Defender for Identity – Identitetsbeskyttelse i hybride miljøer

Microsoft Defender for Identity er et helt uunnværlig sikkerhetsprodukt for virksomheter med lokal infrastruktur. Løsningen oppdager og beskytter organisasjoner mot identitetsangrep ved å anvende avansert analyse og maskinlæring for å overvåke brukere og deres atferdsmønstre. Den identifiserer unormale og mistenkelige aktiviteter, som kan omfatte forsøk på uautorisert tilgang, kompromitterte kontoer, phishing, utnyttelse av privilegier eller andre former for angrep rettet mot identiteter.

Mens Azure AD Identity Protection bidrar med å avdekke, undersøke og håndtere identitetsbaserte trusler og risikoer i skyen, gjør Defender for Identity mye av det samme i miljøer med Windows Active Directory (AD). Tradisjonelt oppfatter vi bedriftsnettverket som trygt og alt utenfor som utrygt. Med dagens identitetsangrep og innsidetrusler kan vi ikke lenger operere med dette skillet. Vi vet ikke om vi har å gjøre med venn eller fiende på lokalnettet. Den eneste måten å avsløre det på er ved å studere hvordan brukere oppfører seg, og hva de foretar seg. Defender for Identity gjør nettopp dette.

Hybrid beskyttelse av brukere

Defender for Identity er integrert med Microsoft 365 Defender for å gi helhetlig beskyttelse på tvers av identiteter, e-post, applikasjoner, infrastruktur, data og enheter. Det sørger for en automatisert og koordinert respons på trusler. Uten denne type spesialisert programvare som Defender for Identity og Azure AD Identity Protection er det vanskelig – om ikke umulig – å oppdage kompromitterte brukere i Windows AD og Azure AD, dermed vesentlige stadier i en drapskjede. Med dagens trusselbilde bør man hele tiden gå utfra at virksomheten er under angrep. Statistisk tar det rundt 100 dager før angripere i nettverket avdekkes om man ikke har denne type overvåking – og da er det for sent.

Egenskaper ved Defender for Identity

Microsoft Defender for Identity (MDI) er basert på en firetrinnsmodell som analyserer, lærer, oppdager og varsler:

• Analyse. MDI benytter en egen teknologi basert på dyp pakke-inspeksjon, for å analysere all trafikk til og fra domenekontrollere. Den kan også samle viktige hendelser fra andre kilder.
• Læring. MDI begynner automatisk med å lære og profilere atferden til brukere, enheter og ressurser for å bygge opp et kart over hvordan de spiller sammen.
• Oppdagelse. MDI identifiserer om brukere eller enheter oppfører seg unormalt, og markerer hendelsene med et rødt flagg om nødvendig.
• Varslinger. MDI rapporterer om mistenkelige aktiviteter på en oversiktlig angrepstidslinje, som gir informasjon om hvem, hva, når og hvordan – med forslag til utbedring.

Defender for Identity gjenkjenner trusler ved å analysere bruker- og enhetsatferd for å reagere kjapt med selvlærende maskinintelligens. Den tilpasser seg nær sagt like raskt som angripere ved å ta i bruk kontinuerlig oppdaterte kunnskaper som bygger på endringer i brukeroppførsel. Den fokuserer bare på viktige hendelser; angrepstidslinjen sørger for en tydelig og praktisk visning av suspekte aktiviteter eller vedvarende trusler. Falske positiver reduseres ved at man varsles bare etter at mistenkelige aktiviteter er satt i riktig kontekst og bekreftet. Det gis anbefalinger om hva man bør gjøre for hver mistenkelig aktivitet.

Komponentene i Defender for Identity

Når man tar i bruk Defender for Identity, opprettes det en egen instans i Azure. Man laster ned sensorer fra skytjenesten og installerer dem på alle domenekontrollere, eventuelt på servere med Active Directory Federation Services (AD FS). Sensorene fanger opp all trafikk mellom klienter og autentiseringsserverne sammen med hendelsesloggene i Windows. Defender for Identity er integrert med Defender for Endpoint og Defender og Defender for Cloud Apps. Obs! Grafikken skriver seg fra før Microsoft omdøpte Cloud App Security til Defender for Cloud Apps og Azure Sentinel til Microsoft Sentinel.

Hvordan fungerer Defender for Identity?

Defender for Identity fokuserer på brukeraktivitet til forskjell fra statiske trussel-indikatorer og kan på den måten oppdage mistenkelig atferd tidlig i et angrep. I dag er det blitt mye lettere enn før å omgå eksterne forsvarsverk for å infiltrere et bedriftsnettverk og maskere seg som intern ansatt. Her kan angriperen stjele følsomme data og forårsake økonomisk skade. Defender for Identity avslører skjulte angrepsteknikker ved å avdekke unormale mønstre i brukeratferden som kan tyde på kompromitterte påloggingsopplysninger.

Defender for Identity gjør det lettere å avgjøre om mulige trusler kommer innenfra eller utenfra. Det kobler aktiviteten til en bestemt bruker og enhet. Det betyr at om hun eller han begynner å oppføre seg på en uvanlig eller usannsynlig måte, vil man raskt kunne oppdage det og begynne å etterforske om nødvendig. Stjålet legitimasjon – eller identitetstyveri – er en vanlig angrepsmetode. Forbryterne får tak i den via phishing, sosial manipulering eller skadelig programvare. Når angriperne er i stand til å logge på, kan de stille bevege seg innenfor et nettverk uten å bli oppdaget. Men de vil oppføre seg annerledes, som å rekognosere infrastrukturen og flytte seg sidelengs fra maskin til maskin. Det er disse aktivitetene du ikke ser, men som Defender for Identity klarer å oppdage og varsle om.

Anatomien i et cyberangrep

Metodene angriperne benytter, beskrives gjerne med en cyberdrapskjede som viser de typiske trinnene et angrep går gjennom. Hensikten er at den hjelper deg med å forstå hva som foregår, og hvordan du i (nesten) hver fase kan forsvare deg mot angrepet.

Innledningsvis foretar aktørene rekognosering. De vurderer nettverk og tjenester for å identifisere mulige mål og teknikker for å komme seg inn. Angripere bruker kunnskapen de har oppnådd, for å trenge inn i deler av et nettverk, ofte ved å finne feil eller sikkerhetshull. Så utnytter de sårbarheter og planter ondsinnet kode på systemer. De eskalerer privilegier som gir administrativ tilgang til mer kritiske data. Med en lateral bevegelse flytter de seg til andre tilkoblede systemer. Som regel vil de tilsløre aktivitetene for å vanskeliggjøre etterforskningen. Tjenestenekt innebærer å forstyrre normal tilgang for brukere og systemer for å forhindre at angrepet overvåkes, spores eller blokkeres. Til slutt eksfiltrerer aktørene data og krypterer dem eventuelt.

Et angrep starter gjerne med en phishing-e-post. Bruker lures til å åpne et infisert vedlegg eller klikke på en ondsinnet lenke. I neste stadium installeres det skadevare på endepunkter. Angrepet kan også begynne fra en USB-brikke – strategisk, tilsynelatende tilfeldig plassert som vekker nysgjerrighet. Andre muligheter er at du ender opp på en nettside som laster ned en

trojaner i bakgrunnen.

Skadelig programvare tar kontakt med angripernes kommando- og kontrollservere. Skurkene får tilgang til enheter via tastatur. Standard brukeridentiteter blir kompromittert, så overtas privilegerte admin-kontoer. Til slutt er hele organisasjonen i fare. Angriperne eksfiltrerer data, stopper nyttelaster og ødelegger sikkerhetskopier. Filer krypteres på verter trusselaktørene får tilgang til, eller så nøyer angriperne seg med å true med å offentliggjøre konfidensiell informasjon. Defender for Identity spiller en avgjørende rolle for å oppdage inntrenging, eskalering av privilegier og lateral (sidelengs) bevegelse.

Varsler i Microsoft 365 Defender

Defender for Identity sender alle hendelser og varsler til Microsoft 365 Defender, som gjør det mulig på en enkel og oversiktlig måte å relatere angrep til signaler fra andre produkter i Microsoft 365 Defender-porteføljen, som Microsoft Defender for Cloud Apps (MDCA) og Microsoft Defender for Office 365 (MDO). Defender for Identity hadde sin egen portal, som nå er avviklet. Microsofts råd er å benytte Defender for Cloud Apps for en forbedret opplevelse, mens flere sikkerhetseksperter foretrekker den integrerte opplevelse i Microsoft 365 Defender.

Analyse av bruker- og entitetsatferd

Analyse av brukeratferd – angir prosessen med å samle innsikt i nettverkshendelser som brukere genererer, og oppdage ondsinnede aktiviteter fra inntrengere. Konsulentselskapet Gartner la til betegnelsen entitet i produktkategorien, omtalt som User and Entity Behavior Analytics (UEBA) for å få med mer enn bare individuelle brukere, som endepunkter, applikasjoner og nettverksenheter som kan bli kompromittert. Gartner anser UEBA for å være ett av de viktigste sikkerhetsproduktene man bør ta i bruk. Det finnes et vidt produktspekter å velge mellom; det som kjennetegner Defender for Identity er den tette integrasjon i Microsoft 365. Defender for Identity har sin egen teknologi for å oppdage hvilke enheter brukere logger på fra; ved å samkjøre med Microsoft Defender for Endpoint (MDE) kan man danne seg et enda grundigere bilde av et angrep.

Lisensiering

Defender for Identity følger med i Microsoft 365 E5 og Enterprise Mobility + Security (EMS) E5, men kan også lisensieres frittstående. Det er et ideelt tillegg til Microsoft 365 Business Premium-kunder som har lokal infrastruktur.

Avsluttende ord

Tillit er en sårbarhet. Det er ikke lenger standardholdningen, men unntaket. Tillit må opparbeides, brukere gjøre seg fortjent til den. For at vi skal stole på at brukere er den de utgir seg for, må de logge på med sterk autentisering fra enheter som er registrert i virksomheten og i overensstemmelse med dine krav til sikkerhet. Alle andre avvises med det samme. Brukere må holde seg til atferdsmønstre som er typisk for dem og ikke forsøke å få tilgang til ressurser de normalt ikke benytter.

Defender for Identity anvender signaler fra Windows AD for å identifisere, oppdage og undersøke avanserte trusler, kompromitterte identiteter og ondsinnede innsidehandlinger som er rettet mot organisasjonen din. Løsningen overvåker brukere, enhetsatferd og aktiviteter med læringsbasert analyse. Den beskytter brukere og legitimasjon lagret i AD. Den detekterer og etterforsker mistenkelige brukeraktiviteter og avanserte angrep gjennom hele cyberdrapskjeden. Du får tydelig informasjon om sikkerhetshendelser på en enkel tidslinje for raskt å vurdere hvilke som krever raskest prioritering.