Управляемая сеть надёжна ровно настолько, насколько надёжна её система защиты. Мы постоянно укрепляем структуры каталогов, агрессивно применяем многофакторную аутентификацию (MFA) и проводим аудит журналов, чтобы предотвратить целевые фишинговые атаки на ваши критически важные операции в ОАЭ.
Укрепление защиты идентификации и каталога
Active Directory и Entra ID — это основа вашей организации. Взломанные учётные данные каталога — главный способ, которым группы распространителей шифровальщиков перемещаются по сети и получают права администратора домена. Мы внедряем многоуровневую модель администрирования: привилегированные учётные записи используются только для административных задач, никогда — для электронной почты или веб-браузера. Устаревшие протоколы аутентификации (NTLM, базовая аутентификация, SMTP-релей без аутентификации) отключаются, поскольку они обходят MFA.
Политики условного доступа требуют MFA для входа во все облачные приложения, а Entra ID Identity Protection в реальном времени отмечает рискованные попытки входа. Политики сложности паролей требуют минимум 12 символов с проверкой по базе скомпрометированных паролей HaveIBeenPwned через Entra ID Smart Lockout.
- Многоуровневая модель администрирования: привилегированные учётные записи изолированы от повседневных
- Блокировка устаревших протоколов аутентификации (NTLM, базовая аутентификация)
- Обязательная MFA для всех приложений M365 и SaaS через условный доступ
- Мониторинг скомпрометированных паролей и Entra ID Smart Lockout
- Ежеквартальный аудит прав доступа Active Directory и очистка неактивных учётных записей
Обнаружение угроз и реагирование на конечных устройствах
Стандартный антивирус, работающий на основе баз сигнатур, не распознаёт бесфайловые вредоносные программы и методы «жизни за счёт ресурсов системы», применяемые современными злоумышленниками. Мы разворачиваем Microsoft Defender for Endpoint (MDE) или CrowdStrike Falcon на всех управляемых конечных устройствах, обеспечивая поведенческое обнаружение, которое выявляет подозрительные цепочки процессов даже при отсутствии совпадения с известными сигнатурами вредоносного ПО.
Телеметрия EDR поступает в наш SIEM для корреляции с сетевыми событиями: попытка горизонтального перемещения, начавшаяся на одном конечном устройстве и направленная на файловый сервер, обнаруживается и пресекается до того, как злоумышленник добирается до контроллера домена.
Непрерывный контроль конфигурации безопасности
Конфигурации безопасности деградируют по мере того, как сотрудники добавляют исключения, устанавливают новое программное обеспечение или изменяют политики. Мы ежемесячно проводим оценку Secure Score в Microsoft Defender и Entra ID, сравнивая текущую конфигурацию с рекомендованными базовыми настройками Microsoft и применимыми к вашей отрасли средствами контроля CIS Benchmark. Любые регрессии немедленно устраняются — без ожидания инцидента, который их обнаружит.