Hopp til hovedinnhold

Trusselbeskyttelse i Microsoft 365 Business Premium

Logo letter
Evelon AS
mobiltelefon med trusselbeskyttelse

Business Premium kommer med markedsledende tjenester som effektivt forsvarer virksomheten mot cybertrusler. Microsoft 365 Defender integrerer dem i sin portal for administrasjon og fanger opp varsler fra dem. Defender for Office 365 skjermer samarbeidsplattformen mot phishing, ondsinnete koblinger og skadelig programvare. Defender for Business forebygger, oppdager og responderer på angrep rettet mot enheter. Cloud App Discovery avdekker ikke-godkjente skyapplikasjoner (skygge-IT). Microsoft Sikkerhetsvurdering gir en representasjon av status for sikkerheten i miljøet ditt.

Anatomien i et cyberangrep

Løsepenge-kampanje

Et angrep starter gjerne med en phishing-e-post. Bruker lures til å åpne et infisert vedlegg eller klikke på en ondsinnet lenke. I neste stadium installeres det skadevare på endepunkter. Angrepet kan også begynne fra en USB-brikke – strategisk, tilsynelatende tilfeldig plassert og vekker nysgjerrighet. Andre muligheter er at du ender opp på en nettside som laster ned en trojaner i bakgrunnen.

Skadelig programvare tar kontakt med angripernes kommando- og kontrollservere. Skurkene får tilgang til enheter via tastatur. Standard brukeridentiteter blir kompromittert, så overtas privilegerte admin-kontoer. Til slutt er hele organisasjonen i fare. Angriperne eksfiltrerer data, stopper nyttelaster og ødelegger sikkerhetskopier. Filer krypteres på verter trusselaktørene får tilgang til.

Metodene angriperne benytter, beskrives gjerne med en cyberdrapskjede som viser de typiske trinnene et angrep går gjennom. Hensikten er at det hjelper deg med å forstå hva som foregår, og hvordan du i hver fase kan bekjempe angrepet.

Metodene

Innledningsvis foretar aktørene rekognosering. De vurderer nettverk og tjenester for å identifisere mulige mål og teknikker for å komme seg inn. Angripere bruker kunnskapen de har oppnådd, for å trenge inn i deler av et nettverk, ofte ved å finne feil eller sikkerhetshull. Så utnytter de sårbarheter og planter ondsinnet kode på systemer. De eskalerer privilegier som gir administrativ tilgang til mer kritiske data. Med en lateral bevegelse flytter de seg til andre tilkoblede systemer.

Som regel vil de tilsløre aktivitetene for å vanskeliggjøre etterforskningen. Tjenestenekt innebærer å forstyrre normal tilgang for brukere og systemer for å forhindre at angrepet overvåkes, spores eller blokkeres. Til slutt eksfiltrerer aktørene data og krypterer dem eventuelt. Defender-produktene som følger med Business Premium, bidrar til å forebygge, oppdage og beskytte deg mot disse cybertruslene.

Microsoft 365 Defender

Microsoft 365 Defender

Microsoft 365 Defender er sikkerhetssentret i Business Premium. Det svarer på trusler og administrerer sikkerhet på tvers av identiteter og enheter, applikasjoner og data. Hendelser samler opp varsler fra de ulike Defender-produktene og ordner dem til meningsfulle ende-til-ende-angrepshistorier. Sånn inngår alle varsler ovenfor i én og samme hendelse, noe som reduserer arbeidskøen og forbedrer hastigheten på undersøkelsen. Defender for Office 365 og Defender for Business er integrert i en koordinert pakke som sørger for utvidet oppdagelse og respons (XDR). Det gir forbedret datadekning, kombinert med behandling av hendelser, automatisk undersøkelse og utbedring.

Defender for Office 365

Exchange Online Protection(EOP) sammen med Defender for Office 365 setter opp en massiv mur mot innkommende e-post. Meldinger passerer gjennom flere beskyttelseslag før de ender opp i innboksen. For hvert lag de passerer, blir det færre og færre (ondsinnede) meldinger igjen å behandle.

Defender for Office 365

Tilkoblingsfilteret avviser meldinger fra dynamiske IP-adresser, beryktede nettverk og kjente frynsete avsendere. Det kontrolleres om mottaker eksisterer. Du kan selv sperre og klarere nettverksadresser. Du kan aktivere Microsoft sikkerliste, som bygger på tredjeparter og Microsofts egen informasjon om trygge avsendere. Filtret for skadelig programvare skanner meldinger med tre antivirusmotorer. Du kan blokkere over hundre typer vedlegg.

Regler for meldingsflyt kan hindre upassende innhold i å komme inn i virksomheten. Meldinger kan spores, kopieres og omdirigeres for inspeksjon med mer. Defender for Office 365 evaluerer avsenders omdømme og foretar flere sannsynlighetsvurderinger (heuristikk). Vedlegg undersøkes i en isolert sandkasse (detonasjonskammer), noe som bidrar til å avdekke nulldagstrusler. Anti-phishing-filteret bruker maskinlæringsmoduler for å beskytte mot nettfiske.

Anti-spam-filteret luker ut det meste av søppelpost. Forfalskningsvernet blokkerer for forfalskede og etterlignede avsenderadresser. Zero-hour Auto Purge oppdager og nøytraliserer med tilbakevirkende kraft meldinger med phishing, spam eller skadevare som allerede er levert til postbokser. Defender for Office 365 sperrer for utrygge koblinger. EOP tar hensyn til tre utbredte autentiseringsprotokoller og foretar en analyse om avsender kan anses som legitim ved hjelp av implisitt autentisering.

Anti-spam filter

Defender for Office 365 omdirigerer vedlegg som ikke er fanget opp av antivirusfiltret og åpner dem i et detonasjonskammer, en container som kjører i Azure. Der undersøkes de ved hjelp av maskinlærings- og analyseteknikker for å oppdage om de inneholder kode med ondsinnete hensikter. Hvis ingen mistenkelig aktivitet blir oppdaget, frigis meldingen. Microsoft opererer med en stadig oppdatert liste over skadelige koblinger, men undersøker dem i tillegg i sanntid idet du klikker på dem. Angripere sender ofte først uskyldige lenker som passerer gjennom e-postkontrollen, for så å endre dem.

Sikkerhetspolicyer

Å konfigurere avansert e-postbeskyttelse er ingen heksekunst lenger. Du benytter forhåndsdefinerte sikkerhetspolicyer som inneholder maler for å beskytte mot søppelpost, skadelig programvare og phishing. De representerer Microsofts anbefalinger om beste praksis og holdes kontinuerlig oppdatert basert på selskapets analyser. Konfigurasjonsanalyse gir forslag til forbedringer av egendefinerte policyer. Defender for Office 365 Recommended Configuration Analyzer Report (Get-ORCAReport) gir ytterligere råd om beste praksis.

Forhåndsinnstilte policyer angår bare e-post. For å beskytte dokumenter i Teams, SharePoint og OneDrive må du inn i trusselpolicyene for klarerte vedlegg og koblinger. Men her skannes ikke hver eneste fil. Prosessen foregår asynkront. Den bruker delings- og gjesteaktivitetshendelser sammen med heuristikk og trusselsignaler for å identifisere ondartede filer. Beskyttelsen samarbeider med Defender for Business på endepunkter.

Defender for Business

Defender for Business leverer endepunktsbeskyttelse i verdensklasse, langt mer enn tradisjonell virus- og trusselbeskyttelse. Det er en omfattende plattform som forebygger og beskytter mot angrep på alle dine enheter, med støtte for Windows, macOS, Android og iOS/iPadOS. Du får verktøyene du trenger for å oppdage, etterforske og utbedre sikkerhetsbrudd på endepunkter. Defender for Business opererer proaktivt, i sanntid og reaktivt. Den består av fem komponenter:

Defender for business

Trussel- og sårbarhetsadministrasjon bidrar til å utbedre sårbarheter i programvare og rette på uheldige konfigurasjoner. Angrepsflatereduksjon gjør deg motstandsdyktig overfor typiske tekniker som benyttes ved cyberangrep. Neste generasjons beskyttelse sørger for avansert virusbeskyttelse basert på virusdefinisjoner, samt lokal og skybasert analyse og maskinlæring. Endepunktdeteksjon og respons lar deg identifisere vedvarende trusler og fjerne dem. Automatisert undersøkelse og utbedring bekjemper angrep 24/7 med kunstig intelligens og reduserer varslingsvolumet.

Instrumentbord

Instrumentbordet for administrasjon av sårbarheter hjelper deg med proaktivt å oppdage, prioritere og utbedre programvaresårbarheter og konfigurasjonsfeil. Exposure score gir en vurdering av hvor utsatt du er. Top security recommendations viser svakheter du bør rette på først, med trinnvis veiledning om fremgangsmåten. Score for devices gir en analyse med utgangspunkt i applikasjoner, operativsystem, nettverk, brukerkontoer og sikkerhetskontroller. Vurderingene er dynamiske og bygger på aktive trusler som utnyttes globalt og i virksomheten din.

Endepunktsdeteksjon og respons (EDR) er en av kjernefunksjonene i Defender for Business og sørger for den beskyttelsen et signaturbasert forsvar alene ikke gir lenger. Den overvåker et utall av aktiviteter på enheter og sender telemetrien til skytjenesten for videre analyse. Hendelsene omfatter oppretting av prosesser og nettverksaktiviteter, inkludert vellykkede og mislykkede tilkoblinger. Det registreres når filer lages, slettes, endres eller omdøpes; det samles inn informasjon om utbredelsen av en fil, ulike hasher og anvendte sertifikater. EDR overvåker pålogginger, endringer i registeret, programvare og drivere som lastes inn, pluss installasjonen av tjenester.

Deteksjonsmetoder

Trussel- og sårbarhetsadministrasjon og Reduksjon av angrepsflaten fungerer som vaksine mot cyberangrep, som for lengst har antatt pandemiske dimensjoner. Neste generasjons beskyttelse (t.v.) opererer på klienten med virusdefinisjoner, heuristikk, emulering og maskinlæring (ML). Klientsiden samarbeider med skyen. Mistenkelige filer undersøkes basert på metadata, klassifisering, omdømme og smarte regler. Et detonasjonskammer kan undersøke atferden til en fil i et beskyttet virtualisert miljø.

Endepunktsdeteksjon og respons (t.h.) jobber også på klienten med overvåking av atferd og nettverk pluss skanning av minnet. Her er det atferdsbaserte maskinlæringsmoduler i skyen. AMSI-paret maskinlæring bruker klient- og skymodeller som er integrert i Antimalware Scan Interface (AMSI) for å utføre avanserte analyser av skriptatferd før og etter utføring for å fange opp avanserte trusler som filløse angrep og direkte minne-angrep. Det er noe signaturbasert beskyttelse ikke ser. Automatisert etterforskning og utbedring sørger for at du slipper å bry deg om mange av sikkerhetshendelsene.

Flere nye funksjoner i Defender for Business styrker trusselbeskyttelsen: Automatiske angrepsavbrudd isolerer infiserte enheter og blokkerer kompromitterte brukere under et pågående angrep. Det skjer med maskinhastighet, betydelig raskere enn ved manuelle inngrep. Det begrenser laterale bevegelser og demper den samlede virkningen. Samtidig får du tid til å etterforske og utbedre trusler og bringe ressurser online. Gjentatte angrep hindres med en ny metode for prioriterte sikkerhetsanbefalinger basert på trusseletterretning og beste praksis. Det følger med kontekstsensitive brukanvisninger som holder deg i hånden og gir veiledning når du må løse sikkerhetshendelser.

Cloud App Discovery

Azure AD Cloud App Discovery er lillebroren til Defender for Cloud Apps, en sikkerhetsmekler for trygg skytilgang som gjenkjenner og bekjemper datatrusler på tvers av skytjenester. Cloud App Discovery er begrenset til å oppdage hvilke skyapper som er i bruk i virksomheten, og gir vurderinger basert på en database på over 31 000 applikasjoner med mer enn 90 risikofaktorer.

Cloud Discovery

Den hjelper administratorer med å avdekke antall, tilgangsmønstre, datavolum, nettforespørsler og brukerdetaljer. Du kan laste opp logger fra brannmurer og proxyer manuelt eller automatisert. Den enkleste måten er å la Windows 10/11-maskiner foreta oppdagelsen, noe som gir det mest nøyaktige bildet i en hybrid hverdag. Ønskede skyapper integrerer du i Azure AD for forenklet engangspålogging.

Microsoft Sikkerhetsvurdering

Microsofts sikkerhetsvurdering

Microsoft Sikkerhetsvurdering måler status for organisasjonens sikkerhetsstilling. Et høyere tall angir at du har tatt hensyn til flere anbefalte handlinger. Vurderingen viser oppnådde poeng og muligheter for forbedring, med detaljert veiledning. Du vil raskt oppdage at det er relativt lett å holde verdiene for identitet, data og apper konstant. Mens enheter fluktuerer. De kommer og går, og Microsoft gir med jevne mellomrom oppdaterte råd. For øyeblikket er det anbefalinger for følgende produkter: Microsoft 365 (inkludert Exchange Online), Azure AD, Defender for Endpoint/Business, Defender for Identity, Defender for Cloud Apps og Teams. Det er annonsert støtte for andre sikkerhetsprodukter. Rådene dekker ikke alle angrepsflater knyttet til hvert produkt, men danner en god grunnlinje.

Avsluttende ord

Trussellandskapet har endret seg. Tidligere var angriperne ute etter å se hva de kunne få til, hvor langt virus kunne spre seg, og hva de klarte ødelegge. Aktørene i dag er mer sofistikerte og har ofte spesifikke økonomiske og strategiske mål. Antivirusløsninger som ser etter signaturer, gir ikke samme beskyttelse som før. Cyberkriminelle har for lengst utviklet metoder som trenger gjennom et signaturbasert forsvar.

Det har gjort at Microsoft har tatt i bruk andre teknologier, med avanserte sikkerhetsanalyser som går langt utover tradisjonelle tilnærminger. Gjennombrudd innen stordata og maskinlæringsteknologi benyttes til å evaluere hendelser på tvers av hele sky-infrastrukturen i Microsoft 365 og Azure. Sånn oppdages trusler det er umulig å identifisere ved hjelp av vanlige metoder, og til å forutsi utviklingen av angrep. Det omfatter Integrert trusseletterretning, som selskapethar mengdevis av.

Atferdsanalyser er en teknikk som analyserer og sammenlikner data med en samling kjente mønstre. De bestemmes ved komplekse maskinlæringsalgoritmer som kjøres på massive datasett, og nøye etterforskning av ondsinnet atferd, utført av ekspertanalytikere. Avviksdeteksjon benyttes for å identifisere trusler. Til forskjell fra atferdsanalyser er denne mer personlig tilpasset og retter søkelyset mot grunnlinjer som er spesifikke for ditt miljø. Maskinlæring brukes for å bestemme normal aktivitet; så skapes det regler for å definere ytterligere forhold som kan representere en sikkerhetshendelse.

Publisert: . Oppdatert: .

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!