La seguridad continúa siendo una de las mayores preocupaciones y una gran responsabilidad que enfrentan las actuales empresas, sobre todo las PYMES, que suelen ser el principal objetivo de los atacantes.

Microsoft ha tomado cartas en el asunto presentando Microsoft Defender for Business, una solución de seguridad para pequeñas y medianas empresas integrada en Microsoft 365 Business Premium.

Desde Sidertia Solutions consideramos que, contar con esta solución de seguridad es de suma importancia para cualquier entorno, aplicando y trabajando sobre esta solución en los propios, así como recomendándola a nuestros clientes.

Funcionamiento de Microsoft Defender

Microsoft Defender for Business está diseñado para brindar seguridad de endpoint para pequeñas y medianas empresas, ofreciendo diferentes capacidades como la gestión de amenazas y vulnerabilidades, reducción de la superficie de ataque, protección de próxima generación, detección y respuesta de Endpoint, investigación y remediación automatizadas y API e integración.

En los endpoint es donde comienzan los ataques, y por todos es sabido que ofrecen protección contra virus y amenazas en estos mismos, su objetivo es solventar las amenazas antes de que se establezcan y se propaguen lateralmente en su entorno y así evitar que las amenazas se conviertan en administradores de su sistema, pudiendo modificar su infraestructura y servicios u obtener información sensible, Microsoft Defender for Business investigará y responderá automáticamente ante las amenazas.

Microsoft Defender for Business es compatible y aplicable a cualquier entorno independientemente del Sistema Operativo que este disponga, tales como Windows, Android y iOS. Estos sistemas pueden ser incorporados de diferentes maneras como puede ser desde Microsoft 365 Defender, directivas locales o desde Microsoft Intune.

Integración de Microsoft Defender for Business con Microsoft 365 Lighthouse

Lo más importante si hablamos de consultoría, es mantener protegidos y securizados a los clientes, Microsoft ha integrado los servicios de Microsoft Defender for Business y Microsoft 365 Lighthouse para poder brindar un servicio de protección a los clientes que estén en Microsoft 365 Lighthouse ofreciendo a los socios la posibilidad de ver todas las alertas de seguridad que puedan presentarse en los sistemas tanto Windows como Linux.

Configuración de directivas de seguridad

Las directivas de seguridad son un conjunto de reglas que hacen referencia a diferentes características, servicios y permisos con el fin de configurarlos adecuándose a las preferencias de su entorno y de este modo garantizar un extra de seguridad.
Microsoft Defender for Business dispone de la configuración de directivas de seguridad aplicables a través de grupos de dispositivos.

Visualización y respuesta ante amenazas detectadas

Microsoft Defender for Business ofrece un panel de administración de incidentes, en el cual se puede ver información como puntuación de exposición de la amenaza y los dispositivos que están expuestos.
En el caso de presentarse algún incidente, seleccionándolo se accederá a la información de este mediante un panel emergente, en el que se podrá ver información relevante como título y lista de recursos afectados, realizar acciones contra el incidente, así como asignarlo a usuarios o administrarlo.

Una pregunta que puede surgir es ¿de qué sirve asignarlo o administrarlo si no puedo tomar acciones contra la amenaza? Pues resulta que, sí se pueden tomar acciones, Microsoft Defender for Business dispone de un apartado llamado “Action center” el cual incluye distintas posibilidades de acciones contra infecciones en su entorno.

Uno de los mejores métodos para mantenerse protegido, es mantenerse informado, para ello, Microsoft Defender for Business contiene un apartado llamado “Threat Analytics”, en el que trabajan expertos investigadores de seguridad de Microsoft para brindarle información relacionada sobre las amenazas más recientes y las amenazas que actualmente están en curso, de este modo podrá anticiparse a la infección con malware.

En conclusión, Microsoft Defender for Business es una herramienta sencilla e intuitiva con la cual mantener seguro un entorno de no más de 300 usuarios.

Debido a los tiempos convulsos en los que vivimos y propiciados por la pandemia, la aceleración de la digitalización de nuestro día a día aumentando de manera exponencial, a causa de esto y de manera parasitaria, los ciberincidentes se han visto incrementados.

Microsoft XDR Laptop
Microsoft XDR Laptop

Desde Sidertia Solutions llevamos trabajando con soluciones de protección endpoint desde hace años, apoyando y recomendando soluciones a nuestros clientes, así como la implementación de soluciones de seguridad.

Sin duda contar con una solución de seguridad es de vital importancia y por ello Microsoft nos presenta su solución de Extended Detection and Response (XDR), que integra diferentes funcionalidades del ya conocido Endpoint Detection and Response (EDR), cuyo objetivo era la protección de los dispositivos finales.

 

 

El XDR extiende las capacidades también a los datos de red, flujos de trabajo en Cloud, Servidores, Email, entre otros.

Pero realmente ¿Cómo funciona el XDR?

Microsoft ya disponía de herramientas específicas de seguridad para cada uno de sus servicios, los cuales han sufrido un Rebranding para adaptarse a la nueva estrategia de seguridad de la empresa de Redmond.

Estas herramientas se integran con motores de Machine Learning y comparten una base de datos de Threat Intelligence unificada, donde la telemetría y métricas de los sistemas es compartida entre ellos, pudiendo hacer que Microsoft Defender actúe frente a un incidente, incluso Zero-Day.

Por ejemplo: Un consumo muy elevado de ancho de banda en un equipo, podría ser un indicio de que un cliente esté realizando ataques DDoS debido a que ha sido infectado e incluido en una Botnet.

Microsoft XDR esquema
Microsoft XDR esquema

Gracias a la telemetría de red, el sistema hará que el Endpoint revise el equipo buscando posibles IoC para neutralizar una posible amenaza, así como enriquecer ese motor de inteligencia por el cual el resto de los servicios de Defender permanecerán alerta debido a esta anomalía.

Todos estos datos masivos generados por la monitorización de nuestra infraestructura pueden llegar a ser difíciles de manejar y analizar, por ello, es posible integrar Microsoft Sentinel, un SIEM (Gestor de Información y Eventos) que nos proporciona una capa superior donde almacenar e interpretar la información recogida, ayudando a centrar nuestros recursos sobre incidentes reales, amenazas potenciales y documentar todo el proceso de Detección, Actuación y Resolución.

 

La anatomía de un ataque de ciberseguridad.

Microsoft XDR ciberseguridad 

Microsoft XDR ciberseguridad

En conclusión, el XDR es la solución de Microsoft de unificar todos sus servicios de seguridad tanto en el entorno de Microsoft 365 como de Azure, para infraestructura IT y Endpoint, permitiendo a las organizaciones contar con la potencia del machine learning y threat intelligence unificado que optimiza y mejora la seguridad de nuestros sistemas.

 

 

En Sidertia Solutions creemos que las soluciones basadas en Cloud van a ir tomando un lugar dominante en el mercado debido al creciente uso de estas, las cuales gracias a la IA convierten esos servicios en poderosas soluciones de seguridad.

También desde Sidertia no queríamos dejar de remarcar la importancia vital de las medidas preventivas, como un bastionado correcto de nuestra organización y una concienciación del personal en la Cultura de Seguridad y Defensa que, sin duda son la primera línea ante incidentes.