Category Archives: Security

Microsoft 365 per combattere lo Shadow IT

Quando viene chiesto agli amministratori IT di indicare il numero di app cloud usate dai dipendenti, la risposta è in media 30 o 40, nonostante la media effettiva sia di oltre 1.000.
Lo shadow IT è diventato un termine familiare, soprattutto negli uffici delle aziende moderne, ma quello di cui molte organizzazioni non si rendono conto è la quantità di rischi in cui incorrono ignorando il fenomeno.

L’80% dei dipendenti usa app non approvate che nessuno ha esaminato e che potrebbero non rispondere ai criteri di sicurezza e conformità.
Questo fenomeno, si aggrava ulteriormente se pensiamo al fatto che la trasformazione digitale ha accelerato la produttività dei luoghi di lavoro: i dipendenti possono lavorare e collaborare con chiunque da qualunque luogo si trovino o qualunque dispositivo stiano usando. Questi strumenti sono diventati essenziali nei luoghi di lavoro moderni ma hanno anche introdotto nuove sfide.
Un numero sempre maggiore di dispositivi è di tipo personale e non è gestito dall’IT ed il numero di app cloud usate in nelle aziende cresce all’aumentare dell’utilizzo dei dispositivi personali.

Microsoft 365 per combattere lo Shadow IT

Proprio perchè i dipendenti possono accedere alle risorse e alle app dall’esterno della rete aziendale, non è più sufficiente avere criteri e regole per i firewall.

“Se i dipendenti bypassano il reparto IT e si avvalgono di strumenti non monitorati diventano obiettivi privilegiati e indifesi”. afferma Franck Nielacny, CIO di Stormshield.
E ancora: “Quando si utilizzano dispositivi personali, cambia la modalità di accesso e scambio delle informazioni a detrimento dell’uso delle infrastrutture aziendali protette, VPN incluse”.

È un parere condiviso il fatto che la crescita della Shadow IT sia una conseguenza diretta delle politiche di riduzione dei costi aziendali.
La gestione in-house dell’IT è stata a lungo considerata un gravoso centro di costo, motivo per cui sempre più spesso i servizi offerti dai dipartimenti IT vengono messi in competizione con servizi esterni i cui costi risultano inferiori. E questo, senza necessariamente soppesare i rischi in cui si incorre.

La situazione si aggrava a causa di reparti IT poco flessibili: se i dipendenti necessitano di un nuovo strumento ma la scarsa flessibilità dei processi di gestione dell’infrastruttura IT ne rallenta l’implementazione, gli utenti troveranno soluzioni alternative. Il responsabile IT interno sembra reagire con estrema lentezza, percezione ulteriormente aumentata dal fatto che spesso i sistemisti vengano coinvolti nel processo di adozione di nuove piattaforme quando è già troppo tardi.

Come potete ovviare a tutte queste problematiche di sicurezza?

Microsoft 365 è la risposta
I dispositivi mobili e le applicazioni cloud hanno aumentato la flessibilità per gli utenti ma hanno anche creato nuove opportunità per i cattivi della situazione in tutte quelle situazioni in cui gli utenti non utilizzano gli strumenti in maniera appropriata.
In particolare, le applicazioni non gestite sono un ottimo modo per bucare il perimetro aziendale: le loro vulnerabilità non sono note nè gestite dall’IT.
Il risultato? Gli hacker hanno iniziato ad infiltrarsi in azienda attraverso le debolezze scoperte nella shadow IT e nei dispositivi personali.
Ridurre questo rischio non è semplice. Le policy restrittive come bloccare gli accessi al cloud in toto o bloccare i dispositivi personali hanno fallito in passato perchè ostacolano la produttività degli utenti.

La Shadow IT richiede un nuovo approccio:
– esperienza sicura di autenticazione;
migliore visibilità su applicazioni e device in rete;
– regole automatiche e policy-based per l’accesso ad informazioni sensibili.

Rilevare la app cloud non autorizzate
Se non sapete rispondere alla domanda relativa allo stato della vostra azienda rispetto allo shadow IT, tranquilli, non siete gli unici.
Abbiamo parlato di percentuali all’inizio dell’articolo e non sono molto incoraggianti.
Vi indichiamo il seguente ebook: Discover and manage shadow IT che vi illustra come le Microsoft Security app e altri prodotti all’interno di Microsoft 365 possano aiutarvi ad identificare le app utilizzate dai vostri colleghi.

Rilevare le app a rischio e bloccarle
Una volta scoperta un’app cloud, come capiamo se è sicura o no?
All’interno dell’ebook trovate diversi esempi di come Microsoft 365 sfrutti l’intelligenza su tutti i suoi prodotti ed endpoint per aiutarvi a valutare il livello di rischio di ogni app.
Potete andare nel dettaglio per capire chi stia utilizzando la app e quanto sia confidenziale l’accesso.
Se un’app non rispetta i vostri standard di rischio e compliance, potete utilizzare Microsoft Cloud App Security per bloccarla.

Gestire device e app
Dispositivi sconosciuti possono essere rischiosi quanto le cloud app.
Se un utente non ha fatto la manutenzione del sistema operativo o del software del device, potrebbero esserci vulnerabilità nella sicurezza facilmente sfruttabili dagli aggressori.
Microsoft Intune vi aiuta ad applicare le policy di sicurezza sui dispositivi personali. Potrete anche “portare a bordo” app già approvate di modo che per gli utenti sia più semplice e sicuro averne accesso.

Caso pratico
L’utilizzo delle cloud app da parte degli utenti è aumentata negli ultimi anni.
Sicuramente, molti di voi utilizzano ancora Dropbox per condividere file personali ma, magari hanno iniziato a sfruttare Box e Microsoft OneDrive.
Sicuramente, vi capita di accedere a queste app dal vostro iPhone personale. Intune è in grado di tenere separati i dati personali da quelli lavorativi e le Microsoft Cloud App Security applicano le policy di sicurezza aziendale ogniqualvolta l’utente effettua il log in su un servizio cloud.


Le informazioni presenti in questo post, sono prese dall’articolo: La Shadow IT resta ancora (e più che mai) una sfida.

Windows Hello FIDO2: sempre più vicini a un mondo senza password

Con la certificazione FIDO2 di Windows Hello, Microsoft sta portando 800 milioni di persone che utilizzano Windows 10 un passo più vicino ad un mondo senza password.

Nessuno ama le password (hacker esclusi).
Gli utenti non le amano perchè devono ricordarsele.
Il risultato? Spesso creiamo password facili da indovinare, bersaglio per gli hacker che tentano di accedere al nostro computer o network aziendale.

Dal 2015, Microsoft ha iniziato un percorso verso un mondo sicuro e senza password grazie a Windows Hello, abilitando gli utenti Windows 10 di tutto il mondo ad effettuare l’accesso ai loro dispositivi utilizzando la biometrica o un PIN e lasciandosi alle spalle il mondo delle password.
Perseguendo questa strada, Microsoft ha annunciato, a Novembre 2018, la possibilità di utilizzare Windows Hello o una security key FIDO2 per effettuare il sign in sicuro al vostro account Microsoft: tutto senza password!

Un paio di settimane fa, FIDO Alliance, ha annunciato che, con il release di Windows 10, versione 1903, Windows Hello diventa un authenticator FIDO2 Certificato.
FIDO2 abilita gli sviluppatori a fare leva sui protocolli standard-based e sui dispositivi per fornire agli utenti una facile autenticazione ai servizi online – sia in ambienti mobili che desktop. Microsoft è un membro importante di FIDO Alliance e sta lavorando in stretta collaborazione con i membri di alliance per abilitare i login senza password per i siti web che supportano l’autenticazione FIDO2.
Complessivamente, questi standard permettono agli utenti di effettuare il login ai servizi online in maniera più semplice e sicura grazie alle chiavi di sicurezza compliant di FIDO2 ed a Windows Hello.

Ogni mese, più di 800 milioni di persone usano un account Microsoft per accedere ad email, giocare online o accedere a file archiviati nel cloud.
Per questo motivo, oltre alla certificazione FIDO2, la versione 1903 di Windows 10 abiliterà gli utenti che utilizzano l’ultima versione di Mozilla Firefox a loggarsi nel loro account Microsoft dai siti web che supportano FIDO.
I browser basati su Chromium, incluso Microsoft Edge su Chromium, supporteranno le stesse funzionalità molto presto.

Microsoft incoraggia aziende e sviluppatori di software ad adottare una strategia per abbracciare un futuro senza password e ad iniziare oggi stesso a supportare a soluzioni alternative alle password – come Windows Hello – per i loro utenti.
Per maggiori dettagli sull’implementazione di Windows Hello, vi rimandiamo all’articolo: Windows Hello for Business.

Per supportare un’autenticazione sicura su PC Windows 10 condivisi, come quelli utilizzati dai Firstline Workers, la chiave di sicurezza compliant FIDO2 e compatibile con Microsoft, offre una soluzione portatile che permette agli utenti di effettuare il log in su Windows 10 senza l’utilizzo della password.
Scoprite di più su questo scenario, leggendo l’articolo Windows Hello and FIDO2 Security Keys.

Infine, Microsoft Authenticator può abilitare gli utenti ad autenticarsi ai loro account Microsoft utilizzando il telefono.
Creato su una tecnologia di sicurezza simile a Windows Hello, Microsoft Authenticator, impacchetta l’autenticazione in un’app semplice accessibile dal vostro dispositivo mobile.

Windows Hello, le security keys di FIDO2 e l’app mobile Microsoft Authenticator sono ottime alternative alle password.
Per creare veramente un mondo senza password, però, abbiamo bisogno di soluzioni interoperabili che lavorino su tutte le piattaforme e browser.
Microsoft continuerà ad investire su questi aspetti, condividendo con i propri utenti i futuri aggiornamenti.
Nel frattempo, se siete sviluppatori, potete contribuire supportando l’autenticazione FIDO2 nei vostri servizi web ed applicazioni.


Le informazioni presenti in questo post, sono prese dall’articolo Windows Hello FIDO2 certification gets you closer to passwordless.

Microsoft annuncia una gestione dei BitLocker migliorata

Microsoft annuncia una migliorata gestione dei BitLocker

Durante la seconda metà dell’anno, Microsoft aggiungerà funzionalità per la gestione dei BitLocker sia cloud che on-premises in ambienti enterprise via Microsoft Intune e System Center Configuration Manager (SCCM).
BitLocker è una funzionalità di encryption full-volume con supporto per l’algoritmo di encryption XTS-AES che permette agli utenti Windows di effettuare la crittografia degli hard drive dei loro computer e di unità rimovibili.

Microsoft ha dichiarato che le nuove alternative aggiunte alla gestione di Bitlocker per ambienti corporate promuovono ulteriormente la robustezza richiesta per gestire in maniera appropriata gli endpoint di tipo enterprise.

Microsoft annuncia una migliorata gestione dei BitLocker

Gestione BitLocker standard
La Microsoft BitLocker Administration and Monitoring (MBAM) fornisce un’interfaccia di amministrazione semplice da utilizzare ed on-premises creata appositamente per la gestione della BitLocker Drive Encryption che rappresenta lo standard delle aziende enterprise dal 2011.

Redmond ha annunciato che la “MBAM esaurirà il supporto mainstream a partire dal 9 Luglio 2019 ed entrerà nel supporto esteso fino al 9 Luglio 2024” con le nuove funzionalità di gestione dei BitLocker non incluse nell’ultima versione MBAM rilasciata.
In ogni caso, come spiegato da Microsoft, MBAM rimarrà uno strumento di gestione di Bitlocker supportato per i clienti che non vogliono passare alle nuove piattaforme di gestione Microsoft Intune o System Center Configuration Manager.

Gestione di tipo cloud-based
Microsoft Azure Active Directory e l’interfaccia di gestione di tipo cloud-based di Microsoft Intune, supporteranno BitLocker per le edizioni Windows 10 Pro, Windows 10 Enterprise, e Windows 10 Education.

La piattaforma di gestione di Bitlocker di Microsoft Intune è già disponibile, con funzionalità quali “compliance reporting, encryption configuration, con feature quali key retrieval e rotation” già aggiunte alla roadmap di sviluppo.

Microsoft annuncia una migliorata gestione dei BitLocker

Seguendo l’aggiunta delle extra feature e delle funzionalità alla soluzione Microsoft Intune BitLocker, la nuova piattaforma di gestione, molto presto supererà le possibilità offerte da MBAM.

“Windows AutoPilot offre un moderno approccio di provisioning in grado di assicurare che BitLocker venga abilitato senza interruzioni sui dispositivi Windows, integrandosi con Azure Active Directory per fornire un dispositivo compliant al primo logon” ha dichiarato Microsoft.

Qui sotto alcune funzionalità che saranno incluse in Intune cloud-based BitLocker management:
– Report di disponibilità e compliance: report di encryption dedicati che aiutano gli amministratori a comprendere lo stato di criptazione dei loro dispositivi;
– Configurazione: configurazione granulare di BitLocker che permette agli amministratori di gestire i dispositivi al livello di sicurezza desiderato;
– Compliance: possibilità di fare leva sulle policy di compliance di Intune;
– Key recovery auditing: report su chi ha avuto accesso alle informazioni chiave di recovery all’interno di Azure AD (in arrivo nel corso del 2019);
– Key recovery: vi permette di recuperare le chiavi nella console di Microsoft Intune (Self-service in arrivo più avanti nel corso del 2019);
– Key management: abilita le chiavi di recupero di tipo single-use sui dispositivi Windows, assicurando che le chiavi siano distribuite all’accesso dal client o on-demand da azioni remote di Intune (in arrivo più avanti nel corso del 2019);
– Migrazione da MBAM al cloud management (in arrivo nel corso del 2019).

Gestione on-premises SCCM-based in arrivo a Giugno
Le aziende che stanno già utilizzando la gestione MBAM on-premises BitLocker e che non hanno la possibilità di scegliere l’opzione Microsoft Intune cloud-based, potranno passare alla nuova SCCM-powered a partire da Giugno 2019.

Microsoft ha spiegato che il Configuration Manager rilascerà una preview del prodotto per le funzionalità di BitLocker management, seguita da una general availability più avanti nel corso del 2019.
Solo nel caso della piattaforma di gestione cloud-base di Intune, la gestione SCCM BitLocker sarà disponibile per le edizioni Windows 10 Pro, Windows 10 Enterprise e Windows 10 Education ma arriverà presto anche il supporto per Windows 7, Windows 8 e Windows 8.1.

Le funzionalità che saranno incluse in Configuration Manager (SCCM) BitLocker management sono:
– Provisioning: la soluzione di provisioning assicurerà che BitLocker sia un’esperienza senza interruzioni all’interno della console SCCM mentre conserverà la portata di MBAM;
– Preparazione del Trusted Platform Module (TPM): gli amministratori potranno aprire la console di amministrazione di TPM per le versioni 1.2 e 2.0;
– Impostazione della configurazione di BitLocker: tutti i valori specifici delle configurazioni MBAM che impostate, saranno disponibili dalla console SCCM;
– Encryption: l’encryption permetterà agli amministratori di determinare gli algoritmi con cui crittografare il device, i dischi obiettivo di encryption e le linee guida che gli utenti devono fornire per poter avere accesso ai dischi;
– Applicazione delle policy: gli amministratori potranno obbligare gli utenti ad essere compliant con le nuove policy di sicurezza prima di poter accedere al dispositivo;
I nuovi utenti potranno impostare un pin/password su dispositivi TPM e non-TPM: gli amministratori potranno personalizzare il profilo di sicurezza dell’organizzazione sulla base dei dispositivi;
– Auto sblocco: si tratta delle policy necessarie a specificare se sbloccare solo un drive OS, o tutte le unità collegate, quando un utente sblocca un’unità OS.
– Portale di Helpdesk con auditing: un portale di helpdesk permette alle altre risorse nell’azienda, oltre all’admin SCCM, di fornire supporto con il key recovery.
– Key rotation: questa funzionalità permette agli amministratore di utilizzare una chiave monouso per sbloccare il dispositivo BitLocker encrypted;
– Compliance reporting: il SCCM reporting includerà tutti i report rilevati di recente in MBAM o dalla console SCCM.


Le informazioni presenti a questo post, sono prese dall’articolo: Microsoft Announces Enhanced Enterprise BitLocker Management.

MDATP Threat & Vulnerability Management ora disponibile

Threat & Vulnerability Management è un nuovo componente di Microsoft Defender ATP che aiuta ad identificare, valutare e rimediate in maniera efficiente alla vulnerabilità degli endpoint.
Threat & Vulnerability Management fornisce ai team security administrators e security operations un valore unico che include:

– Risultati in real-time di endpoint detection and response (EDR) correlati alle vulnerabilità degli endpoint;
– Inestimabile contesto di machine vulnerability durante l’investigazione di incidenti;
– Processi di risanamento integrato attraverso Microsoft Intune ed il Microsoft System Center Configuration Manager.

Note: l’integrazione di Microsoft Intune e Microsoft System Center Configuration Manager (SCCM) è attualmente in distribuzione.

Oggi, siamo felici di annunciarvi che il nuovo Threat & Vulnerability Management (TVM) è disponibile in public preview all’interno del portale Microsoft Defender ATP.
È un cambio di approccio radicale alla ricerca, prioritizzazione e risanamento di vulnerabilità ed errori di configurazione degli endpoint.

Lo strumento Threat & Vulnerability Management è l’ultimissima innovazione all’interno di Microsoft Defender ATP che continua ad evolvere per fornire ai clienti strumenti potenti, integrati ed in real-time per rispondere alle minacce. I clienti che hanno attivato le feature in preview di Microsoft Defender ATP, vedranno la funzionalità all’interno della loro dashboard.

Ulteriori funzionalità di TVM verranno distribuite nei prossimi mesi.

Per informazioni su come iniziare ad utilizzare lo strumento: Gestione delle vulnerabilità & minacce.

MDATP Threat & Vulnerability Management ora disponibile
Figura 1: screenshot della dashboard Threat & Vulnerability Management


Le informazioni presenti in questo post, sono prese dall’articolo MDATP Threat & Vulnerability Management now publicly available!.

Microsoft porta Windows Defender Application Guard anche su Chrome e Firefox

Dapprima disponibile soltant su Edge, l’estensione Windows Defender Application Guard, lo scorso mese è stara resa disponibile da Microsoft anche su Chrome e Firefox.
I due browser devono essere installati sull’ultima versione beta disponibile di Windows e sono prerogativa di chi ha aderito al programma Windows insider. A breve, però, verrà distribuita la nuova release di Windows 10 e, a quel punto, le estensioni di sicurezza saranno disponibili per tutti gli utilizzatori dei due browser.

Windows Defender Application Guard è un’estensione abbastanza recente che permette all’amministratore di sistema di impostare una lista di siti e risorse di fiducia a cui l’utente può accedere in modo sicuro attraverso il browser. Se invece l’utente arriva su un sito “Tramite un esclusivo approccio di isolamento basato su hardware, Application Guard aprirà i siti Web non attendibili all’interno di un contenitore separato dal sistema operativo tramite la tecnologia di virtualizzazione Hyper-V“.

Sostanzialmente, si tratta di un meccanismo sandbox che vi permette di recarvi su sito sconosciuti o potenzialmente non sicuri senza alcun rischio. Questo perchè vengono isolati dal resto del sistema proteggendo in questo modo sia il dispositivo che i dati sensibili presenti in esso. È una funzionalità molto utile, sopratutto in un’ottica di adozione aziendale.

Windows Defender Application Guard è disponibile per i dispositivi il cui sistema operativo va da Windows 10 versione 1803 in su (solo in versione Pro o Enterprise), conosciuta anche come Redstone 4, ed è già incorporata in Microsoft Edge a partire dalla build 17053, tuttavia è disabilitata di default.
Se volete testarlo, sarà sufficiente recarsi nelle Impostazioni di Windows 10 nella sezione funzionalità.

Nel menù a tendina che si aprirà, selezionate la voce Attiva o disattiva funzionalità di Windows.
Si aprirà a questo punto una finestra con diverse voci: scorrete l’elenco fino a trovare Windows Defender Application Guard. Cliccate sulla casella di spunta, poi su Ok ed infine riavviate il PC.
Concluso questo processo, potrete utilizzare Windows Defender Application Guard.
Come fare? Dalle impostazioni di Edge, aprite una scheda dedicata.

Se partecipate al programma Insider ed avete Windows 10 Pro o Enterprise e volete provare questa funzione sui due nuove browser disponibili, vi indichiamo i link:
Chrome;
Firefox.


Le informazioni presenti in questo post, sono prese dall’articolo:Microsoft porta le estensioni di sicurezza per Edge anche su Chrome e Firefox.