Select your country

Not finding what you are looking for, select your country from our regional selector:

Search

Hitta värdet i Microsoft E5-plattformens strategi för cybersäkerhet

Författare: Tom Bond

Inledning

Värdet och den totala ägandekostnaden (TCO) för Microsoft E5 kan, om det används på rätt sätt, möjliggöra både kostnadsbesparingar och operativ effektivitet.

För ett företag som vill tillhandahålla branschledande samarbete och rätt säkerhetsläge för att stödja den moderna arbetsplatsen, kombinerar Microsoft E5-abonnemanget med verktyg för att stärka användarupplevelsen och förbättra cybersäkerheten.

"Vi har inte råd med E5, det är alldeles för dyrt!"

Det är ord jag har hört otaliga gånger, och det är ingen hemlighet att den direkta kostnaden för Microsoft 365 E5-licenser kan bli hög, men TCO visar en helt annan bild. Låt oss gräva lite djupare och undersöka Microsoft 365 E5-paketet, de produkter som ingår och den verkliga kostnaden. 

Alla företag är olika, men det finns många gemensamma nämnare. Vi behöver samarbeta, ofta i olika tidszoner, tusentals mil från varandra. Vi vet att de gamla sätten att arbeta, där alla bara satt på kontoret, är borta - det såg Covid till.

Det är ingen hemlighet att Microsoft 365-inställningen, med de traditionella Office-applikationerna plus samarbetsverktyg som Teams, SharePoint, OneDrive och andra, är ett övertygande argument för många företag, vilket möjliggör det distansarbetsparadigm vi nu ser. Moderna säkerhetsutmaningar är en mycket tuffare utmaning, särskilt i kombination med den explosionsartade ökningen avendpoint-enheter. Modernt arbete har expanderat långt bortom Windows PC, till Mac, surfplattor och telefoner, både med Android och iOS. Nu måste vi säkra och hantera väldigt olika enheter, både på plats och på distans.

Vi har förlorat vår gamla nätverksperimeter - den pålitliga vallgraven som skyddade vårt slott finns inte längre. Vi har data på fler ställen än någonsin tidigare - lokalt, fildelning, molnlagring, Sharepoint, Teams. Detta rika ekosystem av sammankopplade verktyg underlättar samarbetet, men att säkra dessa data blir en mardröm.

Informationssäkerhetsvärlden - som länge varit en bastion för brandväggar och nätverksenheter - är nu full av modeord och akronymer som SIEM, SOC, SOAR, XDR, CSPM och många fler. Oundvikligen ställs frågan: "Vilka verktyg behöver jag för att säkra min verksamhet?"

Svaret är enkelt - "Alla".

Att säkra den nya världen

Vi befinner oss i en värld där den urgamla förbannelsen med systemspridning har intensifierats, utan något realistiskt sätt att stoppa den. Vi måste nu ta reda på hur vi ska säkra en mängd olika applikationer, spridda över många tjänsteleverantörer, och utan den back-end-åtkomst som vi en gång använde för att förenkla uppgiften.

När nätverksperimetern försvinner under rusningen mot molnet ser vi som användare det positiva - vi kan ansluta till våra tjänster var som helst, med många olika endpoints, och när som helst. Allt vi behöver är ett användarnamn och ett lösenord...

Som IT-avdelning ser vi skräck. Våra användare kan ansluta till vilken tjänst som helst, var som helst och när som helst, oavsett om IT-avdelningen är tillgänglig för att övervaka och hjälpa till. Angripare kan försöka göra intrång var som helst i världen, och allt de behöver är ett användarnamn och ett lösenord...

Ett nytt sätt behövs, och det nya sättet är Zero trust.

Zero trust-åtkomst - borttagandet av underförstått förtroende baserat på faktorer som nätverksplats eller IP - bygger på tre saker - uttrycklig verifiering av identitet, åtkomst med lägsta privilegium i hela företaget och antagandet om ett intrång med varje säkerhetslager[1]

Identiteten är den viktigaste byggstenen och den viktigaste skillnaden mellan leverantörerna, för när vi säkrar de andra delarna av företaget är vi beroende av dess säkerhet och integration för att kunna hantera den och tillhandahålla en säker autentiseringsmekanism. Data som kan förbättra autentisering och auktorisering finns överallt men är ofta oanvända. Vi måste använda så mycket som möjligt - plats, enhet, autentiseringstyp, beteendeövervakning, önskad dataåtkomst och annat ger en bra bild av vad användaren (eller angriparen) försöker få åtkomst till.

Som med alla säkerhetsområden är det ofta en avvägning mellan bekvämlighet för slutanvändaren och den säkerhetsnivå som ska uppnås. Med hjälp av Zero trust-principerna måste vi sträva efter regelbundna och robusta utmaningar när användare får åtkomst till system och data, men eftersom vi också behöver multifaktorautentisering (MFA) kan detta snabbt försämra användarupplevelsen.

Eftersom vi också måste utgå från ett intrång irriterar många organisationer helt enkelt sina användare med frekventa, påträngande autentiseringsfrågor, men det finns ett bättre sätt. Genom att använda data från andra källor kan vi verifiera på ett mer transparent sätt. Med hjälp av Conditional Access-regler, XDR-data, CASB-data, plats- och riskmönsteranalys kan vi med Microsoft bygga policyer som är mer detaljerade och minska antalet uppmaningar till användarna. Vi kan också hantera och tillämpa dessa policyer på alla endpoint-enheter som finns i ett typiskt företag; den gamla Windows-only-standpunkten är i mångt och mycket historia.

Microsoft tillhandahåller också byggstenarna för att påbörja vår utveckling bort från lösenord. Vi kan använda lösenordsfria autentiseringstyper som FIDO2-nycklar, Windows Hello for Business och certifikat. Att gå ifrån lösenordet är betydligt säkrare och ger en bättre användarupplevelse.[2] Dessa autentiseringsmetoder är mer motståndskraftiga mot phishing-attacker och eftersom de normalt är kopplade till biometri på endpoint ger de en bättre användarupplevelse. Microsoft använder dem även för att erbjuda självbetjäning för återställning av lösenord, vilket innebär att den potentiella nackdelen med att användare glömmer lösenord minimeras.

Även om användarna måste anpassa sig får de snabbt tillgång till den förbättrade upplevelsen och kan sedan dra nytta av den förbättrade säkerheten utan att någonsin veta om det. Denna kombination av förbättrad säkerhet och UX är endast möjlig genom integrering och bearbetning av många olika strömmar av säkerhetsdata.

Om vi går vidare från identitet, ger Microsofts E5-licensiering en fullt utrustad Zero Trust-grund. Hantering av enheter via Endpoint Manager möjliggör konfiguration och driftsättning av XDR via Windows Defender, med övervakning av utdata och loggdata integrerade i risk- och efterlevnadsmotorerna, och med enkel integration i Microsoft Sentinel SIEM bara några klick bort. Reglerna för enhetsefterlevnad i Endpoint Manager matas också sömlöst in i reglerna för villkorad åtkomst, vilket ger ett enkelt sätt att konfigurera och kontrollera enheter, både BYOD och företagsenheter.

Defender för Cloud Apps introducerar en Cloud Access Security Broker (CASB) som övervakar och säkrar applikationer men integrerar med Azure AD, Defender for Identity och Azure AD Identity Protection, så att administratörer kan se aktiviteter och risker per användare och ställa in detaljerade åtkomstpolicyer.

Inom Azure-området stöds rollbaserad åtkomstkontroll (RBAC) med hjälp av Azure AD-grupper, som kan vara dynamiska och ha tilldelade roller. Azure Privileged Identity Manager (PIM) gör det möjligt att noggrant kontrollera, logga och ifrågasätta dessa rolleskaleringar, vilket gör att organisationer kan ta bort heltidsadministratörskonton med höga privilegier och övergå till en on-demand-modell med lägre privilegier. Naturligtvis matas dessa data tillbaka till identitets- och riskkonfigurationen via Azure AD.

Data har inte heller glömts bort, med Microsoft Purview-produktuppsättningen som täcker hantering av datalivscykeln och integreras i de andra produkterna. Genom att utnyttja Windows endpoint, både med inbyggd kapacitet och implementerade förbättringar, är det möjligt att säkra data genom hela företaget, från Sharepoint, Teams och fildelningar till skrivbordet.

 

En heltäckande och integrerad strategi

Resultatet av Microsoft 365 E5-licensen är ett ekosystem som tillhandahåller de allra flesta byggstenarna för det moderna företaget. Organisationer väljer E5 av en rad olika skäl, och säkerhet står sällan i förgrunden för det valet eftersom en del av migreringsresan till molnet är att ändra tankesätt bort från perimetern, vilket sker under och efter antagandet, när tekniken blir bekant.

När dessa organisationer granskar sitt säkerhetsläge uppstår oundvikligen luckor. En säkerhetsbedömning från en leverantör som Orange Cyberdefense hjälper till att förstå och prioritera dessa luckor och utvärdera potentiella lösningar. Traditionellt har vi använt "Best of Breed"-produkter inom varje område, men M365 E5 är tillräckligt omfattande för att utgöra ett balanserat, heltäckande alternativ. I en Zero trust-modell möjliggör den integrerade strategin i E5 bättre beslut om tillgång till resurser än en uppdelad strategi.

Föreställ er exempelvis att vi vill använda en säker fjärråtkomstprodukt på en brandvägg. I det enklaste fallet installerar vi klienten och konfigurerar sedan brandväggen för att kontrollera användarnamn och lösenord, kanske med ett IP-intervall och en säkerhetsgrupp för användarens avdelning. Om användaren tillhör rätt grupp, befinner sig på rätt plats och har rätt lösenord beviljar vi åtkomst.

Hur mycket säkrare skulle inte detta vara om vi även kopplade in den riskinformation som finns tillgänglig för oss? Genom att integrera med Azure AD-suite för identitet kan vi nu verifiera att användaren använder en kompatibel enhet (företagsägd om vi föredrar det), inte har någon användarrisk och har en uppdaterad maskin med rätt antivirus och patchnivåer, samt genomdriva MFA.

Med integreringen av datakällor har vi fått ett åtkomstbeslut med betydligt mer bevis och därmed en starkare säkerhetsställning. För att nå denna lösning med Best of Breed måste vi distribuera XDR, patch management, identitets- och nätverksprodukter och sedan se till att de är korrekt integrerade.

Om vi använder Microsoft E5 är distributionen av endpoint-säkerhetsprodukter till stor del automatiserad, och integrationen sköts med bara några få klick.

Naturligtvis finns det många nyanser i detta, men det viktigaste är att om vi kan integrera mer data i vårt beslutsfattande om åtkomstnivå, ökar vi vår säkerhetsnivå. Integrationen ger en helhetsbild, vilket i sin tur hjälper oss att bedöma situationen om ett intrång eller större hot skulle inträffa.

När vi jämför detta med ett isolerat tillvägagångssätt måste vi erkänna att djupförsvaret är större med flera leverantörer, även om risken måste granskas på ett holistiskt sätt. För att hålla jämna steg med attackerna på den moderna attackytan krävs automatisering och integration, vilket är enklare att uppnå med en plattformsstrategi som Microsoft. Integration mellan leverantörer är möjlig och blir något enklare i takt med att branschen antar utmaningen, men Microsoft gör detta nästan direkt.

En sådan plattform är naturligtvis inte utan administrativa omkostnader - att många produkter samlas för att ge så detaljerad information är relativt nytt, och organisationer står inför en annan utmaning än tidigare. Varje användning av molnteknik innebär en betydande kompetensförändring jämfört med den gamla lokala världen. Företagen måste hitta nya kompetenser, så det ligger i deras intresse att minska denna börda så mycket som möjligt.

Strömlinjeformad administration och proaktiv säkerhet

Microsofts plattform har ett liknande utseende och en liknande känsla genom hela administrationsupplevelsen, som bygger på Azure- och Office 365-hanteringsupplevelserna. Likheterna underlättar avsevärt när man ska hitta de konfigurationsobjekt som behövs, och även om Microsofts strävan efter nya och förbättrade funktioner kan vara förvirrande, finns det överlag stora fördelar med suitens konsekventa utseende och känsla.

Med detta sagt, behöver M365 E5-miljön kvalificerade människor till hands för att hantera varningar och fastställa falska positiva resultat. Detta hjälper systemet att lära sig och gör det möjligt för företag att vara proaktiva i sin strategi. Microsoft erbjuder inte något själva på den här arenan, utan samarbetar med tjänsteleverantörer som Orange Cyberdefense för att introducera managerade tjänster.

Orange Cyberdefences tjänsteportfölj omfattar proaktiv och reaktiv hantering av Microsoft Defender XDR-produkter, Microsoft Sentinel SIEM och Endpoint Manager-miljön, tillsammans med larmhantering, undersökning, triagering och varning. Detta gör det möjligt för företag att outsourca hanteringen av stora delar av sin Microsoft-miljö, samt att etablera en 24x7 SOC för att hålla koll på varningarna.

Både Microsoft och Orange använder prismodellen per användare, så när de kombineras får vi de verktyg och den säkerhet som det moderna företaget behöver, och inkluderar administration av kvalificerade experter, 24x7x365.

Microsoft 365 E5 erbjuder alltså en kombination av högklassiga produktivitetsapplikationer på många plattformar och med de verktyg som krävs för att säkra dem. När vi jämför med en Best Of Breed-lösning ser vi att plattformsstrategin har ett försprång när det gäller implementeringskostnader, skalbarhet för licenser och integration. Det är det enklaste sättet att uppnå det som molnet lovar - att arbeta var som helst, när som helst, och dessutom säkert, samtidigt som kostnaden är lägre än för andra lösningar.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.