Microsoft Cybersecurity Defense Operations Center

  • Článek

Sharing Microsoft's best practices to protect, detect, and respond to cybersecurity threats

Kybernetická bezpečnost je sdílená odpovědnost, která nás ovlivňuje. V současné době může jediné porušení zabezpečení, fyzické nebo virtuální, způsobit miliony dolarů škod organizace a potenciálně miliardy v finančních ztrátách globální ekonomiky. Každý den vidíme zprávy o kybernetických zločincích, které cílí na podniky a jednotlivce za účelem finančního zisku nebo sociálně motivovaného účelu. Přidejte k těmto hrozbám ty, kdož se státem snaží narušit provoz, vést špionáž nebo obecně podkopávat důvěru.

V tomto stručném přehledu sdílíme stav online zabezpečení, aktéři hrozeb a sofistikované taktiky, které používají k tomu, aby si pomohli s postupem svých cílů a jak Microsoft cyber defense Operations Center bojuje proti těmto hrozbám a pomáhá zákazníkům chránit citlivé aplikace a data.



Microsoft Cyber Defense Operations Center

Centrum Microsoft Cyber Defense Operations Center

Microsoft se hluboce zavázal, že online svět bude pro každého bezpečnější. Strategie kybernetické bezpečnosti naší společnosti se vyvinuly z jedinečného přehledu, který jsme získali do rychle se vyvíjejícího kybernetického prostředí.

Inovace v prostoru útoku napříč lidmi, místy a procesy jsou nezbytné a neustálé investice, které všichni potřebujeme udělat, protože nežádoucí osoby se neustále vyvíjejí v rámci určení i sofistikovanosti. V reakci na zvýšené investice do strategií obrany mnoha organizací se útočníci přizpůsobují a vylepšují taktiku rychlostí kritického bodu. Kyberdefendery, jako jsou globální týmy microsoftu pro zabezpečení informací, naštěstí také inovují a narušují dlouhotrvající metody útoků s průběžnými, pokročilými školeními a moderními technologiemi zabezpečení, nástroji a procesy.

Microsoft Cyber Defense Operations Center (CDOC) je jedním z příkladů více než 1 miliardy DOLARŮ, které každý rok investujeme do zabezpečení, ochrany dat a řízení rizik. CDOC spojuje specialisty na kybernetickou bezpečnost a datové vědce v zařízení 24x7 pro boj proti hrozbám v reálném čase. Jsme připojení k více než 3 500 odborníkům na zabezpečení po celém světě v rámci našich vývojových týmů produktů, skupin zabezpečení informací a právních týmů pro ochranu naší cloudové infrastruktury a služeb, produktů a zařízení a interních prostředků.

Microsoft investoval do naší cloudové infrastruktury více než 15 miliard DOLARŮ, přičemž více než 90 procent společností z Fortune 500 využívá cloud Microsoftu. Dnes vlastníme a provozujeme jednu z největších cloudových stop světa s více než 100 geograficky distribuovanými datovými centry, 200 cloudovými službami, miliony zařízení a miliardami zákazníků po celém světě.

Aktéři kybernetické bezpečnosti a motivace

Prvním krokem k ochraně lidí, zařízení, dat a kritické infrastruktury je pochopení různých typů subjektů hrozeb a jejich motivace.
  • Kyberzločinci zahrnují několik podkategorií, i když často sdílejí společnou motivaci – finanční, inteligentní a/nebo sociální nebo politické zisky. Jejich přístup je obvykle přímý – infiltrací finančního datového systému, přeskakováním mikrosměrných objemů příliš malých, než aby bylo zjištěno a ukončeno před jejich zjištěním. Udržování trvalé, klanové přítomnosti je zásadní pro splnění jejich cíle.

    Jejich přístup může být neoprávněným vniknutím, které odvádí velké finanční výplaty prostřednictvím bludiště účtů, aby se vyhýbaly sledování a zásahu. V některých případech je cílem ukrást duševní vlastnictví, které cíl vlastní, aby kybernetická kriminalita fungovala jako zprostředkovatel k poskytování návrhu produktu, zdrojového kódu softwaru nebo jiných vlastnických informací, které mají hodnotu pro konkrétní entitu. Více než polovina těchto aktivit je pronáslovněna organizovanými zločineckými skupinami.

  • Státní aktéři pracují pro vládu, aby narušila nebo narušila cílené vlády, organizace nebo jednotlivce, aby získaly přístup k cenným datům nebo inteligenci. Jsou zapojeni do mezinárodních věcí, aby ovlivnili a řídili výsledek, který může těžit ze země nebo zemí. Cílem národního aktéra je narušit provoz, vést špionáž proti společnostem, ukrást tajemství od jiných vlád nebo jinak podkopávat důvěru v instituce. Pracují s velkými prostředky, které mají k dispozici, a bez obav z právního přiřazení, a to s sadou nástrojů, která se nachází od jednoduchých až po vysoce složité.

    Národní státní aktéři mohou přilákat některé z nejdůmyslnějších kyberhacking talentů a mohou táhnout své nástroje k bodu zbraně. Jejich přístup k neoprávněným vniknutím často zahrnuje pokročilou trvalou hrozbu, která využívá superkomputující výkon k narušení přihlašovacích údajů prostřednictvím milionů pokusů o přístup ke správnému heslu. Mohou také použít hyper-cílené útoky phishing k přilákání insidera k odhalení svých přihlašovacích údajů.

  • Vnitřní hrozby jsou obzvláště náročné kvůli neprediktovatelnosti lidského chování. Motivace pro insider možná oportunistické a finanční zisky. Existuje však několik příčin potenciálních vnitřních hrozeb, které se nacházejí od jednoduché neopatrnosti až po sofistikovaná schémata. Řada porušení zabezpečení dat vyplývajících z vnitřních hrozeb je zcela neúmyslná kvůli náhodné nebo negligentní aktivitě, která organizaci vystavuje riziko, aniž by si byla vědoma ohrožení zabezpečení.

  • Hacktivisté se zaměřují na politické a/nebo sociálně motivované útoky. Snaží se být viditelné a rozpoznané ve zprávách, aby upoutat pozornost na sebe a jejich příčinu. Mezi jejich taktiky patří útoky DDoS (Distributed Denial-of-Service), zneužití ohrožení zabezpečení nebo defacing online přítomnosti. Spojení se sociálními nebo politickými problémem může být cílem jakékoli společnosti nebo organizace. Sociální média umožňují hacktivistům rychle aktivovat jejich příčinu a přijímat ostatní, aby se zapojili.


$4 million is the average cost of data breach in 2017

Techniky objektu actor pro hrozby

Nežádoucí osoba jsou schopní najít způsoby, jak proniknout do sítě organizace navzdory ochraně na místě pomocí různých sofistikovaných technik. Několik taktik se pohybuje od prvních dnů internetu, i když ostatní odrážejí kreativitu a zvyšující se sofistikovanost dnešních nežádoucích osob.

  • Sociální inženýrství je obecný termín útoku, který uživatele nutí k jednání nebo vyzrazování informací, které by jinak nedělali. Sociální inženýrství hraje na dobré záměry většiny lidí a jejich ochota být užitečné, vyhnout se problémům, důvěřovat známým zdrojům nebo potenciálně získat odměnu. Další vektory útoku mohou spadat pod deštník sociálního inženýrství, ale následující jsou některé z atributů, které usnadňují rozpoznání a obranu taktiky sociálního inženýrství:
    • Phishingové e-maily jsou účinným nástrojem, protože hrají proti nejslabšímu odkazu v řetězu zabezpečení – každodenní uživatelé, kteří si o zabezpečení sítě nepřemýšlí jako o nejvyšší pozornosti. Phishingová kampaň může pozvat nebo vyděsit uživatele, aby neúmyslně sdílel své přihlašovací údaje tím, že je oklamat kliknutím na odkaz, kterému věří, že je legitimní web nebo si stáhne soubor, který obsahuje škodlivý kód. Phishingové e-maily bývaly špatně napsané a snadno rozpoznatelné. V současné době se nežádoucí osoba stala nechtěnou v mimicking legitimních e-mailech a cílových webech, které se obtížně identifikují jako podvodné.
    • Falšování identity zahrnuje nežádoucí osobu maskující jako jiného legitimního uživatele tím, že falšuje informace prezentované aplikaci nebo síťovému prostředku. Příkladem je e-mail, který přijde zdánlivě s adresou kolegy žádajícího o akci, ale adresa skrývá skutečný zdroj odesílatele e-mailu. Podobně může být adresa URL falšována tak, aby se zobrazovala jako legitimní web, ale skutečná IP adresa ve skutečnosti ukazuje na web kyberzločina.

  • Malware s námi byl od úsvitu computingu. Dnes vidíme silný up-tick v ransomwaru a škodlivý kód speciálně určený k šifrování zařízení a dat. Cybercriminals pak požaduje platbu v kryptografii, aby klíče odemknout a vrátit kontrolu oběti. K tomu může dojít na úrovni jednotlivých počítačů a datových souborů nebo teď častěji pro celý podnik. Použití ransomwaru je obzvláště výrazné v oblasti zdravotní péče, protože následky života nebo smrti, které tyto organizace čelí, jsou vysoce citlivé na výpadky sítě.

  • Vložení dodavatelského řetězce je příkladem kreativního přístupu k vkládání malwaru do sítě. Například napadením procesu aktualizace aplikace nežádoucí osoba obchází antimalwarové nástroje a ochranu. Vidíme, že tato technika se stává častější a tato hrozba bude i nadále růst, dokud vývojáři aplikací nenaplní komplexnější ochranu zabezpečení.

  • Útoky typu man-in-the-middlezahrnují nežádoucí osobu, která se vkládá mezi uživatele a prostředek, ke kterým přistupuje, a tím zachytává důležité informace, jako jsou přihlašovací údaje uživatele. Například kyberzločin v kavárně může využívat software pro protokolování klíčů k zachycení přihlašovacích údajů domény uživatelů při připojení k síti Wi-Fi. Aktér hrozby pak může získat přístup k citlivým informacím uživatele, jako jsou bankovní a osobní údaje, které můžou používat nebo prodávat na tmavém webu.

  • Útoky DDoS (Distributed Denial of Service) jsou více než deset let a jsou masivní útoky stále častější s rychlým růstem internetu věcí (IoT). Při použití této techniky nežádoucí osoba zahltí web tím, že ho bombarduje škodlivým provozem, který vytěsňuje legitimní dotazy. Dříve zasazený malware se často používá k napadení zařízení IoT, jako je webová kamera nebo inteligentní termostat. Při útoku DDoS zahltit příchozí provoz z různých zdrojů síť mnoha požadavky. Tím zahltíte servery a odmítnete přístup z legitimních požadavků. Mnoho útoků zahrnuje také zatěžování IP adres odesílatele (falšování identity IP adres), aby umístění napadených počítačů nebylo možné snadno identifikovat a porazit.

    Často se útok na dostupnost služby používá k pokrytí nebo rozptylování od náchylnějšího úsilí proniknout do organizace. Ve většině případů je cílem nežádoucího uživatele získat přístup k síti pomocí ohrožených přihlašovacích údajů a pak se v síti přesunout později, abyste získali přístup k "výkonnějším" přihlašovacím údajům, které jsou klíči k nejcitlivějším a nejhodnotnějším informacím v organizaci.


90% of all cyberattacks start with a phishing email

Hrozba kyberprostoru

Rostoucí možností kyberwarfare je dnes jedním z hlavních obav mezi vládami a občany. Zahrnuje národní státy, které používají a cílí na počítače a sítě v boji.

Útočné i obranné operace se používají k provedení kybernetických útoků, špionáže a sabotáže. Národní státy vyvíjejí své schopnosti a po mnoho let se zabývají kybernetickými hrozbami, a to buď jako aggresoři, obžalovaní, nebo obojí.

Nové nástroje a taktiky hrozeb vyvinuté prostřednictvím pokročilých vojenských investic mohou být také porušeny a kyberzločinci mohou být sdíleny online a zbraňovány kyberzločinci pro další použití.

Stav kybernetické bezpečnosti Microsoftu

I když je zabezpečení pro Microsoft vždy prioritou, uvědomujeme si, že digitální svět vyžaduje nepřetržitý pokrok v našem závazku, jak chráníme, detekujeme a reagujeme na hrozby kybernetické bezpečnosti. Tyto tři závazky definují náš přístup k kybernetické obraně a slouží jako užitečný rámec pro naši diskuzi o strategiích a možnostech kybernetické obrany Microsoftu.

CHRÁNIT

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

Ochrana

Prvním závazkem Microsoftu je chránit výpočetní prostředí používané našimi zákazníky a zaměstnanci, aby zajistili odolnost naší cloudové infrastruktury a služeb, produktů, zařízení a interních podnikových prostředků společnosti před určenými nežádoucími osobami.

Ochrana týmů CDOC zahrnuje všechny koncové body, od senzorů a datacenter až po identity a aplikace SaaS (software jako služba). Ochrana proti ochraně – použití ovládacích prvků na více vrstvách s překrývajícími se bezpečnostními ochranami a strategiemi pro zmírnění rizik – je osvědčeným postupem v celém odvětví a je to přístup, který jsme použili k ochraně cenných zákazníků a firemních prostředků.

Mezi taktiky ochrany Microsoftu patří:

  • Rozsáhlé monitorování a kontroly nad fyzickým prostředím našich globálních datacenter, včetně kamer, blokování personálu, plotů a bariér a více metod identifikace fyzického přístupu.

  • Softwarově definované sítě, které chrání naši cloudovou infrastrukturu před neoprávněným vniknutím a útoky DDoS.

  • Vícefaktorové ověřování se používá v rámci naší infrastruktury k řízení správy identit a přístupu. Zajišťuje ochranu důležitých prostředků a dat alespoň dvěma z následujících:
    • Něco, co znáte (heslo nebo PIN kód)
    • Něco, co jste (biometrické údaje)
    • Něco, co máte (smartphone)
  • Non-trvalá správa využívá oprávnění JIT (just-in-time) a just-enough administrator (JEA) pro technické pracovníky, kteří spravují infrastrukturu a služby. Poskytuje jedinečnou sadu přihlašovacích údajů pro přístup se zvýšenými oprávněními, jejichž platnost automaticky vyprší po předem určené době trvání.

  • Správná hygiena je pečlivě udržována prostřednictvím aktuálního antimalwarového softwaru a dodržování striktního opravy a správy konfigurace.

  • Centrum společnosti Microsoft pro ochranu před škodlivým softwarem tým výzkumných pracovníků identifikují, zpětně analyzovat a vyvíjet podpisy malwaru a pak je nasazovat do naší infrastruktury pro pokročilou detekci a obranu. Tyto podpisy se distribuují našim respondentům, zákazníkům a odvětví prostřednictvím služba Windows Update a oznámení pro ochranu svých zařízení.

  • SDL (Microsoft Security Development Lifecycle) je proces vývoje softwaru, který vývojářům pomáhá vytvářet bezpečnější software a řešit požadavky na dodržování předpisů zabezpečení a zároveň snižovat náklady na vývoj. SDL slouží k posílení všech aplikací, online služby a produktů a k rutinnímu ověření jeho účinnosti prostřednictvím penetračního testování a kontroly ohrožení zabezpečení.

  • Modelování hrozeb a analýza prostorů pro útoky zajišťuje, že se vyhodnotí potenciální hrozby, vyhodnotí se vystavené aspekty služby a prostor pro útok se minimalizuje omezením služeb nebo odstraněním nepotřebných funkcí.

  • Klasifikace dat podle jejich citlivosti a přijetí vhodných opatření k jejich ochraně, včetně šifrování během přenosu a neaktivních uložených dat, a vynucování zásady přístupu s nejnižšími oprávněními poskytuje dodatečnou ochranu. • Školení pro povědomí, které podporuje vztah důvěryhodnosti mezi uživatelem a týmem zabezpečení, aby vytvořilo prostředí, ve kterém budou uživatelé hlásit incidenty a anomálie bez obav z ohrožení.

Když máte bohatou sadu ovládacích prvků a hloubkovou strategii ochrany, pomůže vám zajistit, aby v případě selhání jakékoli oblasti došlo k kompenzačním kontrolním mechanismům v jiných oblastech, které pomáhají udržovat zabezpečení a ochranu osobních údajů našich zákazníků, cloudových služeb a vlastní infrastrukturu. Žádné prostředí však není skutečně neproniknutelné, protože lidé budou dělat chyby a určení nežádoucí osoby budou dál hledat ohrožení zabezpečení a zneužít je. Významné investice, které v těchto vrstvách ochrany a základní analýze nadále provádíme, nám umožňují rychle zjišťovat, kdy je přítomna neobvyklá aktivita.

ZJISTIT

57+ days is the industry's median number of days between infiltration and detection

Zjistit

Týmy CDOC využívají automatizovaný software, strojové učení, analýzu chování a forenzní techniky k vytvoření inteligentního grafu zabezpečení našeho prostředí. Tento signál je rozšířen o kontextová metadata a modely chování generované ze zdrojů, jako jsou Active Directory, systémy správy prostředků a konfigurace a protokoly událostí.

Naše rozsáhlé investice do analýzy zabezpečení vytvářejí bohaté profily chování a prediktivní modely, které nám umožňují "propojit tečky" a identifikovat pokročilé hrozby, které by jinak mohly být nezjištěné, a pak čítač se silnými omezujícími a koordinovanými nápravnými aktivitami.

Microsoft také využívá vlastní vyvíjený bezpečnostní software spolu s oborovými nástroji a strojovým učením. Naše analýza hrozeb se neustále vyvíjí s automatizovaným rozšiřováním dat za účelem rychlejšího zjišťování škodlivých aktivit a vytváření sestav s vysokou věrností. Kontroly ohrožení zabezpečení se provádějí pravidelně za účelem testování a zpřesnění účinnosti ochranných opatření. Rozsah investic Microsoftu do svého ekosystému zabezpečení a různé signály monitorované týmy CDOC poskytují komplexnější pohled na hrozby, než může dosáhnout většina poskytovatelů služeb.

Mezi taktiky detekce Microsoftu patří:

  • Monitorování síťových a fyzických prostředí 24x7x365 pro potenciální události kybernetické bezpečnosti. Profilace chování je založená na vzorech použití a porozumění jedinečným hrozbám pro naše služby.

  • Analýzy identit a chování se vyvíjejí tak, aby zvýrazňovaly neobvyklou aktivitu.

  • Softwarové nástroje a techniky strojového učení se běžně používají ke zjišťování nesrovnalostí a jejich označení příznakem.

  • Pokročilé analytické nástroje a procesy se nasazují k další identifikaci neobvyklých aktivit a inovativních schopností korelace. To umožňuje vytváření vysocekontextualizovaných detekcí z obrovských objemů dat téměř v reálném čase.

  • Automatizované softwarové procesy, které se průběžně auditují a vyvíjejí, aby se zvýšila efektivita.

  • Odborníci na data a odborníci na zabezpečení běžně pracují souběžně na řešení eskalovaných událostí, které vykazují neobvyklé charakteristiky vyžadující další analýzu cílů. Pak můžou určit potenciální reakce a nápravné úsilí.

REAGOVAT

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

Reakce

Když Microsoft v našich systémech detekuje neobvyklou aktivitu, aktivuje naše týmy reakce, aby se zapojily a rychle reagovaly přesnou silou. Oznámení ze softwarových systémů detekce procházejí našimi automatizovanými systémy odezvy pomocí algoritmů založených na riziku k označení událostí vyžadujících zásah od našeho týmu odpovědí. Střední doba zmírnění je zásadní a náš automatizační systém poskytuje reagující s relevantními a použitelnými informacemi, které urychlují třídění, zmírnění rizik a obnovení.

Abychom mohli spravovat bezpečnostní incidenty v takovém masivním měřítku, nasadíme vrstvený systém, který efektivně přiřadí úkoly reakce na správný prostředek a usnadní cestu racionalizace.

Mezi taktiky reakce Microsoftu patří:

  • Automatizované systémy reakce používají algoritmy založené na rizicích k označení událostí vyžadujících lidský zásah.

  • Automatizované systémy reakce používají algoritmy založené na rizicích k označení událostí vyžadujících lidský zásah.

  • Dobře definované, zdokumentované a škálovatelné procesy reakce na incidenty v rámci modelu průběžného vylepšování nám pomáhají udržet nás před nežádoucími osobami tím, že je zpřístupní všem respondentům.

  • Odborné znalosti jednotlivých týmů v různých oblastech zabezpečení poskytují různorodou sadu dovedností pro řešení incidentů. Odborné znalosti zabezpečení v reakci na incidenty, forenzní analýzy a analýzy neoprávněných vniknutí; a hluboké porozumění platformám, službám a aplikacím, které fungují v našich cloudových datacentrech.

  • Široké podnikové vyhledávání napříč cloudovými, hybridními a místními daty a systémy za účelem určení rozsahu incidentu

  • Hloubková forenzní analýza hlavních hrozeb provádí specialisté, aby porozuměli incidentům a pomohli při jejich zachytění a eradikaci. • Softwarové nástroje Microsoftu, automatizace a hyper-škálovaná cloudová infrastruktura umožňují našim odborníkům na zabezpečení zkrátit dobu detekce, zkoumání, analýzy, reakce a zotavení z kybernetických útoků.

  • Testování průniku se používá ve všech produktech a službách Microsoftu prostřednictvím probíhajících cvičení týmu Red Team/Blue Team k odkrytým ohrožením zabezpečení předtím, než skutečný nežádoucí osoba může využít tyto slabé body pro útok.

Cyberdefense pro naše zákazníky

Často se ptáme, jaké nástroje a procesy můžou naši zákazníci přijmout pro své vlastní prostředí a jak může Microsoft pomoct s implementací. Společnost Microsoft konsolidovala řadu produktů a služeb, které používáme v CDOC, do řady produktů a služeb. Týmy Microsoft Enterprise Cybersecurity Group a Microsoft Consulting Services se zabývají našimi zákazníky, aby poskytovaly řešení, která jsou nejvhodnější pro jejich konkrétní potřeby a požadavky.

Jedním z prvních kroků, které Microsoft důrazně doporučuje, je vytvoření základu zabezpečení. Naše základní služby poskytují kritickou ochranu proti útokům a základní služby pro povolení identit, které vám pomůžou zajistit ochranu prostředků. Základ vám pomůže urychlit cestu digitální transformace k přechodu k bezpečnějšímu modernímu podniku.

Na základě těchto základů pak můžou zákazníci využít řešení, která se osvědčila s ostatními zákazníky Microsoftu, a nasadit je do vlastních prostředí IT a cloudových služeb Microsoftu. Další informace o našich podnikových nástrojích kybernetické bezpečnosti, možnostech a nabídkách služeb najdete v Microsoft.com/security a kontaktujte naše týmy na adrese cyberservices@microsoft.com.

Osvědčené postupy pro ochranu prostředí

Investice do platformy Investujte do instrumentace Investujte do svých lidí
Flexibilita a škálovatelnost vyžadují plánování a vytváření platformy pro povolení Ujistěte se, že důkladně měříte prvky ve vaší platformě. Zkušení analytici a datoví vědci jsou základem obrany, zatímco uživatelé jsou novým hraničním zabezpečením.
Údržba dobře zdokumentovaného inventáře vašich prostředků Získání a/nebo sestavení nástrojů potřebných k úplnému monitorování sítě, hostitelů a protokolů Vztahy a čáry komunikace mezi týmem reakce na incidenty a dalšími skupinami
Mít dobře definované zásady zabezpečení s jasnými standardy a pokyny pro vaši organizaci Aktivně udržujte kontroly a opatření a pravidelně je testujte pro přesnost a účinnost. Přijmout zásady správce nejnižších oprávnění; odstranění trvalých práv správce
Udržovat správnou hygienu – většina útoků může být zabráněna včasnými opravami a antivirovým programem. Zajištění těsné kontroly nad zásadami správy změn Získání hodnoty z každého závažného incidentu pomocí získaných poznatků
Použití vícefaktorového ověřování k posílení ochrany účtů a zařízení Monitorování neobvyklé aktivity účtu a přihlašovacích údajů za účelem detekce zneužití Zařazení, vzdělávání a podpora uživatelů k rozpoznání pravděpodobných hrozeb a jejich vlastní role při ochraně obchodních dat