Protejarea dispozitivelor deconectate cu Microsoft Defender ATP

Microsoft Defender Advanced Threat Protection este o suita coordonata de produse de securitate care lucreaza impreuna pentru a va ajuta sa intelegeti, sa revizuiti si sa rezolvati ceea ce uneori numim „pozitia dvs. de securitate”. In esenta, aceasta inseamna cat de bine sunt protejati oamenii si activele organizatiei dvs. impotriva amenintarilor la adresa securitatii cibernetice – indiferent daca sunt vizate, online, fizice sau bazate pe inginerie sociala.

Centrul de securitate Microsoft Defender, impreuna cu Centrul de securitate Microsoft 365, va ofera o multime de informatii care leaga semnale de la produsele de securitate Microsoft pe care le-ati implementat in organizatia dvs. – de exemplu, puteti revizui utilizarea dispozitivelor amovibile pentru a va ajuta sa intelegeti activitate suspecta, puteti revizui atacurile care vizeaza reteaua dvs. cu vanatoare si analize avansate si va puteti intelege starea de securitate completa cu Microsoft Secure Score.

Intr-o lume ideala, toate dispozitivele dvs. critice ar fi vazute, raportate si protejate de Microsoft Defender ATP, totusi suntem constienti de faptul ca exista scenarii legitime in care dispozitivele pur si simplu nu pot fi conectate la Internet sau la un serviciu de gestionare .

Vestea buna pentru aceste dispozitive deconectate este ca am lansat o carte alba cu toate informatiile de care aveti nevoie pentru a intelege modul in care securitatea este afectata de provocarile unice ale deconectarii. Vorbeste despre tipurile de dispozitive deconectate si – cel mai important – ofera indrumari cu privire la diferitele caracteristici si tehnologii de protectie pe care le puteti utiliza de la Microsoft pentru a proteja aceste dispozitive deconectate.

Puteti continua si descarca o copie a whitepaper-ului [PDF] chiar acum. In acest blog voi scoate in evidenta unele dintre consideratiile si tacticile la nivel inalt pe care le puteti utiliza atunci cand definiti o politica de securitate a dispozitivelor deconectate, care sunt prezentate in cartea alba.

Deconectat, izolat, aerisit == pe cont propriu

Cu Microsoft Defender ATP, vorbim multe despre protectia noastra livrata in cloud – suntem extrem de mandri de ea – sincer, este cam greu (urmati aceste instructiuni pentru a o activa si cititi mai multe pe blogul nostru despre modul in care functioneaza invatarea automata in Microsoft Threat Protection cu cloud pentru a oferi protectie) – dar suntem constienti ca nu toate dispozitivele pot fi conectate la un punct final extern.

Deci, cum va asigurati ca dispozitivele dvs. extrem de valoroase deconectate sunt protejate daca nu se pot conecta la cloud-ul nostru?

Ei bine, din fericire, avem o serie larga si robusta de capabilitati de protectie offline. Toate acestea se incadreaza in ceea ce am vorbit in blogurile anterioare – apararea in profunzime.

Credem ca apararea in profunzime este cel mai bun mod de a va proteja dispozitivele, indiferent unde sunt sau ce fac. Se bazeaza pe utilizarea caracteristicilor de securitate care au cel mai mult sens, in cel mai simplu mod posibil, pentru a va oferi o protectie personalizata si puternica.

Aparare in profunzime pentru o politica de securitate a dispozitivului deconectat

Primul lucru pe care ar trebui sa il luati in considerare este ce tip de scenariu deconectat aveti. Urmatoarele sunt cele mai frecvente tipuri de scenarii deconectate (vorbim mai multe despre acestea in cartea alba):

Apoi, trebuie sa luati in considerare modul in care sunt livrate actualizarile si modul in care este gestionata configuratia:

• Inventar. Orice dispozitiv auxiliar care este conectat la dispozitivul deconectat la orice nivel de relatie (primar, secundar, tertiar) trebuie protejat.
• Gestionarea actualizarilor (dispozitiv). Stabiliti unde ajung actualizarile dvs. pe dispozitivul deconectat. Este cu o unitate USB? Un depozit de gestionare care se poate conecta numai la dispozitivul deconectat
• Managementul actualizarilor (relatii). Treceti la nivelul urmator – cum ajung actualizarile pe acel dispozitiv auxiliar? Sunt descarcate pe un computer si apoi copiate pe unitatea USB? Sunt distribuite prin Config Manager in repo-ul dvs. de management? Ce porti sunt implicate si ce alte dispozitive sunt conectate la dispozitivul auxiliar de actualizare?
• Permisiuni utilizator. Cine foloseste dispozitivul deconectat? Ce privilegii de administrator au? Pot instala aplicatii sau pot modifica setarile?
• Controlul dispozitivului detasabil. Este nevoie ca utilizatorii sa conecteze vreodata dispozitive detasabile? Care este scopul principal al dispozitivului?

Intelegerea sferei scenariului dvs. va ajuta sa determinati modul in care politica dvs. de securitate trebuie creata. De exemplu, recomandam cu tarie o metodologie de gestionare a gatekeeping-ului. Acest lucru va permite sa validati integritatea conexiunilor care traverseaza limita de incredere la dispozitivele dvs. deconectate, daca este posibil.

Poate fi la fel de complex ca figura de mai jos (care se bazeaza pe scenariul Azure Gatekeeping) sau pur si simplu utilizarea unei masini intermediare sau a unui serviciu (ca in cazul unui Azure Application Gateway – care este descris mai detaliat in whitepaper ).

Apoi, puteti acoperi o serie de alte tehnologii, atat la nivel de poarta, cat si la nivel de dispozitiv, pentru a crea o strategie solida de protectie. Urmatoarele tactici sunt descrise mai detaliat in carte alba, cu legaturi catre configuratie si documentatie suplimentare:

• Blocarea si restrictionarea dispozitivului , inclusiv Bitlocker si alte tehnologii de prevenire a pierderii de date pentru a controla ce informatii pot fi copiate pe sau de pe dispozitiv, impreuna cu politici de control ale dispozitivului amovibil pentru a bloca tipurile de dispozitive care se pot conecta la dispozitivul deconectat – puteti personaliza acest lucru si la anumite dispozitive. Cititi mai multe pe blogul nostru de control al dispozitivului.
• Actualizari offline si locatii de fisiere de configurare partajate . Aceasta include functia de fisiere partajate VDI pentru a permite dispozitivului dvs. deconectat sa instaleze actualizari de informatii de amenintare fara a fi nevoie sa le descarcati, sa le despachetati si sa le extrageti, impreuna cu WSUS, listele de incredere a certificatelor si altele.
• Controlul si accesul aplicatiilor , cum ar fi Controlul aplicatiilor Windows Defender, pentru a restrictiona aplicatiile care au permisiunea de a rula pe dispozitiv (ingreuneaza semnificativ executarea executabilelor malware daca blocati toate aplicatiile necunoscute) si politicile de inventar si corectie corespunzatoare pentru toate permisiunile software si utilizator de pe dispozitive.
• Functii antimalware si de reducere a suprafetei de atac avansate care functioneaza direct pe dispozitiv pentru a preveni comportamente suspecte si neautorizate.

Dar invatarea automata?

Primim adesea solicitari de la clienti pentru produse de invatare automata „offline” pentru a ajuta la aceste scenarii deconectate.

Cand Microsoft Defender ATP este conectat la cloud, informatiile pot fi, de asemenea, partajate cu alte masini cu cloud. Cu toate acestea, daca o masina nu este conectata, are in continuare invatare automata bazata pe client, analiza comportamentala, euristica, detectare fara fisiere si monitorizare a proceselor. Aceasta face parte dintr-o strategie de aparare in profunzime care vede protectia oferita la nivel de client, chiar daca nu exista o conexiune la o retea sau la Internet.

Trimiteti-ne feedback

Daca utilizati aceste functii sau sunteti interesat de mai multe articole de acest gen, asigurati-va ca mi-ati lasat feedback pe Twitter @IaanMSFT sau in comentariile de mai jos

Nu uitati sa descarcati documentul alb [PDF] al dispozitivelor deconectate chiar acum!

Iaan D’Souza-Wiltshire (@IaanMSFT)

Microsoft Defender Advanced Threat Protection