Robert Kneschke - Fotolia
Gerencie a postura de segurança com o Microsoft Defender para Endpoint
As organizações precisam implementar o gerenciamento da postura de segurança para garantir que sua estratégia de segurança cibernética possa lidar com ações maliciosas interna e externamente.
Os atores maliciosos estão sempre à procura de pontos fracos ou vulnerabilidades para explorar. Para evitar que os invasores tenham sucesso, as equipes de segurança devem gerenciar a postura de segurança da sua organização. Isso envolve manter os endpoints atualizados, realizar manutenção constante e usar ferramentas de gerenciamento de vulnerabilidades.
Uma variedade de plataformas pode ajudar as organizações a lidar com o gerenciamento da postura de segurança. Uma opção é o Microsoft Defender para Endpoint (MDE). No Microsoft Defender for Endpoint in Depth, os autores e profissionais de segurança da Microsoft Paul Huijbregts, Joe Anich e Justen Graves abordaram como o MDE funciona dentro da estratégia de gerenciamento de postura de segurança de uma organização.
Os autores se reuniram com o TechTarget Editorial para discutir como o MDE fornece gerenciamento de postura de segurança, como ele supera os desafios de postura de segurança, como usar a plataforma para gerenciamento contínuo de postura de segurança e muito mais.
Como o MDE ajuda a melhorar a postura de segurança de uma organização?
Paul Huijbregts: Quero começar minha resposta dizendo que nenhuma ferramenta irá cobrir toda a superfície de uma organização. Dito isso, uma ferramenta de segurança de endpoint, como o Defender for Endpoint, pode ajudar a resolver a grande superfície de ataque criada pelos endpoints. De uma perspectiva de alto nível, qualquer coisa que possa ajudar uma organização com a higiene da segurança rende dividendos. Quando você está no controle de sua superfície de ataque, você tem uma chance muito maior de ser capaz de se concentrar no que pode ter perdido anteriormente ou no que passou despercebido. A partir daí, são as camadas de controles que ajudam a traçar um quadro holístico do desempenho dos endpoints.
Com o Microsoft Defender para Endpoint, eles não estão apenas dizendo: 'Ei, existem todos esses controles que você pode usar para minimizar sua superfície de ataque e entender se você está vulnerável.' Em vez disso, coloca tudo isso em contexto e diz: 'Adivinha? Você não apenas está vulnerável, mas também vemos alguma atividade em seu ambiente que aponta para uma tentativa de exploração dessa vulnerabilidade —e então vincula isso a uma visão acionável. Esse é um dos principais pontos fortes do MDE.
Justen Graves: O Microsoft Defender for Endpoint ajuda porque é incrível. O Defender é muito sólido em seu espaço e ajuda a eliminar o ruído. Todos na segurança pensam que querem todos os logs até que realmente tenham todos os logs. O MDE melhora a postura de segurança por meio de coisas como o aprendizado de máquina, que pensa muito por você e ajuda a eliminar o joio e a encontrar os dados que são realmente valiosos. A partir daí, oferece opções de resposta com o apertar de um botão. Por exemplo, talvez você queira fazer a elevação de privilégios just-in-time –um único toque de botão e ele entra em ação. MDE fornece detecção e resposta. Também gosto que o MDE seja constantemente melhorado e atualizado. Ele tem um enorme apoio e desenvolvimento que o impulsiona.
Joe Anich: Concordo com o que Paul e Justen disseram. Eu também acrescentaria que é a visibilidade que o Microsoft Defender for Endpoint traz do lado da descoberta de dispositivos. Ele mostra quais dispositivos você gerencia ou não, ao mesmo tempo que fornece um ponto de vista de postura de segurança, como perspectivas de vulnerabilidade e exposição.
A Microsoft é uma das organizações mais visadas do mundo. Estamos compartilhando muito do que aprendemos ao nos protegermos com os mesmos produtos que vendemos. Temos muita telemetria que é compartilhada com todos. Podemos digerir ameaças e compartilhar esses perfis com todos os outros. Quando você analisa coisas como análise de ameaças no portal, você vê muito do que nossos analistas de segurança estão fazendo internamente, como relatórios de analistas, TTPs [táticas, técnicas e procedimentos] e perfis de atores de ameaças.
Qual é o maior desafio de postura de segurança que as organizações enfrentam? Como o MDE ajuda nisso?
Huijbregts: O maior desafio é que o gerenciamento da postura de segurança dá muito trabalho. O Defender ajuda as equipes de segurança a determinar onde precisam se concentrar e priorizar. Você pode examinar mais facilmente a lista de coisas com as quais precisa lidar a qualquer momento. Há muitas coisas que as organizações precisam fazer para manter uma postura de segurança forte. Trata-se de criar uma abordagem holística à segurança, desde a identidade até ter controle sobre onde seus dados são armazenados até os aplicativos executados dentro e fora da sua organização. O MDE ajuda as organizações com isso. Ele fica como uma teia de aranha sobre seu sistema e faz interface com vários produtos Microsoft Defender, como produtos de segurança em nuvem e Defender for Office. É fácil unir esses produtos da perspectiva do cliente. O resultado é não ter que se preocupar em integrar sistemas desarticulados e se você está obtendo todos os logs e dados corretos para encontrar esse problema.
Anich: Como tudo é original com o MDE, você não precisa se esforçar para fazer com que vários produtos diferentes funcionem juntos para uma postura de segurança. Você obtém um painel central com o Defender –embora eu deteste usar esse termo, ele descreve a experiência. Ajuda a centralizar os dados– tudo pode ser acessado no mesmo portal. Muitos dos sistemas e sensores tangíveis estão integrados aos produtos da Microsoft e tudo está disponível para você no que diz respeito à segurança. Muitas vezes, isso representa um enorme desafio para os clientes, especialmente porque eles lidam com vários produtos de segurança. Todos são ótimos produtos –mas não funcionam juntos. Os clientes gastam mais tempo fazendo a triagem de suas ferramentas do que examinando as informações provenientes delas.
Uma vez implementado o gerenciamento da postura de segurança, como as equipes de segurança lidam com o gerenciamento contínuo da postura de segurança com o MDE?
Huijbregts: É aqui que entra a priorização. Entramos em profundidade na implementação do gerenciamento contínuo da postura de segurança no Microsoft Defender para Endpoint. Queríamos que todos que lessem nosso livro estivessem preparados para o sucesso. Depois que tudo estiver implantado e em execução, o objetivo é avaliar contínua e continuamente o estado do seu ambiente.
Um método para gerenciamento contínuo da postura de segurança é usar o recurso Secure Score. Ele fornece uma visão geral do sistema. A partir daí, você pode desenvolver a priorização necessária para melhorar sua postura de segurança. Torna-se menos uma questão de controles e mais de higiene de segurança. Trata-se de corrigir software vulnerável e descobrir novos dispositivos conectados à rede. Seu ambiente nunca é estático. O MDE oferece uma maneira de criar uma lista de priorização e trabalhar nela diariamente.
Algumas empresas optaram por executar o antivírus da Microsoft no modo passivo porque estão usando um AV de terceiros ou detecção e resposta de endpoint (EDR). Quais são os desafios disto e como isso afeta a eficácia do MDE?
Huijbregts: Quando você está nessa situação, é porque optou por usar apenas parte do pacote Microsoft Defender. Torna-se mais uma configuração tradicional, como fazer com que seu antimalware tradicional cuide da prevenção geral. Além disso, você tem um sistema de detecção, como o Defender, que fornece EDR e maior visibilidade sobre o que está acontecendo no endpoint. Você perde o valor exclusivo de ter os componentes de prevenção e detecção da Microsoft trabalhando juntos. Eles fornecem mais visibilidade e funcionam perfeitamente juntos. Isso não é algo que você consegue com produtos desarticulados. Isso também significa que você tem outro produto para aprender a usar. Por exemplo, digamos que eu peça ao meu antivírus para limpar um problema que detectei. Se não for o mesmo fornecedor, não há interface entre detecção e prevenção. Você precisa descobrir como usar o antivírus separadamente, como mudar para um portal diferente ou orquestrá-lo em outro lugar. Esse é o problema do modo passivo e de não usar MDE para tudo. Ao mesmo tempo, é uma ótima maneira de aumentar a confiança nos recursos de EDR da Microsoft para que você possa alternar confortavelmente e sair de uma configuração desarticulada.
Anich: Meu trabalho na Microsoft gira em torno do mecanismo antivírus. É por isso que o Capítulo 2 é minha parte favorita do nosso livro. Sem o componente antivírus instalado, muitas outras coisas não se enquadram. Não usar o antivírus da Microsoft torna as coisas mais desafiadoras. No modo passivo, você não obtém muitos dos recursos de bloqueio ativo, como bloqueio em tempo real e recursos de aplicação. Com múltiplas ferramentas, os clientes gastam mais tempo tentando descobrir as ferramentas, por exemplo, por que uma ferramenta bloqueou algo quando outra ferramenta deveria ter feito isso. Os clientes gastam mais tempo fazendo a triagem de suas ferramentas do que analisando o que deveriam ser: o alerta em si. É isso que queremos que os clientes entendam sobre o uso do MDE para tudo, em vez do uso de produtos adicionais de terceiros. Obviamente, preferiríamos a simplificação da pilha primária, como disse Paul, mas, ao mesmo tempo, trata-se de conhecer o cliente onde ele está e ajudá-lo a tomar uma decisão de negócios informada. Às vezes, você não consegue retirar outros produtos. Se você já possui um antivírus diferente, descobrimos como ajudá-lo a usar o MDE de uma maneira que se adapte a ele.