Pri Microsoftu napovedujejo nove zmogljivosti za pospešitev prehoda na varnostni model Zero Trust (Ničelno zaupanje) z razpoložljivostjo Microsoft Entra Suite, najobsežnejše rešitve za varen dostop za delovno silo in razpoložljivostjo Microsoft Sentinel v okviru enotne platforme za varnostne operacije Microsoft.

Te inovacije omogočajo lažje varovanje dostopa, prepoznavanje in odpravljanje kritičnih varnostnih vrzeli, zaznavanje kibernetskih groženj, zmanjševanje časa odziva ter poenostavitev operacij.

Izjemni tehnološki napredki, ki olajšajo in naredijo naše delo bolj prilagodljivo, prav tako ustvarjajo priložnosti za zlonamerne akterje, ki iščejo učinkovitejše načine za izvajanje kibernetskih napadov.

Strategija Zero Trust je ključna za zaščito vaše organizacije v času, ko se kibernetski napadi na gesla, omrežja in aplikacije nenehno povečujejo. Po podatkih Gartner® “lahko izboljšave z umetno inteligenco omogočijo zlonamerno kodo in olajšajo phishing in socialno inženirstvo, kar omogoča boljše vdore, večjo verodostojnost in bolj uničujoče napade.”¹

Proaktivna strategija Zero Trust združuje obrambo med identitetami, končnimi točkami, omrežji, aplikacijami, podatki in infrastrukturo s celovitimi varnostnimi politikami, obsežno zaščito pred grožnjami in upravljanjem.

Medtem, ko se posamezna orodja običajno uporabljajo za izpolnjevanje zahtev v vsakem stebru Zero Trust, resnično celovita strategija povezuje vse skozi centraliziran pogonski motor za dostop in integrirano zaščito pred grožnjami. To omogoča večplastno kibernetsko varnost v vaših lokalnih, hibridnih in večoblačnih okoljih.

Nakup posameznih rešitev in gradnja resnično celovite arhitekture iz nič je za večino organizacij zelo naporno delo. Microsoft je varnostno ponudbo zasnoval iz nič, da podjetjem omogočijo Zero Trust – zagotavljajo vgrajene integracije z enotnimi politikami, nadzori in avtomatizacijo, da pospešijo vašo implementacijo in okrepijo vašo varnostno držo.

Te napovedi še dodatno poenostavijo implementacijo arhitekture Zero Trust skozi celoten življenjski cikel, od preprečevanja do zaznavanja in odziva. Microsoft Entra Suite omogoča organizacijam združevanje politik za identitete, končne točke ter zasebna in javna omrežja z enotnim pogonskim motorjem za dostop.

Enotna platforma za varnostne operacije združuje vse varnostne signale, ki jih ustvari vaše okolje, jih normalizira, analizira in uporablja za proaktivno obrambo pred kibernetskimi grožnjami.

Microsoft Entra Suite

Glede na to, da 66 % digitalnih poti napadov vključuje negotove identitetne poverilnice, ima Microsoft Entra Suite ključno vlogo pri preprečevanju varnostnih vdorov.

Niti identiteta niti omrežna varnost ne moreta sami reševati vseh možnih scenarijev dostopa. Microsoft Entra Suite združuje identitetno in omrežno varnost – nov in potreben pristop za varnost Zero Trust.

Ponuja vse, kar potrebujete za preverjanje uporabnikov, preprečevanje prekomernih dovoljenj, izboljšanje zaznavanj in uveljavljanje podrobnih dostopnih kontrol za vse uporabnike in vire. Njena naravna integracija omogoča sodelovanje med identitetnimi in omrežnimi ekipami.

Prav tako zmanjšuje obremenitev vaših IT administratorjev, saj lahko zlahka upravljajo in uveljavljajo podrobne identitetne in omrežne politike dostopa na enem mestu. Poleg tega veščine Microsoft Entra v Microsoft Copilot za varnost pomagajo strokovnjakom za identitete hitreje odgovoriti na identitetne grožnje.

Microsoft Entra Suite vam lahko pomaga pri:

• Združevanju politik pogojnega dostopa za identitete in omrežja. Varnostne ekipe morajo upravljati le en nabor politik na enem portalu za konfiguriranje dostopnih kontrol tako za identitete kot za omrežja.

• Sedaj lahko razširite politike dostopa “Zero Trust” na katerokoli aplikacijo, ne glede na to, ali je v oblaku, lokalno ali celo na odprtem internetu. Pogojni dostop oceni katerokoli zahtevo za dostop, ne glede na to, od kod prihaja, in izvaja sprotno ocenjevanje tveganja za krepitev zaščite pred nepooblaščenim dostopom.

• In ker je pogonski motor za dostop enoten, so lahko identitetne in omrežne ekipe prepričane, da ščitijo vsako dostopno točko, ne da bi pustile vrzeli, ki pogosto obstajajo med ločenimi rešitvami.

• Zagotavljanju najmanjših privilegiranih dostopov za vse uporabnike, ki dostopajo do vseh virov in aplikacij, vključno z AI. Strokovnjaki za identitete lahko avtomatizirajo življenjski cikel dostopa od dneva, ko se nov zaposleni pridruži organizaciji, skozi vse spremembe vlog, do trenutka njihovega odhoda. Ne glede na to, kako dolga ali večplastna je pot zaposlenega, Microsoft Entra ID Governance zagotavlja, da imajo dostop samo do tistih aplikacij in virov, ki jih potrebujejo, kar pomaga preprečiti lateralno gibanje kibernetskih napadalcev v primeru vdora.

• Strokovnjaki za identitete in poslovni vodje imajo s tem dodatno plast nadzora dostopa z rednimi pregledi dostopa, ki jih poganja strojno učenje, za ponovno potrjevanje potreb po dostopu, zagotavljanje skladnosti z internimi politikami in odstranjevanje nepotrebnih dovoljenj na podlagi vpogledov, ki jih omogoča strojno učenje, kar pomaga zmanjšati utrujenost pregledovalcev.

• Izboljšanju (UX) uporabniške izkušnje tako za pisarniške kot oddaljene delavce. Zaposleni uživajo v hitrejšem in lažjem procesu vključevanja, hitrejšem in varnejšem prijavljanju prek avtentikacije brez gesla, enotni prijavi za vse aplikacije in vrhunski zmogljivosti. Lahko uporabijo samo-strežni portal za zahtevo dostopa do ustreznih paketov, upravljanje odobritev in pregledov dostopa ter ogled zgodovine zahtev in odobritev.

*Pregled obraza z Microsoft Entra Verified ID omogoča sprotno preverjanje identitete uporabnika, kar poenostavi oddaljeno vključevanje in samo-strežno obnovitev računov brez gesla.

• Zmanjšanju zapletenosti in stroškov upravljanja varnostnih orodij več ponudnikov. Ker tradicionalne lokalne varnostne rešitve ne ustrezajo potrebam sodobnih okolij, usmerjenih v oblak in umetno inteligenco, organizacije iščejo načine za varovanje in upravljanje svojih sredstev iz oblaka.

Z Microsoft Entra Suite lahko “upokojijo” več lokalnih varnostnih orodij, kot so tradicionalni VPN-ji, lokalni varni spletni prehodi in lokalno upravljanje identitet.

Microsoft Sentinel je na voljo v enotni platformi za varnostne operacije Microsoft

Popolna arhitektura Zero Trust zagotavlja učinkovito preprečevanje, zaznavanje, preiskovanje in odzivanje na kibernetske grožnje na vseh ravneh vašega digitalnega okolja. Ker se grožnje nenehno spreminjajo, nobena obramba ni absolutna.

Zato je princip Zero Trust, ki predvideva vdor in stalno preverja vsako dejanje, medtem ko spremlja nova tveganja in grožnje, ključnega pomena.

Po raziskavah, ki jih je opravil Microsoft, organizacije uporabljajo do 80 posameznih orodij v svojem varnostnem portfelju. Za mnoge to pomeni ročno upravljanje integracije med njihovim sistemom za upravljanje varnostnih informacij in dogodkov (SIEM), orkestracijo, avtomatizacijo in odzivom na varnostne dogodke (SOAR), razširjenim zaznavanjem in odzivom (XDR), upravljanjem stanja in izpostavljenosti, varnostjo v oblaku in obveščevalnimi podatki o grožnjah.

V zadnjih nekaj letih so si prizadevali združiti ta orodja in napovedujejo naslednji korak: Microsoft Sentinel je zdaj na voljo v portalu Microsoft Defender. Kupci Microsoft Sentinel v komercialnem oblaku, ki imajo nameščeno vsaj eno delovno obremenitev Microsoft Defender XDR, bodo zdaj lahko:

• Pripravili eno delovno okolje v portalu Defender.
• Imeli enotne incidente in enotno lovljenje z Microsoft Defender XDR, kar poenostavi preiskave in zmanjša preklapljanje med konteksti.
• Izkoriščali Microsoft Copilot za varnost za povzetke in poročila o incidentih, vodene preiskave, samodejno ustvarjena sporočila Microsoft Teams, analizo kode in več.
• Razširili prekinitev napadov tudi na druge kritične aplikacije, začenši z SAP.
• Dobili prilagojena priporočila po incidentu za preprečevanje podobnih ali ponavljajočih se kibernetskih napadov, ki so neposredno povezana z Microsoft Security Exposure Management, da samodejno izboljšajo ocene pripravljenosti ob dokončanju akcij.

Podjetja, ki se odločijo za Microsoft Sentinel lahko preprosto sprejmejo novo izkušnjo, medtem ko še naprej uporabljajo klasično izkušnjo v Microsoft Azure, če je to potrebno.

Še nikoli ni bilo lažje dodati zmogljivosti SIEM, kot trenutno kjer so na voljo konektorji na stotine virov podatkov, razširjeno hranjenje podatkov ali dodatne skladnostne zmogljivosti v vaše obstoječe okolje Microsoft Defender XDR.

Nekaj več podrobnosti o enotni platformi za varnostne operacije:

Samodejno preprečevanje kibernetskih napadov z naprednimi tehnikami napada.

Ta vgrajena zmogljivost, ki jo poganja umetna inteligenca (AI) in strojno učenje, zazna in ustavi napredne kibernetske napade, ki jih izvajajo dobro opremljeni in prefinjeni napadalci. Prekinitev napada ustavi napredovanje napadov, kot so ransomware, poslovni e-poštni kompromisi, napadalci v sredini in zlonamerna uporaba OAuth aplikacij v realnem času z 99 % zanesljivostjo, kar omogoča vaši varnostni ekipi, da dokonča preiskavo in sanacijo pod manjšim pritiskom.

S kombiniranjem lastnih in tretjih signalov iz Defender XDR in Microsoft Sentinel je prekinitev napada razširjena na še več napadov v kritičnih aplikacijah, kot je SAP.

Analizirajte poti napadov in zmanjšajte izpostavljenost

 Napadalci ne razmišljajo v seznamih, temveč v grafih. Upravljanje poti napadov pomaga vaši varnostni ekipi vizualizirati, kako lahko napadalec izkoristi ranljivosti za lateralno premikanje po izpostavljenih sredstvih v vašem okolju. Ponuja vodena priporočila, kako zmanjšati izpostavljenost, in pomaga pri določanju prednostnih nalog glede na potencialni vpliv vsake izpostavljenosti.

Prekinitev napada lahko ustavi pomembne kibernetske napade, kot je ransomware, v le treh minutah.

Hitrejše in natančnejše zaznavanje in preiskovanje.

Povezovanje globine XDR signalov iz Defender-ja in prilagodljivosti virov dnevnikov iz Microsoft Sentinel omogoča izboljšanje razmerja “signal-šum” in izboljšano korelacijo opozoril. Časovnice kibernetskih napadov so samodejno popolnoma povezane v enem incidentu, kar omogoča analitikom hitrejše odzivanje na vdore z bolj celovitim pogledom na napad. Združitev SIEM in XDR je obstoječim strankam v povprečju omogočila 50 % hitrejšo korelacijo med XDR, podatki iz dnevnikov, prilagojenimi zaznavami in obveščevalnimi podatki o grožnjah – z 99 % natančnostjo.³

Izboljšana izkušnja lovljenja groženj.

 Z eno izkušnjo za poizvedovanje podatkov si analitiki ne rabijo zapomniti, kje so podatki na voljo ali prehajati med portali. Stranke so ugotovile znatno korist v svoji sposobnosti proaktivnega iskanja podatkov za indikatorje kompromisa. Vgrajen Microsoft Copilot za varnost deluje čez podatke SIEM in XDR za nadaljnje pospeševanje dela varnostnih analitikov z veščinami, kot so vodeni odzivi ali prevod naravnega jezika v Kusto Query Language (KQL).

“Naša ekipa je imela velike koristi od enotne izkušnje lovljenja groženj, ki jo ponuja platforma. Integracija različnih virov podatkov, vključno s tistimi tretjih ponudnikov preko Microsoft Sentinel, je znatno izboljšala naše zmožnosti odziva na incidente. To nam je omogočilo razširitev lovljenja groženj in možnosti prilagojenega zaznavanja.”

> —DOW

“Največja prednost enotne platforme za varnostne operacije je bila možnost kombiniranja podatkov v Defender XDR z dnevniki iz varnostnih orodij tretjih ponudnikov. Druga prednost je bila odprava potrebe po preklapljanju med portali Defender XDR in Microsoft Sentinel. Zdaj imamo enoten pregled, ki si ga je naša ekipa želela že več let.”

> —Robel Kidane, Group Information Security Manager, Renishaw plc

Poenostavitev implementacije arhitekture Zero Trust

Z vključitvijo varnostnih principov Zero Trust (izrecno preverjanje, uporaba najmanjših privilegiranih dostopov in predpostavka vdora), Microsoft Entra Suite in enotna platforma za varnostne operacije Microsoft pomagata vodjem in deležnikom za varnostne operacije, identitete, IT in omrežno infrastrukturo razumeti celovito držo Zero Trust njihove organizacije.

Na ta način vzpostavljena varnostna strategija omogoča izrecno preverjanje z zagotavljanjem neprekinjene avtentikacije in avtorizacije vseh zahtevkov za dostop. Varnostne ekipe v podjetjih uveljavljajo najmanj privilegiran dostop z dodeljevanjem samo minimalne ravni dostopa, ki je potrebna za uporabnike, da opravljajo svoje naloge, s čimer zmanjšujejo napadalne površine.

Poleg tega lahko predpostavljajo vdor z neprekinjenim spremljanjem in analiziranjem aktivnosti za proaktivno prepoznavanje in odzivanje na kibernetske grožnje.

**Članek je v celoti prevedena vsebina iz Microsoft security BLOG zapisa in je namenjena predstavitvi napredka v varnostnih orodjih, sposobnostih in povezovanju le teh, da se podjetjem olajša razumevanje delovanja varnostnega koncepta Ničelno Zaupanje (Zero Trust), ter posledično poenostavi vpeljava v njihovo strategijo kibernetske varnosti.