Die wichtigsten Security-News der Ignite 2024: IT-Sicherheit steht an erster Stelle bei Microsoft

Die Botschaft von Microsoft ist klar: Meine Aussage aus dem letztjährigen Ignite-Bericht, "It's all about security", wird dieses Jahr doppelt von Microsoft unterstrichen. Das Unternehmen betont den kompromisslosen Schutz von Identitäten, Endpoints, Daten, Anwendungen und Ressourcen noch stärker. Informationen sind das wertvollste Gut eines Unternehmens, und ihre Sicherheit hat oberste Priorität. Als eines der weltweit fünf meistattackierten Unternehmen investiert Microsoft in erstklassige Sicherheitslösungen, um Daten effektiv zu schützen.

Microsoft sagt nicht nur, dass Security die Top-Priorität sei, sondern liefert auch dementsprechend: Der gesamte Security Tech Stack mit den Tools Defender, Intune, Sentinel, Purview, Priva und die Entra Suite wurden mit dem Security-Copiloten ausgestattet. Microsoft zeigt, wie es seine Security Posture stärkt – deutlich geprägt durch Lehren aus dem CrowdStrike-Vorfall. Mit dem angekündigten Feature „Quick Machine Recovery“ können IT-Administratoren gezielt Fixes aus der Ferne über Windows Update auf verwaltete Systeme aufspielen. Zusätzlich fordert Microsoft von den Partnern welche ein Teil der "Microsoft Virus Initiative" (MVI) Initiative sind, verbessertes Testing, Reaktionsprozesse einschliesslich schrittweiser Rollouts und Überwachung und Wiederherstellungsverfahren.

Microsoft stellt in mehreren Sessions klar, dass Security ein "Team Sport" ist und dies somit die Unterstützung von allen Partnern braucht. Durch die Aussage von Satya Nadella «Sicherheit über allem anderen zu priorisieren, ist von entscheidender Bedeutung für die Zukunft unseres Unternehmens», ist klar zu erkennen das Microsoft, Security an erste Stelle sieht.

Inhaltsverzeichnis

Microsoft fängt bei sich selbst an: Die Secure Future Initiative

In der Hauptpräsentation zum Thema Security wurde zu Beginn im Detail über die Secure Future Initiative gesprochen. Microsoft hat damit das «bisher grösste Cybersecurity-Programm» gestartet und will aktiv vorleben, wie IT-Sicherheit im eigenen Hause konsequent umgesetzt wird. Gemäss eigenen Angaben arbeiten 34'000 Ingenieure daran, Angriffsflächen zu minimieren und die IT-Infrastruktur zu schützen.Einige nennenswerte Massnahmen aus der Initiative:

• Einführung von phishing-resistenten Anmeldedaten für Mitarbeitende, ergänzt durch video-basierte Nutzerverifizierung, um Passwort-Diebstahl zu verhindern.
• Entfernung von 5,75 Millionen inaktiven Tenants und 730'000 ungenutzten Apps, wodurch die Angriffsfläche deutlich reduziert wurde.
• Einsatz des Azure Managed Hardware Security Modules (HSM) zur automatisierten Schlüsselrotation und Sicherung von Zugangstoken.
• Zentralisiertes Logging: Über 99 % der Netzwerkgeräte sind nun in einem zentralen Sicherheitssystem erfasst, mit einer Protokollaufbewahrung von mindestens zwei Jahren.
• Verkürzung der Lebensdauer von Personal Access Tokens auf sieben Tage
  

Mehr Infos sind im Secure Future Initiative Report vom September 2024 zu finden.

Security Copilot KI jetzt in allen 6 Sicherheitstools

Mehrfach ist auf der gigantischen Leinwand in der Conference-Hall diese Grafik zu sehen, die den Security Copilot im Zentrum trägt und von den Security-Tools umschlossen ist.In allen diesen Tools ist jetzt der Security Copilot verfügbar. In einem Chatfenster kann mit der KI in natürlicher Sprache interagiert werden. Auf der Hauptbühne wird der Security Copilot eingebunden in den Microsoft Defender demonstriert. Er kann Vorfälle schnell zusammenfassen, betroffene Assets und Identitäten identifizieren und schlägt mögliche Reaktionen vor.Der Security Copilot unterstützt SOC-Analysten und IT-Admins bei ihrer täglichen Arbeit.Der Security Copilot wird nach Gebrauch verrechnet. Die Masseinheit sind sogenannte Secure Compute Units, welche 4 US-Dollars pro Stunde kosten. Das Pricing ist hier zu finden: https://azure.microsoft.com/de-de/pricing/details/microsoft-copilot-for-security/

Microsoft Security Exposure Management

Microsoft hat die Security Exposure Management Funktion in einer Live-Demonstration im Defender-Portal präsentiert, welche nun den Status General Available erreicht hat..

Mit dem Attack Path Modeling können Unternehmen nachvollziehen, wie Angreifer mehrere Schwachstellen verbinden könnten, um an sensible Daten zu gelangen – etwa durch einen Internet-exponierten Container, der über eine Managed Identity Zugriff auf Azure-Daten hat.

Die Plattform liefert nicht nur detaillierte Angriffspfade, sondern auch konkrete Handlungsempfehlungen, wie z. B. Berechtigungen einzuschränken oder Konfigurationen anzupassen. Dank diesem neuen Werkzeug kann nun die Attack Surface einer Firma kontinuierlich reduziert werden.

Das sind die wichtigsten Produkte im Bereich Microsoft Security, wenn es um den Schutz von Identitäten, Endpoints und Ressourcen geht

Wichtig zu verstehen: In der Microsoft-Welt sind die Grenzen zwischen Tools fliessend, und Funktionen verschieben sich laufend.

1. Microsoft Entra Suite
   Verwaltet Identitäten und Zugriffsrechte, gewährleistet sicheren Zugriff auf Ressourcen und unterstützt Zero-Trust-Strategien mittels Microsoft Secure Service Edge (SSE) Solution, auch bekannt als Global Secure Access.
2. Microsoft Intune
   Bietet umfassendes Gerätemanagement, ermöglicht Richtlinienverwaltung von Sicherheitseinstellung sowie die Erstellung von Compliance Richtlinien.
3. Microsoft Defender XDR
   Umfasst eine Reihe von Sicherheitslösungen, die Endpunkte, E-Mails, Anwendungen und Netzwerke vor Bedrohungen schützen. Microsoft Defender XDR vereint die Signale aller Defender-Komponenten, um eine domänenübergreifende erweiterte Erkennung und Reaktion (XDR) zu bieten. Dazu gehören eine einheitliche Incident-Warteschlange, automatisierte Angriffserkennung und -beendigung, Selbstreparatur (für kompromittierte Endpoints, Benutzeridentitäten und Mailboxen) sowie bedrohungsübergreifende Suche und Analysen.
   
   Die folgende Abbildung zeigt ein Beispiel: Phishing-E-Mails gelangen in den Posteingang eines Mitarbeiters, der unwissentlich eine schadhafte Anlage öffnet, was eine Kettenreaktion bis hin zum Diebstahl vertraulicher Daten auslösen könnte. Dank des Microsoft XDR Stacks wird der Angriff jedoch erkannt und gestoppt.
   
   In der Abbildung verhält sich der Microsoft XDR Stack wie folgt.

1. Exchange Online Protection, Teil von Microsoft Defender for Office 365, kann die Phishing-E-Mail erkennen und Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden, um sicherzustellen, dass sie niemals im Posteingang eintreffen.
2. Defender for Office 365 verwendet sichere Anlagen, um die Anlage zu testen und festzustellen, ob sie schädlich ist, sodass die eintreffende E-Mail entweder vom Benutzer nicht umsetzbar ist, oder Richtlinien verhindern, dass die E-Mail überhaupt eintrifft.
3. Defender for Endpoint verwaltet Geräte, die eine Verbindung mit dem Unternehmensnetzwerk herstellen, und erkennt Geräte- und Netzwerksicherheitsrisiken, die andernfalls ausgenutzt werden könnten.
4. Defender for Identity nimmt plötzliche Kontoänderungen wie Rechteausweitung oder laterale Verschiebung mit hohem Risiko zur Kenntnis. Außerdem wird über leicht ausgenutzte Identitätsprobleme wie die uneingeschränkte Kerberos-Delegierung zur Korrektur durch das Sicherheitsteam berichtet.
5. Microsoft Defender for Cloud Apps erkennt anomales Verhalten wie unmögliches Reisen, Zugriff auf Anmeldeinformationen und ungewöhnliche Download-, Dateifreigabe- oder E-Mail-Weiterleitungsaktivitäten und meldet diese an das Sicherheitsteam.
   
   
   4. Microsoft Purview
   Ermöglicht Datenverwaltung und -schutz, unterstützt bei der Einhaltung von Compliance-Vorgaben und bietet Einblicke in Datenaktivitäten.
   
   5. Microsoft Sentinel
   Eine cloudbasierte SIEM und SOAR Lösung, die Bedrohungen erkennt, analysiert und darauf reagiert, um Sicherheitsvorfälle effektiv zu managen.
   
   6. Microsoft Priva
   Hilft personenbezogene Daten zu schützen und mit den sich ständig ändernden und komplexen Datenschutzanforderungen Schritt zu halten.

Und dies sind die wichtigsten Neuerungen, die an der Ignite kommuniziert wurden:

Microsoft Entra Suite: Verbesserte Sicherheit und Zugriffskontrolle

Microsoft Entra Private Access vereinfacht die Migration zu Zero Trust Network Access von traditionellen VPNs. Dies mit der allgemeinen Verfügbarkeit von Quick Access Policy, welche das Onboarding privater Apps zu Microsoft Entra vereinfachen. Auch eine Vorschau von App Discovery, die es Unternehmen ermöglicht, alle ihre privaten Apps einfach zu erkennen, ist enthalten. Mit Private DNS in der Vorschau, werden Benutzer in der Lage sein auf eine Ressource zuzugreifen, indem sie einzelne Markennamen oder Hostnamen verwenden. Die Bereitstellung von Konnektoren für private Netzwerke wird einfacher: Konnektoren sind in der Vorschau für Azure und AWS Marketplaces verfügbar, Google Cloud Platform wird später in der Vorschau erscheinen. 

Microsoft Entra Internet Access verbessert seine Fähigkeit, adaptive Zugriffskontrollen universell zu erweitern, mit der Vorschau der Universal Continuous Access Evaluation (CAE). Diese Fähigkeit widerruft den Zugriff bei veränderten Bedingungen nahezu in Echtzeit auf alle Internet-Ziele, unabhängig davon, ob die Anwendung oder der Client nativ CAE-fähig ist. Darüber hinaus bietet die Preview der Transport Layer Security (TLS)-Prüfung die Möglichkeit, verschlüsselten Datenverkehr zu prüfen und so den Schutz vor Bedrohungen beim Internetzugang zu verbessern. Die Transport Layer Security (TLS)-Prüfung in der privaten Vorschau bietet einen umfassenden Einblick in den verschlüsselten Datenverkehr und ermöglicht eine erweiterte URL-Webkategorie-Filterung auf der Grundlage vollständiger URLs. 

Der Microsoft Security Copilot wird direkt in das Microsoft Entra Admin Center eingebettet. Er bringt die verfügbaren Identitätsfähigkeiten aus dem eigenständigen Security Copilot zusammen mit neuen Identitätsfunktionen direkt in die Arbeitsabläufe von Identitätsadministratoren ein, so dass diese mit der Geschwindigkeit und dem Umfang von KI arbeiten können.

Microsoft Intune: Mehr Kontrolle über Geräte

Microsoft Intune erweitert seine Kernfunktion zur Inventarisierung von Gerätehardware für Windows auf iOS-, Android-, macOS- und Linux-Geräte. Admins können Geräte mit Kusto Query Language (KQL) analysieren und schneller Probleme lösen. Neue Funktionen wie das automatisierte Neustarten von Geräten oder das Ausführen von Skripten sparen Zeit. Geräteprobleme lassen sich jetzt vorab erkennen, bevor Nutzer Beschwerden melden.

Microsoft Defender: Sicherer für APIs und Container

Defender kann jetzt API-Daten besser analysieren und Schwachstellen sichtbar machen. Container werden über die gesamte Entwicklung hinweg geprüft, um Sicherheitsprobleme früh zu erkennen. Eine neue Integration zeigt Verbindungen zwischen offenen Softwarekomponenten und möglichen Schwachstellen in der Cloud.

Microsoft Purview: Datenschutz für AI und Compliance

Purview schützt Daten in AI-Anwendungen wie Microsoft Copilot. Sensible Dateien werden automatisch markiert, um Freigaben zu kontrollieren. Mit Data Security Posture Management (DSPM) können Admins Schwachstellen in AI-Systemen entdecken. Neue Vorlagen helfen, Compliance mit Regulierungen wie der EU AI Act einzuhalten.

Microsoft Sentinel: Schneller Bedrohungen finden

Security Copilot liefert in einfacher Sprache Berichte über Risiken. Zudem wurde zusätzliche Konnektoren angekündigt.

Microsoft Priva: Einfacher Datenschutz

Priva identifiziert Risiken in AI-Umgebungen. Sensible Daten werden automatisch erkannt und markiert. Neue Berichte zeigen, wo Daten zu häufig geteilt werden. Mit Access Reviews können Admins Berechtigungen besser verwalten und den Zugriff auf sensible Inhalte einschränken.

Brandneu: KI-Security, Governance und Compliance

Mit der steigenden Anwendung von KI im Unternehmen und immer mehr KI-Funktionen in den Anwendungen, wird eine ganz neue Klasse an Steuerungsmitteln nötig. IT-Leiter und Admins müssen die KI-Adoption steuern und den sicheren Einsatz gewährleisten können.

Genau dafür hat Microsoft einige ganz neue Funktionen vorgestellt. Im Fokus stehen der Schutz vor Datenlecks, die Kontrolle von KI-Modellen und die Einhaltung regulatorischer Vorgaben wie dem EU AI Act.

Fazit

Der Fokus der first frame networkers ag auf IT-Security war und ist der richtige Weg. Bereits vor fast zehn Jahren sagte Philipp Koch (ehemaliger CEO, heute VR), dass sich der Schwerpunkt in der IT-Sicherheit von der Infrastruktur auf Endgeräte und Endbenutzer verlagert. Diese Entwicklung ist heute präsenter denn je: IT-Security ist unverzichtbar – nicht nur für Technikexperten, sondern für Unternehmen jeder Grösse und alle Mitarbeitenden.

Wie selbstverständlich ein Schloss am Aufgabegepäck ist, wird auch der Schutz von Endgeräten zur Pflicht. Die Bedrohung durch Cyberkriminelle, die ebenfalls KI nutzen, verstärkt diese Dringlichkeit. Microsoft, eines der am häufigsten angegriffenen Unternehmen, bietet bewährte Lösungen und ist 2024 Leader im Gartner® Magic Quadrant™ für Security Information und Event.

Mit dem Microsoft XDR Stack und Sentinel erhalten Unternehmen einen weitgehenden Schutz. Entra Private Access ersetzt VPNs durch eine Zero Trust Network Access (ZTNA) Lösung. Conditional Access Policies ermöglichen granulare Zugriffssteuerung, etwa mit Phishing-resistenter Authentifizierung, und Microsoft Internet Access schützt mit einer Secure Web Gateway-Lösung SaaS-Apps und Internetzugriffe.

Sind Geräte, Identitäten und Ressourcen abgesichert, sorgt Purview für Datensicherheit, damit Microsoft Copilot vertrauenswürdig mit euren Daten arbeiten kann.

Must-Haves für Microsoft 365:

• MFA aktivieren
• Conditional Access Policies einrichten
• Managed Tenant-Service nutzen