Viditelnost, automatizace a orchestrace pomocí nulová důvěra (Zero Trust)

  • Článek

Jednou z významných změn v perspektivách, která je znaménou nulová důvěra (Zero Trust) architektur zabezpečení, se ve výchozím nastavení přesouvá od vztahu důvěryhodnosti směrem k vztahu důvěryhodnosti po výjimce. Po potřebě důvěryhodnosti však potřebujete nějaký spolehlivý způsob vytvoření vztahu důvěryhodnosti. Vzhledem k tomu, že již nepředpokládáte, že požadavky jsou důvěryhodné, je vytvoření prostředku k ověření důvěryhodnosti požadavku zásadní pro prokázání důvěryhodnosti žádosti k určitému bodu v čase. Tato ověření identity vyžaduje schopnost získat přehled o aktivitách v žádosti a okolí.

V našich dalších průvodcích nulová důvěra (Zero Trust) jsme definovali přístup k implementaci komplexního nulová důvěra (Zero Trust) přístupu napříč identitami, koncovými body a zařízeními, daty, aplikacemi, infrastrukturou a sítí. Všechny tyto investice zvyšují viditelnost, což vám dává lepší data pro rozhodování o důvěryhodnosti. Přijetím přístupu nulová důvěra (Zero Trust) v těchto šesti oblastech však nutně zvýšíte počet analytiků bezpečnostních operací (SOC), které potřebují zmírnit. Vaši analytici se stávají rušnější než kdy jindy, když už je nedostatek talentů. To může vést k chronické únavě výstrah a analytikům chybí kritická upozornění.

Diagram integrovaných funkcí pro správu hrozeb

S každou z těchto jednotlivých oblastí, které vytvářejí vlastní relevantní výstrahy, potřebujeme integrovanou schopnost spravovat výsledný nárůst dat, abychom lépe bránili hrozbám a ověřili důvěru v transakci.

Chcete, aby tato možnost:

  • Detekujte hrozby a ohrožení zabezpečení.
  • Vyšetřovat.
  • Reagovat.
  • Hunt.
  • Poskytnutí dalšího kontextu prostřednictvím analýzy hrozeb
  • Posouzení ohrožení zabezpečení
  • Získání pomoci od špičkových odborníků
  • Zabraňte nebo zablokujte události v rámci pilířů.

Správa hrozeb zahrnuje reaktivní i proaktivní detekci a vyžaduje nástroje, které podporují obojí.

Reaktivní detekce je, když se incidenty aktivují z jednoho ze šesti pilířů, které je možné prozkoumat. Kromě toho produkt pro správu, jako je SIEM, bude pravděpodobně podporovat další vrstvu analýz, která bude rozšiřovat a korelovat data, což vede k označení incidentu jako špatného. Dalším krokem by pak bylo prozkoumat, abyste získali úplný příběh útoku.

Proaktivní zjišťování spočívá v tom, že na data použijete proaktivní vyhledávání, abyste prokázali ohroženou hypotézu. Proaktivní vyhledávání hrozeb začíná předpokladem, že jste byli porušeni – hledáte důkaz o tom, že skutečně došlo k porušení zabezpečení.

Proaktivní vyhledávání hrozeb začíná hypotézou založenou na aktuálních hrozbách, jako jsou útoky phishing covid-19. Analytici začínají s touto hypotetickou hrozbou, identifikují klíčové ukazatele ohrožení a proaktivní vyhledávání dat, abyste zjistili, jestli nedošlo k ohrožení prostředí. Pokud existují indikátory, scénáře proaktivního vyhledávání můžou vést k analýzám, které by organizace informovaly, pokud dojde k dalšímu výskytu určitých ukazatelů.

V obou směrech, jakmile se zjistí incident, musíte ho prozkoumat, abyste vytvořili kompletní příběh útoku. Co dalšího udělal uživatel? Jaké další systémy byly zapojeny? Jaké spustitelné soubory byly spuštěny?

Pokud šetření vede k tomu, že se naučíte reagovat, můžete provést nápravné kroky. Pokud například vyšetřování odhalí mezery v nasazení nulové důvěryhodnosti, je možné zásady upravit, aby tyto mezery řešily a zabránily budoucím nežádoucím incidentům. Kdykoli je to možné, je žádoucí automatizovat nápravné kroky, protože zkracuje dobu potřebnou pro analytika SOC k vyřešení hrozby a přechodu na další incident.

Další klíčovou komponentou při posuzování hrozeb je začlenění známé inteligence hrozeb proti přijatým datům. Pokud je známo, že ip adresa, hodnota hash, adresa URL, soubor, spustitelný soubor atd. jsou chybné, dají se identifikovat, prošetřit a opravit.

V pilíři infrastruktury jsme strávili čas na řešení ohrožení zabezpečení. Pokud je systém známý jako ohrožený a hrozba využila tuto chybu zabezpečení, jedná se o něco, co by mohlo být zjištěno, vyšetřováno a opravováno.

Abyste mohli tyto taktiky použít ke správě hrozeb, měli byste mít centrální konzolu, která správcům SOC umožní zjišťovat, zkoumat, opravovat, hledat, využívat analýzu hrozeb, porozumět známým ohrožením zabezpečení, spoléhat se na odborníky na hrozby a blokovat hrozby napříč některým ze šesti pilířů. Nástroje potřebné k podpoře těchto fází fungují nejlépe, pokud jsou konvergované do jednoho pracovního postupu a poskytují bezproblémové prostředí, které zvyšuje efektivitu analytika SOC.

Bezpečnostní operační centra často nasazují kombinaci technologií SIEM a SOAR ke shromažďování, zjišťování, zkoumání a reakci na hrozby. Microsoft nabízí Microsoft Sentinel jako svou nabídku SIEM jako služby. Microsoft Sentinel ingestuje všechna data Microsoft Defenderu for Identity a třetích stran.

Microsoft Threat Protection (MTP), kanál klíče do Microsoft Sentinelu, poskytuje jednotnou podnikovou obrannou sadu, která přináší ochranu, detekci a reakci na kontext napříč všemi komponentami Microsoftu 365. Díky tomu, že zákazníci, kteří používají Microsoft 365, můžou získat přehled a ochranu napříč koncovými body, nástroji pro spolupráci, identitami a aplikacemi.

Prostřednictvím této hierarchie umožňujeme našim zákazníkům maximalizovat jejich zaměření. I když rozpoznávání kontextu a automatizovaná náprava, MTP dokáže detekovat a zastavit mnoho hrozeb, aniž by bylo možné přidat další únavu výstrah pro již přetížené pracovníky SOC. Pokročilý proaktivní vyhledávání v rámci MTP přináší tento kontext pro vyhledávání, aby se zaměřil na mnoho klíčových bodů útoku. A proaktivní vyhledávání a orchestrace v celém ekosystému prostřednictvím Služby Microsoft Sentinel poskytuje možnost získat správný přehled o všech aspektech heterogenního prostředí a současně minimalizovat kognitivní přetížení operátora.

Viditelnost, automatizace a orchestrace nulová důvěra (Zero Trust) cílů nasazení

Při implementaci komplexní architektury nulová důvěra (Zero Trust) pro viditelnost, automatizaci a orchestraci doporučujeme zaměřit se nejprve na tyto počáteční cíle nasazení:

Ikona seznamu s jedním zaškrtnutím

I.Nastavit viditelnost.

II.Povolte automatizaci.

Po dokončení se zaměřte na tyto další cíle nasazení:

Ikona seznamu se dvěma značkami zaškrtnutí

III.Povolte další ovládací prvky ochrany a detekce.

Příručka pro viditelnost, automatizaci a orchestraci nulová důvěra (Zero Trust) nasazení

Tato příručka vás provede kroky potřebnými ke správě viditelnosti, automatizace a orchestrace podle principů architektury zabezpečení nulová důvěra (Zero Trust).




Ikona kontrolního seznamu s jednou značkou zaškrtnutí

Počáteční cíle nasazení

I. Vytvoření viditelnosti

Prvním krokem je vytvoření viditelnosti povolením služby Microsoft Threat Protection (MTP).

Postupujte následovně:

  1. Zaregistrujte se k některému z úloh microsoft Threat Protection.
  2. Povolte úlohy a navazujte připojení.
  3. Nakonfigurujte detekci na vašich zařízeních a infrastruktuře, abyste mohli okamžitě vidět aktivity probíhající v prostředí. To vám poskytne důležité "vytáčení tónu", aby se spustil tok důležitých dat.
  4. Povolte microsoft Threat Protection, abyste získali viditelnost napříč úlohami a detekci incidentů.

II. Povolení automatizace

Dalším klíčovým krokem po navázání viditelnosti je povolení automatizace.

Automatizovaná šetření a náprava

S Microsoft Threat Protection jsme automatizovali šetření i nápravu, která v podstatě poskytuje další analýzu SOC vrstvy 1.

Automatizované šetření a náprava (AIR) je možné povolit postupně, abyste mohli vyvinout úroveň pohodlí s akcemi, které se provádějí.

Postupujte následovně:

  1. Povolte funkci AIR pro testovací skupinu.
  2. Analyzujte kroky šetření a akce odezvy.
  3. Postupně přejděte na automatické schvalování pro všechna zařízení, abyste zkrátili dobu detekce a odezvy.

Aby bylo možné získat přehled o incidentech, které jsou výsledkem nasazení modelu nulová důvěra (Zero Trust), je důležité propojit MTP, další datové konektory Microsoftu a relevantní produkty třetích stran do Služby Microsoft Sentinel, aby bylo možné poskytnout centralizovanou platformu pro vyšetřování incidentů a reakci.

V rámci procesu datového připojení je možné povolit relevantní analýzy pro aktivaci incidentů a sešitů pro grafické znázornění dat v průběhu času.

I když jsou strojové učení a fúzní analýzy k dispozici, je také užitečné ingestovat data analýzy hrozeb do Microsoft Sentinelu, aby bylo možné identifikovat události, které souvisejí se známými špatnými entitami.




Ikona kontrolního seznamu se dvěma značkami zaškrtnutí

Další cíle nasazení

III. Povolení dalších ovládacích prvků ochrany a detekce

Povolení dalších ovládacích prvků zlepšuje signál přicházející do MTP a Sentinelu, aby se zlepšila viditelnost a schopnost orchestrovat odpovědi.

Kontrolní mechanismy redukce prostoru útoku představují jednu takovou příležitost. Tyto ochranné kontroly nejen blokují určité aktivity, které jsou nejvíce spojené s malwarem, ale také se snaží použít konkrétní přístupy, které mohou pomoci odhalit nežádoucí uživatele využívající tyto techniky dříve v procesu.

Produkty popsané v této příručce

Microsoft Azure

Microsoft Defender for Identity

Microsoft Sentinel

Microsoft 365

Microsoft Threat Protection



Série průvodce nasazením nulová důvěra (Zero Trust)

Ikona úvodu

Ikona pro identitu

Ikona pro koncové body

Ikona pro aplikace

Ikona pro data

Ikona infrastruktury

Ikona sítí

Ikona pro viditelnost, automatizaci, orchestraci