הגנה באמצעות MTP

מאמר זה מתמקד באופן כללי באפשרויות הגנה של Microsoft Threat Protection.

אבטחת מידע היא עולם רחב ועמוק שאינו מפסיק להתעדכן מידי יום בין אם בצד התוקף או בצד המגן, בשורה התחתונה מטרתה היא אחת והיא להגן על הנכסים החשובים מפני סיכונים קיימים וסיכונים חדשים.

הגנה על המערכות הארגוניות אינו דבר פשוט כלל ומידי יום אנו רואים מסביב אינספור פריצות, זליגות מידע, אירועי תקיפה ושלל התקפות קטנות וגדולות. בימינו אף אחד אינו חסין והשאלה היא מתי זה עלול לקרות.

כידוע, המטרה של הקבוצה הכחולה היא להקטין את שטח התקיפה באופן משמעותי וגם אם היה והתרחש אירוע סייבר אנו צריכים לגרום לאותו אירוע להיות קטן ככל האפשר ואולי גם חסר משמעות.

ישנם דרכים רבות להקטין את שטח התקיפה החל הפעולות הבסיסיות של ביצוע הקשחות מקצה לקצה ועד למצב של יישום אינספור פתרונות אבטחה.

טיפ: הקשחה מערכות שונות כדוגמת Active Directory או Office 365 היא פעולה חשובה מאוד בגלל שהיא מאפשרת להקטין את שטח המתקפה באופן משמעותי, למשל הקשחה בתחנות קצה ע"י הורדת אדמין מקומי למשתמשי קצה.

אז ליישם מערכות עם 7 ספרות אינו מספק פתרון הגנה אפקטיבי ואינו נותן שום ערך, ולמעשה חוץ מהעובדה שאתם יכולים למלא משאיות עם המידע שמתקבל אנו לא מקבלים כלום, המשפט האחרון אינו אומר שאין צורך בפתרונות אבטחה, אך כן חשוב לשלב אותם בצורה נכונה ולא להעמיס מערכות.

המגמה כיום היא לשלב בין מספר הגנות ספציפיות המתבססות על הדגשים הבאים:

  • הגנה מבוססת Security Baseline – לבצע הקשחות של כל רכיב
  • נראות והגנה מפני איומים – מערכת המספקת נראות ומענה אוטומטי מקצה לקצה
  • Intrusion Prevention & Deception – מערכות הגנה חכמות המספקות מניעת חדירות ומציגה נכסים אחרים לתוקף

אז מאיפה מתחילים? אפשר לומר שביצוע הקשחות במערכות ארגוניות החל מתשתית Active Directory ועד למערכות SAP היא עבודה מתמשכת עד שמגיעים לסגירה ברמת הבורג וכלן מקביל לביצוע הקשחות אנו חייבים לתת מענה לפתרון שמספק נראות, זיהוי ותגובה לאירועי אבטחה או כאלה שעלולים להתפתח.

טיפ: מומלץ לדעת איך עובד מסלול kill Chain כי הנתיב של מסלול Kill Chain מדמה כל נקודה ושלב מסוים בתשתית הארגונית וע"י כך ניתן לדעת איך אנו נותנים מענה עם MTP בכל שלב.

מהו Microsoft Threat Protection

‏Microsoft Threat Protection או בקצרה MTP מספק הגנה משולבת מקצה לקצה על הנכסים בארגון, מאפשרת לגשר על פערי אבטחה ומעצימה את האפשרויות להגנה עם כלים ובקרות מתקדמות.

הגנה על הנכסים הארגוניים – משתמשים, זהויות, ניידות ודינמיות עבודה יוצרים סיכונים חדשים ולכן השילוב של הגנה על זהויות, נראות על כל פעולה וחסימה לפי מנגנונים שונים יוצרת מנגנון Zero-Trust.

צמצום פערים – כיום ישנם מערכות אבטחה שונות בכל ארגון וכל מערכת זורקת אינספור סיגנלים ולכן במצב כזה אנו עלולים לפספס אירועי אבטחה. החלק הבעייתי בין כל המערכות הוא שאותם מערכות אבטחה אינן מחוברות אחת לשניה, וכאן מגיע האינטגרציה בין פתרונות האבטחה של MTP.

אינטגרציה וחיבור סיגנלים – הסיכונים מתחדשים בכל עת ולכן השילוב של MTP מאפשר אבטחה משולבת מקצה לקצה בתרחישים שונים למשל Kill Chain ובנוסף לכך יכולות למידה, אוטומציה וכלים לאנשי אבטחה.

מכלול המערכות והפתרונות של MTP מסתמכות על מספר פתרונות אבטחה המספקים מענה ברובדים השונים החל מזהויות, דרך התקני קצה ועד נראות בכל פרט.

הסטאק של הפתרונות של MTP המוצעים מספקים יכולות מתקדמות ומעצימות את אנשי האבטחה בגלל סיבה פשוטה: לראשונה ישנו וונדור אבטחה שנותן אינטגרציה מלאה בין המערכות השונות.

הפתרונות הקיימים כיום של MTP הם:

Azure Sentinel – המערכת Native SIEM שמאפשרת לחבר אליה כל מערכת וכל פרתון אבטחה וגם כאלה שאינם פתרונות Microsoft במטרה לבצע פעולות שונות של למידת מכונה ואנליטיקות מתקדמות על כל פיסת מידע.

היתרון באינטגרציה עם MTP הוא שכלל המערכות מחוברות ומעבירות מידע אל Azure Sentinel וע"י כך ניתן לבצע קורלציה בין המידע, לבצע ניתוחי מידע ולתחקר אירועים.

Cloud App Security – לדעתי פתרון חובה בכל ארגון המספק נראות על כל פרט ותהליך אשר קורה בענן וגם בסביבה היברידית. היתרון במערכת MCAS הוא השילוב עם מערכות צד שלישי המאפשרות לו לבצע Enforcement לסיכונים שונים בין אם ידני או אוטומטי.

היתרון עם MTP הוא שבאמצעות MCAS ניתן לקבל נראות פסיכית לגמרי על כל פעולה שהיא וכתוצאה מכך לזהות כל פעילות חשודה ולבצע תחקור ברמת הבורג.

Azure AD – זהויות הוא רובד חשוב מאוד והראשון אשר מיישמים בענן, Azure AD מספק IdP מקצה לקצה בתצורות שונות כולל היברידית ומאפשר יצירת SSO ואוטומציה מול אפליקציות ומערכות צד שלישי.

ניהול הזהויות והגישה בתרחיש MTP מאפשר לאכוף הגנה על בסיס תנאים משתנים ובהתאם לאינטגרציה מול מערכות נוספות כגון MDATP או Office ATP.

Microsoft Defender ATP – מערכת המספקת הגנה להתקני קצה מבוססים Microsoft והתקני קצה צד שלישי, החל מתחנות קצה מבוססות Windows 10 או לינוקס, שרתי Windows ועד מכשירים חכמים מבוססים אנדרואיד ואפל. 

מטרתו של MDATP הוא לזהות סיכונים מתקדמים במערכת כדוגמת התקפות זכרון ובהתאם לכך להגיב על אירועים.

Office ATP -הגנה על מספר רובדים כאשר המרכזי שבהם הוא הגנה על הדואר עם יכולות סינון ברמת קישורים וקבצים והגנה על שירותי ענן נוספים כדוגמת SharePoint Online, Teams ונוספים.

איך בא לידי ביטוי עם MTP? האינטגרציה של Office ATP עם רובדים אחרים מאפשרת לנתח אירוע שלם מתחילתו ועד סופו (ממש  מסלול KillChain שלם) ולבצע תגובה ומניעה של אירועים שונים.

Azure ATP – ברוב המקרים עדיין ישנה תצורה היברידית ולכן תשתית Active Directory מאוד רלוונטית בזיהוי וגילוי התקפות שונות, לצד זה Azure ATP מאפשר הגנה (חלקית בשלב זה) על זהויות בענן ולכן ניתן לקבל תהליך של Leteral Movement מהתשית המקומית ועד לענן.

היתרון מול MTP הוא השילוב עם הרובדים האחרים של ATP והאפשרות לקבל נראות מלאה ויכולות חקור מתקדמות על כל פעולות המשתמש.

Azure Security Center – רכיב האבטחה שנותן מענה ברמת IaaS וברמת PaaS החל משלב הזיהוי, דרך מענה אוטומטי ועד יישום הקשחה ועבודה לפי תנאים ופוליסי מוגדר מראש.

גם כאן יש יתרון עצום עם MTP וזאת בגלל שאנו מחברים את הזהויות עם Azure AD ומכן אפשר לנהל גישה ודבר נוסף הוא החיבור מול MCAS במטרה לקבל נראות על כל רכיב ותת רכיב.

אין ספק שאינטגרציה בין כלל פתרונות מספקת מענה להמון רובדי אבטחה, אבל החלק החשוב כאן הוא החיבור בין המערכות והאפשרות לנהל אירוע מתחילתו ועד סופו ולבצע תחקור וכל זאת מבלי לבצע אינספור התאמות בין המידע ולפש פירורי מידע בין מערכות שונות.

חשוב מאוד להדגיש כי האינטגרציה של MTP לא מסתיימת כאן, ויש לנו אפשרות לחבר פתרונות אבטחה צד שלישי שמאפשרים אינטגרציה מלאה ויכולת נראות ותחקור, אחת הדוגמאות היא מערכת למכשירים חכמים המאפשרת אינטגרציה עם MDATP  וכתוצאה מכך ניתן לראות בממשק אחד את כל תהליך האירוע.

אז חשוב מאוד להבין שהאפשרויות של MTP זה לא רק Microsoft אלא אקוסיסטם של פתרונות אבטחה צד שלישי המאפשרות להיות חלק אינטגרלי מתוך Microsoft MTP!!!

איך מתחילים ליישם MTP – יישום MTP בסיסי אינה פעולה מורכבת מידי אך חשוב מאוד לדעת מהם הדגשים ביישום המערכות וחייבים לדעת את הפרטים הקטנים באינטגרציה בין המערכות וחשוב מכך איך לנהל את כל הסטאק המרשים.

במאמר הבא נתמקד באפשרויות יישום של Microsoft Threat Protection והמון טיפים.

1 Response

  1. 18/06/2020

    […] בהם ישנו שימוש עם רכיבי Microsoft Threat Ptotection נוספים, ניתן להגדיר אינטגרציה עם Microsoft Cloud App Security – […]

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.