Echipele IT au sarcina de a găsi echilibrul în configurarea unui acces facil la aplicații păstrând permanent controlul pentru a putea proteja datele critice ale companiilor. În acest context, platforma de securitate Microsoft Defender for Cloud Apps (fosta Microsoft Cloud App Security sau MCAS) a devenit obligatorie în rolul său de Cloud Access Security Broker (CASB) ce face legătura între aplicațiile din cloud și utilizatori, oferind în același timp facilități de jurnalizare, conectori API, servicii proxy în ambele sensuri ale conexiunilor, vizibilitatea datelor în tranzit și mai ales mecanisme analitice avansate necesare identificării și combaterii amenințărilor cibernetice ce targhetează serviciile companiilor.
Odată cu apariția platformei centrale Microsoft 365 Defender, noul Microsoft Defender for Cloud Apps s-a integrat nativ cu Microsoft Defender for Endpoint și Microsoft Defender for Identity, fiind dezvoltat pe baza nevoilor profesioniștilor de securitate și oferind o implemnetare simplificată, administrare centralizată și capabilități avansate de automatizare a multor activități.
Conform studiilor Gartner, platformele cu rol de broker CASB sunt considerate punctele principale de aplicare a politicilor de securitate care vor condiționa accesul consumatorilor serviciilor de cloud la aplicațiile oferite de vendori. Scopul principal este de a implementa și controla politicile de securitate ale companiei pe măsură ce utilizatorii adresează resursele bazate pe cloud, de a ne ajuta să monitorizăm securitatea utilizatorilor și a datelor, fiind practic echivalentele clasicelor “firewall-uri” din infrastructurile tradiționale.
În rol de CASB, Microsoft Defender for Cloud Apps ajută profesioniștii IT să identifice și să combată amenințările cibernetice ce adresează serviciile cloud și nu numai, integrându-se ușor cu produsele Microsoft. O reprezentare schematică a modului în care datele organizației circulă în cloud și poziționarea CASB-ului este în această figură.
Sursa Microsoft Learn
Principalele funcționalități oferite de Microsoft Defender for Cloud Apps:
- Descoperire și control Shadow IT(servicii gestionate în afara departamentului IT: identifică aplicațiile cloud, IaaS și serviciile PaaS utilizate de organizațe pentru a putea controla mai bine riscul.
- Protejarea informațiilor sensibile oriunde în cloud: îdentificarea, clasificarea și protecția informațiilor sensibile stocate, capabilități de prevenire a pierderii datelor (DLP) aplicate diferitele puncte de scurgere de date din organizații.
- Protecția împotriva amenințărilor cibernetice și a anomaliilor: Detectarea comportamentului neobișnuit între aplicații, utilizatori și aplicații cu potențial ransomware, combinănd mai multe metode de detectare printre care UEBA (User Entity Behavioral Analysis), detecția bazată pe reguli și vizualizarea rapidă a modului în care sunt folosite aplicațiile.
- Evaluarea conformității aplicațiilor cloud: evaluând dacă acestea respectă reglementările și standardele din industrie specifice organizației.
Portalul de administrare poate fi accesat la adresa portal.cloudappsecurity.com
Prima secțiune administrativă din portalul platformei Microsoft Defender for Cloud Apps este cea de Discovery (descoperire) unde poți vedea atât aplicațiile cloud cunoscute cât și cele pe care nu sunt vizibile, semnele de Shadow IT și aplicațiile nesancționate ce pot încălca politicile de securitate și standardele de conformitate ale companiilor.
Prin analiza jurnalelor de trafic pe care le compară cu o librărie cu peste 15000 de aplicații de cloud introduse în catalogul vendorului, platforma poate clasifica fiecare aplicație identificată și o compară cu peste 80 de factori de risc oferind vizibilitate asupra riscurilor, Shadow IT și modul de utilizare a aplicațiilor și datelor din cloud.
Prin secțiunea Dashboard (tabloul de bord) Discovery se obține rapid o privire de ansamblu asupra tipurilor de aplicații utilizate, alertelor deschise, nivelurilor de risc ale aplicațiilor din organizație și se poate vedea cine sunt cei mai buni utilizatori ai aplicației și de unde provine fiecare aplicație folosind filtre pentru datele colectate.
Pentru a înțelege ce se întâmplă în mediul de cloud asociat organizației în scopul împiedicării în timp real a încălcării standardelor de securitate și pentru a permite utilizatorilor să-și aducă dispozitivele proprii protejând în același timp organizația împotriva scurgerii și furtului de date, Microsoft Defender for Cloud Apps se integrează cu furnizorii de identitate (Identity providers) prin intermediul Conditional Access App Control (Controlul aplicației cu acces condiționat).
Se pot folosi politicile de acces și de sesiune în portalul Microsoft Defender for Cloud Apps pentru a perfecționa și mai mult filtrele și pentru a seta acțiunile care trebuie întreprinse asupra unui utilizator, astfel încât:
- Să fie prevenită exfiltrarea datelor: prin blocarea descărcării, preluării de conținut, copierii și imprimării documentelor sensibile
- Să se implementeze protecția la descărcare: în loc să se blocheze descărcarea documentelor sensibile, se poate impune ca acestea să fie etichetate și protejate cu Azure Information Protection, asigurându-se faptul că documentul este protejat și că accesul utilizatorului este restricționat într-o sesiune cu risc potențial.
- Se previn încărcarea fișierelor neetichetate: înainte ca un fișier sensibil să fie încărcat, distribuit și utilizat de către alții, este important să aibe eticheta și protecția potrivite, putând ulterior să se blocheze încărcarea unui fișier înainte de a fi clasificat conținutul.
- Să se monitorizeze sesiunile utilizatorilor pentru verificarea conformității: fiind monitorizați utilizatorii riscanți atunci când se conectează la aplicații și înregistrează acțiunile lor din cadrul sesiunii. Se poate investiga și analiza comportamentului utilizatorilor pentru a înțelege unde și în ce condiții să fie aplicate politicile de sesiune în viitor.
- Să se blocheze accesul: pentru anumite aplicații și utilizatori, în funcție de mai mulți factori de risc.
- Să fie blocate activitățile personalizate: cum ar fi trimiterea de mesaje cu conținut sensibil în aplicații precum Microsoft Teams fiind verificate mesajele pentru conținut sensibil și blocate în timp real.
În finalul acestei prezentări succinte a multiplelor facilități ale platformei Microsoft Defender for Cloud Apps te invit să accesezi acest ghid interactiv care te ghidează prin configurarea și utilizarea funcțiilor platformei. Pentru a aprofunda cunoștințele îți recomand cursul oficial Microsoft SC-200 Microsoft Security Operations Analyst asociat certificării role based Microsoft Certified: Security Operation Analyst Associate.
distribuie:
