Microsoft Cybersecurity Defense Operations Center

  • Článek

Sharing Microsoft's best practices to protect, detect, and respond to cybersecurity threats

Kybernetická bezpečnost je sdílená odpovědnost, která ovlivňuje nás všechny. V současné době může jedno porušení, fyzické nebo virtuální, způsobit organizaci škodu v řádu milionů dolarů a potenciálně miliardy finančních ztrát pro globální ekonomiku. Každý den vidíme zprávy o kyberzločincích, kteří cílí na podniky a jednotlivce za účelem finančního zisku nebo sociálně motivovaných účelů. K těmto hrozbám přisoudí aktéři zemí, kteří se snaží narušit operace, provádět špionáž nebo obecně podkopávat důvěru.

V této stručnosti se podělíme o stav online zabezpečení, aktérů hrozeb a sofistikovaných taktik, které používají k pokroku ve svých cílech, a o tom, jak Microsoft Cyber Defense Operations Center tyto hrozby bojuje a pomáhá zákazníkům chránit citlivé aplikace a data.



Microsoft Cyber Defense Operations Center

The Microsoft Cyber Defense Operations Center

Microsoft se hluboce zavázal k tomu, že bude online svět bezpečnější pro všechny. Strategie kybernetické bezpečnosti naší společnosti se vyvinuly z jedinečné viditelnosti, které máme, do rychle se vyvíjející kybernetické krajiny.

Inovace v útočném prostoru mezi lidmi, místy a procesy jsou nezbytnou a průběžnou investicí, které všichni potřebujeme, protože nežádoucí osoby se nadále vyvíjejí v odhodlání i propracovanosti. V reakci na zvýšené investice do obranných strategií mnoha organizací se útočníci přizpůsobují a vylepšují taktiky rychlostí kritického bodu. Naštěstí kyberdefitory, jako jsou globální týmy Microsoftu pro zabezpečení informací, inovují a narušují dlouho spolehlivé metody útoku s průběžnými pokročilými školeními a moderními bezpečnostními technologiemi, nástroji a procesy.

Microsoft Cyber Defense Operations Center (CDOC) je jedním z příkladů více než 1 miliardy DOLARŮ, které každý rok investujeme do zabezpečení, ochrany dat a řízení rizik. CDOC sdružuje odborníky na kybernetickou bezpečnost a datové vědce v zařízení 24x7 pro boj s hrozbami v reálném čase. Jsme připojení k více než 3 500 odborníkům na zabezpečení globálně v rámci našich týmů pro vývoj produktů, skupin zabezpečení informací a právních týmů, abychom ochránili naši cloudovou infrastrukturu a služby, produkty a zařízení a interní prostředky.

Microsoft investoval do naší cloudové infrastruktury více než 15 miliard USD, přičemž cloud Microsoft využívá více než 90 procent společností z žebříčku Fortune 500. Dnes vlastníme a provozujeme jednu z největších cloudových stop na světě s více než 100 geograficky distribuovanými datovými centry, 200 cloudovými službami, miliony zařízení a miliardou zákazníků po celém světě.

Aktéři a motivace kyberbezpečnosti

Prvním krokem k ochraně lidí, zařízení, dat a kritické infrastruktury je pochopení různých typů aktérů hrozeb a jejich motivace.
  • Kyberzločinci zahrnují několik podkategorií, i když často sdílejí společnou motivaci – finanční, inteligentní a/nebo sociální nebo politický zisk. Jejich přístup je obvykle přímý – infiltrací systému finančních dat, příliš malými objemy mikročástek, aby je bylo možné před zjištěním zjistit a ukončit. Zachování trvalé, tajné přítomnosti je pro splnění jejich cíle zásadní.

    Jejich přístup může být vniknutím, které odvádí velké finanční výplaty prostřednictvím labyrintu účtů, aby se vyhnuli sledování a zásahu. Někdy je cílem ukrást duševní vlastnictví, které cíl vlastní, takže kyberzločinec funguje jako zprostředkovatel k dodání návrhu produktu, zdrojového kódu softwaru nebo jiných vlastnických informací, které mají pro konkrétní entitu hodnotu. Více než polovinu těchto činností páchají organizované zločinecké skupiny.

  • Národní aktéři pracují pro vládu, aby narušila nebo narušila cílené vlády, organizace nebo jednotlivce, aby získala přístup k cenným datům nebo inteligenci. Zapojují se do mezinárodních záležitostí, aby ovlivnily a podnětili výsledek, který může být přínosem pro zemi nebo země. Cílem aktéra národního státu je narušit operace, provádět špionáž proti korporacím, krást tajemství od jiných vlád nebo jinak podkopávat důvěru v instituce. Pracují s velkými prostředky, které mají k dispozici, a bez obav z právní odplaty, se sadou nástrojů, která zahrnuje od jednoduchých až po velmi složité.

    Národní aktéři mohou přilákat některé z nejdůvěřivějších kybernetických talentů a mohou posunout své nástroje do bodu zbraňování. Jejich přístup k vniknutí často zahrnuje pokročilou trvalou hrozbu s využitím superpočítacího výkonu k porušení přihlašovacích údajů hrubou silou prostřednictvím milionů pokusů o příchod správného hesla. Můžou také použít útoky phishing cílené na hyper-cílení, aby přilákaly účastníka programu Insider k odhalení svých přihlašovacích údajů.

  • Hrozby pro účastníky programu Insider jsou obzvláště náročné kvůli nepředvídatelnosti lidského chování. Motivace pro účastníka programu Insider možná oportunistický a pro finanční zisk. Existuje však několik příčin potenciálních vnitřních hrozeb, od jednoduché bezstarostnosti až po sofistikovaná schémata. Řada porušení zabezpečení dat vyplývajících z ohrožení programu Insider je zcela neúmyslná kvůli náhodné nebo nedbalostní aktivitě, která organizaci vystavuje riziku, aniž by byla o ohrožení zabezpečení informována.

  • Hacktivisté se zaměřují na politické a/nebo sociálně motivované útoky. Oni se snaží být viditelný a uznáván ve zprávách upozornit na sebe a jejich příčinu. Mezi jejich taktiky patří distribuované útoky DDoS (denial-of-service), zneužití ohrožení zabezpečení nebo zneužívání online přítomnosti. Připojení k sociální nebo politické otázce může z jakékoli společnosti nebo organizace udělat cíl. Sociální média umožňují hacktivistům rychle evangelizovat jejich příčinu a přijímat další účastníky k účasti.


$4 million is the average cost of data breach in 2017

Techniky herce hrozeb

Nežádoucí osoby jsou zkušení při hledání způsobů, jak proniknout do sítě organizace, a to i přes zavedenou ochranu pomocí různých sofistikovaných technik. Několik taktik bylo kolem od počátku internetu, i když ostatní odrážejí kreativitu a rostoucí propracovanost dnešních nežádoucí osoby.

  • Sociální inženýrství je obecný pojem pro útok, který podvádí uživatele, aby jednali nebo prozradili informace, které by jinak neučinili. Sociální inženýrství hraje na dobré záměry většiny lidí a jejich ochotu být užitečný, vyhnout se problémům, důvěřovat známým zdrojům nebo potenciálně získat odměnu. Další vektory útoku mohou spadat pod zastřešující sociální inženýrství, ale některé z atributů, které usnadňují rozpoznávání a obranu taktik sociálního inženýrství:
    • Phishingové e-maily jsou efektivním nástrojem, protože hrají proti nejslabšímu odkazu v bezpečnostním řetězci – každodenním uživatelům, kteří o zabezpečení sítě nepřemýšlejí jako o nejslabším. Phishingová kampaň může uživatele pozvat nebo vyděsit, aby neúmyslně sdílel svoje přihlašovací údaje, a to tak, že ho podvedete, aby klikl na odkaz, o kterém se domnívá, že je legitimní web, nebo stáhl soubor, který obsahuje škodlivý kód. Phishingové e-maily bývaly špatně napsané a snadno rozpoznatelné. V současné době se nežádoucí osoba stala znechucenou napodobení legitimních e-mailů a cílových webů, které se obtížně identifikují jako podvodné.
    • Falšování identity zahrnuje nežádoucí osobu maskovanou jako jiný legitimní uživatel tím, že falšuje informace prezentované aplikaci nebo síťovému prostředku. Příkladem je e-mail, který přijde zdánlivě s adresou kolegy, který žádá o akci, ale adresa skrývá skutečný zdroj odesílatele e-mailu. Podobně se adresa URL může zfalšovat tak, aby se zobrazovala jako legitimní web, ale skutečná IP adresa ve skutečnosti odkazuje na web kyberzločince.

  • Malware je s námi od počátku computingu. Dnes vidíme silné zvýšení úrovně ransomwaru a škodlivého kódu speciálně určeného k šifrování zařízení a dat. Kyberzločinci pak vyžadují platbu v kryptoměně za klíče k odemknutí a vrácení kontroly oběti. K tomu může dojít na individuální úrovni pro váš počítač a datové soubory nebo nyní častěji pro celý podnik. Použití ransomwaru je obzvláště výrazné v oblasti zdravotní péče, protože následky života nebo smrti, kterým tyto organizace čelí, jsou vysoce citlivé na výpadky sítě.

  • Vložení dodavatelského řetězce je příkladem kreativního přístupu k vkládání malwaru do sítě. Například napadením procesu aktualizace aplikace nežádoucí osoba obchází antimalwarové nástroje a ochranu. Vidíme, že tato technika je stále běžnější a tato hrozba poroste, dokud vývojáři aplikací nenasadí do softwaru komplexnější ochranu zabezpečení.

  • Man-in-the-middleattacks zahrnují nežádoucí osobu, která se vloží mezi uživatele a prostředek, ke kterému přistupuje, a tím zachycuje důležité informace, jako jsou přihlašovací údaje uživatele. Například kyberzločinec v kavárně může využívat software pro protokolování klíčů k zachycení přihlašovacích údajů domény uživatele při připojování k síti Wi-Fi. Herec hrozeb pak může získat přístup k citlivým informacím uživatele, jako jsou bankovní a osobní údaje, které může používat nebo prodávat na tmavém webu.

  • Útoky DDoS (Distributed Denial of Service) jsou přibližně deset let a jsou to masivní útoky, které jsou stále častější s rychlým růstem internetu věcí (IoT). Při použití této techniky nežádoucí osoba zahltí web tím, že ho bombarduje škodlivým provozem, který vytěsňuje legitimní dotazy. Dříve osázený malware se často používá k napadení zařízení IoT, jako je webkamera nebo inteligentní termostat. Při útoku DDoS zaplaví příchozí provoz z různých zdrojů síť četnými požadavky. Tím zahltíte servery a zakážete přístup z legitimních požadavků. Mnoho útoků zahrnuje také forgování IP adres odesílatele (falšování IP adres), aby nebylo možné snadno identifikovat a porazit umístění útočných počítačů.

    Útok na odepření služby se často používá k pokrytí nebo odvrácení pozornosti od klamnějšího úsilí o proniknutí do organizace. Ve většině případů je cílem nežádoucího uživatele získat přístup k síti pomocí ohrožených přihlašovacích údajů a pak se přesunout po síti a získat tak přístup k "výkonným" přihlašovacím údajům, které jsou klíči k nejcitlivějším a nejcennějším informacím v organizaci.


90% of all cyberattacks start with a phishing email

Militarizace kyberprostoru

Rostoucí možnost kybernetické války je dnes jedním z hlavních problémů vlád a občanů. Zahrnuje národní státy, které používají počítače a sítě a cílí na ně ve válce.

Útočné i obranné operace se používají k provádění kybernetických útoků, špionáže a sabotáže. Národní státy rozvíjejí své schopnosti a po mnoho let se zapojují do kyberwarfare buď jako agresoři, žalovaní, nebo obojí.

Nové nástroje a taktiky hrozeb vyvinuté prostřednictvím pokročilých vojenských investic mohou být také porušovány a kyberzločinci mohou být sdíleni online a zbraněmi kyberzločinci pro další použití.

Stav kybernetické bezpečnosti Microsoftu

I když zabezpečení bylo pro Microsoft vždy prioritou, uvědomujeme si, že digitální svět vyžaduje nepřetržitý pokrok v našem závazku, jak chráníme, detekujeme a reagujeme na hrozby kybernetické bezpečnosti. Tyto tři závazky definují náš přístup k kybernetické obraně a slouží jako užitečný rámec pro naši diskusi o strategiích a možnostech kybernetické obrany Microsoftu.

CHRÁNIT

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

Chránit

Prvním závazkem Microsoftu je chránit výpočetní prostředí, které naši zákazníci a zaměstnanci používají k zajištění odolnosti naší cloudové infrastruktury a služeb, produktů, zařízení a interních firemních prostředků společnosti před odhodlaných nežádoucími osobami.

Míry ochrany týmů CDOC zahrnují všechny koncové body, od senzorů a datacenter až po identity a aplikace SaaS (software jako služba). Indepth ochrany – použití kontrolních mechanismů na více vrstvách s překrývajícími se bezpečnostními opatřeními a strategiemi zmírnění rizik – je osvědčeným postupem v celém odvětví a je to přístup, který používáme k ochraně cenných zákaznických a firemních prostředků.

Taktika ochrany Microsoftu zahrnuje:

  • Rozsáhlé monitorování a kontroly fyzického prostředí našich globálních datacenter, včetně kamer, detekční kontroly pracovníků, plotů a bariér a více metod identifikace pro fyzický přístup.

  • Softwarově definované sítě, které chrání naši cloudovou infrastrukturu před vniknutím a útoky DDoS.

  • Vícefaktorové ověřování se používá v celé naší infrastruktuře k řízení správy identit a přístupu. Zajišťuje, aby kritické prostředky a data byly chráněny alespoň dvěma z následujících prostředků:
    • Něco, co znáte (heslo nebo PIN kód)
    • Něco, co jste (biometrika)
    • Něco, co máte (smartphone)
  • Non-persistent administration employs just-in-time (JIT) and just-enough administrator (JEA) privileges to engineering staff who manage infrastructure and services. To poskytuje jedinečnou sadu přihlašovacích údajů pro přístup se zvýšenými oprávněními, která automaticky vyprší po předem určené době trvání.

  • Správná hygiena se důsledně udržuje prostřednictvím aktuálního antimalwarového softwaru a dodržování přísné správy oprav a konfigurace.

  • Centrum společnosti Microsoft pro ochranu před škodlivým softwarem tým výzkumných pracovníků identifikuje, provede zpětnou analýzu a vytvoří podpisy malwaru a pak je nasadí do naší infrastruktury pro pokročilou detekci a obranu. Tyto podpisy se distribuují našim respondentům, zákazníkům a odvětví prostřednictvím Windows aktualizací a oznámení k ochraně svých zařízení.

  • Microsoft Security Development Lifecycle (SDL) je proces vývoje softwaru, který vývojářům pomáhá vytvářet bezpečnější software a řešit požadavky na dodržování předpisů zabezpečení a současně snižovat náklady na vývoj. SDL se používá k posílení všech aplikací, online služby a produktů a k rutinnímu ověřování jeho účinnosti prostřednictvím penetračního testování a kontroly ohrožení zabezpečení.

  • Modelování hrozeb a analýza prostoru pro útoky zajišťují posouzení potenciálních hrozeb, vyhodnocení zveřejněných aspektů služby a minimalizaci prostoru pro útok omezením služeb nebo eliminací nepotřebných funkcí.

  • Klasifikace dat podle jejich citlivosti a přijetí vhodných opatření k jejich ochraně, včetně šifrování během přenosu a neaktivních uložených dat, a vynucování zásady přístupu s nejnižšími oprávněními poskytuje další ochranu. • Školení pro zvyšování povědomí, které podporuje vztah důvěryhodnosti mezi uživatelem a bezpečnostním týmem, aby se vyvinulo prostředí, ve kterém budou uživatelé hlásit incidenty a anomálie bez obav z následků.

Bohatá sada kontrolních mechanismů a strategie hloubkové ochrany pomáhají zajistit, aby v případě selhání jedné oblasti existovaly kompenzační kontroly v jiných oblastech, které pomáhají udržovat zabezpečení a ochranu osobních údajů našich zákazníků, cloudových služeb a naší vlastní infrastruktury. Žádné prostředí však není skutečně neproniknutelné, protože lidé budou dělat chyby a odhodlaní nežádoucí osoby budou nadále hledat ohrožení zabezpečení a zneužít je. Významné investice, které v těchto vrstvách ochrany i nadále provádíme, a základní analýza nám umožňují rychle zjistit, kdy je přítomna neobvyklá aktivita.

ZJISTIT

57+ days is the industry's median number of days between infiltration and detection

Zjistit

Týmy CDOC využívají automatizovaný software, strojové učení, analýzu chování a forenzní techniky k vytvoření inteligentního grafu zabezpečení našeho prostředí. Tento signál je obohacený o kontextová metadata a modely chování generované ze zdrojů, jako jsou Active Directory, systémy správy prostředků a konfigurace a protokoly událostí.

Naše rozsáhlé investice do analýzy zabezpečení vytvářejí bohaté behaviorální profily a prediktivní modely, které nám umožňují "propojit tečky" a identifikovat pokročilé hrozby, které by jinak mohly být nezjištěné, a následně čelit silnému zachycování a koordinovaným nápravným aktivitám.

Microsoft také využívá software pro zabezpečení vyvinutý na míru spolu s oborovými nástroji a strojovým učením. Naše analýza hrozeb se neustále vyvíjí a automatizované rozšiřování dat umožňuje rychleji detekovat škodlivou aktivitu a hlásit je s vysokou věrností. Kontroly ohrožení zabezpečení se provádějí pravidelně za účelem testování a upřesnění účinnosti ochranných opatření. Šířka investic Microsoftu do jejího ekosystému zabezpečení a různých signálů monitorovaných týmy CDOC poskytují komplexnější pohled na hrozby, než je možné dosáhnout u většiny poskytovatelů služeb.

Taktika detekce Microsoftu zahrnuje:

  • Monitorování sítě a fyzických prostředí 24x7x365 pro potenciální události kybernetické bezpečnosti Profilace chování je založená na vzorech použití a porozumění jedinečným hrozbám pro naše služby.

  • Byly vyvinuty analýzy identity a chování, které zvýrazňují neobvyklou aktivitu.

  • Softwarové nástroje a techniky strojového učení se běžně používají ke zjišťování a označování nesrovnalostí.

  • Nasazují se pokročilé analytické nástroje a procesy, které dále identifikují neobvyklou aktivitu a inovativní možnosti korelace. To umožňuje vytvářet vysocecontextualizované detekce z obrovských objemů dat téměř v reálném čase.

  • Automatizované softwarové procesy, které se průběžně auditují a vyvíjejí kvůli vyšší efektivitě.

  • Datoví vědci a odborníci na zabezpečení běžně pracují vedle sebe na řešení eskalovaných událostí, které vykazují neobvyklé charakteristiky vyžadující další analýzu cílů. Potom mohou určit potenciální reakce a nápravné úsilí.

REAGOVAT

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

Reagovat

Když Microsoft zjistí neobvyklou aktivitu v našich systémech, aktivuje naše týmy pro reakce, aby se zapojily a rychle reagovaly přesnou silou. Oznámení ze softwarových systémů detekce procházejí našimi automatizovanými systémy odezvy pomocí algoritmů založených na rizicích k označení událostí vyžadujících zásah od našeho týmu odezvy. Mean-Time-to-Mitigate je prvořadý a náš automatizační systém poskytuje respondentům relevantní informace s možností reakce, které urychlují třídění, zmírnění rizik a obnovení.

Abychom mohli spravovat incidenty zabezpečení v tak rozsáhlém měřítku, nasadíme vrstvený systém, který efektivně přiřadí úlohy odezvy ke správnému prostředku a usnadní racionální eskalace.

Taktika reakce Microsoftu zahrnuje:

  • Automatizované systémy odpovědí používají algoritmy založené na rizicích k označení událostí vyžadujících zásah člověka.

  • Automatizované systémy odpovědí používají algoritmy založené na rizicích k označení událostí vyžadujících zásah člověka.

  • Dobře definované, dokumentované a škálovatelné procesy reakce na incidenty v rámci modelu průběžného vylepšování nám pomáhají udržet nás před nežádoucími osobami tím, že je zpřístupní všem respondentům.

  • Odborné znalosti týkající se předmětu napříč našimi týmy v různých oblastech zabezpečení poskytují různé dovednosti pro řešení incidentů. Odborné znalosti zabezpečení v oblasti reakce na incidenty, forenzní analýzy a analýzy vniknutí; a hluboké porozumění platformám, službám a aplikacím, které fungují v našich cloudových datacentrech.

  • Široké podnikové vyhledávání v cloudu, hybridních a místních datech a systémech za účelem určení rozsahu incidentu.

  • Specialisté provádějí hloubkové forenzní analýzy závažných hrozeb, aby porozuměli incidentům a pomohli při jejich zachytávání a eradikaci. • Softwarové nástroje, automatizace a hyperškální cloudová infrastruktura od Microsoftu umožňují našim odborníkům na zabezpečení zkrátit čas na detekci, zkoumání, analýzu, reakci a zotavení z kybernetických útoků.

  • Penetrační testování se používá ve všech produktech a službách Microsoftu prostřednictvím probíhajících cvičení Red Team/Blue Team k odkrytí ohrožení zabezpečení, než skutečný nežádoucí osoba může tyto slabé body využít k útoku.

Cyberdefense pro naše zákazníky

Často se nás ptáme, jaké nástroje a procesy mohou naši zákazníci přijmout pro své vlastní prostředí a jak může Microsoft pomoci při jejich implementaci. Microsoft konsolidoval řadu produktů a služeb pro kybernetickou definici, které používáme v CDOC, do řady produktů a služeb. Týmy Microsoft Enterprise Cybersecurity Group a Microsoft Consulting Services se spojují s našimi zákazníky a poskytují řešení, která jsou nejvhodnější pro jejich konkrétní potřeby a požadavky.

Jedním z prvních kroků, které Microsoft důrazně doporučuje, je vytvořit základ zabezpečení. Naše základní služby poskytují ochranu kritického útoku a základní služby pro povolení identity, které vám pomůžou zajistit ochranu prostředků. Základ vám pomůže urychlit cestu k digitální transformaci a přejít k bezpečnějšímu modernímu podniku.

Na základě tohoto základu pak zákazníci mohou využívat řešení, která byla prokazatelně úspěšná s ostatními zákazníky Microsoftu, a nasadit je ve vlastních prostředích IT a cloudových služeb microsoftu. Další informace o našich podnikových nástrojích pro kybernetickou bezpečnost, možnostech a nabídkách služeb najdete na Microsoft.com/security a kontaktujte naše týmy na adrese cyberservices@microsoft.com.

Osvědčené postupy pro ochranu vašeho prostředí

Investovat do vaší platformy Investovat do instrumentace Investujte do svých lidí
Agilita a škálovatelnost vyžadují plánování a vytváření platformy pro povolení Ujistěte se, že provádíte úplné měření prvků na platformě. Zkušení analytici a datoví vědci jsou základem obrany, zatímco uživatelé představují novou bezpečnostní hranici.
Udržování dobře zdokumentovaného inventáře vašich prostředků Získání nebo sestavení nástrojů potřebných k úplnému monitorování sítě, hostitelů a protokolů Establsih vztahy a komunikační linky mezi týmem reakce na incidenty a dalšími skupinami
Mít dobře definované zásady zabezpečení s jasnými standardy a pokyny pro vaši organizaci Proaktivní údržba kontrol a měr a pravidelné testování jejich přesnosti a účinnosti Přijmout principy minimálního oprávnění správce; odstranění trvalých práv správce
Udržujte správnou hygienu – většinu útoků lze zabránit včasnou opravou a antivirovým programem. Udržování těsné kontroly nad zásadami správy změn Využití procesu získaného z lekcí k získání hodnoty z každého velkého incidentu
Použití vícefaktorového ověřování k posílení ochrany účtů a zařízení Monitorování neobvyklé aktivity účtu a přihlašovacích údajů za účelem zjištění zneužití Zařazení, vzdělávání a podpora uživatelů k rozpoznávání pravděpodobných hrozeb a jejich vlastní role při ochraně obchodních dat