Microsoft 365: El Problema de seguridad – Parte III

Versión en línea del Ebook: Microsoft 365 | El Problema de seguridad

Volver a Parte II

Protección contra amenazas de Microsoft (Microsoft Threat Protection)

Ya con una idea de las principales soluciones a nivel de seguridad en Microsoft 365, estamos en condiciones de ver el tema de Microsoft Threat Protection (MTP) que tanto suena en este momento.

Lo primero a tener en cuenta es que MTP no es un producto separado sino que es la solución que centraliza el portfolio de seguridad de Microsoft 365.

Protección contra amenazas de Microsoft | Microsoft Threat Protection

La integración de productos en Microsoft Threat Protection habilita la protección de identidades, dispositivos, correo y aplicaciones proporcionando mecanismos de protección, detección, prevención, investigación y respuesta frente a amenazas modernas.

Microsoft Threat Protection integra todos los productos mencionados anteriormente destacando:

  • Microsoft Defender ATP
  • Office 365 ATP
  • Azure ATP
  • Identity Protection
  • Microsoft Cloud App Security

Una vez habilitado el servicio se agregan nuevas opciones al portal de seguridad de Microsoft 365. Esto incluye una opción para manejo de incidentes (Incidents Management), otra para la toma de acciones (Action Center) y otra para la investigación de amenazas (Advanced Hunting) lo que habilita a hacer consultas avanzadas usando Kusto query Language.

Seguridad en Microsoft 365 | MTP | Microsoft Threat Protection

En cuanto al licenciamiento de Microsoft Threat Protection, esto no es una licencia específica sino que lo que se debe licenciar son los distintos productos integrados con esta solución.

Hay 2 opciones de licenciamiento que incluyen todas las características de Microsoft Threat Protection:

  • Microsoft 365 E5
  • Microsoft 365 E5 Security

El tema acá es el costo, Microsoft 365 E5 es la licencia más costosa en Microsoft 365 y la licencia de Microsoft 365 E5 Security está pensada como un Add On en principio para Microsoft 365 E3.

En definitiva, esto no es menor cuando uno se pone a multiplicar por la cantidad de usuarios, en este sentido es importante considerar si la organización realmente obtendría valor de esta licencia versus el licenciamiento Stand Alone o dentro de algún otro paquete de los distintos productos. Esto en principio va a depender de la arquitectura y de los requerimientos de la organización, incluso varios productos podrían reemplazar otros existentes como por ejemplo el caso de Antivirus con Defender ATP.

Esto lo vamos a ver en más detalle en el ejercicio planteado en la última sección del documento.

Microsoft 365 E5 y Microsoft 365 E5 Security

Sin entrar en detalle de lo que incluye el licenciamiento de Microsoft 365 que podría ser muy extenso y en parte tratado en uno de los artículos del blog, me voy a enfocar en las características de seguridad más destacables incluidas en Microsoft 365 E5 y E5 Security. Estas características se integran dentro de lo que sería la estrategia de Protección contra amenazas de Microsoft e incluye las soluciones vistas hasta el momento.

Microsoft 365 E5 es el paquete más completo e incluye:

  • Windows 10 E5
    • Sistema Operativo
  • Office 365 E5
    • Licenciamiento más completo de la suite de productividad de Office 365
  • Enterprise Mobility + Security E5 (EMS E5)
    • Solución para administración de dispositivos MDM (Mobile Device Management) / MAM (Mobile Application Management) y Seguridad.

Actualmente esta licencia tiene un costo de U$S 57 mensuales.

El caso de Microsoft 365 E5 Security funciona como un Add On para Microsoft 365 E3 (en un principio) y agrega únicamente las características de seguridad de Microsoft 365 E5:

  • Azure AD Premium Plan 2
    • M365 E3 ya incluye Azure AD Premium P1
  • Office 365 ATP Plan 2
    • M365 E3 ya incluye Office 365 ATP Plan 1
  • Azure ATP
  • Azure Identity Protection
  • Defender ATP
  • Cloud App Security

Esta licencia tiene un costo de U$S 12 mensuales.

Este detalle es importante para tenerlo en cuenta en la próxima sección donde vemos un caso práctico de licenciamiento.

IMPORTANTE: Los precios manejados en este recurso son los de lista y vigentes a la fecha original de publicación.


Ejemplo práctico de licenciamiento de Microsoft Threat Protection

En esta sección vemos un ejemplo práctico de licenciamiento de las soluciones incluidas en Microsoft Threat Protection, este mismo ejercicio lo hice recientemente para un cliente que quería implementar algunas características avanzadas de seguridad para los usuarios VIP de la organización.

En una primera instancia el foco del cliente se encontraba en la implementación de Cloud App Security y Defender ATP (reemplazando la solución Antivirus actual).

Principales objetivos:

  • Tener mayor visibilidad sobre lo que sucede en el entorno incluyendo actividades maliciosas.
  • Tener mayor control de los dispositivos que se conectan al servicio.
  • Conocer cómo usan los usuarios sus identidades, desde dónde se conectan, a qué información acceden y con quién la comparten.
  • Reemplazar gradualmente la solución antivirus actual por una más integrada que permita tomar mejores decisiones.
  • Proteger a los usuarios de correos con malware, de tal forma de que incluso si el usuario hace clic en un link o adjunto malicioso que este se detone en un ambiente aislado y sin riesgo para la organización.
  • Simplificar el licenciamiento y minimizar los costos asociados.

Esto partiendo de la base de que el cliente ya tiene cubierto el licenciamiento de Windows por otro lado y actualmente licencia a sus usuarios VIP del siguiente modo:

  • Office 365 E3: U$S 20
  • Enterprise Mobility + Security E3 (EMS): U$S 8.80
  • Office 365 ATP Plan 1: U$S 2

Total licenciamiento base: U$S 30,8

En este caso ya tenemos un costo base de U$S 30,8 lo que está lejos aún de los U$S 57 que cuesta la licencia de Microsoft 365 E5.

Veamos algunas alternativas de licenciamiento ordenadas por costo:

Opción 1) Para cubrir puntualmente los servicios de MCAS y MDATP existe la opción Stand Alone de cada uno:

  • WDATP Stand Alone (U$S 5.20)
  • Cloud App Security (U$S 3.50)

Costo adicional: U$S 8.70


Opción 2) Reemplazar el EMS E3 por EMS E5 y sumar WDATP Stand alone (la parte de Office 365 no se toca)

  • EMS E5 (incluye MCAS y el mismo ATP ya incluido en el licenciamiento actual) (U$S 14.80)
  • WDATP Standalone (U$S 5.20)

Costo adicional: U$S 9.2 (U$S 20 – U$S 8.80 (EMS E3) – U$S 2 (O365 ATP))

Nota: Con el cambio de EMS E3 a E5 se pasa de Azure P1 a P2 que entre otros incluye las siguientes características adicionales:

  • Risk-based conditional access (permite controlar el acceso en base al riesgo identificado)
  • Privileged identity management (esto permite en lugar de delegar permisos estáticos manejar roles de administración de forma dinámica en base a elegibilidad, aprobación y ventanas de tiempo)
  • Azure ATP

Opción 3) Reemplazar el licenciamiento actual con lo siguiente:

  • Microsoft 365 E3 (U$S 32)
  • Microsoft 365 E5 Security (U$S 12)

Costo adicional:  U$S 13.2 (U$S 44 – U$S 30.8 (licenciamiento actual))

Nota: Con este cambio se pasa a Azure P2 (ver más arriba ventajas) y Office 365 ATP 2 (que incluye simulador de ataque entre otras mejoras)


Opción 4) Reemplazar todas las licencias actuales por Microsoft 365 E5:

Costo adicional: U$S 26.2 (M365 E5 (U$S 57) – U$S 30.8 (licenciamiento actual))


Como se puede ver hay muchas opciones y en este ejemplo solo se manejan las que tenían sentido para el cliente en base a su licenciamiento específico.

En particular en este caso la opción más atractiva a mi forma de verlo es la Opción 3 que incluye Microsoft 365 E5 Security que cuenta con todas las características de Microsoft Threat Protection complementando M365 E3, pero esta decisión puede variar en base a requerimientos, negociaciones con Microsoft y planes a futuro.

Comentarios Finales

A lo largo de este documento vimos como una vez migrado los servicios de la organización a la nube, el perímetro tradicional de seguridad ya no aplica y este debe ser complementado con otras soluciones.

En tiempos modernos es necesario hacer especial foco en la protección de las identidades, lo que en general comienza por la habilitación de autenticación multi-factor (MFA), esto ya sea de un modo condicional o absoluto ya que como vimos dependiendo del licenciamiento cuáles son las posibilidades en este sentido.

Revisamos el rol de los distintos componentes incluidos en la estrategia de seguridad de Microsoft 365 destacando el caso de Azure ATP para detección de amenazas sobre identidades On Premises, Identity Protection para el caso de identidades en la nube, Office 365 ATP para protección de correo, links y documentos, Defender ATP para cubrir dispositivos y Cloud App Security como broker de seguridad. Cada uno de estos componentes enfocado en resolver un aspecto de la seguridad e integrado dentro de lo que es Microsoft Threat Protection.

Finalmente y en complemento a lo visto en cada sección vemos un caso práctico de licenciamiento de características de seguridad incluyendo la posibilidad de hacerlo de forma Stand Alone o dentro de un paquete como podría ser Microsoft 365 E5 o E5 Security. Dependiendo de los requerimientos de la organización sería posible la combinación de licencias y licenciar productos específicos para usuarios de mayor jerarquía o los que implican un mayor riesgo y mantener un licenciamiento más básico en otros casos. Esto implica no solo presupuesto para licencias sino que también tiempo ya sea de recursos internos o externos para implementar y administrar estas características.

En definitiva, el problema de seguridad no se debe a limitaciones en la oferta de Microsoft 365 sino que en la falta de adopción de medidas acorde a la nueva situación. El hecho de que Microsoft 365 sea líder en muchas áreas de seguridad no es relevante si la organización no implementa o pone en práctica las herramientas a disposición. Si en este sentido la limitante viene por el lado del presupuesto tener en cuenta de dejar claro los riesgos que esto implica, evaluar alternativas para mitigarlos (o aceptarlos) y comunicar dentro de la organización de un modo eficiente la situación ya que la decisión en este caso dejaría de ser técnica.


Próximos pasos

Llegamos al final, espero que este ebook te haya dejado un poco más claro el panorama de seguridad con Microsoft 365. Más abajo te dejo varias formas en las que podemos quedar en contacto, el feedback es más que bienvenido: