Microsoft 365 Defender – Historien från Forefront Stirling

Publicerat den 6 juli, 2021 av Anders

Swedish – English

imageJag har nu jobbat i över 15 år med Microsofts säkerhetslösningar och jag har precis blivit utnämnd till Microsoft Most Valuable Proffesional, MVP för 11:e året i rad.

Det är nu jag börjar känna mig gammal, lite nostalgisk men framför allt stolt över att ha varit med längs denna resa.

Jag började jobba med ISA (Internet Security & Acceleration) Server som sedan blev Microsoft Forefront TMG (Threat Management Gateway).

2010 fick jag ett jobb för Microsoft där jag var med i Redmond/Seattle och tog fram testfrågorna till en kommande certifiering inom Forefront. Året efter blev jag blev utnämnd MVP inom Microsoft Forefront. Den här certifieringen släpptes dock aldrig offentligt och några år därefter la Microsoft ner Forefront-satsningen. Jag fortsatte att arbeta med Microsofts nya säkerhetslösningar och blev i stället utnämnd till MVP inom Enterprise Security i något år till Microsoft började utveckla sina molntjänster. Här var jag med från start och blev MVP inom Enterprise Mobility (+ Security). Under den här resan har jag sett det som idag går under Microsoft 365 Defender växa fram.

Forefront var för 12 år sedan likt Defender en produktportfölj med olika säkerhetslösningar för olika tjänster, allt ifrån Forefront TMG som var brandväggen och proxylösningen, Forefront for Exchange/SharePoint som skyddade våra e-post och samarbetstjänster, till Forefront Client Security som skyddade våra klienter. På den här tiden var allt lokalt installerade tjänster och vi hade inga molntjänster som vi behövde skydda.

Framför allt minns jag Forefront Stirling som var kodnamnet av ett beta-projekt som jag imagevar väldigt engagerad i. Det gick ut på att dela signaler mellan alla Forefront Produkter. Syftet var att kunna förhindra en attack med hjälp av att alla system samarbetar. Exempelvis om det kom in skadlig kod som påträffades av Forefront på en klient gick ett larm till Forefront for Exchange som blockerade utgående e-post från denna användare för att motverka spridning via e-post. TMG brandväggen kunde förhindra trafik från klienten för att blockera att en hacker fick upp en session mot den infekterade klienten.

Microsoft insåg att det inte räcker att ha en säkerhetslösning för varje tjänst utan också att dessa lösningar måste kommunicera med varandra för att tillsammans detektera och förhindra en attack.

Microsoft var tidiga med den här idén och långt före sina konkurrenter. Dock var marknaden inte riktigt redo än. En utmaning med den tilltänkta lösningen var hur IT avdelningar ofta arbetade på den här tiden. Framför allt i stora organisationer fanns det olika team som jobbade och ansvarade för olika saker, allt ifrån nätverksteamet till de som hanterade serverlösningar och klienterna. IT-säkerhet var inte en naturlig del av dessa team, utan var oftast ett separat team (om det ens existerade). De fanns ett motstånd att någon utifrån teamet skulle få tillgång eller påverka något som ansvarades av respektive team.

Beta projektet Forefront Stirling blev inte verklighet… förrän nu!

Vår IT-miljö har förändrats

Vår IT-miljö har genomgått en stor förändring under de senaste åren. De flesta organisationer har idag mer kritiska tjänster i molnet än i lokal infrastruktur, våra användare är anslutna från olika typer av enheter och jobbar mer på distans än från ett kontor. Identiteten kallas för den nya perimetern. Vidare lever vi i en informationsålder där organisationers information skapas i högre takt än någonsin och lagras på olika platser. Intressant fakta är att 90% av all världens information har skapats under de senaste två åren.

Hoten och attackerna har förändrats

Även tillvägagångssätten för intrång/attacker har ändrats i samma takt, där vi ser mer sofistikerade attacker. Attacker som inte längre bygger på skadlig kod i samma utsträckning utan i stället om manipulation och nyttjande av organisationens egna tjänster. Allt för att kringgå klassiska antivirus-system och andra säkerhetslösningar.

Vi behöver med andra ord ett skydd som bemöter det nya arbetssättet, den hybrida IT-miljön och den rådande hotbilden.

Microsoft 365 Defender

På samma sätt som Forefront en gång var är nu Defender en produktfamilj med anpassade skydd för olika delar av vår miljö. Likt Forefront Stirling knyter Microsoft 365 Defender ihop dessa lösningar för att dela larm och gemensamt kunna förhindra en attack. Defender och det som idag går under MCAS övervakar även andra molntjänster än bara Microsoft, exempelvis Google, DropBox och Amazon. Defender for EndPoint byggs ut till flera plattformar för att övervaka även plattor och telefoner, allt ifrån iOS, Android och Linux. För att både detektera och förhindra ett intrång behöver vi övervaka alla våra tjänster och enheter.

Med tanke på hur vi idag är uppkopplade och rådande hotbild har även åtgärderna Actions based on detection from Defender
anpassats. För tio år sedan var det relevant att blockera något i en extern brandvägg eftersom våra enheter oftast satt uppkopplade från ett internt kontor. Idag är den vanligaste åtgärden att blockera en identitet eller isolera enhet oavsett var den är uppkopplad. Zero-trust är ett koncept som varje organisation bör arbeta efter då vi inte längre kan förlita oss på ett visst nätverk eller enhet.

Microsoft har gått från att vara tidiga pionjärer med nytänkande till att nu vara världsledande inom säkerhetslösningar. Det är en tillfredställande och fantastisk känsla att få införa de här lösningarna, se hur vi kan detektera intrång i god tid och hur vårt MDR (Microsoft Detect & Response) -team kan stoppa många av dessa attacker innan de gör någon skada.

2021 Gartner Magic Quadrant for Endpoint Protection Platforms. Quadrants include Leaders, Challengers, Niche Players, and Visionaries.

Detta inlägg publicerades i Microsoft Defender. Bokmärk permalänken.

En kommentar till Microsoft 365 Defender – Historien från Forefront Stirling

  1. Pingback: Microsoft 365 Defender – The success story from Forefront Stirling | IT-Säkerhetsguiden

Lämna en kommentar