Latest news

Microsoft 365 Defender: la soluzione completa per la sicurezza aziendale

Microsoft 365 Defender comprende quattro servizi principali che insieme vanno a comporre la piattaforma unificata di Microsoft per le funzionalità di rilevamento e di risposta estesa (XDR). Vediamo nel dettaglio ciascun servizio e il suo scopo:

  1. Microsoft Defender per Endpoint: questo servizio è focalizzato sulla protezione degli endpoint (computer, server, dispositivi mobili) da minacce informatiche. Defender for Endpoint è in grado di utilizzare capacità avanzate di rilevamento e risposta alle minacce, sfruttando sensori comportamentali degli endpoint, apprendimento automatico e intelligenza artificiale per identificare e risolvere le minacce alla sicurezza. Defender per Endpoint aiuta a proteggere i dispositivi su varie piattaforme, tra cui Windows, macOS, Linux e dispositivi mobili (Android e iOS).
  2. Microsoft Defender per Office 365: precedentemente noto come Office 365 Advanced Threat Protection (ATP), questo servizio protegge gli strumenti di comunicazione e collaborazione di Microsoft 365 come Exchange Online, SharePoint Online, Teams e OneDrive. Offre protezione contro phishing via email, malware, collegamenti dannosi e altre minacce informatiche rivolte agli utenti di Office 365. Defender per Office 365 aiuta a rilevare e bloccare minacce in tempo reale per prevenire violazioni dei dati e perdite di informazioni.
  3. Microsoft Defender per l’identità: questo servizio aiuta a proteggere gli ambienti di identità ibridi rilevando e investigando minacce avanzate su identità locali (Active Directory) e basate su cloud (Entra ID). Monitora le attività degli utenti, analizza i modelli di accesso e identifica comportamenti sospetti che potrebbero indicare un account compromesso o un tentativo di accesso non autorizzato. Defender per l’identità aiuta le organizzazioni a proteggere la propria infrastruttura Active Directory e Azure AD contro il furto di credenziali, le minacce interne e tentativi di accesso non autorizzati.
  4. Microsoft Defender per le App cloud: precedentemente noto come Microsoft Cloud App Security (MCAS), questo servizio offre visibilità, controllo e protezione dalle minacce per le applicazioni e i servizi cloud. Aiuta le organizzazioni a comprendere e gestire l’utilizzo delle loro app cloud, a far rispettare le politiche di protezione dei dati e a rilevare comportamenti anomali che potrebbero indicare potenziali rischi per la sicurezza o violazioni della conformità. Defender per le App cloud si integra con varie piattaforme cloud, tra cui Microsoft 365, Azure e applicazioni SaaS di terze parti.

Integrando questi quattro servizi nella piattaforma Microsoft 365 Defender XDR, le organizzazioni ottengono una soluzione centralizzata per prevenire, investigare e rispondere alle minacce alla sicurezza su endpoint, piattaforme di comunicazione, ambienti di identità ibridi e applicazioni cloud. Questo approccio unificato consente un rilevamento proattivo delle minacce, una risposta rapida agli incidenti e un monitoraggio continuo della sicurezza per difendersi efficacemente dalle minacce informatiche in evoluzione.

Microsoft 365 Defender è disponibile come parte di: Microsoft 365 Small Business Premium, Microsoft 365 E5, oppure sono disponibili licenze autonome per ciascun servizio e SKU aggiuntivi come E5 Security che forniscono funzionalità aggiuntive. Tuttavia, i dettagli specifici sulle licenze e i prezzi possono variare, quindi è essenziale contattare un partner Microsoft come Nexsys per determinare le opzioni di licenza più adatte alle esigenze dell’organizzazione.

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint (MDE) rappresenta uno dei pilastri fondamentali di Microsoft 365 Defender, ed è il più ampio in termini di portata e ambizione. Pur condividendo il marchio Defender con l’antivirus per l’ambito “Consumer” integrato in Windows 10/11, Microsoft Defender for Endpoint va ben oltre questo.

La protezione degli endpoint si evolve in una risposta estesa agli eventi

Per comprendere MDE, è necessario capire l’evoluzione dell’antimalware dei sistemi operativi. In questa sezione, faremo una breve lezione di storia per comprendere il cosa, il perché e il come di MDE.

Inizialmente avevamo, secondo gli standard odierni, software relativamente basilari che cercavano di bloccare, mettere in quarantena, eliminare o pulire in base alle firme dei file. Il fornitore manteneva il proprio database di malware con un hash di quel malware, e il dispositivo agiva se trovava un file con lo stesso hash. Questo approccio basato sulle firme può essere chiamato protezione tradizionale.

Con il miglioramento della potenza di elaborazione, dell’intelligenza sulle minacce e delle capacità cloud, abbiamo iniziato a vedere ciò che viene chiamato Antivirus NextGen (NGAV). Le caratteristiche del NGAV includono euristiche, sandboxing, protezioni da exploit e analisi comportamentale generale per individuare il malware senza necessità di firme o indicatori personalizzati. L’avvento del NGAV ha migliorato la difesa contro i malware che i fornitori non avevano mai “visto” in precedenza e, di conseguenza, per i quali non esistevano le rispettive firme di detection. Nel contesto di Microsoft 365 Defender, Windows 10 e Windows Server 2016 dispongono di un NGAV integrato chiamato Microsoft Defender Antivirus (MDAV). Microsoft ogni tanto gli attribuisce il nome di piattaforma di protezione degli endpoint (EPP), che, sebbene sia un termine generico, fa riferimento genericamente al software endpoint che applica l’antimalware (tradizionale o di nuova generazione).

L’evoluzione non si è però fermata con l’antivirus di nuova generazione, ed è qui che entra in gioco MDE. La Rilevazione e Risposta degli Endpoint (EDR) è diventata il nuovo “fiore all’occhiello” per i professionisti della sicurezza IT e ha iniziato ad essere inclusa come funzionalità nelle EPP.

La necessità di una soluzione EDR

Perché i Blue-Teamer (difensori) hanno quindi bisogno di EDR? Come noto, gli attaccanti sempre più spesso non si limitano a rilasciare nuovi malware, ma cercano percorsi e modalità sempre nuove per bypassare le misure di protezione. Mantenendosi un passo avanti alle piattaforme di protezione degli endpoint, possono vivere “off the land”, ovvero muoversi lateralmente al fine di stabilire una persistenza (che potrebbe durare anche giorni/mesi) prima di eseguire un’azione sugli obiettivi. Vi è quindi la necessità per tutte le organizzazioni di individuare non solo singoli avvisi di attività sospette, ma intere segnalazioni relative a tutte le diverse fasi che compongono un attacco. Unire i puntini mediante la revisione manuale di tutti i nostri registri su tutti i nostri endpoint diventa troppo dispendioso in termini di risorse e praticamente non realizzabile. Oltre all’analisi dei registri, è necessario essere in possesso dei necessari strumenti per rispondere, e che questo idealmente avvenga automaticamente.

MDE registra e invia telemetria dai dispositivi al cloud, al fine di effettuarne il controllo e relativa elaborazione. Il set di informazioni potrebbe includere informazioni su MDAV, attività di rete, aggiornamenti del registro, elaborazione dei file, creazione/modifica servizi di sistema o altre tipologie di attività eseguite degli endpoint e rilevanti per la sicurezza. Dopo l’elaborazione cloud, i dati vengono presentati ai team di sicurezza in un formato che correla le attività alle potenziali minacce, sia isolate (avvisi) che come parte di una catena più ampia (incidenti). In alternativa, i dati sono disponibili per gli amministratori per fare ricerche tramite query. A differenza di una tradizionale piattaforma di protezione degli endpoint, MDE EDR non si limita a segnalare i file dannosi e cosa ha fatto con essi: fornisce contesto, strumenti per la risposta agli incidenti e un enorme dataset per ulteriori indagini.

Con le recenti capacità a livello di potenza di elaborazione e relativa velocità è ora possibile raccogliere enormi quantità di telemetria senza intaccare l’esperienza utente. In Windows, i dispositivi registrati utilizzano il servizio Sense per inviare questi dati a un’istanza dedicata e isolata di MDE all’interno di un tenant di Microsoft 365. Microsoft utilizza quindi le sue capacità basate su Azure nel cloud computing, nell’intelligenza sulle minacce e nella gestione del database per elaborare, presentare e rendere interrogabili la telemetria in un modo che, prima del cloud computing, era impraticabile per la maggior parte delle organizzazioni.

microsoft defender for endpoint

Multi-platform Protection

Microsoft Defender for Endpoint si estende su un vasto set di sistemi operativi, a partire da Windows 7 SP1 a Windows Server 2022, macOS, iOS, Android e le distribuzioni server Linux più popolari. Le capacità di MDE differiscono per ciascuno di questi. 

Protezione per Windows

MDE per Windows è una soluzione che permette di offrire funzionalità next-gen con diversi livelli di protezione, ognungo dei quali richiede tempo e risorse aggiuntive per proteggere contro il malware o le App Potenzialmente Indesiderate (PUA).

Innanzitutto, vengono applicate regole locali del client, algoritmi, firme, euristiche e rilevamento del comportamento. Dopo questo, il servizio di protezione consegnato dal cloud di MDAV assiste con livelli aggiuntivi di protezione. Potresti aver visto questo servizio chiamato in precedenza Microsoft Advanced Protection Service (MAPS) o SpyNet. I metadati del file vengono esaminati dalla protezione demandata al cloud come secondo step dell’approccio a strati. A questo punto, il file potrebbe ancora essere sospetto ma non abbastanza sospetto da bloccarlo completamente. Ad esempio, potrebbe essere un eseguibile con una prevalenza molto bassa a livello globale basata sull’hash.

Il processo continua alla terza fase, questa volta con un campione caricato per l’analisi. Gli amministratori possono controllare gli upload in modo che i “campioni” che potrebbero contenere dati sensibili non vengano caricati, anche se, come regola generale, più si escludi e meno si protegge. In questa fase, vengono valutati sia gli attributi del file che il comportamento. Se non ancora sufficiente, MDE è in grado di procedere alla fase di detonazione, che prevede l’esecuzione in sandbox del campione per analizzare i risultati dell’esecuzione del file, ovvero cosa fa il file, piuttosto che cosa è semplicemente.

Le azioni includono l’eliminazione dei file, l’instaurazione di connessioni di rete, il controllo del registro e così via. Nella quinta e ultima fase, i risultati della fase di detonazione alimentano i modelli di apprendimento automatico basati su cloud di Microsoft, quindi successivamente tornano all’endpoint per controllare il malware.

Ad ogni passo di questo processo, viene assegnata una probabilità di malware al campione in questione. Questo può essere sfruttato da una funzionalità chiamata “blocco al primo sguardo” (BAFS). BAFS protegge contro il malware polimorfico bloccando gli eseguibili marchiati con mark of the web (MOTW) – inclusi JavaScript e macro di Office – se il servizio di protezione cloud non li ha mai visti prima, in base ai valori dell’hash. Un valore di time-out fino a un minuto controlla per quanto tempo bloccare il file, e un livello di protezione consegnato dal cloud controlla ciò che approssimativamente corrisponde alla soglia di probabilità a cui bloccare.

MDAV è anche responsabile del rispetto e dell’applicazione degli indicatori di compromissione (IoC) per i device registrati. Questi sono controlli personalizzati a livello file, certificati, indirizzi IP, URL e domini.

Regole ASR per la riduzione della superficie di attacco

Le funzionalità di protezione di nuova generazione e l’EDR non possono sempre rilevare e prevenire tutte le minacce con l’urgenza di cui spesso abbiamo bisogno. Per quanto avanzate siano le capacità, notiamo ancora una latenza nell’analisi più approfondita della protezione consegnata dal cloud o nella rimozione post-incidente da parte dell’EDR in modalità di blocco.  Nel mondo reale, gli attaccanti trovano continuamente nuovi bypass, vengono scoperte vulnerabilità nel software o le configurazioni errate creano possibili “punti di accesso”.

Ed ecco dove entra in gioco la riduzione della superficie di attacco (ASR). ASR si riferisce a una serie di funzionalità che limitano lo scopo disponibile dei punti di ingresso per gli attacchi. Si pensi ad ASR come ad un controllo dello scopo delle operazioni consentite su un dispositivo, siano esse maliziose o meno. Altri fornitori possono fare riferimento a questo tipo di mitigazione come un sistema di prevenzione delle intrusioni host (HIPS). Le funzionalità disponibili in questa serie includono un insieme di regole di riduzione della superficie di attacco, accesso controllato alle cartelle (CFA), protezione dagli exploit e protezione della rete e del web. Possiamo anche considerare le funzionalità SmartScreen, come parte di questo gruppo.

m365 defender for endpoint

Protezione per macOS

Sebbene possa sembrare strano, Microsoft offre effettivamente capacità di protezione degli endpoint basati su macOS. A causa di alcune differenze evidenti tra Windows e macOS, non c’è una completa parità di funzionalità. Ad esempio MDE non offre su Mac la possibilità di applicare le regole ASR. Tuttavia, include un antivirus preventivo con protezione da PUA, protezione in tempo reale, scansione malware, elementi di controllo dei dispositivi e azioni di risposta dei dispositivi. Grazie alle capacità di EDR, macOS fornisce anche dati di telemetria a Microsoft 365 Defender per la gestione delle vulnerabilità di Microsoft Defender, avvisi, incidenti e ricerca avanzata.

Protezione per Server Linux

MDE non mette a disposizione funzionalità di protezione per Sistemi Operativi Client Linux, ma rende disponibile ad un set di SO Server Linux le funzionalità di protezione avanzate. Tra le distribuzioni server Linux supportate, vi sono:

• Red Hat Enterprise Linux (RHEL) 6.7+
• SUSE Enterprise Server 12+
• Ubuntu 16+ LTS

• Amazon Linux 2
• CentOS 6.7+
• Debian 9+
• Fedora 33+
• Oracle Linux 7.2+

Proprio come con macOS, la distribuzione di MDE per Linux fornisce telemetria EDR, Gestione delle vulnerabilità di Microsoft Defender e un motore antivirus/antimalware Next-gen.

Protezione per iOS e Android

Su iOS e Android, MDE è considerato un sistema di difesa dalle minacce attive nel mondo “mobile” (MTD). Sia su Android che su iOS, vengono fornite segnalazioni di vulnerabilità a Microsoft 365 Defender, avvisi e protezione web, come ad esempio gli utenti che cliccano su link di phishing. Su iOS, è in grado di rilevare se i dispositivi sono stati sottoposti a jailbreak, mentre sui dispositivi Android è possibile effettuare una scansione per individuare app dannose. Microsoft Tunnel è una capacità di rete privata virtuale (VPN) disponibile per entrambe le piattaforme.

microsoft defender for business

Microsoft Defender for 365

Gli attacchi che sfruttano il canale di comunicazione email rappresentano uno dei modi più comuni per gli attaccanti per distribuire malware in entrata o per effettuare un cosiddetto “initial access”. Utilizzando attacchi di phishing e compromissione delle email aziendali (BEC), una email può soddisfare tutti i requisiti in termini di essere priva di malware, autenticata dal sistema di nome di dominio (DNS) e “pulita” dal controllo sulla reputazione, ma comunque riuscire a superare le protezioni, al fine di effettuare l’exploit.

Negli ambienti Microsoft 365, Exchange Online Protection (EOP) è il gateway protettivo e il livello di sicurezza predefinito che le email devono “attraversare”. È disponibile per le caselle di posta di Exchange Online, ma può supportare anche gli ambienti Exchange ibridi e può essere licenziato per i server di posta in locale, anche se non sono server Exchange. Fondamentalmente, EOP protegge dalle email che non superano i controlli di reputazione, autenticazione DNS, malware, spam, phishing e email grigie/bulk.

Piuttosto che sostituire EOP, Microsoft Defender for Office 365 integra e si sovrappone ad esso. MDO fornisce funzionalità più avanzate per proteggere contro minacce che non rientrano nello “scope” coperto da EOP. Dopo che le minacce sono state prevenute o identificate, MDO offre capacità investigative aggiuntive e mezzi per rispondere che non sono disponibili in EOP o Exchange Online. MDO si estende anche nell’ecosistema più ampio di Office 365, con servizi di sicurezza per carichi di lavoro come SharePoint Online, OneDrive for Business, Teams e applicazioni Office 365.

Protezione mail in ingresso

Microsoft Defender for Office 365 (MDO) supporta le seguenti funzionalità relativamente alla protezione delle mail in ingresso:

  1. Protezione avanzata contro il phishing: identifica e blocca in modo proattivo le email di phishing, inclusi tentativi sofisticati di ingannare gli utenti.
  2. Analisi comportamentale avanzata: utilizza l’analisi comportamentale per rilevare modelli di comportamento sospetto nelle email in arrivo.
  3. Integrazione con l’intelligenza delle minacce: si integra con servizi di intelligenza delle minacce per identificare e bloccare le email provenienti da fonti note di attacchi.
  4. Protezione contro email dannose e sconosciute: fornisce protezione contro le email dannose e sconosciute utilizzando tecniche avanzate di rilevamento delle minacce.
  5. Filtraggio avanzato per i connettori: applica filtri avanzati ai connettori per garantire che solo le email sicure e attendibili vengano inoltrate alla posta in arrivo degli utenti.
  6. Gestione delle regole di accesso: gestisce regole di accesso avanzate per controllare quali email vengono consentite e quali vengono bloccate in base a criteri specifici.
  7. Rilevamento e rimozione dei malware: identifica e rimuove i malware dalle email in arrivo prima che possano causare danni ai sistemi.
  8. Blocco delle email di spam: filtra e blocca le email di spam indesiderate prima che raggiungano gli utenti.
  9. Protezione delle informazioni sensibili: identifica e protegge le informazioni sensibili nelle email in arrivo per prevenire perdite di dati.
  10. Monitoraggio del traffico email: monitora il traffico email in tempo reale per individuare eventuali attività sospette o anomale.
  11. Gestione delle reputazioni degli indirizzi IP: Valuta la reputazione degli indirizzi IP mittenti per identificare e bloccare fonti sospette di email.
  12. Analisi dei collegamenti: analizza e verifica i collegamenti nelle email in arrivo per identificare eventuali collegamenti dannosi o sospetti.

Protezione sui contenuti

Le funzionalità di MDO (Microsoft Defender for Office 365) vengono applicate se rientrano nel campo di applicazione del destinatario.

La funzione Safe Attachments di MDO offre una protezione aggiuntiva contro file dannosi che potrebbero essere sfuggiti agli scanner antimalware di Exchange Online Protection (EOP). Gli allegati vengono caricati in un ambiente di sandbox cloud e analizzati. Se vengono individuati comportamenti sospetti durante l’esecuzione, il file viene identificato come potenzialmente pericoloso. Questo livello di sicurezza aggiuntivo, sebbene introduca una certa latenza nella consegna delle email, può essere mitigato abilitando la funzione “Dynamic Delivery”, che consente di recapitare le email con un’anteprima del file e successivamente allegare il file completo solo se risulta sicuro.

Safe Links è invece una funzionalità in grado di riscrivere gli URL nelle email per indirizzare i clic attraverso safelinks.protection.outlook.com. Questo garantisce una scansione degli URL al momento del clic, proteggendo gli utenti da siti web potenzialmente dannosi. Ad esempio, un sito web innocuo al momento della consegna dell’email potrebbe diventare pericoloso successivamente. La scansione al momento del clic è in grado di rilevare tale rischio. Inoltre, è possibile registrare gli accessi agli URL riscritti, fornendo un’utile traccia nelle indagini di sicurezza.

Infine, gli amministratori di Exchange Online possono personalizzare il percorso della posta attraverso il loro ambiente utilizzando le regole di trasporto. Queste regole, noto anche come ETR o regole di flusso della posta, consentono di applicare azioni specifiche in base a condizioni predeterminate. Le regole di trasporto forniscono un controllo dettagliato sulla posta in entrata e in uscita, consentendo di implementare misure come il bypass del filtraggio dello spam, la copia automatica, l’aggiunta di avvisi per i mittenti esterni e il rifiuto delle email.

microsoft defender for identity

Microsoft Defender for Identity

MDI, o Microsoft Defender for Identity, offre funzionalità di protezione per le identità ibride delle organizzazioni e rappresenta un’evoluzione rispetto ad Advanced Threat Analytics (ATA). A differenza di ATA, MDI opera principalmente come servizio cloud, alleviando gran parte del carico infrastrutturale affrontato dagli amministratori. In questa sezione, approfondiremo le sfide affrontate da MDI e i suoi meccanismi operativi.

Active Directory, nonostante sia un pilastro dell’IT aziendale, presenta rischi significativi. Mentre l’AD on-premises rimane pervasivo, il suo sviluppo è stagnato negli ultimi anni con lo spostamento del focus di Microsoft verso Azure, Microsoft 365 e risorse basate su cloud. Nonostante la sua utilità, l’AD può essere difficile da gestire, accumulando spesso decenni di modifiche senza adeguate considerazioni sulla sicurezza. Questa complessità, unita a impostazioni di sicurezza predefinite scadenti e a configurazioni errate, rende l’AD suscettibile all’exploit da parte di attori minacciosi che cercano di stabilire persistenza e dominio del dominio.

Uno dei possibili punti di vulnerabilità è rappresentato dai servizi di Active Directory Federation Services (ADFS), che consentono la funzionalità di single sign-on. Sebbene la raccomandazione attuale sia quella di migrare da ADFS ad Azure AD, l’ampia diffusione di ADFS lo rende vulnerabile ad attacchi, come dimostrato dall’incidente di SolarWinds del 2020. Gli attaccanti hanno sfruttato un attacco Golden SAML per compromettere le chiavi ADFS, concedendo accesso illimitato ai servizi integrati con ADFS, incluso Office 365.

Queste vulnerabilità di Active Directory sono esattamente le minacce che MDI è progettato per contrastare, fornendo avvisi e capacità di risposta. Una volta deployati i sensori sui server Domain Controller, Federation Server e Certification Authority, quest’ultimi inviano dati di telemetria al servizio cloud di MDI. Il tipo di informazioni raccolte e caricate include i log eventi di Windows (incluse le tracce eventi per Windows), il traffico di rete e le modifiche e le attività degli oggetti AD, come l’autenticazione. È anche possibile estendere la protezione delle identità ai sistemi VPN inoltrando gli eventi di contabilità RADIUS.

Il servizio cloud che riceve i segnali di MDI è integrato con il Microsoft Intelligence Security Graph (MISG). Il MISG collega l’ampia gamma di servizi di raccolta di telemetria di Microsoft per la scoperta di minacce guidata da machine learning e big data. Il servizio cloud elabora gli eventi e li presenta agli amministratori della sicurezza nel portale Microsoft 365 Defender. Gli eventi possono essere isolati o raggruppati in incidenti.

Per ridurre al minimo il rumore non utile e i falsi positivi, gli avvisi di MDI, quando appropriato, passano attraverso un periodo di apprendimento. Ad esempio, nella fase di ricognizione, un attaccante può enumerare l’AD interrogando il servizio per scoprire i membri dei gruppi. Gli amministratori possono anche fare regolarmente questo come parte del normale svolgimento delle attività. Per distinguere tra comportamenti normali e anomali, le istanze di MDI non segnalano attività di enumerazione fino a quando non è concluso un periodo di apprendimento di trenta giorni. Le linee guida comportamentali stabilite per gli utenti aiutano MDI a presentare attività potenzialmente rischiose agli amministratori.

La capacità di MDI di segnalare comportamenti anomali viene ulteriormente migliorata dall’etichettatura degli account sensibili e dall’implementazione di honeytokens. Gli honeytokens sono utenti o oggetti computer di AD che non verranno mai utilizzati da utenti reali e esistono per attirare gli attaccanti. Qualsiasi attività di accesso da un honeytoken crea un avviso e deve essere indagata. Allo stesso modo, gli account sensibili sono quelli le cui segnalazioni dovrebbero essere prioritarie. Questi account sono spesso etichettati automaticamente in base all’appartenenza a gruppi altamente privilegiati, come Domain Admins, ma possono anche essere configurati manualmente.

MDI può individuare i percorsi di movimento laterale, evidenziando gli utenti sensibili e i potenziali percorsi di movimento laterale che portano ai loro account. Le informazioni sono presentate in un’interfaccia visiva e intuitiva, in modo da poter esaminare potenziali attacchi, come il pass the hash. Uno degli ingredienti chiave per questa rilevazione di movimento laterale è la capacità di MDI di interrogare gli amministratori locali dei dispositivi di dominio utilizzando SAM-R, in modo da rimanere aggiornati su questo metodo di attacco.

Fino al 2022, le capacità di MDI erano limitate a evidenziare i dettagli delle attività sospette agli amministratori, che avrebbero poi risolto eventuali compromissioni separatamente. Questo è cambiato con l’aggiunta degli account azione. Questi account di servizio possono essere utilizzati per risposte automatizzate come la disattivazione degli account, la modifica dell’appartenenza ai gruppi e il ripristino delle password quando vengono attivati determinati tipi di avvisi. Ora capisci che MDI viene distribuito nel tuo dominio AD on-premises per difendere l’infrastruttura di identità ibrida.

microsoft defender for cloud apps

Microsoft Defender for Cloud Apps

La direzione intrapresa è chiara: le applicazioni e i servizi stanno migrando verso il cloud. Questo si può osservare nell’ampia adozione di Software-as-a-Service (SaaS) come Microsoft 365, Salesforce, Slack e Google Workplace, e nelle piattaforme Platform-as-a-Service (PaaS) e Infrastructure-as-a-Service (IaaS) come Azure e Amazon Web Services (AWS).

Il grande vantaggio di questi servizi cloud è che consentono a individui e organizzazioni di rimanere produttivi ovunque si trovino e di solito indipendentemente dal dispositivo che utilizzano. La sfida che ciò impone è quella di garantirne la sicurezza. Se non posso mettere le mani sull’infrastruttura o sul back-end di un servizio, come posso fidarmi, monitorarlo e proteggerlo? La stessa domanda si pone per gli utenti che accedono alle nostre app e servizi su dispositivi che non gestiamo, come nei casi di bring-your-own-device (BYOD) o di utenti esterni ospiti.

MDA è un cloud access security broker (CASB) che può essere sfruttato per affrontare queste sfide. In questa sezione, imparerai sulle capacità di MDA come servizio di audit, governance e protezione.

Microsoft Defender for Cloud Apps può individuare l’uso delle applicazioni, sia quelle gestite che quelle non ufficiali, con la sua capacità di Cloud Discovery. Per dati sempre aggiornati e accurati, i rapporti continui possono integrare la telemetria di rete da diversi tipi di fonti di dati. I dispositivi incorporati in MDE possono trasmettere direttamente da essi. I gateway web sicuri (SWG) come Zscaler possono essere integrati. I dispositivi di rete come i firewall possono caricare i log tramite un raccoglitore di log. Come operazione ad hoc, è possibile caricare rapporti istantanei anziché rapporti continui.

Con i dati ingestiti, le capacità di scoperta vengono potenziate dal Catalogo delle app cloud gestito da Microsoft. Si tratta di un inventario di oltre 30.000 servizi, siti web e app. Per ogni voce del catalogo, troverai informazioni che aiutano a stabilire la sua idoneità e il rischio per il tuo ambiente:

  • Informazioni generali: Queste includono il tipo di servizio fornito, i domini utilizzati, la sede principale e la prevalenza/popolarità mondiale
  • Informazioni sulla sicurezza: Queste includono il supporto per l’autenticazione multi-fattore, SAML, l’uso della crittografia dei dati a riposo e i log di audit
  • Informazioni sulla conformità: Queste includono gli standard ISO, i requisiti legali come l’Health Insurance Portability and Accountability Act (HIPAA), i livelli FedRAMP e le posizioni Safe Harbor per il trasferimento di dati transfrontaliero
  • Informazioni legali: Queste includono la conservazione della proprietà dei dati per i contenuti caricati, la conservazione dei dati quando il servizio termina e le dichiarazioni di conformità al Regolamento generale sulla protezione dei dati (GDPR)

Attraverso il dashboard di Cloud Discovery e le pagine delle App scoperte e delle Risorse scoperte, gli amministratori di MDA vengono quindi presentati con come l’attività di rete misura rispetto al Catalogo delle App Cloud. Come imparerai nel Capitolo 20, possono anche essere generati avvisi personalizzati. A ciascuna app viene assegnato un punteggio di rischio, e gli amministratori possono approfondire ulteriormente su quanti dati sono passati, da chi, da quale IP e su quali dispositivi.

Gli amministratori possono procedere a contrassegnare le app come approvate o non approvate, che, a seconda della configurazione, possono vietare l’accesso tramite MDE, gateway web sicuri o l’appliance di rete.

Indagine In questa sezione, esamineremo alcune capacità investigative di MDA. MDA ti consentirà di indagare sull’attività dell’app in tutto il tuo ambiente cloud e di tenere traccia dei privilegi di quelle app. Connessione delle app I connettori delle app sono un metodo fondamentale per utilizzare MDA per gestire la sicurezza del cloud. Questa capacità è disponibile per un insieme di servizi cloud gestiti da Microsoft e utilizza le API di quei servizi per acquisire attività o addirittura effettuare rimedi.

L’elenco dei servizi supportati continua a crescere, e gli amministratori sono incoraggiati a fare suggerimenti a Microsoft. Esempi popolari di connettori di app supportati includono AWS, Dropbox, Google Workspace, Okta, Salesforce, ServiceNow, Slack e Workday. Per ciascuno di questi, sono supportate più di un’istanza. Come ci si potrebbe aspettare, Office 365 (che include Azure AD come connettore di app) e Azure sono supportati, anche se solo una singola istanza.

A seconda delle API disponibili, il livello di capacità cambia per ogni connettore di app. Ad esempio, la maggior parte delle app supporta la segnalazione delle attività amministrative, come le azioni che solo gli utenti privilegiati all’interno di quei servizi possono eseguire, che sono quindi di particolare interesse per la sicurezza. Sono attese anche tipologie di attività specifiche dell’app. Ad esempio, il tipo di attività che Dropbox segnalerà (ad esempio, creazione e modifica di file) sarà diverso da Azure (ad esempio, creazione e modifica di macchine virtuali).

Indagine sulle app

Dopo aver configurato i connettori dell’app, diventano disponibili opzioni di indagine. Il registro delle attività di MDA è il luogo per queste informazioni, che riporta dettagli sulle attività a livello di riga, da chi e quando. È possibile compilare filtri avanzati, permettendoti di approfondire ciò di cui hai veramente bisogno in base alle attività, agli utenti, alle date, alle posizioni e ad altre proprietà. Il registro delle attività presenta anche dati dalle policy di sessione, di cui parleremo a breve. Per le app supportate, come Office 365, la pagina dei file fornisce una capacità investigativa simile ma a livello di file anziché di attività. Ad esempio, potresti utilizzare filtri avanzati per trovare file di OneDrive for Business con collaboratori specifici, con un’etichetta di sensibilità specifica o per livello di accesso. La pagina Utenti e account fornisce funzionalità simili in tutte le app connesse per le identità degli utenti, basate su proprietà come account amministrativi, appartenenza a gruppi o domini.

Sicurezza dell’app OAuth

Per le app che utilizzano Azure AD come provider di identità, l’autorizzazione alle risorse e alle applicazioni è controllata da OAuth. Ad esempio, è possibile registrare un servizio SaaS di gestione del calendario come app OAuth che ha i permessi OAuth per accedere e leggere i profili degli utenti, con accesso completo ai calendari degli utenti. Altri esempi possono includere il controllo sulle caselle di posta, i contatti e gli account utente. Il vantaggio per gli attaccanti è che possono ottenere accesso incontrollato e persistente a tali risorse se manipolano qualcuno affinché assegni i permessi. Perché preoccuparsi di rintracciare le tue credenziali e bypassare l’autenticazione a più fattori, quando puoi semplicemente concedere i diritti di accesso a me? Inoltre, l’uso potrebbe non attivare processi convenzionali che abbiamo in atto per identificare il rischio, come IP non riconosciuti, perché non c’è un’autenticazione interattiva. Per aiutare con questo problema, MDA offre due servizi: uno incluso e l’altro un’opzione aggiuntiva a pagamento. Inclusa in MDA c’è la capacità di gestire le app OAuth. Questo si integra non solo con Azure AD ma anche con altre app connesse che consentono la delega dei permessi, come Google Workspace. Le app a cui sono stati assegnati i permessi sono presentate con dati su chi l’ha fatto e quali permessi sono disponibili. Per facilitare la rilevazione del rischio e la risposta, i permessi sono riassunti in un indicatore di livello di autorizzazione, da basso a alto. La prevalenza mondiale (uso della comunità) è anche presentata come rara, non comune o comune. Combinando questi dati, è più facile individuare le app potenzialmente rischiose: quelle rare ma che cercano permessi molto protetti. L’opzione aggiuntiva a pagamento è la governance delle app. Il principale vantaggio della governance delle app rispetto alla gestione standard delle app OAuth di MDA è una revisione continua dell’accesso alle risorse e il monitoraggio di comportamenti rischiosi più avanzati. Oltre alle funzionalità integrate, gli amministratori possono visualizzare dati come le metriche di caricamento e scaricamento di posta e file nel tempo, per vedere come sta cambiando l’uso. Ad esempio, potrebbe essere sospetto se il traffico aumenta improvvisamente: l’app è stata compromessa? Consente anche di identificare le app con privilegi eccessivi, ovvero quelle a cui sono stati assegnati permessi ma non utilizzati. Questo può consentire di apportare modifiche, riducendo la superficie di attacco.

Le policy di MDA sono ciò che alimenta le capacità di avviso e controllo del servizio. A un livello elevato, le policy possono essere descritte come “se accade questo, fai quello”. Esempi di policy predefinite includono:

  • Consenso app OAuth pericoloso: questo crea un avviso se viene autorizzata un’app OAuth potenzialmente pericolosa. Ad esempio, una che Microsoft ha riscontrato in un attacco di phishing.
  • Attività di ransomware: questa analizza le estensioni e la velocità di caricamento dei file e genera un avviso se indicativi di ransomware.
  • Attività da indirizzi IP anonimi: questa esamina l’indirizzo IP di origine dell’attività e, se contrassegnato come appartenente a un servizio di anonimizzazione, come una VPN, crea un avviso.
microsoft 365 defender

Conoscere Microsoft Defender: formazione per la sicurezza aziendale.

Per coloro che desiderano approfondire le proprie competenze sulla gestione degli endpoint in ambiente Microsoft 365, Nexsys offre il corso di formazione professionale MD-102 Microsoft 365 Endpoint Administrator, un’opportunità di formazione tecnica completa per gli specialisti IT, progettata per equipaggiarli con le competenze necessarie per gestire in modo sicuro gli endpoint all’interno di un’organizzazione.

Questo percorso fornisce una formazione teorica e pratica approfondita, consentendo ai partecipanti di assumere il ruolo cruciale di amministratore degli endpoint. L’obiettivo principale è quello di garantire la gestione efficace dei computer, dispositivi mobili e altri dispositivi connessi, attraverso l’utilizzo di strumenti avanzati come Microsoft Intune, Autopilot, Configuration Manager, Defender ed Entra ID.

Durante il corso, i partecipanti svilupperanno competenze essenziali per implementare politiche di sicurezza robuste, facilitare la distribuzione e configurazione dei dispositivi e proteggere gli endpoint dalle minacce informatiche. Il corso si impegna a offrire un ambiente di apprendimento efficace e supportato, permettendo ai partecipanti di acquisire conoscenze pratiche pronte per essere applicate sul campo lavorativo. Per saperne di più, contattaci.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!