Hace unos días leía un artículo que aseguraba que estamos en la peor época de la historia en cuanto a ataques informáticos de toda índole: encriptación de archivos, robo de información, suplantaciones de identidad, y un largo etcétera de actividades normalmente lucrativas para loa atacantes.
No solo estoy de acuerdo con ese artículo, sino que creo que no va a bajar esa intensidad a corto plazo, más bien todo lo contrario. Especialmente crítica es la situación en estos momentos para organismos públicos o corporaciones que, por su tipo de negocio, se consideran servicios esenciales: hospitales, suministros eléctricos, agua, Internet, etc. Prueba de ello es que Microsoft ha publicado el informe de defensa digital que se podéis leer aquí: Microsoft Digital Defense Report OCTOBER 2021
Una de las principales vías de entrada que tienen los atacantes (aunque no la única), es a través del engaño al usuario, y por lo tanto, usan las herramientas que el usuario utiliza. El señuelo puede venir también por varias vías, pero al final todos terminan prácticamente de la misma forma: instalando un software no deseado para dar acceso al atacante al equipo y desde ahí empezar a investigar, moverse, abrir puertas etc.
No basta con un antivirus
Está demostrado que un Antivirus no es eficaz para realizar esas tareas, porque el antivirus solo revisa ciertos comportamientos. Básicamente analiza cualquier archivo que llega al equipo, lo compara con su base de datos y en función del resultado bloquea o no al archivo. Hacen falta más herramientas para estar más protegido.
Para ello Microsoft ofrece al mercado Microsoft Defender for Endpoints, el cual ofrece seguridad de punto de conexión (endpoints) windows, Android, iOS, macOS, Linux, y dispositivos de red, y ayuda a detener los ataques y establecer un mejor sistema de defensas.
Microsoft Defender for Endpoints habilita la detección de todos los puntos de conexión y dispositivos de red local como switches y routers. Ofrece distintos tipos de administración de vulnerabilidades:
- Protección de puntos de conexión
- Defensa de amenaza móvil
- Detección y respuesta de puntos de conexión (EDR)
- Búsqueda administrada en una sola plataforma unificada.
Defender for Endpoints es el elemento de Microsoft Defender responsable de la supervisión de los sistemas que mas cerca quedan del usuario:
- Equipos clientes
- Servidores y móviles
- Redes y otros dispositivos
El resto de elementos son: Microsoft Sentinel y Microsoft Defender for Cloud, que conjuntamente protegen el ecosistema de una compañía en todos sus aspectos.
Empezar a trabajar con Endpoints
Pero ¿cómo podemos empezar a trabajar con Defender for Endpoints? En primer lugar, diseñando la estrategia de protección de nuestra corporación.
Para empezar hemos de hablar del licenciamiento. Defender for Endpoints se incluye a nivel Básico (P1) en las licencias Microsoft 365 business premium, y Microsoft 365 E3. La diferencia entre ambas es que las licencias tipo Business admiten un máximo de 300 licencias por entorno, y en las entrerprise (E1, E3 y E5) es ilimitado el número de licencias.
Microsoft Defender for Endpoints es su versión más completa se incluye en la licencias Microsoft 365 E5.
Incorporación de dispositivos a Microsoft Defender for Endpoint
Defender for Endpoint es un servicio diseñado para ayudar a realizar prevenciones, detecciones, investigaciones, asó como responder a amenazas avanzadas. Este artículo nos va a ayudar a tomar la mejor decisión sobre la arquitectura adecuada de Defender for Endpoint en función de las necesidades de su organización y, a continuación, ayudar a su Centro de operaciones de seguridad (SOC) a incorporar dispositivos y proteger los endpoints. Es literalmente imposible plantear todos los escenarios posibles, por ello plantearemos los más comunes.
Microsoft Endpoint Manager es una plataforma unificada de seguridad y administración de endpoints, que incluye las características y funcionalidades que ofrecen Configuration Manager y Microsoft Intune.
Aunque la administración de defender for endpoints se realiza desde el portal de administración de Office 365, no se puede entender sin estas herramientas adicionales:
Microsoft Intune
Microsoft Intune es un servicio pensado para la administración de dispositivos móviles (MDM) y la administración de aplicaciones móviles (MAM) basado en la nube.
Con Intune, se puede:
- Administrar los dispositivos móviles corporativos que se usan para tener acceso a datos de la empresa.
- Administrar las aplicaciones y distribuirlas de forma automatizada.
- Proteger la información de su empresa, implemntando políticas de protección
- Asegurarse de que los dispositivos y las aplicaciones cumplen los requisitos de seguridad marcados por la empresa.
Microsoft Endpoint Configuration Manager
Configuration Manager (ConfigMgr) es una plataforma de administración para servidores, equipos de escritorio y portátiles, aunque no es su ínica funcionalidad. Tambien se puede implementar aplicaciones, actualizaciones de software y sistemas operativos. Normalmente necesitaremos usarla en los siguientes casos:
- Administración de equipos unidos a un directorio local
- Administraciones hibridas con infraestructura en la nube y local
- Equipos o servidores no compatibles con Intune
Microsoft Endpoint Manager. Integración de Microsoft Defender for Endpoint en su Security Operations Center (SOC)
Decidir cómo incorporar, corregir y administrar los endpoints al servicio Defender for Endpoint se reduce a dos decisiones importantes: ¿qué arquitectura se adapta mejor a la estrategia de su organización y qué métodos de implementación se pueden usar en función de las herramientas actuales de administración e implementación de la configuración de las empresas?
Existen varias arquitecturas de base y en cada una de ellas tenemos una serie de características y particularidades.
- ¿Qué arquitectura?
- Solo en la nube
- Co-Administracion (hibrido)
- On-premises
- Evaluación
2.¿Qué método de implementación?
- Microsoft Intune
- Configuration Manager
- Políticas de Grupo
- Basado en Script
Arquitectura solo en la Nube
Escenario recomendado para la incorporación, configuración y corrección de endpoints desde la nube con Microsoft Intune para las empresas que no tienen una solución de gestión de la configuración local o que están tratando de reducir su actual huella de infraestructura local
Arquitectura Híbrida
Recomendamos esta arquitectura para las organizaciones que alojan cargas de trabajo tanto en las instalaciones como en la nube. ConfigMgr e Intune proporcionan herramientas de gestión integradas en la nube y opciones únicas de cogestión para aprovisionar, desplegar, gestionar y proteger puntos finales y aplicaciones en toda la organización.
Arquitectura On-Premise
Esta arquitectura es la recomendada para las empresas que desean maximizar sus inversiones en Configuration Manager o en los servicios de dominio de Active Directory y, al mismo tiempo, aprovechar la potencia basada en la nube de Microsoft Defender for Endpoint.
Arquitectura en Modo evaluación
Esta arquitectura se debe valorar de forma temporal. Es muy útil para Epocs, pruebas de concepto y proyectos Piloto. Recomendamos esta arquitectura para los SOC que deseen evaluar Microsoft Defender for Endpoint, pero que no hayan invertido en herramientas de gestión o despliegue. Esta arquitectura también puede utilizarse para incorporar dispositivos que se encuentran en entornos pequeños sin infraestructura de gestión (por ejemplo, una DMZ).
Os recyerdo que este artículo es la primera parte de 3 que publicaremos próximamente 🙂