CCI2018 - La "moderna" Sicurezza informatica & Microsoft

Editor's Notes

• #2: Hyperfish intro We are really excited to bring you something great
• #3: Founded 2015 Co-Founders Brian Cook & Chris Johnson Brian was the founder and CEO of Workflow company Nintex, Chris Johnson was a Group Product Management in Office 365 & SharePoint Joining them were
• #5: Founded 2015 Co-Founders Brian Cook & Chris Johnson Brian was the founder and CEO of Workflow company Nintex, Chris Johnson was a Group Product Management in Office 365 & SharePoint Joining them were
• #6: Founded 2015 Co-Founders Brian Cook & Chris Johnson Brian was the founder and CEO of Workflow company Nintex, Chris Johnson was a Group Product Management in Office 365 & SharePoint Joining them were
• #7: Del mega grafico ne parliamo tra poco…
• #9: IT compromesso --> rischio di perdere l'azienda o di comprometterne la reputazione Petya, wannacry --> ransomware (cifratura dati e riscatto), furto di credenziali pass the hash, pass the ticket (escalation di furto/compromissione delle credenziali)
• #10: Dopo di noi…
• #12: Microsoft: - investimenti continui (1 bilion/annuo sulla security escluse le nuove acquisizioni) [è la più grande azienda di cybersecurity ma forse attualmente la meno considerata] Intelligence Intelligent security graph è costituito da vari teams L'operation Center gestisce il cloud nell'ottica della sicurezza e coordina il flusso di informazioni La Digital Crime Unit è un'entità legale che combatte le botnet (fa azioni legali per acquisire i server delle botnet)
• #13: Intelligent security graph è costituito da vari teams L'operation Center gestisce il cloud nell'ottica della sicurezza e coordina il flusso di informazioni
• #14: Intelligent security graph è costituito da vari teams La Digital Crime Unit è un'entità legale che combatte le botnet (fa azioni legali per acquisire i server delle botnet)
• #15: E’ costituito dai migliori esperti di sicurezza del mondo che si dedicano ad indentificare, monitorare, reagire e risolvere gli incidenti di sicurezza Il loro blog: https://blogs.technet.microsoft.com/msrc/
• #16: Dal basso verso l’altro….(un ciclo continuo infinito…) data collection (raccolta dati), analytics (analisi dei dati), api (per rendere fruibili le informazioni dai servizi)
• #17: Leggi un po’ di numeri…. 450 bilioni di autenticazioni al mese 400 bilioni di email analizzate 1,2 bilioni di device scansionati ogni mese
• #18: Protezione delle Identità e degli Accessi Protezione dalle Minacce Protezione delle Informazioni Gestione della Sicurezza
• #19: Protezione delle Identità e degli Accessi
• #20: Windows Hello for business (ricordare anche il discorso Password-Less) MFA & Conditional Access AD & Azure AD Windows Credential Guard Azure AD Identity Protection
• #22: E’ quel prodotto che ci permette di monitorare gli accessi degli utenti evidenziando quelli più a rischio o sospetti
• #23: Dashboard 1/2
• #24: Dashboard 2/2
• #25: Utenti «a rischio»
• #26: Rischi evidenziati… (ad esempio il login da ip «anonimi»)
• #27: …vi fa vedere utenti ed ip per il rischio selezionato (Accesso da ip anonimi)
• #28: Protezione delle Identità e degli Accessi
• #29: Protezione dalle Minacce Molti probabilmente conosceranno Office 365 ATP, o sapranno cos’è Windows Defender ma…
• #30: Qui siamo a livello servizi Office 365
• #31: Protezione di allegati e link in Exchange online e Sharepoint online
• #32: Con Exchange online utilizza anche delle sandbox per esplodere allegati e controllare link
• #33: ATP Scan in Progress
• #35: Advanced Threat Protection è in preview su Azure Storage Blob service.
• #36: Gestisce l’utilizzo dei documenti in Exchange online e Sharepoint online, aiutando a fronteggiare le minacce conosciute
• #37: Office 365 Threat Intelligence aiuta ad identificare attacchi attraverso soprattuto Exchange online (e Sharepoint online) Ad esempio evidenziando chi e da che regione invia maggiormente spam alla nostra organizzazione Oppure evidenziando i traffici di mail sospette
• #38: Visualizziamo l’elenco delle minacce rilevate e capiamo quali sono gli «schemi» degli attaccanti e da dove arrivano…
• #39: Simulatore di attacchi: Spear Pishing Brute Force Password Password Spray Attack
• #40: Qui siamo a livello CLIENT
• #41: Windows defender comprende un insieme di soluzioni integrate in Windows 10
• #42: Antimalware / Antivirus Windows Defender è diventato un 'Top product' capace di riconoscere la totalità dei campioni malware utilizzati. Windows Defender può adesso funzionare all'interno di una sandbox.
• #43: Exploit guard sostituisce EMET Aiuta a contrastare alcuni specifici exploit di sicurezza utilizzando Intelligent Security Graph (ISG) In Windows Defender è stato introdotto anche un anti ransomware ovvero un meccanismo che protegge il contenuto delle cartelle indicate dall'utente evitando che programmi sconosciuti o non autorizzati possano apportarvi modifiche. E’ possibile poi il blocco degli accessi di rete a domini sospetti
• #44: Utilizza la Virtualization-base Security Application Guard, prima attivabile solo sulle edizioni Enterprise di Windows 10, successivamente portata anche in Windows 10 Pro, adesso, con il rilascio di Windows 10 Aggiornamento di ottobre 2018, è configurabile in maniera approfondita.
• #45: Device Guard permette l’esecuzione unicamente delle applicazioni autorizzate gestite con una «whitelist»
• #46: System Guard si fa carico della fase di caricamento del sistema operativo «raccogliendo il testimone» dalle mani di Secure Boot che controlla la fase gestita da UEFI e dal bootloader del sistema operativo. https://cloudblogs.microsoft.com/microsoftsecure/2017/10/23/hardening-the-system-and-maintaining-integrity-with-windows-defender-system-guard/
• #47: Potente applicativo che analizza tutto ciò che viene fatto nei client…
• #48: Windows Defender ATP è anche in Windows 7, 8 e 8.1 Windows Defender ATP is now built into Windows Server 2019
• #49: La Dashboard di Windows Defender ATP Security & Funzionalità
• #50: Alerts attivi!
• #51: Macchine a rischio!
• #52: Una macchina a rischio!
• #53: Un utente a rischio! (comunicazione con NeroBlaze C2)
• #54: Communication with NeroBlaze C2 detected (un gruppo attivo nello sfruttare le vulnerabilità zero-day ed il pishing….
• #55: Secure Score dashboard
• #56: Possibilità di miglioramento….
• #57: L’attacco parte da sinistra con un qualcosa di malevolo ricevuto per posta magari in un allegato…
• #58: Rilevamento avanzato delle minacce analizzando le «comunicazioni» tra i sistemi (analisi dei pacchetti che transitano nel network)
• #59: Analisi Comportamentale + Rilevamento di attacchi avanzati e rischi di sicurezza = rilevamento avanzato delle minacce
• #60: ATA continuamente “utilizza” quattro “fasi”… Step 1: ANALIZZARE Utilizzando un pre-configurato, non-intrusivo port mirroring, tutto il traffico Active Directory viene copiato in ATA while rimanendo invisibile. ATA utilizza una tecnologia di “deep packet inspection” per analizzare tutto questo traffico. ATA può anche collettare eventi rilevanti da altri sistemi SIEM (security information and event management)
• #61: Step 2: IMPARARE ATA automaticamente inizia a fare dei “profili approfonditi” di utenti, device e risorse e li usa per costruire un “Organizational Security Graph” Il “Organizational Security Graph” è una “mappa” delle interazioni e dei contesti delle relazioni e delle attività di utenti, device e risorse dell’intera organizzazione.
• #62: Step 3: IDENTIFICARE ATA può a questo punto identificare qualsiasi evento anomalo od attività sospetta! ATA utilizza ovviamente tutta la conoscenza che gli arriva dai centri di ricercar e sicurezza Microsoft che abbiamo visto prima… ATA will also automatically guide you, asking you simple questions to adjust the detection process according to your input. [WannaCry Ransomware Detection]
• #63: Step 4: AVVISARE ATA ha oramai identificato chi, che cosa, quando e come e pertanto è pronta per lanciare un alert e suggerire eventuali ulteriori analisi e/o contromisure.
• #64: Viene evidenziato un attacco di tipo Pass the Ticket, ci sono Ticket Kerberos che vengono spostati da una macchina all’altra per fare Privilege Escalation
• #65: Qui invece vengono evidenziate attività inconsuete e sospette da parte dell’utente Almeta Whitfield….
• #66: Qui viene segnalato un «malfunzionamento», la relazione di trust tra il CLIENT2 ed AD (DC4) è interrotta, non funziona….
• #67: Altra segnalazione, esecuzione «remota» sospetta su un DC da parte di un amministratore!!!
• #68: Protezione dalle Minacce
• #69: Protezione delle Informazioni
• #70: Protezione avanzata delle informazioni con un prodotto che classifica, crittografa e gestisce i documenti utilizzati
• #71: Superamento e/o «completamento» della NTFS security basata sugli utenti (che hanno o non hanno i diritti di fare qualcosa con i documenti) ad un nuovo sistema di security basato sui documenti stessi (che sono taggati ed ereditano regole che definiscono cosa si può fare con loro)
• #75: Identificare/monitorare/proteggere.. …definire regole di security in base al contenuto dei documenti…..
• #76: Monitora e controlla l’accesso alle app nel cloud da parte degli utenti
• #77: Controlla l’accesso alle app in cloud (monitora e controlla) Office 365 Cloud App security  App di 365 Microsoft 365 Cloud App security  anche App di terze parti! E’ stato aggiunto anche il proxy che va proprio a «definire ed autorizzare» l’accesso alle app…
• #79: Può rilevare gli accessi anche attraverso device hardware come i firewall….
• #80: MDM "
• #87: Protezione delle Informazioni
• #88: Gestione della Sicurezza
• #93: Gestione della Sicurezza
• #95: (Application Guard è ora anche in Windows 10 Pro)
• #97: Advanced eDiscovery (aggiunge analisi) Customer Lockbox (controllo accessi operatori supporto Microsoft) FastTrack (min 50 postazioni)
• #98: M365 Enterprise ha anche le CAL client M365 E5 ha anche PowerBI Pro