Microsoft 3655 דקות קריאה

Microsoft 365 Business Premium: האבטחה שאתם כבר משלמים עליה ורוב הסיכויים שלא מפעילים

Business Premium אורז שכבת אבטחה ברמת ארגון גדול שרוב העסקים הקטנים אף פעם לא מפעילים: EDR של Defender for Business, Conditional Access, Intune, מניעת דליפת מידע והגנת דואר מתקדמת. הנה מה שכלול, ואיך הופכים אותו להגנה אמיתית.

#Microsoft 365#EDR#Conditional Access#עסקים קטנים

רוב העסקים הקטנים בישראל שמריצים Microsoft 365 Business Premium משלמים על הרבה יותר אבטחה ממה שהם מנצלים. Business Premium היא לא התוכנית הזולה של Microsoft, והסיבה שהיא עולה יותר היא שהיא אורזת ערימה של הגנה שפעם נמכרה בנפרד לארגונים גדולים: זיהוי ותגובה בתחנות הקצה, ניהול מכשירים, גישה מותנית, מניעת דליפת מידע והגנת דואר מתקדמת. הרישיון נוחת בסביבה, התכונות יושבות שם מוכנות, ובהרבה משרדים קטנים כמעט אף אחת מהן לא מופעלת אף פעם. בסוף אתם משלמים מחיר של ארגון גדול תמורת חוויה של תיבת דואר ו-Office. הנה סקירה של מה שבאמת נמצא בקופסה, בשפה פשוטה, ובאיזה סדר הגיוני להפעיל אותו.

קודם כול, לדעת על איזו תוכנית אתם

לפני הכול, ודאו על איזו תוכנית אתם. Business Basic ו-Business Standard נותנות לכם דואר, אפליקציות Office ו-Teams, אבל לא את חבילת האבטחה שהמאמר הזה עוסק בה. Business Premium היא זו שכוללת את Microsoft Entra ID P1, את Defender for Business, את Defender for Office 365 Plan 1, את Intune ואת מניעת דליפת המידע של Purview. אם אתם לא בטוחים, פורטל הניהול מציג את הרישיונות שלכם תחת החיוב. שווה לבדוק, כי לא מעט עסקים קיבלו Business Standard כדי לחסוך כמה שקלים למשתמש, ומפספסים את כל שכבת האבטחה בלי לשים לב. הפער בין Standard ל-Premium הוא כמעט כולו אבטחה, וזה בדיוק החלק שחשוב כשמשהו משתבש.

Conditional Access: השליטה שרוב הסביבות משאירות כבויה

Conditional Access מחליטה מי יכול להתחבר, מאיפה, ובאילו תנאים. היא מגיעה עם Entra ID P1, שהוא חלק מ-Business Premium, וברוב הסביבות הקטנות היא אף פעם לא מוגדרת. ייתכן שיש לכם MFA מופעל דרך Security Defaults, וזה בסיס טוב, אבל Conditional Access מדויקת הרבה יותר. איתה אפשר לדרוש MFA רק כשהתחברות נראית מסוכנת, לחסום התחברויות ממדינות שאתם אף פעם לא עובדים מולן, לסרב לגישה ממכשירים שלא רשומים ותקינים, ולכבות את הפרוטוקולים הישנים שעוקפים MFA בשקט. לעסק שכל העובדים שלו עובדים מישראל, מדיניות אחת שחוסמת התחברויות מחוץ למדינה מסירה נתח גדול מתעבורת ההתקפה האוטומטית במהלך אחד. כל זה לא עולה כלום נוסף. פשוט צריך להגדיר אותו.

Defender for Business: EDR אמיתי, כבר בתוך הקופסה

זו התכונה שרוב בעלי העסקים לא יודעים שיש להם. Defender for Business הוא זיהוי ותגובה בתחנות הקצה, אותו סוג כלי שאנחנו מסבירים במדריך שלנו על EDR מול אנטי-וירוס, והוא כלול בכל מושב של Business Premium. אנטי-וירוס מסורתי משווה קבצים מול רשימה של חתימות מוכרות כרעות. EDR צופה במה שתוכנות עושות, ולכן הוא יכול לתפוס התקפה ששום חתימה לא מזהה: תהליך שמנסה לכבות כלי אבטחה, להצפין קבצים בכמות, או לפנות לשרת חשוד. Defender for Business מביא את הזיהוי ההתנהגותי הזה, חקירה אוטומטית ואת היכולת לבודד מכשיר שנפרץ מהרשת, לעסק קטן בלי חוזה נפרד. המלכוד הוא שהוא לא עושה כלום עד שמצרפים אליו את המכשירים. רישיון שהוקצה בפורטל הניהול הוא לא אותו דבר כמו סוכן שרץ על המחשב. עד שתחנות הקצה מצורפות, ה-EDR ששילמתם עליו לא מגן על כלום.

Intune: לנהל את המחשבים שאתם לא רואים

Intune הוא ניהול מכשירים. הוא מאפשר להגדיר כללים שכל מחשב וטלפון של החברה חייבים לעמוד בהם: הצפנת דיסק פעילה, נעילת מסך אחרי כמה דקות, גרסת מערכת הפעלה מינימלית, והיכולת למחוק מכשיר מרחוק אם הוא אבד או שעובד עזב. למשרד שבו אנשים עובדים מהבית ונושאים מחשבים ניידים בין אתרים, זה ההבדל בין מחשב אבוד שהוא מטרד לבין מחשב אבוד שהוא אירוע דליפת מידע. הוא גם מזין את Conditional Access: ברגע שהמכשירים רשומים ומדווחים תקינים, אפשר לסרב לגישה ל-Microsoft 365 מכל מכשיר שלא מנוהל. הטמעת Intune כראוי דורשת עבודה אמיתית, ולכן מדלגים עליה כל כך הרבה, אבל זה החלק שהופך אוסף מפוזר של מחשבים שמרגישים אישיים לצי מבוקר.

Safe Links, Safe Attachments ושכבת ההגנה מדיוג

Business Premium כולל את Defender for Office 365 Plan 1, שיושב מעל סינון הדואר הבסיסי שכולם מקבלים. Safe Attachments פותח קבצים מצורפים נכנסים בארגז חול מבודד לפני המסירה, כך שקובץ זדוני מתפוצץ שם ולא על המחשב של העובד. Safe Links כותב מחדש כתובות בדואר ובמסמכי Office ובודק אותן ברגע שמישהו לוחץ, וזה חשוב כי קישור שהיה נקי כשהמייל הגיע יכול להפוך לנשק שעות אחר כך. יש גם הגנה מפני התחזות שמסמנת הודעות שמתחזות למנהל השותפים או לאחראי הכספים שלכם. המדיניות הזו לא מופעלת במלואה כברירת מחדל, ובמיוחד הגנת ההתחזות צריכה שתגידו לה על אילו אנשים ואיזה דומיין לשמור. כשמגדירים אותה כראוי, השכבה הזו תופסת נתח משמעותי מהדיוג שהוא הצעד הראשון הרגיל גם בכופרה וגם בהונאת חשבוניות.

מניעת דליפת מידע: לעצור את הדליפה בטעות

מניעת דליפת המידע של Purview, שגם היא כלולה, עוקבת אחרי מידע רגיש שיוצא מהארגון ויכולה להזהיר או לחסום כשזה קורה. אפשר להגדיר כללים כך שהודעה שמכילה משהו שנראה כמו מספר כרטיס אשראי, מספר תעודת זהות ישראלית או חשבון בנק תסומן לפני שהיא נשלחת לכתובת חיצונית. למשרד פיננסים או לקליניקה, זה שומר מפני התאונה היומיומית יותר מאשר מפני ההתקפה המכוונת: העובד שמשיב לשרשור הלא נכון, או מצרף את הגיליון הלא נכון. זה לא ישגיח על הכול, והכללים צריכים כיוונון למידע האמיתי שלכם כדי שלא יקפצו לשווא, אבל זו שליטה שרוב העסקים הקטנים לא יודעים שהם זכאים לה.

איפוס סיסמה עצמי והמעבר לעולם בלי סיסמאות

Entra ID P1 מביא גם איפוס סיסמה עצמי, שמאפשר לעובדים לאפס בעצמם את הסיסמה באופן מאובטח אחרי אימות זהות, וחוסך גם עומס מהתמיכה וגם את ההרגל המסוכן של לרשום סיסמאות. בשילוב עם אפליקציית האימות, זה גם צעד לכיוון התחברות בלי סיסמה, שבה אישור בטלפון או מפתח גישה מחליף את הסיסמה לחלוטין. זה לא רק נוח יותר, זה מסיר את הדבר שתוקפים הכי רוצים לגנוב. זו תכונה קטנה יותר מ-EDR או מ-Conditional Access, אבל קל להפעיל אותה והיא מורידה חיכוך מהשליטות החשובות יותר.

למה כל זה יושב לא מנוצל

אף אחת מהתכונות האלה לא נסתרת, אז למה הן כל כך הרבה פעמים כבויות? חלק מהסיבה הוא ש-Microsoft שולחת אותן כבויות או מוגדרות חלקית בכוונה, כדי שהסביבה תעבוד ביום הראשון בלי לאלץ אף אחד לעבור הגדרת אבטחה. חלק מהסיבה הוא שהערך בלתי נראה: בעל עסק רואה שהדואר עובד ומניח שגם האבטחה עובדת, כי שום דבר לא נשבר באופן ברור. וחלק מהסיבה הוא פשוט שהפעלה טובה של אלה דורשת זמן וידע שלעסק בלי IT פנימי אין להשקיע. התוצאה נפוצה ויקרה בשקט: עסק שמשלם מחיר של Premium בזמן שהוא רץ עם הגנה ברמת Standard.

סדר הגיוני להפעיל את זה

לא מפעילים את כל זה בצהריים אחד, וגם לא כדאי לנסות. רצף הגיוני מתחיל מהשליטות בעלות הערך הגבוה וההפרעה הנמוכה ויורד משם. ודאו ש-MFA נאכף לכולם. הגדירו מדיניות Conditional Access בסיסית. צרפו כל מכשיר ל-Defender for Business כך שה-EDR באמת רץ. רשמו את המכשירים האלה ב-Intune ודרשו תאימות. כווננו את מדיניות Safe Links, Safe Attachments וההתחזות. הוסיפו כללי מניעת דליפת מידע למידע הרגיש שאתם באמת מחזיקים. כל צעד הוא שיפור אמיתי בפני עצמו, כך שאפילו הטמעה חלקית משאירה אתכם במצב טוב יותר מברירת המחדל שלא נגעו בה.

להוציא ערך ממה שכבר יש לכם

אם העסק שלכם על Microsoft 365 Business Premium, שדרוג האבטחה המשתלם ביותר שזמין לכם הוא לא לקנות משהו חדש. הוא להפעיל ולהגדיר את ההגנה שאתם כבר משלמים עליה כל חודש. זו בדיוק העבודה ש-NetFortress עושה לעסקים בישראל: בדיקה של מה שהרישיונות שלכם כוללים, תמונה כנה של כמה מזה באמת פעיל, ותוכנית מתועדפת לסגור את הפער. אם תרצו לדעת כמה מאבטחת ה-Business Premium שלכם באמת עובדת, בקשו מאיתנו בדיקת תצורה ונעבור על זה איתכם בשפה פשוטה.

שאלות נפוצות

מה ההבדל בין Microsoft 365 Business Standard ל-Business Premium?

ההבדל הוא כמעט כולו אבטחה. Business Standard נותנת לכם דואר, אפליקציות Office ו-Teams. Business Premium מוסיפה את חבילת האבטחה: Entra ID P1 עם Conditional Access, זיהוי ותגובה בתחנות הקצה של Defender for Business, ניהול מכשירים עם Intune, Defender for Office 365 Plan 1 ומניעת דליפת מידע של Purview. אם מכרו לכם Standard כדי לחסוך מעט למשתמש, אתם מפספסים את כל השכבה הזו.

האם Microsoft 365 Business Premium כולל EDR?

כן. Defender for Business, שכלול בכל מושב של Business Premium, הוא זיהוי ותגובה אמיתיים בתחנות הקצה. בניגוד לאנטי-וירוס מסורתי, הוא צופה בהתנהגות של תוכנות ויכול לתפוס התקפות ששום חתימה לא מזהה, ואז לבודד מכשיר שנפרץ. הסייג החשוב הוא שהוא מגן רק על מכשירים שצירפתם אליו. עד שתחנות הקצה מצורפות, הרישיון לא עושה כלום.

האם תכונות האבטחה עובדות אוטומטית ברגע שיש לנו רישיון?

בעיקר לא. Microsoft שולחת את התכונות האלה כבויות או מוגדרות חלקית כדי שסביבה חדשה תעבוד ביום הראשון בלי לאלץ אף אחד לעבור הגדרת אבטחה. את Conditional Access צריך לבנות, את המכשירים צריך לצרף ל-Defender ול-Intune, ואת מדיניות Safe Links, Safe Attachments וההתחזות צריך לכוונן. רישיון שהוקצה בפורטל הניהול הוא לא אותו דבר כמו הגנה שבאמת רצה.

מה זה Conditional Access, והאם אנחנו צריכים אותו אם כבר יש לנו MFA?

Conditional Access מחליטה מי יכול להתחבר, מאיפה ובאילו תנאים, והיא מדויקת הרבה יותר מה-MFA הבסיסי שמגיע מ-Security Defaults. היא מאפשרת לחסום התחברויות ממדינות שאתם אף פעם לא עובדים מולן, לדרוש מכשירים תקינים, ולכבות פרוטוקולים ישנים שעוקפים MFA. לעסק שכל העובדים שלו עובדים מישראל, מדיניות אחת שחוסמת התחברויות מחו"ל מסירה נתח גדול מההתקפות האוטומטיות. היא משלימה את MFA ולא מחליפה אותו.

אנחנו כבר משלמים על Business Premium. האם עדיין צריך ספק אבטחה מנוהל?

הרישיון נותן לכם את הכלים; ספק דואג שהם מופעלים, מוגדרים ומנוטרים. צירוף מכשירים, בניית מדיניות Conditional Access, כיוונון הגנת הדואר ומעקב אחרי התראות דורשים זמן וידע שלעסק בלי IT פנימי בדרך כלל אין להשקיע. השדרוג המשתלם ביותר לרוב לקוחות Business Premium הוא לא לקנות משהו חדש, אלא להפעיל את ההגנה שהם כבר משלמים עליה.

רוצים לאבטח את העסק בלי להקים צוות IT פנימי?

קבעו ייעוץ חינם וקבלו תמונת מצב ראשונית ומעשית על סביבת ה-IT ואבטחת Microsoft 365 שלכם.