Microsoft One Platform 簡單化 Security Project 提升企業競爭力
提到 Cybersecurity,有很多客戶都感到苦惱,因為 IT 要求環境轉變,平台亦越趨複雜,有不同 Cloud, Hybrid Cloud Platform都是 IT 很想處理但又很難處理得好的話題。我們很高興邀請到專家 Microsoft Security Specialist Jennifer來分享 Microsoft 怎樣幫助企業提升 Cybersecurity 的水平。
Amidas:我知道 Microsoft 都有不同 Cybersecurity 產品,香港經歷了長時間的疫情,工作環境都有很大變化。近期都接觸了不少客戶苦惱疫情的變化,令工作環境改變。在 Microsoft 的角度,因應現在環境,網絡保安的重點應是在哪些地方?
Microsoft:你說得很正確,我們的確接觸到很多客戶因為疫情面對不少問題。多了在家工作,Hybrid Workplace 的情況很難避免,甚至有些企業提倡實行四天工作天,或允許在家工作一至兩天。在具大的轉變下,不同企業面對的挑戰都不少。現在亦面對人才短缺問題,我們都有不同的方案去幫助客戶解決,加上在疫情下,客戶的運作環境可能結合 Cloud 及 On-premises,用戶亦可能在用自己的電話工作,亦有公司提供的設備。在這麼複雜的環境是很難管理,更何況是考慮網絡安全,對於客戶來說,最希望達到的目的就是 Streamline Operations,可以提供安全保護外,還可以簡化流程令安全性不會成為很大的負荷。所以今天的題目是 Do More With Less,怎樣去透過 Microsoft Security 去幫助客戶做更多,但同時又用簡便的方法去處理。
Amidas:明白,在 IT 行業悠久的行內人士都較少聽到 Microsoft Security Solution,我都不太注意到 Microsoft 同樣是一間 Cybersecurity 供應商。我們都有從相熟的客戶聽到原來 Microsoft 都可以提供 Cybersecurity Solution,越來越多客人討論這話題,我亦有興趣想知道 Cybersecurity, why Microsoft?
Microsoft:的確在早幾年談論 Cybersecurity 不會馬上聯想 Microsoft 是 Cybersecurity 供應商
或不會立刻說出 Microsoft 這個名字,但在過去五年內 Microsoft 投資了近 $5 Billion 美金
去發展 Microsoft Security Solution, 而 Microsoft Security Solution 的 footprint亦越來越廣闊,由 Endpoint, IAM, 到 Data Protection,Microsoft 都有不同方案幫助客戶,你會見到 Microsoft 在這幾年的進步很大。這個是 Gartner 最新報告,Microsoft Security 是6個不同範疇的 Leader,包括 Access Management, CASB Solution, Information Archiving, Endpoint Protection Platforms, Unified Endpoint Management, SIEM Solution, 尤其是 SIEM Solution 是在十月尾才出,你會見到 Microsoft 在不同領域都是在領先位置,所以在這段時間用了龐大資金在 Microsoft Security得到很大的改進。在未來五年,Microsoft 都計劃了投放更多資源開發 Security Landscape前一頁都有提到將會投放大約 $20 Billion 美金去開發 Security Solution 。
Amidas:很厲害,上年仍是5個 Gartner Leaders, 今年已是6個,未來還會投放這麼多資源
Microsoft 能超越其他供應商的能力真厲害。我們常聽到網絡攻擊新聞,每天世界各地報章都有各種新聞,如 Data Breach 或資料洩漏的新聞,有很多都牽涉到大型電訊商、出租車平台
或很多大企業,其實他們都投放了不少資源在 IT Security。香港一般的企業客戶甚至是中小企怎樣去應對這些厲害的網絡攻擊及對手,Microsoft 在這方面怎樣幫助大家?
Microsoft:這個問題問得很好,我們都見到有不同攻擊出現,攻擊者都看到 IT Environment 有很大轉變,讓他們有機可乘作出不同攻擊,正是這些攻擊讓我們帶出 Microsoft Security 的用處,Microsoft Security 有不同範疇,有 IAM, Threat Protection, Cloud Security
Information Protection & Governance, 及 Risk Management都一一配對了我們相關的方案
有些方案是不單止限於某一個領域,有些方案同時可以幫助 Cloud Security 及 Threat Protection。透過剛才提及的攻擊,就可以對應 Microsoft Security 在不同範疇怎樣提供保護,這個是 Attack kill chain 來說明 Microsoft Security 在不同部分的幫忙。很多時候攻擊者都會用不同手法去盜取公司資料,最常見的手法就是透過 Phishing Emails 展開攻擊,透過 Phishing Emails 真的很常見。想問 你覺得攻擊者去攻擊老闆的秘書,還是攻擊 IT Admin 會較容易?
Amidas:IT Admin 應該有 IT 基礎知識,老闆的秘書並不是沒有,只是可能不常留意到,我想應該是老闆的秘書。
Microsoft:是的,攻擊者可能會找一些 IT Background 較弱的為對象,可能是文職員工,Security Awareness 不較強,所以收到 Phishing Emails 會較易墮入陷阱。第一個部分 Microsoft 能幫忙的就是保護電郵層面的 Security,除了基本 Anti-Spam, Anti-Phishing 之外,我們還可以做到 Safe Links, Safe Attachments,就是當用戶 Click Links 或 Attachments 前
我們會先掃描一次。第二就是可以提供模擬攻擊培訓,將一封假的 Phishing Email 發給用戶
當他們真的不幸按下連結,就會馬上告訴他們那是一個公司的活動,但因為他們墮入了模疑陷阱,所以他們必需進行相關的培訓,以提升他們的 Security Awareness。下一步就是當用戶真的不幸按下真的 Phishing Link,有機會Trigger Execution 或 Download 在 Endpoint 層面
後台就有機會出現 Execution File 或 Macro 在背後運行,這些情況下就要透過 EDR Solution
幫忙 Blocking, Detection & Response。有時候,有些攻擊不是由 Endpoint 或 Phishing Email 進來攻擊者有可能已盜取了用戶帳戶的資料,從 Dark Web 買了用戶資料,並透過此帳戶資料嘗試進入公司系統,甚至透過 Brute-force attack 不斷嘗試密碼從而進入公司的網絡,所以按 Identify 層面都需要保護,以及偵測是否有用戶帳戶已被盗用,按這個部分就需要處理 Identify Protection,當攻擊者真的盜用了用戶帳戶資料時,就代表很容易去到不同的 Cloud Application 盜取敏感數據,這都跟你剛分享近來常出現的攻擊事件類似,嘗試透過盜取不同用戶帳戶資料 偽裝成公司員工做出奇怪行為,這些情況可以透過 SIEM 方案或 Identity 方案去偵測這些行為去到最後的 Workload 層面,不同公司架構都會有不同的 Infrastructure,有些放在 Azure, 有些放在不同平台,可能是 On-premises platform,按 Infrastructure 層面,我們都有不同方案,你會見到剛才提到的電郵, Endpoint, Identity 及 Cloud Apps,我們都有不同的 Defenders 去保護這四方面。第二,這4個 Defenders 都可以放在同一平台名為 Microsoft 365 Defender 提供 Single Platform ,讓用戶檢視整個 Storyline監測攻擊者是從哪方面開始攻擊及在背後運行了什麼在 Infrastructure 層面,Microsoft Defender for Cloud專門保護 Workload 層面的 Security,這兩個 Defender 並用時就是提供了 XDR 平台。
Amidas:這裏所顯示的表示了整個平台整合得很好,一個 Single Defender Platform ,一個 Single Management Console可以處理電郵, Endpoint, Cloud Apps Security以至 Identity Security 這幾個不同範疇以往有很多客戶要用不同的方案,不同的產品再加上不同的整合
才可以達至以上效果,Microsoft 現在是一個產品線一個整合加上不需要特別的 Integration Platform就可以做到整個效果可想言知這幾年很多客戶支持 Microsoft Security。
Micosoft:對的,這就是我們的主題 Do More With Less,用簡單的手法簡化企業對 Security 的管理。除了能輕易管理外,還有額多資訊檢視攻擊詳情,透過 Microsoft Security 就能簡化 Management又可以提供更多安全性資訊,頭先提及數據庫是非常重要的地方。很多時候,攻擊不同的企業時目標都是想盜取某些數據,而數據對客戶來說是很高價值的東西。在 Data Protection 部分,是另一話題究竟怎樣能做好 Data Protection,因為不單止是防止 External Threats,同時都在防止 Internal Threats,因為內部同事就是能接觸內部數據最多的人。有時候,他們會不小心或為了方便導致數據洩漏發生。接著,會談談客戶處理 Data Protection時
有哪三個重大的關注點提升安全性保護。第一個就是怎樣處理敏感數據,究竟有那位可以接觸到敏感數據,敏感數據在分享給誰。第三就是當我發現有數據洩漏時,怎樣可以加快反應及處理速度,當我們在考慮處理 Data Protection 時,有幾個步驟要考慮的,而且都要思考是從那些方面去處理 Data Protection。第一個步驟就是要知道敏感數據放在哪,在 Exchange, One Drive, 還是 Sharepoint,究竟在哪些文件有這些敏感資料。第一個步驟就是 Data Classification。第二就是當我們知道敏感數據放在那時,就需要 Apply Protection,透過 Apply Labelling, Encryption, Watermark,保護數據以至不能作外部分享。第三就是要做 Prevention。Prevention 就是要避免客戶招致Compliance 問題時可能會有 GDPR 問題,可能會面對罰款,甚至有新聞報導指出資料外洩時,就可能有名聲問題需要解決。這幾個就是客戶需要去考慮及要進行的步驟以致開展全面的 Data Protection Project。Microsoft Data Protection Solution究竟能處理什麼呢?怎樣解決剛才提及的幾個問題呢?我們有一個 Data Protection Solution名為 Microsoft Purview,就是剛才提到的第一個步驟 Data Classification,Purview 的其中一項功能就是 Data Classification幫助客戶檢視在那個層面存在敏感數據,左下角有些敏感資料種類,例如 Credit Card No., HKID No.,我們可以預先設定一些模板讓客戶自行發現在哪些文件內是有相關的敏感數據,從而在第二個部分就可以 Apply Label,右邊有 Sensitivity Labels, 透過知道文件有什麼資料,再 Apply Public Label, General Label或是 Confidential Label。Apply Label 過後,就可以定立不同的政策以防止用戶對外方享資料或上載到 Public Drive。再到下一個步驟,文件 Label 後可處理的會更多,例如是 Data Loss Prevention Solution除了處理 Endpoint DLP,如不允許用戶複製敏感資料到 USB Drive 之外,Microsoft 好處就是能 Protect Teams。你認為 Teams 的 DLP 又能做點什麼?
Amidas:Teams 的 DLP, Teams 主要應用是在Video Conference, 很多客戶用作 Teams Channel又或者是 Chat Message 及分享等,當中牽涉到一些 Files Data 或 Chat,但是我相信最難防止是手動輸入的敏感資料,再傳送給對方,很多企業都會問我們 Teams 可以怎樣做 Data Protection,我相信是 Teams Chat Protection。
Microsoft:正確,你答對了。其實 Teams Chat 除了作內部溝通外,Teams 都可以作外部溝通,我們可以透過 Teams 分享文件或檔案,當我們已 Label 該文件是敏感資料時,用戶若嘗試用 Teams 上載該文件並分享時,我們都可以在 Teams 實行 DLP Policy
防止外部分享,甚至在不同部門間,都有可能有不同,未必能內部分享所有文件
在這些情況下,Teams Compliance 方面都能做到相關保護。
Amidas:現有很多不同的溝通平台,有些客戶都會問怎樣做 Data Protection,我知道那些平台需要第三方供應商方案,作出整合才能做到剛才提到的,防止一些檔案上存或在 Chat Message 分享,聽你所說,Teams DLP Solution 客戶是否需要處理煩瑣的工序才能設定
Microsoft:這亦是 Do More With Less 的概念,透過同一個方案 Microsoft Purview,我們就是一個 Compliance Portal,可以做到所有 Data Classification,Sensitivity Labeling, DLP
都是在同一平台去做設定及配置,所以整個 Deployment 是非常簡單,透過同一 Portal 就可以管理 Data Protection Configuration 及政策。最後的是 Insider Risk Management,剛才都已提及接觸數據最多一定是內部用戶,有些用戶想離職時,會否有些不尋常行為發生
例如在下載大量敏感資料,或是每隔兩天出現下載,這些都是不正常的行為,透過 Insider Risk Management Component可以檢查及整合 HR System,檢視準備離職的同事有否不尋常行為發生,調查完若真的發現該同事想儲存敏感資料時,就可以選擇通知 Management
或直接在 Portal 上報至法律部門,這部分都可以透過 Insider Risk Management 處理。最後這裏是一條 Attack Kill Chain,類近之前談到的 Attack Kill Chain ,上面的 Defender for O365 是在電郵層面,Endpoint 層面有 Defender for Endpoint,即 EDR Solution,Identity 層面有 Defender for Identity 專門保護 Active Directory,Azure AD 層面有 Azure AD Identity Protection,Cloud Apps 層面可以發掘 Shadow IT 或做到 CASB Security Approach,就有 Defender for Cloud Apps,這幾項內容就串連整個 Storyline以防止外部攻擊,但對於內部攻擊層面資料保護變得相對重要,下面就顯示了 Information Protection 及 Insider Risk Management 跟現有方案結合Microsoft Sentinel 在中間位置,Sentinel 是 SIEM 方案亦是 SOAR 方案幫忙整合以上提到的所有方案在同一平台,看到更多相關性及分析。Microsoft 365 Defender 加上 Microsoft Defender for Cloud就是 XDR 方案可以輕易地結合 SIEM 方案,Microsoft Sentinel 及現有的 Microsoft Ecosystem,即是剛才談到的 Microsoft Purview,當然還有其他,如 Office 365, LOG。Exchange 上的 LOG, 都可以放到 Sentinel,加上現有的環境,如 Firewall, 3rd Party Solution,Sentinel 有超過140個 Connector省卻煩複的整合流程,所以 Microsoft Sentinel 就是 Cloud Native,SIEM Solution Platform 加 SOAR Component
做到不同的自動功能更能保護客戶整個環境。
今天重點就是說明 Microsoft 是 One Platform,透過 Microsoft 整個 Security Platform
我們可以提供不同的 Components整合至同一平台處理更多偵測。大家有否看到 Gartner 最新的報告2022年 Top Cybersecurity Trend ,Vendor Consolidation 都是其中一個很重要的趨勢
當一間供應商可以提供多項方案亦能很好地結合,對客戶來說是很有價值,用少一點方案,管理更容易,同時洞察整個 Security Landscape 的狀況,Microsoft 有強大的基礎 O365
很多客戶都有用一些 O365 方案額外加入 Security 方案相對容易行第一步。今天的總結就是 Microsoft 能簡化 Security Process可能你會認為處理 Security 很複雜 。Microsoft 就能簡單化整個 Security Project,同時又提供更大的效益給客戶。
在後疫情新常態下,IT 往往都疲於奔命,既要符合公司要求,如新項目要上 Cloud
同時又要滿足 Security 需求,工作量相當大。Microsoft 亦分享了 Do More With Less 這個口號,亦不只口號這樣簡單,很多客戶選擇了 Microsoft Security 方案後,工作的確比以往簡單了,可以將更多時間放在企業的IT Development 層面,大大幫助客戶提升競爭力。
Amidas 作為 Microsoft Gold Partner及Advanced Specialization,專注在 Microsoft Cybersecurity Solution,若對以上方案感興趣,歡迎隨時聯絡我們。
如有任何疑問,歡迎透過以下方式聯絡我們:
電話:2168 0388
Whatsapp: 98283401
電郵:sales@amidas.com.hk
