Pentru specialiștii IT din ultimii 20 de ani, este greu de conceput o infrastructură IT făra Active Directory Domain Services (ADDS) și toată suita de servicii asociate, întrucât aceasta platformă de gestionare a proceselor de autentificare și autorizare este principala componentă de control a securității dispozitivelor, utilizatorilor și aplicațiilor integrate.

Odată cu dezvoltarea platformelor cloud computing publice, Microsoft a acordat o atenție deosebită conceptului de identity dezvoltând o platformă complementară ADDS, oferită ca serviciu Identity as a Service și numit Azure Active Directory. Bineînțeles că ar fi fost imposibil pentru organizații să abandoneze complet platforma anterioară ADDS odată cu migrarea resurselor din datacenterele proprii către cele ale vendorului și înlocuirea soluțiilor software on-premises ca Microsoft Exchange, Microsoft Sharepoint, Microsoft Lync/Skype for Bussiness cu echivalentele lor din suita Microsoft 365: Exchange Online, SharePoint Online sau Teams, prin urmare cea mai des întâlnită infrastructură rămâne cea hibridă.

Sursa azure.microsoft.com

Pe măsură ce în datacenterele organizațiilor a pătruns tehnologia Microsoft Azure livrată ca platformă Private Cloud sub diverse formate: Azure Stuck Hub, AzureStack HCI, AzureStack Edge, conceptul de infrastructură IT a fost extins ajungând în prezent să includă deopotrivă resurse din datacaneterele tradiționale cât și resurse provizionate în detacenterele publice ale vendorilor de cloud sau chiar locații temporare și echipamente mobile. În acest scurt film de prezentare a produsului ies în evidență versatilitatea infrastructurilor actuale.

Sursa Microsoft Learn

Definiția dată de vendor platformei Azure AD este de serviciu IdentityaaS multi-tenant (entitate echivalentă unui domeniu ADDS) și de administrare a identității și accesului la aplicațiile și serviciile din cloud. Asociată însă cu mecanismele de securitate proprii tot mai avansate: politici de acces condional, publicarea de aplicații, Multi Factor Authentication sau Self Settings Reset Passwords, dar și cu Azure Policy, Azure AD Identity Protection sau Azure AD Privileged Identity Management, schimbă complet focusul specialiștilor de securitate către noua paradigmă ce face platforma de identity o platformă principală de securitate.

Se trece de la ideea anterioară că utilizatorii și dispozitivele aflate în infrastructurile IT delimitate de zone tampon delimitate de firewall-uri sunt automat protejate și credibile, către modelul de securitate descris într-un articol anterior numit Zero Trust Security Model ce are ca filozofie asumarea permanentă a unei breșe de securitate și verificarea continuă a semnalelor transmise de dispozitive, utilizatori și aplicații pe baza cărora se va face automat și proactiv încadrarea acestora într-un nivel de risc ce declanșează efectele unor politici de securitate mai agresive.

Sursa microsoft.com

Devine evidentă nevoia de a gestiona securitatea atât la nivelul ADDS cât și Azure AD în cadrul mediilor hibride, acest lucru ducând la apariția unor provocări noi, care adresează deopotrivă tipologiile atacurilor instrumentate asupra mediilor on-premises, considerate de regulă protejate prin izolarea layerelor de networking și folosirea unor echipamente de rețea specializate, cât și atacurile concentrate pe exploatarea slăbiciunilor și comportamentului utilizatorilor și dispozitivelor ce accesează platformele cloud computing.

Însă în această parte ne vom concentra doar pe înțelegerea produsului Microsoft Defender for Identity, numit anterior Azure Advanced Threat Protection, produs integrat în suita Microsoft 365 Defender alături de Microsoft Defender for Cloud Apps, pentru a te ajuta să înțelegi mai ușor rolul fiecărei componente.

Accesarea platformei pentru configurarea inițială și administrarea de zi cu zi se face din secțiunea Mai multe resurse a portalului security.microsoft.com unde este încă vizibil cu vechiul nume, chiar dacă accesând caseta ești redirecționat către vechiul portal ATP (Advanced Threat protection) și ți se propune accesarea directă din portalul Microsoft Defender for Cloud Apps.

Odată ajuns în portalul ATP ai acces către secțiunile administrative ce permit setarea platformei, integrarea cu ADDS, instalarea senzorilor pe controlerele de domeniu și activarea integrării cu Microsoft Defender for Endpoint.

Microsoft Defender for Identity este o soluție de securitate bazată pe cloud, care folosește semnalele platformei Active Directory Domain Services locale pentru a identifica, detecta și investiga amenințările avansate, identitățile compromise și acțiunile interne rău intenționate îndreptate către organizație.

Beneficiile oferite de această platformă:

• Monitorizarea utilizatorilor, a comportamentului entităților și activităților acestora, folosind mecanisme de analiză avansate, bazate pe învățarea continuă despre acestea
• Protejarea identităților și credențialelor utilizatorilor stocate în Active Directory
• Identificarea și investigarea activităților suspecte ale utilizatorilor și atacurile avansate de-a lungul etapelor unui atac în desfășurare
• Furnizarea de informații clare despre incident pe o cronologie simplă pentru o selecție și vizibilitate rapidă

Sursa Microsoft Learn

Integrarea în cadrul platformei Microsoft 365 Defender se face prin intermediul Microsoft Defender for Cloud Apps a cărui consolă include informațiile primite de la senzorii ATP, corelate cu cele de la Microsoft Defender for Endpoint, aceste legături fiind făcute prin Microsoft Graph for Security API.

Sunt convins că, la prima vedere, tot acest ”arsenal” de platforme de securitate, portaluri administrative și integrări de produse poate crea o ușoară confuzie pentru cineva care ia prima dată contact cu această viziune Microsoft asupra securității, însă te asigur că beneficiile sunt enorme și le vei surprinde în continuare.

Microsoft Defender for Identity monitorizează și analizează activitățile utilizatorilor și informațiile din rețeaua organizației, cum ar fi permisiunile și apartenența la grup și creează o linie de bază comportamentală pentru fiecare utilizator. Identificând apoi anomaliile cu inteligența încorporată adaptivă, oferă informații despre activitățile și evenimentele suspecte, dezvăluind amenințările avansate, utilizatorii compromisi și amenințările interne cu care se confruntă organizația.

Senzorii proprietari ai Microsoft Defender for Identity monitorizează controlerele de domeniu organizaționale, oferind o vizualizare cuprinzătoare pentru toate activitățile utilizatorilor de pe fiecare dispozitiv.

Microsoft Defender for Identity oferă informații despre setările de identitate și sugerează cele mai bune practici de securitate pentru acestea. Prin rapoartele de securitate și analiza profilului utilizatorului, Microsoft Defender for Identity te îndrumă cum să reduci suprafața de atac organizațională, făcând mai dificilă compromiterea credențialelor utilizatoruilor și avansarea unui atac. 

Folosind elemente vizuale de identificare a mișcării laterale a atacatorului, cu Microsoft Defender for Identity înțelegi rapid cum și cât se poate deplasa un atacator în interiorul organizației.

Sursa Microsoft Learn

Rapoartele de securitate Microsoft Defender for Identity îți oferă claritate în identificarea utilizatorilor și dispozitivelor care se autentifică folosind parole specifice și oferă informații suplimentare pentru a îmbunătăți postura și politicile de securitate organizaționale. Această abordare este deosebit de eficientă întrucât, atacurile sunt lansate împotriva oricărei entități accesibile, cum ar fi un utilizator cu privilegii reduse, și apoi se deplasează rapid lateral până când atacatorul obține acces la active valoroase - cum ar fi conturi importante, administratori de domeniu și date extrem de sensibile. 

Microsoft Defender for Identity are o gamă largă de detectări de la recunoaștere la acreditări compromise la mișcări laterale și dominarea domeniului, conform conceptelor Kill Chain descrise în CyberSecurity.