Säkerhetshål: Verktyg som kan hjälpa dig
Begreppet Exposure Management är något som inte är nytt under solen som fenomen, men när Microsoft nu lanserat sin smak av just Exposure Management så är det med väldigt många positiva “aha”-upplevelser och dragna smilband jag testat plattformen.
Syns inte, finns inte... Det klassiska citatet från Astrid Lindgrens sagoskatt har kommit att bli ett mantra jag bär med mig i nästan allt arbete jag gör, relaterat till att stötta organisationer i deras säkerhetsresa. När det gäller IT-tillgångar, säkerhetshot och hanteringsstrategier så gäller det precis lika mycket här, det vill säga att för att få en helhetsbild av vad man faktiskt behöver prioritera mellan, hur allvarliga brister man måste välja bort att agera på, ja då måste man ha någon slags överblick.
Här får du en överflygning av hur din organisation snabbt kan komma igång med Microsoft Exposure Management, hur ni snabbt kan omsätta det i aktiviteter och hur ni sen jobbar långsiktigt.
Allt börjar med synlighet
För att Exposure Management ska ge optimalt värde, så behöver vi säkerställa att den kan se så mycket som möjligt av alla de tillgångar som du har tillgång till i organisationen, rent IT-mässigt. Här handlar det alltså om att antingen knyta in enheter till Defender for Endpoint, koppla ihop AD:t med en Defender for Identity och/eller aktivera Defender for Office 365 för alla de domäner som ni kan tänkas äga - oavsett om ni har e-postaktiverat domänerna eller inte. Alla dessa integrerar direkt in i Microsoft Defender XDR-portalen (Defender-portalen) och status för såväl klientenheternas status (inläst från Intune), era e-postdomäners skyddsnivå, hela er cloudidentitetsmiljö - ja allt läses in och viktas in i översikten i Exposure Management.
Du som läser det här har kanske redan påbörjat din resa mot en mer sammanhållen och holistisk säkerhetsöversikt i Microsoft Defender-sviten. Kanske har du redan gjort en grundläggande onboarding av Defender for Endpoint, kanske har ni påbörjat resan med att skydda ert mailflöde med Defender for Office 365. Oavsett var ni befinner er så kommer just approachen att ha en helhetsöversyn över hur er infrastruktur är exponerad för sårbarheter att vara det som gör skillnaden i hur ni bör prioritera.
Överblicksvyn
I överblicksvyn så får du som säkerhetsansvarig en överblick över hur läget ser ut just nu, med färgkodade statusindikatorer, kopplat till vilka enheter, identiteter och molntjänster som ni har att hantera. Sammantaget får du alltså en snabb översiktsbild över var det är mest akut att agera.
När man börjar kika djupare ner i de underliggande lagren av Exposure Management, så hittar man termen “Initiativ” - utpekade förflyttningsområden inom allt från att gå mot Zero Trust till att öka sin motståndskraft mot ransomware. För de enheter som finns inregistrerade mot antingen Microsoft Intune eller Defender for Endpoint så nagelfar lösningen varje inställning, varje applikation och varje nätverksport för att snabbt skapa en prioritering över var man behöver agera här och nu. Allt från hur de mobila enheter som finns inknutna till organisationens MDM-plattform är hanterade till hur servrarna som är inregistrerade genom Defender for Cloud har inbyggda säkerhetsskydd påslagna, så skapar Exposure Management en ögonblicksbild att arbeta med – proaktivt.
Mer än bara Microsofts tjänster
Under en längre tid så har vi sett en förflyttning i att gå mot en plattform för säkerhet, snarare än att det bara är en enda leverantörs tjänster som fungerar för att säkra en organisation. Såväl Microsoft som andra plattformsleverantörer har konstaterat att det finns mer att vinna på att få en så god täckningsgrad som möjligt - att se så mycket som det går - jämfört med att forcera in kunderna till att nyttja bara deras egna system.
Utöver detta, så finns det idag också en ödmjukhet på ett annat sätt inom säkerhetsbranschen att även de som tidigare nischat sig som spetsspelare inom ett visst område nu också erbjuds koppla in sina unika lösningar till de större plattformsleverantörerna. Exposure Management är ett jättebra exempel på just en sådan plattform. Här har nämligen Microsoft börjat sin resa i sina egna produkter, men redan vid förhandsversionens lansering så har man möjlighet att gå med i testprogram för konnektorer för såväl ServiceNow, Rapid7, Qualys som för Tenable – direkt i portalen. Med den sårbarhetsinformation som kommer ut av de här plattformarna, sammanvävt med den djupgående inblicken från Intune i hur enheterna faktiskt är konfigurerade, så finns underlaget för att göra en strategisk roadmap. Lika mycket finns också förutsättningarna för att vara agil. Nyckeln stavas API och den programmatiska möjligheten att läsa ut status från respektive plattform med täta intervaller och därmed hela tiden ge rätt förutsättningar för en CISO att veta var man ska lägga sitt fokus.
Konkreta förflyttningsinitiativ
Under Exposure Management-noden och rubriken Exposure Insights hittar du rubriken Initiativ. Det är här de rent strategiska aktivitetspaketen står att finna. Tydliga, konkreta rekommendationer i hur ni kan förflytta just er organisation.
Den stora vinningen är att Exposure Management spänner över hela plattformen och blir ett rättesnöre att gå efter för att riskminimera samtidigt som ni skapar bra förutsättningar för era medarbetare att kunna vara produktiva.
Vissa av aktiviteterna som listas kan ha större påverkan på användarna och därför behöva vänta. Att alls ha överblicken över vad som behöver göras för att stärka sin position gör hela skillnaden i hur ni som it-avdelning kan prioritera och var ni, förmodligen, hittar lågt hängande frukter i säkerhetsförbättring som inte alls kommer att påverka era medarbetars upplevelse.
Det långsiktiga och strukturerade arbetet
Säkerhet och systemhygien är inte något som man gör en gång och sedan är man färdig. Snarare så är det en ständig katt-och-råtta-lek där den som ska skydda en miljö behöver ha all stöttning av digitala assistenter som det går. I en värld där AI idag har kommit till att bli något som de flesta kommit i kontakt med i någon form, så gäller detta tyvärr även de som vill oss illa. Om man tidigare hade en sårbarhet långt in i ett system i ett strikt nedlåst nätverk, så är just frånskildheten och isoleringen tyvärr inte något som idag hjälper särskilt mycket; finns det en sårbarhet så kommer angriparnas AI-botar att hitta den.
Att ha ett strukturerat och kontinuerligt arbete för att säkra sig mot sårbarheter är alltså än viktigare idag än tidigare. I de fall där det inte går att uppdatera en programvara eller ändra en konfiguration, så är det många gånger bättre att låsa dess möjlighet att kommunicera ut till och från internet.
Microsoft Exposure Management ger alltså både den breda överblicken och de konkreta riktningarna och aktiviteterna – sammantaget så hoppas jag att du får en bra kompanjon i jakten på en säkrare miljö.
