×

    Microsoft Defender for Endpoint - Securitate de top pe toate platformele și dispozitivele

    distribuie:

      

    După descrierea făcută de vendor, “Microsoft Defender pentru Endpoint este o platformă concepută pentru a ajuta rețelele enterprise să prevină, să detecteze, să investigheze și să răspundă la amenințările avansate ale terminalelor/dispozitivelor.”

    Pentru înțelege, însă, mult mai rapid și eficient această definiție, vom face împreună o analiză a graficul de mai jos, ce ilustrează cronologia tipică a unui atac direcționat:

    Sursa docs.microsoft.com

    1. Prima etapă a unui astfel de atac este cea de cercetare, asupra companiei atacate și pregătirea pentru atac, urmată de creșterea privilegiilor (de obicei prin furtul de identitate sau abuzarea instrumentelor administrative) și în final extragerea datelor în scopuri ilicite și rău intenționate.

     

     

    Sursa Microoft Learn

    De aceea, viziunea Microsoft asupra nevoilor de securitate a organizațiilor a fost integrată în platforma Microsoft 365 Defender ce oferă capacitatea organizațiilor de a preveni, detecta, investiga și remedia atacurile complexe desfășurate pe mai multe domenii. Poți urmări acest tutorial care explică pas cu pas modul de utilizare Microsoft 365 Defender.

    În această suită, rolul Microsoft Defender pentru Endpoint este de platformă unificată pentru terminalele finale (endpoints) pentru protecție preventivă, detectarea încălcării securității acestora și investigarea și răspunsul automat.

    Sursa docs.microsoft.com

    Odată cu activarea licenței pentru Microsoft Defender for Endpoint vor fi disponibile următoarele capabilități:

    • Gestionarea amenințărilor și vulnerabilitățilorîntrucât platforma oferă vizibilitate în timp real și ajută la identificarea modalităților de îmbunătățire a securității.
    • Protecția avansată - folosind învățarea automată (Machine Learning) și analiza avansată (Deep Analysis) pentru a proteja infrastuctura împotriva programelor malware bazate pe fișiere.
    • Detectarea și răspunsul punctelor finale – prin monitorizarea comportamentelor și tehnicilor atacatorilor pentru a detecta și a răspunde la atacuri avansate.
    • Folosirea inteligenței artificială - pentru a investiga automat alertele și a remedia amenințările complexe în câteva minute.
    • Reducerea suprafeței de atac – prin eliminarea zonelor riscante sau inutile și restricționarea rulării codurilor periculoase.
    • Experții în amenințări Microsoft – oferă cunoștințe aprofundate și mecanisme de vânătoare (hunting) proactivă a amenințărilor centrului de operațiuni de securitate al companiei.

     

    Microsoft Defender pentru Endpoint utilizează următoarele tehnologii integrate în Windows 10/11 și platforma de cloud Microsoft 365:

    • Cloud security analytics (Analiza avansată a securității în cloud)prin folosirea unor bazine de date enorme, platforma de învățare automată implementată de Microsoft în ecosistemul Windows și în produsele cloud pentru mediile enterprise (Office 365) active online, preia semnalele comportamentale pe care le traduce în informații, informații ce permit detecția și răspunsurile recomandate la amenințările avansate.

     

    • Threat Intelligence (Inteligența amenințărilor) – informațiile generate de hunteri (vânători) și echipele de securitate Microsoft, completate cu informațiile furnizate de parteneri despre amenințările cibernetice, permit platformei Microsoft Defender pentru Endpoint să identifice instrumentele, tehnicile și procedurile atacatorilor și să genereze alerte atunci când acestea sunt observate în datele senzorilor colectate.

     

    • Endpoint behavioral sensors (Senzori comportamentali activi pe punctul final) – au fost încorporați în Windows 10/11 cu rolul de a colecta și procesa semnalele comportamentale provenite de la sistemul de operare și datele trimise prin telemetrie către instanța privată izolată din cloud ce aparține organizației prin licența de Microsoft Defender for Endpoint.

     

    Una din cele mai importante funcționalități ale acestui produs este identificarea, evaluarea și remedierea eficientă a punctelor slabe ale terminalelor (endpoints), ce este esențială pentru implementarea unui program de securitate sănătos și pentru reducerea riscului la nivelul organizației.  Numită managementul amenințărilor și vulnerabilităților, servește ca o infrastructură pentru reducerea zonei de expunere și pentru întărirea securității la nivelul dispozitivelor contribuind astfel la creșterea capacității organizației de a rezista atacurilor cibernetice.

    Această infrastructură ajută organizațiile să descopere vulnerabilități și configurări greșite în timp real, pe baza senzorilor, fără a fi nevoie de agenți sau scanări periodice și este capabilă să prioritizeze problemele descoperite pe baza unui număr de factori: tipul amenințărilor, aparițiile acestora la nivelul organizației și informațiile sensibile despre dispozitivele vulnerabile și contextul utilizării infrastructurii.

    Managementul amenințărilor și vulnerabilităților este integrat în timp real cu conglomeratul de securitate Microsoft Endpoint, Microsoft Intelligent Security Graph și baza de cunoștințe de analiză a aplicațiilor și se poate asocia cu politicile de securitate gestionate de platforma de MDM (Microsoft Device Management) Microsoft Endpoint Manager.

     

    A doua funcționalitate majoră a platformei Microsoft Defender for Endpoint este reducerea suprafeței de atac, considerată a fi prima linie de apărare conform modelelor de securitate din industrie, asigurându-se că setările de configurare sunt setate corect și că sunt aplicate tehnici de atenuare a exploatării (governance and compliance). Mai jos am pus câteva din funcționalitățile implementate în platformă, ce au rolul de a reduce suprafața atacată:

    • Izolarea bazată pe hardware - protejează și menține integritatea sistemului atunci când pornește și în timp ce rulează și validează integritatea sistemului
    • Firewall-ul de rețea folosește filtrarea traficului de rețea în două sensuri, bazată pe gazdă, care blochează traficul neautorizat de rețea care intră sau iese din dispozitivul local.
    • Protecția rețelei extinde protecția împotriva programelor malware și a ingineriei sociale oferite de Microsoft Defender SmartScreen în Microsoft Edge pentru a acoperi traficul de rețea și conectivitatea pe dispozitivele organizației dvs.
    • Accesul controlat la foldere ajută la protejarea fișierelor din folderele cheie ale sistemului de modificările făcute de aplicații rău intenționate și suspecte, inclusiv malware-ul ransomware de criptare a fișierelor.
    • Controlul aplicațiilor se îndepărtează de modelul tradițional de încredere în aplicații, în care toate aplicațiile sunt considerate demne de încredere în mod implicit, la unul în care aplicațiile trebuie să câștige încredere pentru a putea rula.
    • Protecția împotriva exploatării aplică tehnici de atenuare aplicațiilor pe care le utilizează organizația dvs., atât la nivel individual, cât și la nivel de organizație.
    • Reducerea suprafeței de expunere a aplicațiilor prin creerea de reguli inteligente care opresc vectorii utilizați de programele malware bazate pe Office, scripturi și e-mail.
    •  

     

    Microsoft Defender Antivirus include:

    • Protecție oferită în cloud pentru detectarea și blocarea aproape instantanee a amenințărilor
    • Scanare permanentă, folosind monitorizarea avansată a comportamentului fișierelor și proceselor (protecție în timp real).
    • Actualizări dedicate protecției bazate pe învățare automată, analiză umană și automată.

     

    Mecanisme de securitate implementate în Windows 11

    ce contribuie activ la reducerea suprafeței de atac a dispozitivului

    Capabilitățile de protecție ale platformei Microsoft Defender for Endpoint

    Alături de capacitățile de detecție și răspuns, atacurile avansate sunt detectate în timp real, ceea ce oferă analiștilor de securitate oportunitatea de a prioritiza alertele, de a obține vizibilitate asupra încălcării principiilor de securitate și de a lua rapid măsuri de răspuns cu scopul remedierii amenințărilor detectate.

    Platforma colectează continuu date de telemetrie cibernetică comportamentală ce includ informații despre proces, activități în rețea, vizibilitate în profunzimea kernelului și managerului de memorie, activități de conectare a utilizatorului, modificări ale registrilor și ale sistemului de fișiere.

    Informațiile sunt stocate timp de șase luni, permițând unui analist să se întoarcă investigativ înapoi în timp, până la începutul unui atac și să poată obține diferite date necesare pentru a aborda o investigație prin mai mulți vectori de atac.

    Volumul mare al alertelor generate poate fi o provocare pentru o echipă tipică de operațiuni de securitate dacă le abordează individual. Pentru a face față acestei provocări, Microsoft Defender pentru Endpoint utilizează capabilități automate de investigare și remediere pentru a reduce semnificativ volumul alertelor care trebuie investigate individual.

    Această funcție folosește diverși algoritmi de inspectare și procese analitice pentru a examina alertele și a lua măsuri imediate de remediere în scopul rezolvării încălcărilor de securitate, ceea ce reduce semnificativ volumul alertelor, permițând experților în operațiuni de securitate să se concentreze asupra amenințărilor mai sofisticate și a altor investigații de o importanță mai ridicată.

    Pentru o înțelegere în profunzime a conceptelor enumerate anterior poți parcurge tutorialul Reducerea riscurilor organizaționale prin Threat & Vulnerability Management, oferit de vendor pe platforma Microsoft Learn.

    Microsoft Defender pentru Endpoint permite generarea și utilizarea de interogări de hunting (vânătoare de amenințări) pentru a crea reguli personalizate de detectare ce pot rula automat pentru a verifica și a răspunde la diferite evenimente și stări ale sistemului, inclusiv activitatea de încălcare suspectată și mașini configurate greșit.

    Sursa Microsoft Learn

     

     

     
    New call-to-action


     

    distribuie: