Microsoft è diventata oramai la più grande azienda di cybersecurity al mondo per quantità annua di investimenti.
E infatti la sicurezza è o dovrebbe essere oggi la maggior preoccupazione delle aziende che affrontano la trasformazione digitale.
Oggi grazie a questi continui investimenti Microsoft ci mette a disposizione alcuni tra gli strumenti più evoluti ed innovativi per incidere effettivamente sui tre fondamentali pilastri della sicurezza:
•contrasto a software ed azioni malevoli
•protezione delle identità
•protezione dei dati
Avete mai sentito parlare di Intelligent Security Graph con Application Guard, Credential Guard, Device Guard, Windows Defender, Advanced Threat Analytics, Advanced Threat Protection, Threath Intelligence, Cloud App Security, Microsoft Intune, MFA....?
In questa sessione cercheremo di "presentare" tutte queste tecnologie introducendone caratteristiche e funzionalità!
By Giampiero Cosainz
7. Istruzione & Diffusione della Conoscenza
Sicurezza Fisica di device e apparati
Antivirus & Sicurezza Perimetrale
…sono indispensabili
ma non bastano più!!!
8. Statisticamente qualsiasi organizzazione,
indipendentemente dalla dimensione o dal settore di attività,
subirà un attacco informatico significativo entro i prossimi 12 mesi,
mentre oltre la metà ne hanno subito almeno uno nell’ultimo anno
14. The Microsoft Security
Response Center
Led by some of the world’s most experienced security experts.
They identify, monitor, respond, and resolve security incidents
and on-premises and cloud vulnerabilities around the clock,
each day of the year.
15.
16.
17. & management
Protect users’ identities & control access to
valuable resources based on user risk level
protection
Protect against advanced threats
and recover quickly when attacked
protection
Ensure documents and emails are seen
only by authorized people
management
Gain visibility and control over security tools
58. Microsoft Advanced Threat Analytics
brings the behavioral analytics concept
to IT and the organization’s users.
Microsoft Advanced Threat Analytics
Behavioral
Analytics
Detection of advanced
attacks and security risks
Advanced Threat
Detection
An on-premises platform to identify advanced security attacks and insider threats before
they cause damage
59. Analyze1
How Microsoft Advanced Threat Analytics
works
After installation:
• Simple non-intrusive port mirroring, or
deployed directly onto domain controllers
• Remains invisible to the attackers
• Analyzes all Active Directory network traffic
• Collects relevant events from SIEM and
information from Active Directory (titles,
groups membership, and more)
60. How Microsoft Advanced Threat Analytics
works
ATA:
• Automatically starts learning and profiling
entity behavior
• Identifies normal behavior for entities
• Learns continuously to update the activities
of the users, devices, and resources
Learn2
What is entity?
Entity represents users, devices, or
resources
61. Detect3 Microsoft Advanced Threat Analytics:
• Looks for abnormal behavior and identifies
suspicious activities
• Only raises red flags if abnormal activities are
contextually aggregated
• Leverages world-class security research to detect
security risks and attacks in near real-time based on
attackers Tactics, Techniques, and Procedures (TTPs)
ATA not only compares the entity’s behavior
to its own, but also to the behavior of
entities in its interaction path.
How Microsoft Advanced Threat Analytics
works
62. Alert4
How Microsoft Advanced Threat Analytics
works
ATA reports all suspicious
activities on a simple,
functional, actionable
attack timeline
ATA identifies
Who?
What?
When?
How?
For each suspicious
activity, ATA provides
recommendations for
the investigation
and remediation
70. • Control and help secure email, documents, and sensitive data that you share
outside your company walls. From easy classification to embedded labels and
permissions, enhance data protection at all times with Azure Information
Protection - no matter where it’s stored or who it’s shared with.
Classify data based on sensitivity
and add labels - manually or
automatically.
Encrypt your sensitive data and
define usage rights when needed.
See what’s happening with your
shared data to gain more control
over it.
96. - Power BI Pro*
- Advanced eDiscovery*
- Office 365 ATP*
- Office 365 Cloud App Security*
- Phone System*
- Customer Lockbox*
- FastTrack*
* Servizi non presenti in Office 365 E3
97. M365 Business
Office 365 E3
Windows 10 Enterprise E3
per user
(Including VDA)
EMS E3
Office 365 Business Premium
Windows 10 Enterprise E5
per user
(Including VDA rights)
EMS E5
M365 E3 M365 E5
Office 365 E5
Windows Pro
EMS SMB1
99. L’approccio alla sicurezza deve cambiare
“If you spend more on coffee than on information security, you will be hacked. What’s more, you deserve to be hacked.”
Richard Clarke - White House Cybersecurity Advisor (RSA Conference 2002)
Investire in sicurezza
“A business will have good security if its corporate culture is correct. That depends on one thing: tone at the top. There will be no
grassroots effort to overwhelm corporate neglect.”
William “Bill” Malik - VP and Research Area Director for Information Security at Gartner (2000)
La cultura della sicurezza deve partire dai vertici aziendali e deve essere una priorità in tutte le procedure e processi
“I am convinced that there are only two types of companies: those that have been hacked and those that will be. And even they
are converging into one category: companies that have been hacked and will be hacked again.”
Robert S. Mueller, III - Director Federal Bureau of Investigation (RSA Cyber Security Conference 2012)
Monitorare l’infrastruttura
“Progetta le tue difese contemplando la possibilità che vengano eluse perché tu non sai come farlo, ma l'attaccante si.”
Ermanno Goletto e Roberto Massa – Microsoft MVPs (2017)
Nella pianificazione della protezione è necessario valutare di non aver previsto una o più vulnerabilità
“Phishing is a major problem because there really is no patch for human stupidity.”
Mike Danseglio, ex program manager di Microsoft Security Solutions Group (2006)
L’anello debole della sicurezza è spesso rappresentato dalle persone
Hyperfish intro
We are really excited to bring you something great
Founded 2015
Co-Founders Brian Cook & Chris Johnson
Brian was the founder and CEO of Workflow company Nintex,
Chris Johnson was a Group Product Management in Office 365 & SharePoint
Joining them were
Founded 2015
Co-Founders Brian Cook & Chris Johnson
Brian was the founder and CEO of Workflow company Nintex,
Chris Johnson was a Group Product Management in Office 365 & SharePoint
Joining them were
Founded 2015
Co-Founders Brian Cook & Chris Johnson
Brian was the founder and CEO of Workflow company Nintex,
Chris Johnson was a Group Product Management in Office 365 & SharePoint
Joining them were
Del mega grafico ne parliamo tra poco…
IT compromesso --> rischio di perdere l'azienda o di comprometterne la reputazione
Petya, wannacry --> ransomware (cifratura dati e riscatto), furto di credenziali
pass the hash, pass the ticket (escalation di furto/compromissione delle credenziali)
Dopo di noi…
Microsoft:
- investimenti continui (1 bilion/annuo sulla security escluse le nuove acquisizioni)
[è la più grande azienda di cybersecurity ma forse attualmente la meno considerata]
Intelligence
Intelligent security graph è costituito da vari teams
L'operation Center gestisce il cloud nell'ottica della sicurezza e coordina il flusso di informazioni
La Digital Crime Unit è un'entità legale che combatte le botnet (fa azioni legali per acquisire i server delle botnet)
Intelligent security graph è costituito da vari teams
L'operation Center gestisce il cloud nell'ottica della sicurezza e coordina il flusso di informazioni
Intelligent security graph è costituito da vari teams
La Digital Crime Unit è un'entità legale che combatte le botnet (fa azioni legali per acquisire i server delle botnet)
E’ costituito dai migliori esperti di sicurezza del mondo che si dedicano ad indentificare, monitorare, reagire e risolvere gli incidenti di sicurezza
Il loro blog:
https://blogs.technet.microsoft.com/msrc/
Dal basso verso l’altro….(un ciclo continuo infinito…)
data collection (raccolta dati),
analytics (analisi dei dati),
api (per rendere fruibili le informazioni dai servizi)
Leggi un po’ di numeri….
450 bilioni di autenticazioni al mese
400 bilioni di email analizzate
1,2 bilioni di device scansionati ogni mese
Protezione delle Identità e degli Accessi
Protezione dalle Minacce
Protezione delle Informazioni
Gestione della Sicurezza
Protezione delle Identità e degli Accessi
Windows Hello for business (ricordare anche il discorso Password-Less)
MFA & Conditional Access
AD & Azure AD
Windows Credential Guard
Azure AD Identity Protection
E’ quel prodotto che ci permette di monitorare gli accessi degli utenti evidenziando quelli più a rischio o sospetti
Dashboard 1/2
Dashboard 2/2
Utenti «a rischio»
Rischi evidenziati…
(ad esempio il login da ip «anonimi»)
…vi fa vedere utenti ed ip per il rischio selezionato (Accesso da ip anonimi)
Protezione delle Identità e degli Accessi
Protezione dalle Minacce
Molti probabilmente conosceranno Office 365 ATP, o sapranno cos’è Windows Defender ma…
Qui siamo a livello servizi Office 365
Protezione di allegati e link in Exchange online e Sharepoint online
Con Exchange online utilizza anche delle sandbox per esplodere allegati e controllare link
ATP Scan in Progress
Advanced Threat Protection è in preview su Azure Storage Blob service.
Gestisce l’utilizzo dei documenti in Exchange online e Sharepoint online, aiutando a fronteggiare le minacce conosciute
Office 365 Threat Intelligence aiuta ad identificare attacchi attraverso soprattuto Exchange online (e Sharepoint online)
Ad esempio evidenziando chi e da che regione invia maggiormente spam alla nostra organizzazione
Oppure evidenziando i traffici di mail sospette
Visualizziamo l’elenco delle minacce rilevate e capiamo quali sono gli «schemi» degli attaccanti e da dove arrivano…
Simulatore di attacchi:
Spear Pishing
Brute Force Password
Password Spray Attack
Qui siamo a livello CLIENT
Windows defender comprende un insieme di soluzioni integrate in Windows 10
Antimalware / Antivirus
Windows Defender è diventato un 'Top product' capace di riconoscere la totalità dei campioni malware utilizzati.
Windows Defender può adesso funzionare all'interno di una sandbox.
Exploit guard sostituisce EMET
Aiuta a contrastare alcuni specifici exploit di sicurezza utilizzando Intelligent Security Graph (ISG)
In Windows Defender è stato introdotto anche un anti ransomware ovvero un meccanismo che protegge il contenuto delle cartelle indicate dall'utente evitando che programmi sconosciuti o non autorizzati possano apportarvi modifiche.
E’ possibile poi il blocco degli accessi di rete a domini sospetti
Utilizza la Virtualization-base Security
Application Guard, prima attivabile solo sulle edizioni Enterprise di Windows 10, successivamente portata anche in Windows 10 Pro, adesso, con il rilascio di Windows 10 Aggiornamento di ottobre 2018, è configurabile in maniera approfondita.
Device Guard permette l’esecuzione unicamente delle applicazioni autorizzate gestite con una «whitelist»
System Guard si fa carico della fase di caricamento del sistema operativo «raccogliendo il testimone» dalle mani di Secure Boot che controlla la fase gestita da UEFI e dal bootloader del sistema operativo.
https://cloudblogs.microsoft.com/microsoftsecure/2017/10/23/hardening-the-system-and-maintaining-integrity-with-windows-defender-system-guard/
Potente applicativo che analizza tutto ciò che viene fatto nei client…
Windows Defender ATP è anche in Windows 7, 8 e 8.1
Windows Defender ATP is now built into Windows Server 2019
La Dashboard di Windows Defender ATP
Security & Funzionalità
Alerts attivi!
Macchine a rischio!
Una macchina a rischio!
Un utente a rischio!
(comunicazione con NeroBlaze C2)
Communication with NeroBlaze C2 detected (un gruppo attivo nello sfruttare le vulnerabilità zero-day ed il pishing….
Secure Score dashboard
Possibilità di miglioramento….
L’attacco parte da sinistra con un qualcosa di malevolo ricevuto per posta magari in un allegato…
Rilevamento avanzato delle minacce analizzando le «comunicazioni» tra i sistemi (analisi dei pacchetti che transitano nel network)
Analisi Comportamentale
+
Rilevamento di attacchi avanzati e rischi di sicurezza
=
rilevamento avanzato delle minacce
ATA continuamente “utilizza” quattro “fasi”…
Step 1: ANALIZZARE
Utilizzando un pre-configurato, non-intrusivo port mirroring, tutto il traffico Active Directory viene copiato in ATA while rimanendo invisibile.
ATA utilizza una tecnologia di “deep packet inspection” per analizzare tutto questo traffico.
ATA può anche collettare eventi rilevanti da altri sistemi SIEM (security information and event management)
Step 2: IMPARARE
ATA automaticamente inizia a fare dei “profili approfonditi” di utenti, device e risorse e li usa per costruire un “Organizational Security Graph”
Il “Organizational Security Graph” è una “mappa” delle interazioni e dei contesti delle relazioni e delle attività di utenti, device e risorse dell’intera organizzazione.
Step 3: IDENTIFICARE
ATA può a questo punto identificare qualsiasi evento anomalo od attività sospetta!
ATA utilizza ovviamente tutta la conoscenza che gli arriva dai centri di ricercar e sicurezza Microsoft che abbiamo visto prima…
ATA will also automatically guide you, asking you simple questions to adjust the detection process according to your input.
[WannaCry Ransomware Detection]
Step 4: AVVISARE
ATA ha oramai identificato chi, che cosa, quando e come e pertanto è pronta per lanciare un alert e suggerire eventuali ulteriori analisi e/o contromisure.
Viene evidenziato un attacco di tipo Pass the Ticket, ci sono Ticket Kerberos che vengono spostati da una macchina all’altra per fare Privilege Escalation
Qui invece vengono evidenziate attività inconsuete e sospette da parte dell’utente Almeta Whitfield….
Qui viene segnalato un «malfunzionamento», la relazione di trust tra il CLIENT2 ed AD (DC4) è interrotta, non funziona….
Altra segnalazione, esecuzione «remota» sospetta su un DC da parte di un amministratore!!!
Protezione dalle Minacce
Protezione delle Informazioni
Protezione avanzata delle informazioni con un prodotto che classifica, crittografa e gestisce i documenti utilizzati
Superamento e/o «completamento» della NTFS security basata sugli utenti (che hanno o non hanno i diritti di fare qualcosa con i documenti) ad un nuovo sistema di security basato sui documenti stessi (che sono taggati ed ereditano regole che definiscono cosa si può fare con loro)
Identificare/monitorare/proteggere..
…definire regole di security in base al contenuto dei documenti…..
Monitora e controlla l’accesso alle app nel cloud da parte degli utenti
Controlla l’accesso alle app in cloud (monitora e controlla)
Office 365 Cloud App security App di 365
Microsoft 365 Cloud App security anche App di terze parti!
E’ stato aggiunto anche il proxy che va proprio a «definire ed autorizzare» l’accesso alle app…
Può rilevare gli accessi anche attraverso device hardware come i firewall….