מדמה כל נקודה ושלב מסוים בתשתית הארגונית, וע"י כך ניתן לדעת איך אנו נותנים מענה עם MTP בכל שלב.
Microsoft Threat Protection (או בקצרה MTP), מספק הגנה משולבת מקצה לקצה על הנכסים בארגון, מאפשרת לגשר על פערי אבטחה ומעצימה את האפשרויות להגנה עם כלים ובקרות מתקדמות.
הגנה על הנכסים הארגוניים – משתמשים, זהויות, ניידות ודינמיות עבודה יוצרים סיכונים חדשים ולכן השילוב של הגנה על זהויות, נראות על כל פעולה וחסימה לפי מנגנונים שונים ויוצרת מנגנון Zero-Trust.
צמצום פערים – כיום ישנם מערכות אבטחה שונות בכל ארגון וכל מערכת זורקת אינספור סיגנלים, ולכן במצב כזה אנו עלולים לפספס אירועי אבטחה. החלק הבעייתי בין כל המערכות הוא שאותם מערכות אבטחה אינן מחוברות אחת לשנייה, וכאן מגיע האינטגרציה בין פתרונות האבטחה של MTP.
אינטגרציה וחיבור סיגנלים – הסיכונים מתחדשים בכל עת ולכן השילוב של MTP מאפשר אבטחה משולבת מקצה לקצה בתרחישים שונים. למשל, Kill Chain ובנוסף לכך יכולות למידה, אוטומציה וכלים לאנשי אבטחה.
מכלול המערכות והפתרונות של MTP מסתמכות על מספר פתרונות אבטחה המספקים מענה ברבדים השונים החל מזהויות, דרך התקני קצה ועד נראות בכל פרט.
הסטאק של הפתרונות של MTP המוצעים מספקים יכולות מתקדמות ומעצימות את אנשי האבטחה בגלל סיבה פשוטה: לראשונה ישנו וונדור אבטחה שנותן אינטגרציה מלאה בין המערכות השונות.
Azure Sentinel – המערכת Native SIEM שמאפשרת לחבר אליה כל מערכת וכל פתרון אבטחה, כולל כאלו שאינם פתרונות Microsoft במטרה לבצע פעולות שונות של למידת מכונה ואנליטיקות מתקדמות על כל פיסת מידע.
היתרון באינטגרציה עם MTP הוא שכלל המערכות מחוברות ומעבירות מידע אל Azure Sentinel" וע"י כך ניתן לבצע קורלציה בין המידע, לבצע ניתוחי מידע ולתחקר אירועים.
Cloud App Security – לדעתי פתרון חובה בכל ארגון המספק נראות על כל פרט ותהליך אשר קורה בענן וגם בסביבה היברידית. היתרון במערכת MCAS הוא השילוב עם מערכות צד שלישי המאפשרות לו לבצע Enforcement לסיכונים שונים בין אם ידני או אוטומטי.
היתרון עם MTP הוא שבאמצעות MCAS, ניתן לקבל נראות פסיכית לגמרי על כל פעולה שהיא, וכתוצאה מכך לזהות כל פעילות חשודה ולבצע תחקור ברמת הבורג.
Azure AD – זהויות הוא רובד חשוב מאוד והראשון אשר מיישמים בענן, Azure AD מספק IdP מקצה לקצה בתצורות שונות כולל היברידית ומאפשר יצירת SSO ואוטומציה מול אפליקציות ומערכות צד שלישי.
ניהול הזהויות והגישה בתרחיש MTP מאפשר לאכוף הגנה על בסיס תנאים משתנים ובהתאם לאינטגרציה מול מערכות נוספות כגון MDATP או Office ATP.
Microsoft Defender ATP – מערכת המספקת הגנה להתקני קצה מבוססים Microsoft והתקני קצה צד שלישי, החל מתחנות קצה מבוססות Windows 10 או לינוקס, שרתי Windows ועד מכשירים חכמים מבוססים אנדרואיד ואפל.
מטרתו של MDATP הוא לזהות סיכונים מתקדמים במערכת כדוגמת התקפות זיכרון, ובהתאם לכך להגיב על אירועים.
Office ATP -הגנה על מספר רבדים כאשר המרכזי שבהם הוא הגנה על הדואר עם יכולות סינון ברמת קישורים וקבצים והגנה על שירותי ענן נוספים כדוגמת SharePoint Online, Teams ונוספים.
איך בא לידי ביטוי עם MTP? האינטגרציה של Office ATP עם רבדים אחרים מאפשרת לנתח אירוע שלם מתחילתו ועד סופו (ממש מסלול KillChain שלם) ולבצע תגובה ומניעה של אירועים שונים.
Azure ATP – ברוב המקרים, עדיין ישנה תצורה היברידית, ולכן תשתית Active Directory מאוד רלוונטית בזיהוי וגילוי התקפות שונות, לצד זה Azure ATP מאפשר הגנה (חלקית בשלב זה) על זהויות בענן ולכן ניתן לקבל תהליך של Leteral Movement מהתשתית המקומית ועד לענן.
היתרון מול MTP הוא השילוב עם הרבדים האחרים של ATP והאפשרות לקבל נראות מלאה ויכולות חקור מתקדמות על כל פעולות המשתמש.
Azure Security Center – רכיב האבטחה שנותן מענה ברמת IaaS וברמת PaaS החל משלב הזיהוי, דרך מענה אוטומטי ועד יישום הקשחה ועבודה לפי תנאים ופוליסי מוגדרים מראש.
גם כאן יש יתרון עצום עם MTP וזאת בגלל שאנו מחברים את הזהויות עם Azure AD ומכן אפשר לנהל גישה ודבר נוסף הוא החיבור מול MCAS במטרה לקבל נראות על כל רכיב ותת רכיב.
אין ספק שאינטגרציה בין כלל פתרונות מספקת מענה להמון רובדי אבטחה, אבל החלק החשוב כאן הוא החיבור בין המערכות והאפשרות לנהל אירוע מתחילתו ועד סופו ולבצע תחקור וכל זאת מבלי לבצע אינספור התאמות בין המידע ולחפש פירורי מידע בין מערכות שונות.
חשוב מאוד להדגיש כי האינטגרציה של MTP לא מסתיימת כאן, ויש לנו אפשרות לחבר פתרונות אבטחה צד שלישי שמאפשרים אינטגרציה מלאה ויכולת נראות ותחקור, אחת הדוגמאות היא מערכת למכשירים חכמים המאפשרת אינטגרציה עם MDATP, וכתוצאה מכך ניתן לראות בממשק אחד את כל תהליך האירוע.
אז חשוב מאוד להבין שהאפשרויות של MTP זה לא רק Microsoft, אלא אקוסיסטם של פתרונות אבטחה צד שלישי, המאפשרות להיות חלק אינטגרלי מתוך Microsoft MTP!!!
איך מתחילים ליישם MTP – יישום MTP בסיסי אינה פעולה מורכבת מידי, אך חשוב מאוד לדעת מהם הדגשים ביישום המערכות וחייבים לדעת את הפרטים הקטנים באינטגרציה בין המערכות, וחשוב מכך - איך לנהל את כל הסטאק המרשים.
מאמר זה מתמקד באופן כללי באפשרויות הגנה של Microsoft Threat Protection.
אבטחת מידע היא עולם רחב ועמוק שאינו מפסיק להתעדכן מידי יום בין אם בצד התוקף או בצד המגן, בשורה התחתונה, מטרתה היא אחת והיא להגן על הנכסים החשובים מפני סיכונים קיימים וסיכונים חדשים.
הגנה על המערכות הארגוניות אינו דבר פשוט כלל, ומידי יום אנו רואים מסביב אינספור פריצות, זליגת מידע, אירועי תקיפה ושלל התקפות קטנות וגדולות. בימינו, אף אחד אינו חסין והשאלה היא מתי זה עלול לקרות.
כידוע, המטרה של הקבוצה הכחולה היא להקטין את שטח התקיפה באופן משמעותי וגם אם היה והתרחש אירוע סייבר, אנו צריכים לגרום לאותו אירוע להיות קטן ככל האפשר ואולי גם חסר משמעות.
ישנן דרכים רבות להקטין את שטח התקיפה, החל הפעולות הבסיסיות של ביצוע הקשחות מקצה לקצה, ועד למצב של יישום אינספור פתרונות אבטחה.
טיפ: הקשחה מערכות שונות כדוגמת Active Directory או Office 365 היא פעולה חשובה מאוד בגלל שהיא מאפשרת להקטין את שטח המתקפה באופן משמעותי, למשל הקשחה בתחנות קצה ע"י הורדת אדמין מקומי למשתמשי קצה.
אז ליישם מערכות עם 7 ספרות אינו מספק פתרון הגנה אפקטיבי ואינו נותן שום ערך, ולמעשה חוץ מהעובדה שאתם יכולים למלא משאיות עם המידע שמתקבל אנו לא מקבלים כלום, המשפט האחרון אינו אומר שאין צורך בפתרונות אבטחה, אך כן חשוב לשלב אותם בצורה נכונה ולא להעמיס מערכות.
המגמה כיום היא לשלב בין מספר הגנות ספציפיות המתבססות על הדגשים הבאים:
• הגנה מבוססת Security Baseline – לבצע הקשחות של כל רכיב
• נראות והגנה מפני איומים – מערכת המספקת נראות ומענה אוטומטי מקצה לקצה
• Intrusion Prevention & Deception – מערכות הגנה חכמות המספקות מניעת חדירות ומציגה נכסים אחרים לתוקף
אז מאיפה מתחילים? אפשר לומר שביצוע הקשחות במערכות ארגוניות החל מתשתית Active Directory ועד למערכות SAP היא עבודה מתמשכת עד שמגיעים לסגירה ברמת הבורג, ולכן הוא מקביל לביצוע הקשחות אנו חייבים לתת מענה לפתרון שמספק נראות, זיהוי ותגובה לאירועי אבטחה או כאלה שעלולים להתפתח.
טיפ: מומלץ: כדאי לדעת איך עובד מסלול kill Chain, מפני שנתיב של מסלול Kill Chain מדמה כל נקודה ושלב מסוים בתשתית הארגונית, וע"י כך ניתן לדעת איך אנו נותנים מענה עם MTP בכל שלב.
Microsoft Threat Protection (או בקצרה MTP), מספק הגנה משולבת מקצה לקצה על הנכסים בארגון, מאפשרת לגשר על פערי אבטחה ומעצימה את האפשרויות להגנה עם כלים ובקרות מתקדמות.
הגנה על הנכסים הארגוניים – משתמשים, זהויות, ניידות ודינמיות עבודה יוצרים סיכונים חדשים ולכן השילוב של הגנה על זהויות, נראות על כל פעולה וחסימה לפי מנגנונים שונים ויוצרת מנגנון Zero-Trust.
צמצום פערים – כיום ישנם מערכות אבטחה שונות בכל ארגון וכל מערכת זורקת אינספור סיגנלים, ולכן במצב כזה אנו עלולים לפספס אירועי אבטחה. החלק הבעייתי בין כל המערכות הוא שאותם מערכות אבטחה אינן מחוברות אחת לשנייה, וכאן מגיע האינטגרציה בין פתרונות האבטחה של MTP.
אינטגרציה וחיבור סיגנלים – הסיכונים מתחדשים בכל עת ולכן השילוב של MTP מאפשר אבטחה משולבת מקצה לקצה בתרחישים שונים. למשל, Kill Chain ובנוסף לכך יכולות למידה, אוטומציה וכלים לאנשי אבטחה.
מכלול המערכות והפתרונות של MTP מסתמכות על מספר פתרונות אבטחה המספקים מענה ברבדים השונים החל מזהויות, דרך התקני קצה ועד נראות בכל פרט.
הסטאק של הפתרונות של MTP המוצעים מספקים יכולות מתקדמות ומעצימות את אנשי האבטחה בגלל סיבה פשוטה: לראשונה ישנו וונדור אבטחה שנותן אינטגרציה מלאה בין המערכות השונות.
Azure Sentinel – המערכת Native SIEM שמאפשרת לחבר אליה כל מערכת וכל פתרון אבטחה, כולל כאלו שאינם פתרונות Microsoft במטרה לבצע פעולות שונות של למידת מכונה ואנליטיקות מתקדמות על כל פיסת מידע.
היתרון באינטגרציה עם MTP הוא שכלל המערכות מחוברות ומעבירות מידע אל Azure Sentinel" וע"י כך ניתן לבצע קורלציה בין המידע, לבצע ניתוחי מידע ולתחקר אירועים.
Cloud App Security – לדעתי פתרון חובה בכל ארגון המספק נראות על כל פרט ותהליך אשר קורה בענן וגם בסביבה היברידית. היתרון במערכת MCAS הוא השילוב עם מערכות צד שלישי המאפשרות לו לבצע Enforcement לסיכונים שונים בין אם ידני או אוטומטי.
היתרון עם MTP הוא שבאמצעות MCAS, ניתן לקבל נראות פסיכית לגמרי על כל פעולה שהיא, וכתוצאה מכך לזהות כל פעילות חשודה ולבצע תחקור ברמת הבורג.
Azure AD – זהויות הוא רובד חשוב מאוד והראשון אשר מיישמים בענן, Azure AD מספק IdP מקצה לקצה בתצורות שונות כולל היברידית ומאפשר יצירת SSO ואוטומציה מול אפליקציות ומערכות צד שלישי.
ניהול הזהויות והגישה בתרחיש MTP מאפשר לאכוף הגנה על בסיס תנאים משתנים ובהתאם לאינטגרציה מול מערכות נוספות כגון MDATP או Office ATP.
Microsoft Defender ATP – מערכת המספקת הגנה להתקני קצה מבוססים Microsoft והתקני קצה צד שלישי, החל מתחנות קצה מבוססות Windows 10 או לינוקס, שרתי Windows ועד מכשירים חכמים מבוססים אנדרואיד ואפל.
מטרתו של MDATP הוא לזהות סיכונים מתקדמים במערכת כדוגמת התקפות זיכרון, ובהתאם לכך להגיב על אירועים.
Office ATP -הגנה על מספר רבדים כאשר המרכזי שבהם הוא הגנה על הדואר עם יכולות סינון ברמת קישורים וקבצים והגנה על שירותי ענן נוספים כדוגמת SharePoint Online, Teams ונוספים.
איך בא לידי ביטוי עם MTP? האינטגרציה של Office ATP עם רבדים אחרים מאפשרת לנתח אירוע שלם מתחילתו ועד סופו (ממש מסלול KillChain שלם) ולבצע תגובה ומניעה של אירועים שונים.
Azure ATP – ברוב המקרים, עדיין ישנה תצורה היברידית, ולכן תשתית Active Directory מאוד רלוונטית בזיהוי וגילוי התקפות שונות, לצד זה Azure ATP מאפשר הגנה (חלקית בשלב זה) על זהויות בענן ולכן ניתן לקבל תהליך של Leteral Movement מהתשתית המקומית ועד לענן.
היתרון מול MTP הוא השילוב עם הרבדים האחרים של ATP והאפשרות לקבל נראות מלאה ויכולות חקור מתקדמות על כל פעולות המשתמש.
Azure Security Center – רכיב האבטחה שנותן מענה ברמת IaaS וברמת PaaS החל משלב הזיהוי, דרך מענה אוטומטי ועד יישום הקשחה ועבודה לפי תנאים ופוליסי מוגדרים מראש.
גם כאן יש יתרון עצום עם MTP וזאת בגלל שאנו מחברים את הזהויות עם Azure AD ומכן אפשר לנהל גישה ודבר נוסף הוא החיבור מול MCAS במטרה לקבל נראות על כל רכיב ותת רכיב.
אין ספק שאינטגרציה בין כלל פתרונות מספקת מענה להמון רובדי אבטחה, אבל החלק החשוב כאן הוא החיבור בין המערכות והאפשרות לנהל אירוע מתחילתו ועד סופו ולבצע תחקור וכל זאת מבלי לבצע אינספור התאמות בין המידע ולחפש פירורי מידע בין מערכות שונות.
חשוב מאוד להדגיש כי האינטגרציה של MTP לא מסתיימת כאן, ויש לנו אפשרות לחבר פתרונות אבטחה צד שלישי שמאפשרים אינטגרציה מלאה ויכולת נראות ותחקור, אחת הדוגמאות היא מערכת למכשירים חכמים המאפשרת אינטגרציה עם MDATP, וכתוצאה מכך ניתן לראות בממשק אחד את כל תהליך האירוע.
אז חשוב מאוד להבין שהאפשרויות של MTP זה לא רק Microsoft, אלא אקוסיסטם של פתרונות אבטחה צד שלישי, המאפשרות להיות חלק אינטגרלי מתוך Microsoft MTP!!!
איך מתחילים ליישם MTP – יישום MTP בסיסי אינה פעולה מורכבת מידי, אך חשוב מאוד לדעת מהם הדגשים ביישום המערכות וחייבים לדעת את הפרטים הקטנים באינטגרציה בין המערכות, וחשוב מכך - איך לנהל את כל הסטאק המרשים.
הודעתך לא התקבלה - נסה שוב מאוחר יותר
Oops! Something went wrong while submitting the form