Jak na bezpečnost koncových zařízení i ochranu dat před únikem a krádeží s Microsoftem.

Na tyto oblasti bezpečnostní problematiky bylo zvykem pořizovat software specializovaných výrobců. Mnoho firem má ale dnes, díky zakoupeným licencím Microsoft 365, k dispozici stále lepší a lepší software od Microsoftu.

Tak proč instalovat další software od dalších výrobců, spravovat ho dalšími nástroji a často utrácet i peníze navíc? Microsoft do vývoje v dané oblasti za poslední roky silně investoval a svými produkty dnes dokáže zabezpečit v globální šíři celou organizaci. Dnešní způsoby práce a „covidová“ doba více a více komplikuje bezpečnostní problematiku právě firmám a organizacím. Spousta zaměstnanců pracuje z domu a zabezpečení koncových zařízení a podnikových dat často neodpovídá situaci dnešního světa. 

Moderní nástroje Microsoft můžeme rozdělit do několika kategorií. Bezpečnost koncových zařízení, bezpečnost práce v cloudové službě Microsoft 365 a ochrana dat před únikem a krádeží, a to jak na úrovni koncového bodu, tak na úrovni platformy Microsoft 365.

Bezpečnost koncových zařízení

Tato oblast je naprostý základ všech firem a organizací při boji proti kybernetickým hrozbám již od roku 1988. Od té doby se ale velmi mnoho změnilo a základní antivirové systémy už nestačí. Je nutné je doplňovat o další bezpečnostní technologie, které dokáží reagovat na dnešní moderní hrozby, obecně nazývané Zero-day útoky.

Technologie ochrany koncových zařízení Microsoft zaznamenala obrovský rozvoj a v současné době nabízí komplexní ochranu před kybernetickými útoky pomocí mnoha modulů, které mají společný jmenovatel Defender. Ten zahrnuje mnoho modulů jako je například Exploit Guard, což je intrusion prevention systém nebo Application Control Guard, který umožňuje řídit spouštění či blokování aplikací a scriptů. Dalšími rozšířeními jsou modul Application Guard, který při práci uživatele ve webových prohlížečích a office aplikacích izoluje nedůvěryhodné webové stránky či modul Device Guard, který na zařízení blokuje nedůvěryhodné aplikace.K idspozici je i další pokročilá ochrana jako je Credential Guard či Remote Desktop Credential Guard.

Jako třešnička na pomyslném dortu je tu Microsoft Defender for Endpoint  s technologií EDR (Endpoint Detect and Response), která sleduje chování systémů a aplikací na koncovém bodu pomocí integrovaného senzoru. Získané informace odesílá do cloudové služby s obrovským množstvím dostupných informací a dat, porovnává je pomocí enginů a vyhodnocuje podezřelé chování. Dokáže trasovat podezřelé soubory a aplikace a pomáhá vyšetřovat bezpečnostní incidenty v reálném čase. Microsoft Endpoint Manager přináší též užitečnou vlastnost, kterou je možnost řídit potřebné bezpečnostní nástroje z jednoho místa.

Mezi další důležité bezpečnostní systémy patří i Windows Hello for Business, který zajišťuje multifaktorové ověření do konzole počítače a Bitlocker pro šifrování pevných disků nebo USB flash disků. Tyto technologie jsou považovány jako naprostý základ ochrany dat na koncových zařízených před jejich ztrátou nebo krádeží. Stále totiž platí a statistiky to podtrhují, že krádeže a ztráty zařízení jsou nejčastější příčinou úniku dat.

Bezpečnost práce v cloudové službě Microsoft 365

Služby Microsoft 365 se stávají podnikovým standardem, dnes je využívá již opravdu mnoho organizací. Microsoft klade velký důraz na ochranu informací uložených v těchto službách a systémech. K dispozici je jak standardní antivirová ochrana, tak technologie Antispam pro detekci nevyžádané pošty, AntiPhishing pro detekci podvržených emailů, SafeAttachement pro detekci malware v přiložených souborech emailových zpráv a SafeLinks pro detekci nebezpečných odkazů na webové servery.

Neméně důležité jsou technologie pro ověření přístupu do cloudové služby Microsoft 365. Jen uživatelské jméno a heslo pro přihlášení ke cloudu je naprosto nedostatečná ochrana, proto Microsoft v dnešní době přímo vynucuje používání multifaktrové autentizace technologií Microsoft MFA. Dalším faktorem pro ověření je například aplikace Authenticator nainstalovaná na uživatelském mobilním telefonu či zaslání SMS s jednorázovým heslem. Spolu s MFA je možné využít i technologii Conditional access, která umožňuje správcům definovat podmínky, na základě kterých bude uživatel připojen do Microsoft 365 prostředí. Je možné definovat připojení na základě geolokace, zdraví počítače, ale nabízí i analytickou část, která vyhodnocuje možné riziko připojení.

AUTOCONT může nabídnout kompetence a praktické zkušenosti s technologiemi pro ochranu koncových systémů i cloudových služeb Microsoft 365. Jsme schopni navrhnout správná řešení na základě zakoupených licencí Microsoft a následně bezpečnostní nástroje správně nastavit, aby byly schopny eliminovat co nejvíce bezpečnostních hrozeb a incidentů.

Ochrana dat před ztrátou či krádeží

Data je to nejcennější, co každá společnost v podnikové IT infrastruktuře má. Ztráta nebo krádež dat mohou mít i katastrofální dopad na chod organizace. Krádež nebo znepřístupnění dat může mít za následek výpadek výroby, ztrátu reputace, sankce a v nejhorším scénáři i bankrot. Ztráta duševního vlastnictví, výkresové dokumentace, finančních dat, informací o zákaznících a zaměstnancích, jsou cílem nejen externích útočníků, ale i vlastních zaměstnanců. Důvod je velmi prostý, finanční prospěch. V neposlední řadě jsou zde i nařízení a regulace jako je GDPR, Kybernetický zákon, ISO a další., kde v případě i nechtěného úniku dat, hrozí organizacím vysoké sankce.

Proto je dnes velmi důležité věnovat pozornost problematice ochrany dat, zvlášť v aktuálních souvislostech, kdy se podniková data nachází naprosto všude. Od koncových zařízení uživatelů, kam patří nejen počítač, ale i externí média nebo mobilní telefony, přes servery, databáze, až po cloudové služby a emailovou komunikaci. Microsoft nabízí celou řadu bezpečnostních nástrojů, které pomáhají s ochranou dat jak v on-premise prostředí, tak v cloudové platformě Microsoft 365.

Ochrana dat na koncovém zařízení

Uživatelé si zvykli, že mohou mít data na svých zařízeních dostupná kdykoliv a kdekoliv, ale to samozřejmě z druhé strany představuje riziko jejich ztráty nebo kompromitace. Základní způsob ochrany dat na koncových zařízeních je jejich šifrování. Microsoft v tomto směru nabízí odzkoušené nástroje Bitlocker pro šifrování celých disků nebo USB flash disků. Pomocí systému Microsoft Endpoint Manager je možné vynutit správu mobilních zařízení a zajistit ochranu firemních dat v chráněném kontejneru. Silnou ochranu dat na koncovém zařízení počítače je možné zajistit pomocí dvou níže uvedených technologií.

Pomocí Microsoft Endpoint DLP je možné auditovat nebo chránit citlivá data společnosti na základě jejich klasifikace pomocí přednastavených klasifikátorů, nebo manuálně vytvořenými klasifikačními pravidly. DLP dokáže kontrolovat a chránit únik dat přes dostupné komunikační kanály, které běžně uživatel používá. Mezi ně patří nahrání na cloudové služby, kopírování dat do jiných aplikací nebo na externí média, síťové sdílené disky nebo tisk.  

Technologie Azure Information Protection zase umožňuje označovat (labelovat) vytvářené nebo již vytvořené dokumenty značkou, popřípadě využít integrovanou ochranu dokumentu šifrováním. Díky značce je možné sledovat dokumenty, popřípadě je chránit DLP systémem. Ochrana silným šifrováním zajišťuje přístup k datům pouze definovaným uživatelům. Obrovskou výhodou takto chráněných dokumentů je i skutečnost, že k datům má přístup kdokoliv, kdo plně disponuje emailovou adresou, a ta je zaregistrována k účtu Microsoft. Je tedy velmi jednoduché sdílet citlivá data společnosti nejen mezi zaměstnanci, ale i s obchodními partnery.

Ochrana dat v cloudové službě Microsoft 365

Stejně jako na koncových zařízeních, tak i v cloudových službách a úložištích najdeme obrovské množství citlivých dat. Je tedy velmi žádoucí chránit data i zde. Microsoft v tomto směru nabízí několik technologií, které je možné i v prostředí Microsoft 365 využít. Jako první se nabízí DLP ochrana, dále tu máme i podporu AIP a navíc i dosud nezmíněné IRM (Information Right Management).

Stejně jako na koncovém zařízení, DLP v cloudu chrání data před únikem pomocí klasifikačních pravidel a politik, které vyhodnocují citlivost informací a následně tyto data chrání před únikem z prostředí Microsoft 365. Je možné využít stejné klasifikátory, jako u koncových zařízení, nebo definovat své vlastní. Klasifikovat je možné i dokumenty označené labelem technologií AIP. Právě toto propojení DLP a AIP může velmi pomoci při kontrole a ochraně dat společnosti.

Information Right Management (IRM) doplňuje ochranu dat o šifrování. Využití je hlavně při sdílení dokumentů pomocí SharePointu. Umožňuje nastavit šifrovaní na konkrétní knihovnu SharePoint, která může být sdílena nejen mezi zaměstnanci společnosti, ale i s obchodními partnery. Je možné data zašifrovat, definovat uživatele a oprávnění přístupu k datům.

AUTOCONT může nabídnout kompetence a praktické zkušenosti s nasazením technologií na ochranu dat společnosti. Máme dlouholeté zkušenosti s návrhy i nasazením technologií DLP, AIP a IRM. Problematika ochrany dat je velice široká a neustále se mění tak, jak se mění prostředí společností, jak se vyvíjí nové systémy a jak společnosti migrují z on-premise prostředí do cloudu. Vždy je potřeba adekvátně reagovat a systémy na ochranu dat správně a efektivně nastavit. A s tímto jsme také schopni našim zákazníkům pomoci.  

Co taková řešení na ochranu koncových zařízení a dat stojí?

Vždy je to o tom, jaké typy Microsoft licencí ke svému provozu organizace používá. Je mnoho firem, které mají aktivní licence pro ochranu zařízení i dat na platformě Microsoft 365 k dispozici, aniž by si to uvědomovaly.

Součástí operačního systému Windows 10 Pro je zdarma tzv. Centrum zabezpečení, jehož součástí je i Microsoft Defender. Organizace se zakoupenými licencemi Windows 10 Pro nebo různými edicemi plánů Microsoft 365, která Windows 10 Pro obsahují, tak mohou jednoduše zajistit standardní bezpečnost na koncová zařízení. Zabezpečení s pokročilou ochranou a správou pomocí Microsoft Defender for Endpoint je pak pro organizace s Microsoft 365 nebo EMS plány otázkou dodatečných nákladů ve výši cca 4 Euro na uživatele a měsíc. Pokud navíc chtějí zvýšit bezpečnost celého prostředí Microsoft 365 nasazením i pokročilých modulů typu AntiSpam, AntiPhishing, SafeLinks či SafeAttachements, je možné dokoupit doplněk Microsoft 365 E5 Security za přibližně 10 Euro na uživatele a měsíc.

Základní technologie pro ochranu dat dat proti úniku a krádeži jak na koncových zařízeních, tak v cloudových službách Microsoft, mají uživatelé zahrnuty již v balíčcích Microsoft Business Premium a Microsoft 365 E3. Jedná se o technologie MFA, Conditional Access a AIP pro manuální labelování dokumentů DLP a IRM na úrovni cloudu.  Vyšší úroveň ochrany včetně automatického labelovální a komplexní ochranu DLP na úrovni koncového zařízení je možné získat pomocí doplňku Information protection & Governance za 5,5 EUR na uživatele a měsíc.

Organizace, které používají plán Microsoft 365 E5 mají všechny uvedené standardní i pokročilé bezpečnostní technologie již v ceně.

Kontaktujte AC specialisty

Pokud vás informace k této oblasti naší nabídky zaujaly, máte specifické dotazy či zájem o upřesnění k vaší konkrétní situaci, kontaktujte bezpečnostního AC specialistu na emailu jan.strnad@autocont.cz 

Na základě vaší aktuální Microsoft licenční situace, jsme schopni navrhnout ekonomicky optimální řešení. V případě zájmu o tyto služby kontaktujte naše licenční specialisty na emailu adam.prostejovsky@autocont.cz či robert.veprek@autocont.cz.

 

Zájem ?