אלי שלמה

כלי Secure Score לזהויות Azure AD

by · 29/09/2018

כלי Secure Score שהיה עד כה זמין לשירותי הענן Office 365, לשירות Windows Defender ATP ומול Azure Security Center כעת זמין גם לזהויות מבוססות Azure AD.

אין ספק שהפאזל של Secure Score מתחיל להיות שלם וניתן לראות שני דברים אשר מתרחשים במקביל, הראשון הוא: יותר תשתיות ושירותי ענן מקבלים את הכלי Secure Score כגון Azure Security Center, והשני הוא הכלי אשר קיים כעת מתעדכן ומשתדרג באופן קבוע, למשל אפשרויות נוספות של Cloud App Security בתוך Office 365 Security.

להזכירך כלי Secure Score התחיל כמשהו פשוט למדיי עם Office 365 Secure Score עם אפשריוות בסיסיות ולאחר מכן התתרחב והשתפר באופן משמעותי מול תשתיות נוספות וכעת נקרא Microsoft Secure Score.

חשוב מאוד להזכיר כי בתקופה שבה ישנם מתקפות חסרות תקדים מול זהויות ניתן לראות כי ישנם ארגונים רבים אשר לא הפנימו את הצורך בהקשחה של זהויות וכל זאת במטרה למנוע בעיות חמורות. אם להתסכל על המספרים המוצגים מטה בכדי להבין מהי ההשפעה של יכולת פשוטה ובסיסית מול זהויות. (נלקח מתוך סשן זהויות Ignite)No automatic alt text available.

מהו Identity Secure Score

כלי Secure Score הינו כלי מובנה לניתוח אבטחה אשר מספק המלצות לפי Microsoft Best של Microsoft ומדרג את סביבת הענן לפי המידע שהתקבל, מבצע דירוג אבטחה ובנוסף השוואה מול Tenant ומול Subscription אחרים.

ניתוח המידע כולל בין היתר את הגדרות האבטחה באותה סביבה, איזה שירותי ענן מופעלים, הערכת סיכונים על כל אפשרות ורכיב, איזה אפשרות הופעלה והוגדרה עד כה, מידע לגבי מתקפות מסוימות, דרכים נוספות לשיפור אבטחת המידע ועוד.

הערה: כלי Secure Score יכול להיות חלק מהתהליך של ניהול סיכוני אבטחת מידע בארגון ויכול לתת את המידע הנדרש בענן בהתאם לדרישה של ניהול סיכוני אבטחת מידע.

בסיום ניתוח המידע מתקבל באופן אוטומטי דוח אשר כולל: ממצאים, המלצות ודרכים לביצוע באופן מפורט כולל רמת השפעה לכל יישום או הגדרה.

חשוב מאד להדגיש כי כלי Secure Score אינו כלי שנועד לטובת פעילות Penetration Testing או משהו בסגנון ולכן צריך מראש להבין שמדובר על כלי לניתוח אבטחה בלבד לשירותי הענן.

הכלי Secure Score מספק מידע שאינו נראה לעין ומאפשר לבצע פעולות Security תוך כדי התייחסות לשינויים אשר נעשים ברמת הדומיין באופן ידני או אוטומטי.
כאשר מביטים על כלי Secure Score ניתן לראות כי המידע אשר מתקבל נחלק לפי מספר שלבים של מיפוי ואיסוף של מידע, ממצאים לגבי המידע שנאסף והמלצות לביצוע בטווח הקרוב ובטווח הארוך ממש כמו שמבצעים בפעילויות פרואקטיביות.

ניהול Identity Secure Score

כלי Identity secure score הוא חלק ממשפחת Secure Score אשר מתמקד בזהויות מבוססות Azure AD, מטרתו היא לתת דירוג של אבטחת המידע על סמך ניתוח המידע והמלצות לשיפור אבטחת המידע של הזהויות.

ניתוח המידע מתבצע אחת ל48 שעות והפעולה אשר נעשית ברמת Azure היא השוואה בין הגדרות שבוצעו עד כה לבין המלצות נדרשות, לאחר שמתבצעת השוואה בין כלל הפעולות וההגדרות נעשה גם חישוב של כלל המידע ועדכון נתונים בפורטל.

מכיוון שישנם כמה גרסאות Azure AD ובכל אחד מהם ישנם יכולות אחרות, כלי Identity secure score מבצע את ניתוח המידע על סצך אותם אפשרויות וכיולות ובהתאם לכך מוציא דוח ממצאים והמלצות.

הדירוג נעשה על סמך מספר פרמטרים:

  • רישוי קיים
  • יכולות קיימות ומופעלות
  • הגדרות קיימות ודיפולטיביות
  • תכונות שבוצעו להם שינויים

2018-09-29_10h12_15

ניהול המלצות

מכיוון שהחלק הכי חשוב בניהול סיכונים, ממצאים ופעולות בכלי Identity Secure Score הוא ניהול הפעולות צריך להתמקד בו על מנת לטפל באותה בעיה (המלצה), להקטין את הסיכון ולהעלות את דירוג.

בכל פעולה ישנה חלוקה של ההמלצה למספר שדות:

  • תיאור כללי של ההמלצה
  • תיאור ראשוני וכללי של ההמלצה, הסיכון ודירוג
  • סיכון שההמלצה מטפלת בו
  • קטגוריה של ההמלצה
  • השפעה על המשתמש
  • ניקוד ודירוג ביישום
  • מידע נוסף שניתן להרחבה

אם נקח לדוגמה ממצאים והמלצות קיימות ישנם בין היתר המלצות, כגון:

  • Enable sign-in risk policy – ממצא המספק מידע לגבי משתמשי קצה ללא פוליסי של פעילות חשודה
  • Do not allow users to grant consent to unmanaged applications – ממצא המספק מידע לגבי חיבור ואינטגרציה של אפליקציות צד שלישי ומתן הרשאה ברמת משתמשי קצה
  • Enable policy to block legacy authentication – ממצא המספק מידע לגבי חסימה של אפליקציות המבוססות על אוטנטיקציות ישנות מסוג Basic.

2018-09-29_10h20_40

2018-09-29_10h30_55

בכל המלצה ישנם מספר פרמטרים קבועים:

  • Score Impact – מהו הדירוג שנקבל במידה ונפעיל את האפשרות
  • Current Score – דירוג נוכחי של אותו ממצא
  • Max Score – דירוג מקסימלי שנוכל לקבל במידה ונפעיל את האפשרות
  • Status – הגדרה שנחלק לשלושה הוא Default שהיא הגדרה דיפולטית של אותו רכיב בשירות,השני הוא Ignore שמתעלם מאותו ממצא והשלישי הגדרה של Third party במידה וישנו מצור צד שלישי שעימו עובדים.

ישנם ממצאים שאיאנם נספרים ואינם מדורגים ולכן גם אם מגדירים אותם באופן מלא עדיין הדיורג לא יכלול אותם ולכן ההמלצה היא בכל מקרה להגדיר אותם.

הערה: ממצאים שאינם נכללים בדירוג כעת יהיו בעתיד קרוב ממצאים מדורגים.

דגשים והערות נוספות

  • הידע של הדירוג נעשה לפי רמה בסיסית, מאוזנת או אגרסיבית
  • בהתאם לאותו מצב או רמה יתקבלו המלצות פעולות אשר נדרשות לביצוע
  • כל אותן המלצות מקבלות תעדוף לפי הפעולה, רמת השפעה על הדומיין ומידת השפעה על המשתמשים
  • תמיד המלצות עם מידת השפעה נמוכה יקבלו תעדוף ראשוני מסך כל ההמלצות
  • ניתן לבצע סינון של ההמלצות והפעולות הנדרשות לביצוע לפי קטגוריות שונות
  • בכל המלצה ופעולה ישנו תיאור ומידע רב אודות הפעולה וקישור למידע נוסף ומהו הניקוד לדירוג
  • ישנם המלצות שאינם נכללות בדירוג ולכן יודגשו עם Not Scored
  • הדירוג של Identity Secure Score משולב עם M365 Secure Score

לסיכום

בשלב ראשוני עם Secure Score אפשר לקבל תמונת מצב לגבי שירות הענן והמלצות לגבי הסיכונים אשר קיימים ואפשר לומר שהכלי מספק מידע חיוני בעל ערך.
*קצת מהשטח, לאחר בדיקה ראשונית עם Secure Score מתגלים בעיות חמורות כגון: גלובל אדמין ללא MFA, אינספור משתמשים אשר מוגדרים בקבוצת גלובל אדמין, סיסמאות ללא פג תוקף על משתמשי ענן שהם אדמין ועוד שלל הגדרות בסיסיות.

Tags:

You may also like...

השאר תגובה