Share via

Implementace infrastruktury ochrany před únikem informací a obnovení zabezpečení

  • Článek

V rámci nulová důvěra (Zero Trust) pokynů k přijetí je tento článek součástí scénáře Prevence nebo omezení obchodních škod z narušení zabezpečení a popisuje, jak chránit vaši organizaci před kybernetickými útoky. Tento článek se zaměřuje na to, jak nasadit další bezpečnostní opatření, která brání narušení zabezpečení a omezují jeho šíření a vytvoření a otestování infrastruktury provozní kontinuity a zotavení po havárii (BCDR), aby se rychleji zotavila z destruktivního porušení zabezpečení.

Pro prvky zásady Předpokládat porušení nulová důvěra (Zero Trust) hlavní zásadu:

  • Minimalizace poloměru výbuchu a přístupu k segmentům

    Popsané v tomto článku.

  • Ověření kompletního šifrování

    Popsané v tomto článku.

  • Použití analýz k získání viditelnosti, řízení detekce hrozeb a zlepšení ochrany

    Popisuje se v článku implementace ochrany před hrozbami a XDR .

Tento článek předpokládá, že jste už modernizovali stav zabezpečení.

Cyklus přijetí pro implementaci infrastruktury ochrany před únikem informací a obnovení zabezpečení

Tento článek vás provede implementací infrastruktury ochrany před porušením zabezpečení a obnovením infrastruktury prevence nebo omezení obchodních škod z obchodního scénáře porušení zabezpečení pomocí stejných fází životního cyklu jako architektura přechodu na cloud pro Azure – definování strategie, plánu, připravenosti, přijetí a řízení a správy – ale přizpůsobená nulová důvěra (Zero Trust).

Diagram procesu přijetí pro cíl nebo sadu cílů

Následující tabulka je přístupná verze obrázku.

Definování strategie Plánování Připraven Přijetí Řízení a správa
Výsledky

Organizační sladění

Strategické cíle		 Tým účastníků

Technické plány

Připravenost dovedností		 Vyhodnotit

Test

Pilotní program		 Přírůstkové implementace napříč vašimi digitálními aktivy Sledování a měření

Monitorování a zjišťování

Iterace pro splatnost

Další informace o cyklu přechodu nulová důvěra (Zero Trust) najdete v přehledu architektury přechodu na nulová důvěra (Zero Trust).

Další informace o scénáři "Prevence nebo snížení obchodních škod z porušení zabezpečení" najdete v tématu:

Definování fáze strategie

Diagram procesu přijetí pro jeden cíl nebo sadu cílů se zvýrazněnou fází Definovat strategii

Fáze definovat strategii je důležitá k definování a formalizaci našeho úsilí – formalizuje "Proč?" tohoto scénáře. V této fázi rozumíte scénáři prostřednictvím obchodních, IT, provozních a strategických perspektiv. Definujete výsledky, proti kterým se má měřit úspěch ve scénáři, abyste pochopili, že zabezpečení je přírůstková a iterativní cesta.

Tento článek navrhuje motivaci a výsledky, které jsou relevantní pro mnoho organizací. Tyto návrhy vám pomůžou vylepšit strategii pro vaši organizaci na základě vašich jedinečných potřeb.

Motivace pro implementaci infrastruktury ochrany před únikem informací a obnovení zabezpečení

Motivace pro prevenci úniků zabezpečení a infrastrukturu obnovení jsou jednoduché, ale různé části vaší organizace mají různé pobídky pro tuto práci. Následující tabulka shrnuje některé z těchto motivací.

Plocha Motivace
Obchodní potřeby Provoz firmy se stavem ochrany před únikem informací a obnovením jako rozšíření zabezpečení. Vaše firma se může zotavit z porušení zabezpečení, které by obsahovalo škody v jedné nebo více oblastech a současně pokračovat v podnikání jako v normálním stavu.
Potřeby IT Pokud chcete implementovat technologie a disciplíny pro snížení pravděpodobnosti porušení zabezpečení, jako je aktualizace místních systémů a koncových bodů a nasazení prostředků honeypotu, aby se rušily a oklamaly útočníky, a současně udržovat nekompromisní přístup k zabezpečení a zřizování identit.
Provozní potřeby K implementaci ochrany před únikem informací a obnovení jako standardních provozních postupů. Porušení zabezpečení se očekávají a v době, kdy to není žádoucí, je možné zmírnit pro vaši firmu ve svislém směru.
Strategické potřeby Pokud chcete inkrementálně zvýšit schopnost vaší firmy zotavit se z porušení zabezpečení, což může snížit návratnost investic kybernetickým útočníkům a zároveň zvýšit provozní odolnost. Princip předpokládat porušení nulová důvěra (Zero Trust) vás nutí plánovat a spouštět změny a aktualizace, abyste zajistili přežití firmy, minimalizovali porušení a zkrátili dobu obnovení porušení zabezpečení.

Výsledky implementace infrastruktury ochrany před únikem informací a obnovení zabezpečení

Použití celkového cíle nulová důvěra (Zero Trust) na "nikdy nedůvěřovat, vždy ověřit" na ochranu před únikem informací a snížit úroveň ochrany přidává do vašeho prostředí významnou vrstvu ochrany. Je důležité jasně určit výsledky, které očekáváte, abyste dosáhli správné rovnováhy ochrany pro všechny zúčastněné týmy. Následující tabulka obsahuje navrhované cíle a výsledky.

Účel Výsledek
Obchodní výsledky Postupy ochrany před únikem informací a obnovení vedou k minimálním nákladům spojeným s porušením a rychlým obnovením obchodních procesů.
Řízení Nástroje a systémy a nástroje pro ochranu před únikem informací jsou nasazené a interní procesy jsou testovány a připravené na porušení zabezpečení.
Odolnost organizace Mezi ochranou před únikem zabezpečení a obnovením a proaktivní ochranou před hrozbami se vaše organizace může rychle zotavit z útoku a zabránit budoucím útokům svého typu.
Zabezpečení Ochrana před únikem informací a obnovení jsou integrované do vašich celkových požadavků na zabezpečení a zásad.

Fáze plánování

Diagram procesu přijetí pro jeden cíl nebo sadu cílů se zvýrazněnou fází plánu

Plány přijetí převádějí zásady nulová důvěra (Zero Trust) strategie na akční plán. Vaše kolektivní týmy můžou plán přechodu využít k vedení technického úsilí a jejich sladění s obchodní strategií vaší organizace.

Motivace a výsledky, které definujete společně s obchodními vedoucími a týmy, podporují "Proč?" pro vaši organizaci a stanou se severní hvězdou pro vaši strategii. Dále přichází technické plánování k dosažení cílů.

Technický přechod na implementaci ochrany před únikem informací a obnovení zahrnuje:

  • Nastavení služby Microsoft Entra Privileged Identity Management (PIM) pro ochranu správce a dalších privilegovaných účtů pro přístup za běhu (JIT).
  • Zvýšení zabezpečení síťové infrastruktury
  • Nasazení prostředků honeypotu ve vaší síti za účelem včasného nalákání útočníků a zjištění jejich přítomnosti.
  • Implementace komplexní infrastruktury oprav pro udržování serverů a zařízení v aktualizovaném stavu
  • Začněte používat Správa insiderských rizik Microsoft Purview.
  • Nasazení infrastruktury BCDR pro rychlé zotavení po destruktivním kybernetickém útoku.

Mnoho organizací může k těmto cílům nasazení přistupovat ve čtyřech fázích, které jsou shrnuté v následující tabulce.

Fáze 1 Fáze 2 Fáze 3 Fáze 4
Zabezpečení privilegovaných účtů

Segmentace sítě

Implementace Azure Site Recovery pro zajištění kontinuity kritických úloh

Šifrování síťové komunikace		 Implementace služby Microsoft 365 Backup a Azure Backup pro důležitá obchodní data

Implementace plánu oprav

Vytváření prostředků honeypotu

Začínáme s Správa insiderských rizik Microsoft Purview		 Implementace služby Microsoft 365 Backup a Azure Backup pro všechna obchodní data

Implementace Azure Site Recovery pro všechny úlohy

Získání viditelnosti síťového provozu

Návrh reakce na hrozby a provozní kontinuitu a zotavení po havárii (BCDR)		 Ukončení starší verze technologie zabezpečení sítě

Procvičení hrozeb a odezvy BCDR

Pokud tento fázovaný přístup funguje pro vaši organizaci, můžete použít:

  • Tato prezentace PowerPointu ke stažení pro prezentaci a sledování vašeho pokroku prostřednictvím těchto fází a cílů pro vedoucí pracovníky a další zúčastněné strany. Tady je snímek pro tento obchodní scénář.

    Snímek PowerPointu pro fáze nasazení implementace ochrany před únikem informací a obnovení

  • Tento excelový sešit slouží k přiřazení vlastníků a sledování průběhu těchto fází, cílů a jejich úkolů. Tady je list pro tento obchodní scénář.

    List sledování průběhu pro nasazení infrastruktury pro prevenci porušení zabezpečení a obnovení.

Vysvětlení vaší organizace

Tento doporučený postup pro technickou implementaci vám může pomoct poskytnout kontext pro pochopení vaší organizace.

Základní krok životního cyklu přechodu nulová důvěra (Zero Trust) pro každý obchodní scénář zahrnuje inventarizaci a určení aktuálního stavu vaší infrastruktury. V tomto obchodním scénáři potřebujete shromáždit informace o aktuálním stavu:

  • Zásady zabezpečení a požadavky na zabezpečení privilegovaných identit
  • Postupy a technologie zabezpečení sítě.
  • Rizika a priority programu Insider pro jejich správu
  • Zásady a požadavky na opravy serveru a zařízení
  • Systémy a zásady BCDR.

Organizační plánování a sladění

Technická práce, která brání porušení zabezpečení a implementaci infrastruktury obnovení, překračuje několik překrývajících se oblastí a rolí:

  • Privilegované identity
  • Sítě
  • Správa rizik programu Insider
  • Opravy zařízení
  • BCDR

Tato tabulka shrnuje role, které se doporučují při vytváření programu Sponsorship a hierarchie řízení projektů za účelem určení a řízení výsledků.

Vedoucí programu a technické vlastníky Odpovědnost
CISO, CIO nebo ředitel zabezpečení dat Podpora z vedení
Zájemce o program ze zabezpečení Podpora výsledků a spolupráce mezi týmy
Architekt zabezpečení Rady o konfiguraci a standardech, zejména ohledně privilegovaných identit, sítí a návrhu prostředků honeypotu
Vedoucí IT Údržba prostředků honeypotu, implementace požadavků a požadavků na aktualizace systému a zásad a implementace a praktické postupy BCDR
Síťový architekt Rady a implementace standardů a postupů zabezpečení sítě
Pracovníci pro dodržování předpisů Namapujte požadavky na dodržování předpisů a rizika na konkrétní kontroly a dostupné technologie a poradit o vnitřních rizicích, která se mají detekovat a spravovat.
Zásady správného řízení zabezpečení nebo vedoucí IT Monitorování dodržování definovaných zásad a požadavků

Powerpointová prezentace zdrojů pro tento obsah osvojení obsahuje následující snímek se zobrazením účastníků, které si můžete přizpůsobit pro vlastní organizaci.

Snímek PowerPointu, který identifikuje klíčové zúčastněné strany pro vaše nasazení infrastruktury ochrany před únikem informací a obnovení.

Připravenost na technické plánování a dovednosti

Než se pustíte do technické práce, Microsoft doporučuje seznámit se s možnostmi, tím, jak spolupracují, a osvědčenými postupy pro přístup k této práci. Následující tabulka obsahuje několik školicích materiálů, které pomáhají vašim týmům získat dovednosti.

Resource Popis
Modul: Plánování a implementace privilegovaného přístupu Naučte se používat PIM k ochraně dat a prostředků.
Modul: Návrh řešení pro zálohování a zotavení po havárii Zjistěte, jak vybrat vhodná řešení zálohování a řešení zotavení po havárii pro úlohy Azure.
Modul: Ochrana místní infrastruktury před haváriemi pomocí Azure Site Recovery Zjistěte, jak zajistit zotavení po havárii pro místní infrastrukturu pomocí Azure Site Recovery.
Modul: Ochrana infrastruktury Azure pomocí Azure Site Recovery Zjistěte, jak zajistit zotavení po havárii pro infrastrukturu Azure přizpůsobením replikace, převzetí služeb při selhání a navrácení služeb po obnovení virtuálních počítačů Azure.
Modul: Návrh a implementace zabezpečení sítě Naučte se navrhovat a implementovat řešení zabezpečení sítě, jako jsou Azure DDoS, Skupiny zabezpečení sítě, Azure Firewall a Firewall webových aplikací.
Modul: Zabezpečení a izolace přístupu k prostředkům Azure pomocí skupin zabezpečení sítě a koncových bodů služeb Naučte se používat skupiny zabezpečení sítě a koncové body služeb k zabezpečení virtuálních počítačů a služeb Azure před neoprávněným přístupem k síti.
Modul: Správa aktualizací Windows Serveru Zjistěte, jak pomocí služby Windows Server Update Services nasadit aktualizace operačního systému do počítačů ve vaší síti.

Fáze 1

Mezi cíle nasazení fáze 1 patří uzamčení správce a dalších účtů privilegovaného přístupu, použití cloudových produktů Microsoftu k zálohování důležitých obchodních dat a zajištění šifrování veškerého síťového provozu.

Zabezpečení privilegovaných účtů

Incidenty kybernetické bezpečnosti obvykle začínají krádeží přihlašovacích údajů určitého druhu. Útočníci zjistí název účtu, který může být dobře známá nebo snadno zjištěná e-mailová adresa, a pak pokračujte k určení hesla účtu. Tento typ útoku může být ve většině případů zatěžován vícefaktorovým ověřováním (MFA). Princip Předpokládat porušení nulová důvěra (Zero Trust) však znamená, že útočník může a bude k vaší síti přistupovat pomocí identity.

Jednou ve vaší síti se útočníci pokusí zvýšit úroveň oprávnění tím, že ohrožují účty s větším a větším přístupem. Cílem je ohrozit privilegovaný účet, který má přístup nejen k citlivým datům, ale i k nastavení správy. Proto je nezbytné zabránit této úrovni přístupu k útočníkům.

V případě organizací hybridní identity musíte nejprve zajistit, aby účty správců nebo účty s privilegovanými rolemi, které se používají pro cloudové služby, nesynchronizované a uložené ve službě místní Active Directory Domain Services (AD DS). Pokud jsou uložené místně a služba AD DS nebo Microsoft Entra Připojení je ohrožena, může útočník mít kontrolu nad správou cloudových služeb Microsoftu. Zkontrolujte nastavení synchronizace, abyste zabránili a otestování, jestli jsou ve službě AD DS přítomny účty správce cloudu.

Všechny organizace s cloudovým předplatným Microsoftu mají tenanta Microsoft Entra ID, který obsahuje cloudové účty, včetně uživatelských a administrativních účtů. Správa istrátory musí provádět privilegované operace v aplikacích Microsoft Entra ID, Azure, Microsoft 365 nebo SaaS.

Prvním krokem k ochraně privilegovaných účtů je vyžadování silných hesel a vícefaktorového ověřování. Kromě toho v souladu s principem Použití přístupu s nejnižšími oprávněními nulová důvěra (Zero Trust) použijte Nástroj Microsoft Entra PIM ve vašem produkčním prostředí Microsoft Entra k zajištění další vrstvy ochrany. Microsoft Entra PIM poskytuje aktivaci rolí na základě času a schválení, aby se zmírnit rizika nadměrných, nepotřebných nebo zneužití přístupových oprávnění.

Mezi funkce Microsoft Entra PIM patří:

  • Privilegovaný přístup JIT k prostředkům Microsoft Entra ID a Azure
  • Přístup k prostředkům vázaný na čas pomocí počátečního a koncového data
  • Vyžadování schválení pro aktivaci privilegovaných rolí
  • Vynucení vícefaktorového ověřování k aktivaci jakékoli role
  • Vyžadovat odůvodnění, abyste pochopili, proč se uživatelé aktivují
  • Získání oznámení při aktivaci privilegovaných rolí
  • Proveďte kontroly přístupu, abyste zajistili, že uživatelé stále potřebují role.
Resource Popis
Co je hybridní identita s ID Microsoft Entra? Začínáme se sadou dokumentace pro Připojení Microsoft Entra ID.
Co je Microsoft Entra Privileged Identity Management? Začínáme se sadou dokumentace pro Microsoft Entra PIM
Plánování nasazení Microsoft Entra PIM Projděte si proces plánování nasazení PIM pro vaše privilegované účty.
Modul: Plánování a implementace privilegovaného přístupu Naučte se používat PIM k ochraně dat a prostředků.
Segmentace sítě

Cílem je vytvořit hranice ve vaší síti, aby průběžná analýza a filtrování mohly chránit citlivé servery, aplikace a data. K segmentaci sítě může dojít u místních serverů nebo v cloudu, například u virtuálních počítačů hostovaných ve virtuálních sítích v Azure IaaS.

Doporučení Prostředek
Použijte mnoho příchozích a výchozích cloudových mikrometrů s některými mikrose segmentacemi. Zabezpečení sítí pomocí nulová důvěra (Zero Trust)
K hostování více vrstev aplikace a omezení provozu použijte více podsítí a skupin zabezpečení sítě. Použití principů nulová důvěra (Zero Trust) u paprskové virtuální sítě v Azure

Použití principů nulová důvěra (Zero Trust) u paprskové virtuální sítě se službami Azure PaaS
Implementace Site Recovery pro zajištění kritické kontinuity úloh

Azure Site Recovery je nativní zotavení po havárii jako služba (DRaaS), která nabízí snadné nasazení, nákladovou efektivitu a spolehlivost. Nasaďte procesy replikace, převzetí služeb při selhání a obnovení prostřednictvím Site Recovery, které pomáhají udržet aplikace spuštěné během plánovaných a neplánovaných výpadků, jako je výpadek na základě kybernetického útoku.

Azure Site Recovery má dvě hlavní komponenty:

  • Služba Site Recovery: Site Recovery pomáhá zajistit kontinuitu podnikových procesů tím, že zajišťuje provoz obchodních aplikací a úloh během výpadků. Site Recovery replikuje úlohy spuštěné na fyzických a virtuálních počítačích z primární lokality do sekundárního umístění. Když dojde k výpadku v primární lokalitě, převezmete služby při selhání do sekundárního umístění a budete přistupovat k aplikacím z tohoto místa. Po opětovném zprovoznění můžete navrátit služby do primární lokality.
  • Služba Backup: Služba Azure Backup udržuje vaše data v bezpečí a obnovitelná. Další informace najdete v předchozí části.

Site Recovery může spravovat replikaci pro:

  • Replikace virtuálních počítačů Azure mezi oblastmi Azure
  • Replikace z veřejného výpočetního prostředí Azure Multi-Access Edge (MEC) do oblasti
  • Replikace mezi dvěma veřejnými počítači Azure
  • Místní virtuální počítače, virtuální počítače Azure Stack a fyzické servery

Jako součást řešení BCDR použijte Azure Site Recovery.

Resource Popis
Přehled služby Site Recovery Začínáme se sadou dokumentace
Modul: Ochrana místní infrastruktury před haváriemi pomocí Azure Site Recovery Zjistěte, jak zajistit zotavení po havárii pro místní infrastrukturu pomocí Azure Site Recovery.
Modul: Ochrana infrastruktury Azure pomocí Azure Site Recovery Zjistěte, jak zajistit zotavení po havárii pro infrastrukturu Azure přizpůsobením replikace, převzetí služeb při selhání a navrácení služeb po obnovení virtuálních počítačů Azure.
Šifrování síťové komunikace

Tento cíl je spíše kontrolou, abyste měli jistotu, že je síťový provoz šifrovaný. Obraťte se na síťový tým a ujistěte se, že jsou tato doporučení splněná.

Doporučení Prostředek
Ujistěte se, že je interní provoz uživatele-aplikace šifrovaný:

– Vynucujte komunikaci jenom HTTPS pro webové aplikace přístupné z internetu.
– Připojení vzdálených zaměstnanců a partnerů do Microsoft Azure pomocí služby Azure VPN Gateway.
– Zabezpečený přístup k virtuálním počítačům Azure pomocí šifrované komunikace prostřednictvím služby Azure Bastion.		 Zabezpečení sítí pomocí nulová důvěra (Zero Trust)-Objective 3: Interní provoz mezi uživateli je šifrovaný
Šifrování provozu back-endu aplikace mezi virtuálními sítěmi

Šifrování provozu mezi místním prostředím a cloudem		 Zabezpečení sítí pomocí nulová důvěra (Zero Trust)-Objective 6: Veškerý provoz je šifrovaný
V případě síťových architektů tento článek vysvětluje doporučené koncepty sítí do pohledu. Ed Fisher, Security & Compliance Architect v Microsoftu popisuje, jak optimalizovat síť pro cloudové připojení tím, že se vyhnete nejběžnějším nástrahám. Vytvoření sítě až do cloudu – názor architekta

Fáze 2

Mezi cíle nasazení fáze 2 patří segmentace sítě, která umožňuje lepší kontrolu provozu na citlivé prostředky, zajištění opravy serverů a zařízení s aktualizacemi včas, vytváření prostředků honeypotu pro oklamat a rušit útočníky a zahájení správy vnitřních rizik.

Implementace Microsoftu 365 a Azure Backup pro důležitá obchodní data

BCDR je důležitým prvkem zmírnění rizik porušení zabezpečení a klíčovou součástí infrastruktury BCDR je zálohování a obnovení. U kybernetických útoků je také potřeba chránit zálohy před úmyslným vymazáním, poškozením nebo šifrováním. Při útoku ransomwarem může útočník zašifrovat, poškodit nebo zničit vaše živá data i zálohy, takže vaše organizace bude náchylná k výkupnému za účelem obnovení obchodních operací. Aby bylo možné tuto chybu zabezpečení vyřešit, musí být kopie zálohovaných dat neměnné.

Microsoft nabízí Microsoft 365 Backup a Azure Backup pro nativní funkce zálohování a obnovení.

Microsoft 365 Backup je nová nabídka (aktuálně ve verzi Preview), která zálohuje data tenanta Microsoftu 365 pro úlohy Exchange, OneDrive a SharePointu ve velkém měřítku a poskytuje rychlé obnovení. Microsoft 365 Backup nebo aplikace založené na platformě Microsoft 365 Backup Storage poskytují následující výhody bez ohledu na velikost nebo škálování vašeho tenanta:

  • Rychlé neměnné zálohování během několika hodin
  • Rychlé obnovení během několika hodin
  • Úplná věrnost obnovení sharepointového webu a účtu OneDrivu, což znamená, že se web a OneDrive obnoví do přesného stavu v konkrétních předchozích bodech v čase prostřednictvím operace vrácení zpět.
  • Úplné obnovení položky poštovní schránky Exchange nebo podrobné obnovení položek pomocí vyhledávání
  • Konsolidovaná správa domény zabezpečení a dodržování předpisů

Další informace najdete v přehledu služby Microsoft 365 Backup.

Služba Azure Backup poskytuje jednoduchá, zabezpečená a cenově výhodná řešení pro zálohování vašich dat a jejich obnovení z cloudu Microsoft Azure. Azure Backup může zálohovat:

  • Místní soubory, složky, stav systému, místní virtuální počítače (Hyper-V a VMware) a další místní úlohy.
  • Virtuální počítače Nebo soubory, složky a stav systému Azure
  • Spravované disky Azure
  • Sdílené složky Azure
  • SQL Server na virtuálních počítačích Azure
  • Databáze SAP HANA na virtuálních počítačích Azure
  • Servery Azure Database for PostgreSQL
  • Objekty blob Azure
Resource Popis
Modul: Návrh řešení pro zálohování a zotavení po havárii Zjistěte, jak vybrat vhodná řešení zálohování a řešení zotavení po havárii pro úlohy Azure.
Přehled služby Microsoft 365 Backup Začínáme se sadou dokumentace pro Microsoft 365 Backup
Přehled služby Azure Backup Začínáme se sadou dokumentace pro Azure Backup
Plán zálohování a obnovení pro ochranu před ransomwarem Zjistěte, jak Azure Backup chrání před útokem ransomwaru.

Jako součást řešení BCDR můžete použít Microsoft 365 Backup a Azure Backup.

Přírůstkové snímky v Azure můžete použít také k forenznímu vyšetřování po porušení zabezpečení. Přírůstkové snímky jsou bodové zálohy spravovaných disků, které při pořízení obsahují pouze změny od posledního snímku. Snímky umožňují vytvořit poslední bod v čase před porušením zabezpečení a obnovit ho do tohoto stavu.

Ochrana identit pro uživatelské účty používané ke správě záloh musí používat silné ověřování s vícefaktorovým ověřováním a mělo by používat PIM pro přístup k JIT. Také se ujistěte, že je vaše infrastruktura zálohování chráněná pomocí sekundárních identit od jiného zprostředkovatele identity, jako jsou místní identity nebo místní systémové identity. Tyto účty se označují jako rozbité účty.

Pokud například kyberútok narušil vašeho tenanta Microsoft Entra ID a teď jste uzamčeni pomocí účtu správce Microsoft Entra ID pro přístup k vašim zálohám, musí infrastruktura zálohování umožňovat přihlášení, které je oddělené od ohroženého tenanta Microsoft Entra ID.

Implementace plánu oprav

Plán oprav zahrnuje konfiguraci automatické aktualizace ve všech vašich aktivech operačního systému, aby se opravy nasadily rychle, aby se zabránilo útočníkům, kteří spoléhají na nepatchované systémy jako vektory útoku.

Resource Popis
Správa koncových bodů v Microsoftu Začněte s přehledem řešení pro správu koncových bodů od Microsoftu.
Správa koncových bodů Začněte s dokumentací pro správu koncových bodů.
Použití nulová důvěra (Zero Trust) na Azure IaaS: Automatizace aktualizací virtuálních počítačů Nakonfigurujte automatické aktualizace pro virtuální počítače s Windows a Linuxem.
služba Windows Update nastavení, která můžete spravovat prostřednictvím zásad Intune Správa nastavení služba Windows Update pro Windows 10 a Windows 11 pomocí Microsoft Intune

Zvažte také aktualizace a opravy potřebné jinými zařízeními, zejména ty, které:

  • Zajištění zabezpečení.

    Mezi příklady patří směrovače přístupu k internetu, brány firewall, zařízení filtrování paketů a další zařízení pro analýzu zprostředkujícího zabezpečení.

  • Jsou součástí vaší infrastruktury BCDR.

    Mezi příklady patří místní nebo on-line služby zálohování třetích stran.

Vytváření prostředků honeypotu

Záměrně vytváříte prostředky honeypotu , jako jsou identity, sdílené složky, aplikace a účty služeb, aby je útočníci mohli zjistit. Tyto prostředky jsou vyhrazené pro přilákání a odstraňování útočníků a nejsou součástí vaší běžné IT infrastruktury.

Vaše prostředky honeypotu by měly odrážet typické cíle pro útočníky. Příklad:

  • Uživatelské účty, které znamenají přístup správce, ale nemají žádná oprávnění nad rámec prostředků honeypotu.
  • Prostředky sdílené složky, které mají názvy souborů, které naznačují citlivá data, například CustomerDatabase.xlxs, ale data jsou fiktivní.

Po nasazení prostředků honeypotu využijte infrastrukturu ochrany před hrozbami k jejich monitorování a včasnému zjištění útoku. V ideálním případě k detekci dochází dříve, než útočník zjistí, že prostředky honeypotu jsou falešné a používají laterální techniky přenosu k životu mimo zemi, ve kterých útočník používá k útoku vaše prostředky vlastní aplikace a nástroje. Během útoku na prostředky honeypotu můžete také shromažďovat informace o identitě, metodách a motivaci útočníka.

Díky nové funkci podvodu v XDR v programu Microsoft Defender můžete povolit a nakonfigurovat autentické dekódované účty, hostitele a luky. Falešné prostředky vygenerované XDR v programu Defender se pak automaticky nasadí do konkrétních klientů. Když útočník komunikuje s dekódy nebo láká, funkce podvodu zvyšuje výstrahy s vysokou spolehlivostí, pomáhá vyšetřování vašeho bezpečnostního týmu a umožňuje jim sledovat metody a strategie útočníka.

Další informace najdete v přehledu.

Začínáme s Správa insiderských rizik Microsoft Purview

Správa insiderských rizik Microsoft Purview vám pomůže rychle identifikovat, určit prioritu a reagovat na potenciálně rizikové aktivity. Díky použití protokolů z Microsoftu 365 a Microsoft Graphu umožňuje správa insiderských rizik definovat konkrétní zásady pro identifikaci ukazatelů rizik. Mezi příklady interních rizik uživatelů patří:

  • Únik citlivých dat a úniku dat
  • Porušení důvěrnosti
  • Krádež duševního vlastnictví (IP)
  • Podvod
  • Obchodování v programu Insider
  • Porušení dodržování právních předpisů

Po identifikaci rizik můžete podniknout kroky ke zmírnění těchto rizik a v případě potřeby otevřeného vyšetřování a provést odpovídající právní kroky.

Resource Popis
Správa rizik programu Insider Začínáme se sadou dokumentace
Modul: Správa insiderských rizik v Microsoft Purview Přečtěte si o správě insiderských rizik a o tom, jak vám technologie Microsoftu můžou pomoct zjišťovat, zkoumat a reagovat na rizikové aktivity ve vaší organizaci.
Modul: Implementace Správa insiderských rizik Microsoft Purview Naučte se používat Správa insiderských rizik Microsoft Purview k plánování řešení insiderských rizik, vytváření zásad pro správu insiderských rizik a ke správě výstrah a případů pro správu insiderských rizik.

Fáze 3

V této fázi rozšíříte rozsah zálohování a obnovení lokality tak, aby zahrnoval všechna obchodní data a úlohy, dále schopnost zabránit útokům založeným na síti a vytvořit formální návrh a naplánovat vaši hrozbu a reakci BCDR.

Implementace služby Microsoft 365 Backup a Azure Backup pro všechna obchodní data

Jakmile budete spokojeni s fungováním Služby Microsoft 365 Backup a Azure Backup pro důležitá data a testovali jste je ve cvičeních pro obnovení, můžete je teď rozšířit tak, aby zahrnovala všechna vaše obchodní data.

Implementace Azure Site Recovery pro všechny úlohy

Jakmile budete spokojeni s tím, že Azure Site Recovery pracuje pro důležitá data a testuje se ve cvičeních obnovení, můžete ji rozšířit tak, aby zahrnovala všechna obchodní data.

Získání přehledu o síťovém provozu

Cloudové aplikace, které otevírají koncové body do externích prostředí, jako je internet nebo místní prostředí, jsou ohroženy útoky přicházejícími z těchto prostředí. Pokud chcete těmto útokům zabránit, je nutné zkontrolovat přenosy škodlivých datových částí nebo logiky.

Další informace najdete v tématu Nativní cloudové filtrování a ochrana známých hrozeb.

Návrh hrozby a odpovědi BCDR

Následky porušení zabezpečení můžou spustit spektrum útočníka, který infikuje zařízení malwarem, který může být zjištěn a relativně snadno obsažený, útokům ransomwaru, ve kterém útočník již exfiltroval, zašifroval nebo zničil některá citlivá data nebo všechna citlivá data vaší organizace a využívá jeho vystavení nebo obnovení.

Ve zmrzajícím útoku ransomwaru může vaše organizace trpět dlouhodobým přerušením podnikání, které je podobné v mnoha ohledech krizi nebo přírodní katastrofě. Zamyslete se nad porušením a jejím výsledným destruktivním kyberútokem jako s lidskou krizí nebo katastrofou.

Proto je důležité zahrnout porušení zabezpečení a možnost vysoce destruktivního kybernetického útoku do plánování BCDR. Stejná infrastruktura, kterou byste použili k pokračování obchodních operací v krizi nebo po přírodní katastrofě, může a měla by být použita k zotavení z útoku.

Pokud už máte plán BCDR zavedený, zkontrolujte ho a ujistěte se, že zahrnuje data, zařízení, aplikace a procesy, které by mohly být ovlivněné kybernetickým útokem.

Pokud ne, zahajte proces plánování pro obecné BCDR a zahrňte kyberútoky jako zdroj krize nebo katastrofy. Poznámky:

  • Plány BC zajišťují, aby firma v případě krize fungovala normálně.

  • Plány zotavení po havárii zahrnují průběžné zotavení po ztrátě dat nebo infrastruktury prostřednictvím záloh dat a nahrazení nebo obnovení infrastruktury.

    Plány zotavení po havárii by měly obsahovat podrobné postupy pro obnovení it systémů a procesů pro obnovení obchodních operací. Tyto plány by měly mít offline zálohování, například na přenosném médiu uloženém v umístění s fyzickým zabezpečením. Útočníci můžou prohledat tyto typy plánů obnovení IT v místních i cloudových umístěních a zničit je jako součást útoku ransomwarem. Vzhledem k tomu, že zničení těchto plánů bude pro vás nákladnější obnovení obchodních operací, útočníci mohou požadovat větší výkupné.

Příklady technologií BCDR jsou Microsoft 365 Backup, Azure Backup a Azure Site Recovery popsané v tomto článku.

Resource Popis
Modul: Návrh řešení pro zálohování a zotavení po havárii Zjistěte, jak vybrat vhodná řešení zálohování a řešení zotavení po havárii pro úlohy Azure.

Fáze 4

V této fázi dále zabezpečíte svou síť a zajistíte, aby plán a proces BCDR fungovaly tím, že ho procvičíte v případě destruktivních kybernetických útoků.

Ukončení starší verze technologie zabezpečení sítě

Prozkoumejte sadu technologií a produktů, které vaše organizace používá k zajištění zabezpečení sítě, a zjistěte, jestli jsou nezbytné nebo redundantní s jinými možnostmi zabezpečení sítě. Každá technologie zabezpečení sítě může být také cílem útočníků. Pokud se například technologie nebo produkt neaktualizují včas, zvažte jeho odebrání.

Další informace najdete v tématu Ukončení starší verze technologie zabezpečení sítě, která popisuje typy technologií zabezpečení sítě, které už možná nepotřebujete.

Procvičení hrozeb a odezvy BCDR

Aby se vaše obchodní operace mohly rychle zotavit z devastujícího kybernetického útoku, měli byste pravidelně trénovat plán BCDR ve spojení s týmem SecOps. Zvažte provedení postupu BCDR pro kyberútoky jednou za měsíc nebo čtvrtletí a kdy se prvky infrastruktury BCDR změní, například použití jiného zálohovaného produktu nebo metody.

Plán přechodu na cloud

Plán přechodu je nezbytným požadavkem pro úspěšný přechod na cloud. Mezi klíčové atributy úspěšného plánu přechodu pro implementaci ochrany před únikem informací a obnovení zabezpečení patří:

  • Strategie a plánování jsou sladěné: Při vytváření plánů testování, pilotního nasazení a zavádění možností ochrany před únikem informací a zotavení po útoku v rámci digitálních aktiv se nezapomeňte vrátit k vaší strategii a cílům, abyste zajistili soulad vašich plánů. To zahrnuje priority a cílové milníky cílů pro prevenci a zotavení před únikem informací.
  • Plán je iterativní: Když začnete s zaváděním plánu, dozvíte se mnoho věcí o vašem prostředí a sadě funkcí, které používáte. V každé fázi zavádění se znovu podívejte na výsledky v porovnání s cíli a vylaďte plány. Můžete se například znovu vrátit k dřívější práci a doladit zásady.
  • Školení zaměstnanců a uživatelů je dobře naplánováno: Od vašich architektů zabezpečení až po it specialisty na sítě, zařízení a BCDR byli všichni vyškoleni tak, aby byli úspěšní se svými povinnostmi ochrany před únikem informací a obnovením.

Další informace z architektury přechodu na cloud pro Azure najdete v tématu Plánování přechodu na cloud.

Fáze připravenosti

Diagram procesu přijetí pro jeden cíl nebo sadu cílů se zvýrazněnou fází Připraveno

K určení priority plánu použijte zdroje uvedené v tomto článku. Implementace prevence a obnovení porušení zabezpečení představuje jednu z vrstev ve vaší strategii nasazení nulová důvěra (Zero Trust) s více vrstvami.

Fázovaný přístup doporučený v tomto článku zahrnuje kaskádovou ochranu před únikem informací a práci na obnovení metodickým způsobem napříč vašimi digitálními aktivy. V této fázi se vraťte k těmto prvkům plánu, abyste měli jistotu, že vše je připravené:

  • Použití nástroje Microsoft Entra PIM bylo testováno pro účty správců a vaši správci IT jsou natrénovaní, aby ho mohli používat.
  • Vaše síťová infrastruktura se podle potřeby testovala pro šifrování dat, otestovala se segmentace pro filtrování přístupu a zjistili jsme redundantní starší síťové technologie a testy se spustily, aby se zajistilo, že se operace odeberou.
  • Vaše postupy oprav systému byly testovány pro úspěšnou instalaci aktualizací a detekci neúspěšných aktualizací.
  • Začali jste analyzovat rizika insiderů a jak je spravovat.
  • Vaše prostředky honeypotu se nasazují a byly testovány společně s infrastrukturou ochrany před hrozbami, abyste zjistili přístup.
  • Vaše infrastruktura a postupy BCDR byly testovány na podmnožině dat.

Fáze přijetí

Diagram procesu přijetí pro jeden cíl nebo sadu cílů se zvýrazněnou fází Přijetí

Microsoft doporučuje kaskádový a iterativní přístup k implementaci ochrany před únikem informací a obnovení. Díky tomu můžete upřesnit strategii a zásady při zvyšování přesnosti výsledků. Před zahájením další fáze nemusíte čekat na dokončení jedné fáze. Výsledky jsou efektivnější, pokud budete iterovat po cestě.

Mezi hlavní prvky fáze přijetí vaší organizace by měly patřit:

  • Povolení nástroje Microsoft Entra PIM pro všechny správce a další privilegované účty
  • Implementace šifrování, segmentace a odebrání starších systémů síťového provozu
  • Nasazení prostředků honeypotu
  • Nasazení infrastruktury pro správu oprav
  • Analýza vnitřních rizik a jejich mapování na správu insiderských rizik
  • Nasazení a cvičení infrastruktury BCDR pro důležitá data (fáze 1) nebo všechna obchodní data (fáze 3)

Fáze řízení a správy

Diagram procesu přijetí pro jeden cíl nebo sadu cílů se zvýrazněnou fází řízení a správy

Zásady správného řízení schopnosti vaší organizace implementovat ochranu před únikem informací a obnovení je iterativní proces. Promyšleným vytvořením plánu implementace a jeho zavedením v rámci digitálních aktiv jste vytvořili základ. Následující úlohy vám pomůžou začít vytvářet počáteční plán zásad správného řízení pro tento základ.

Účel Úlohy
Sledování a měření Přiřaďte vlastníky k důležitým akcím a projektům, jako jsou například správa prostředků IT a správa prostředků honeypotu, správa oprav, zabezpečení sítě a postupy BCDR.

Vytvářejte akční plány s daty pro každou akci a projekt a instrumentujte průběh pomocí sestav a řídicích panelů.
Monitor – Sledujte požadavky PIM a výsledné akce.
– Monitorujte přístup k prostředkům honeypotu.
– Monitorujte systémy, které se mají opravit pro selhání instalace aktualizací.
- Otestujte postupy BCDR pro úplnost a integritu obnovení.
Iterace pro splatnost - Průzkum síťové infrastruktury pro další starší systémy, které je možné odebrat.
- Přizpůsobit infrastrukturu BCDR pro nové prostředky a funkce.

Další kroky

Pro tento obchodní scénář:

Další články v rámci nulová důvěra (Zero Trust) adoption:

Sledování průběhu – zdroje

Pro kterýkoli z nulová důvěra (Zero Trust) obchodních scénářů můžete použít následující sledovací prostředky průběhu.

Prostředek sledování průběhu To vám pomůže... Určeno pro...
Soubor Visio nebo PDF s možností stažení scénáře přechodu ve fázi fáze gridu

Příklad plánu a fázové mřížky znázorňující fáze a cíle 		Snadno pochopit vylepšení zabezpečení pro každý obchodní scénář a úroveň úsilí pro fáze a cíle fáze plánu. Vedoucí obchodních scénářů, vedoucí pracovníci podniku a další účastníci.
nulová důvěra (Zero Trust) sledování přijetí ke stažení powerpointové prezentace

Příklad powerpointového snímku znázorňující fáze a cíle 		Sledujte průběh fázemi a cíli fáze plánu. Vedoucí obchodních scénářů, vedoucí pracovníci podniku a další účastníci.
Cíle obchodního scénáře a úkoly ke stažení excelového sešitu

Příklad excelového listu zobrazující fáze, cíle a úkoly 		Přiřaďte vlastnictví a sledujte průběh ve fázích, cílech a úkolech fáze plánu. Vedoucí projektu obchodního scénáře, vedoucí IT a implementátoři IT.

Další zdroje informací najdete v tématu nulová důvěra (Zero Trust) hodnocení a sledování průběhu prostředků.