Kompletní inventář produkční infrastruktury (Secure Future Initiative)

Název pilíře: Monitorování a detekce hrozeb

Název vzoru: Dokončení inventáře produkční infrastruktury

Kompletní inventář produkční infrastruktury je součástí pilíře monitorování a detekce hrozeb iniciativy Secure Future Initiative (SFI). Tento pilíř se zaměřuje na zajištění toho, aby prostředí Microsoftu poskytovala vysoce věrnou telemetrii, komplexní viditelnost a pokročilé možnosti detekce k identifikaci a reakci na vyvíjející se hrozby.

Úplný, přesný a blízký inventář všech produkčních prostředků v reálném čase je základem, který tento pilíř podporuje – umožňuje konzistentní vynucování zásad, důvěryhodnou telemetrii a akcelerovanou detekci a reakci na hrozby.

Kontext a problém

S rostoucí složitostí podnikových prostředí– s kombinací starších systémů, cloudových úloh, rozhraní API a identit uživatelů – je stále obtížnější udržovat viditelnost celé produkční infrastruktury.

Aniž byste v reálném čase porozuměli tomu, co v prostředí existuje:

• Hrozby můžou být nezjištěné kvůli slepým místům telemetrie.
• Zásady zabezpečení můžou být nekonzistentně použity.
• Chybně nakonfigurované nebo nespravované aktiva můžou vystavit zbytečným zranitelnostem
• Aplikace a služby můžou trvat dlouho po jejich opuštění, čímž se dále rozšíří prostor pro útoky.

Neúplné inventáře aktiv přispívají k:

• Opožděná detekce hrozeb
• Nekonzistentní vynucování zásad nulové důvěryhodnosti
• Neefektivita provozu

I ve velkém měřítku Microsoftu se ukázalo, že neúplné inventáře aktiv přispívají ke zpožděnému zjišťování, nekonzistentnímu vynucování zásad nulové důvěry (Zero Trust) a provozní efektivitě.

Zajištění viditelnosti infrastruktury jako základní priority zabezpečení je nezbytné k odstranění slepých míst a snížení rizika.

Řešení

Společnost Microsoft zahájila kompletní cíl inventarizace produkční infrastruktury v rámci iniciativy Secure Future Initiative. Cílem: nepřetržitě udržovat inventář 100% prostředků produkční infrastruktury, včetně cloudových, místních, hybridních a kontejnerizovaných prostředí. Toto úsilí vyžadovalo významnou koordinaci napříč týmy a investice do škálovatelné automatizace.

Z toho Microsoft:

• Definované a zjištěné všechny produkční prostředky, včetně zařízení, služeb, rozhraní API, úloh a integrací třetích stran
• Centralizovaná správa inventáře v systému, který dokáže sledovat změny téměř v reálném čase
• Rozšíření pokrytí auditních protokolů a telemetrie umožní, že všechna aktiva vygenerují standardizované protokoly pomocí centrálně spravovaných agentů.
• Integrujte inventarizační systém s platformami detekce, obohacením SIEM a analýzy hrozeb o metadata v reálném čase.
• Náprava nepoužívaných aplikací – dosud bylo označeno více než 730 000 aplikací a bezpečně odebráno pomocí automatizované analýzy protokolů ve službě Azure Kubernetes Service hostované v důvěrných kontejnerech
• Implementovali jsme pracovní postup nápravy pro nepoužívané aplikace, u kterých se neprojevila žádná aktivita nebo údržba, a byly označeny a vyhodnoceny pro bezpečné odebrání.

Microsoft k dnešnímu dni centrálně sleduje více než 97% prostředků produkční infrastruktury. Kromě toho má 99 % síťových zařízení a více než 95 % uzlů/počítačů centrální shromažďování protokolů zabezpečení s vynucenou politikou dvouletého uchovávání.

Vodítko

Organizace můžou použít podobný model pomocí následujících postupů, které je možné provést:

Případ použití	Doporučená akce	Zdroj
Identifikace majetku	Inventarizace všech zařízení, služeb, rozhraní API, úloh a aplikací třetích stran	Správa důležitých prostředků
Detekce aktiv v reálném čase	Použití automatizovaných nástrojů zjišťování a systémů přidělování IP adres k detekci prostředků v reálném čase	Správa důležitých prostředků
Centralizovaný inventář	Konsolidace záznamů do systému, který podporuje klasifikaci a viditelnost životního cyklu Vytvoření mechanismu průběžné aktualizace	Stavy životního cyklu aktiv Přehled procesu aktualizace pro Microsoft 365 Apps
Standardizace telemetrie	Nasazení centrálně spravovaných agentů pro vynucení konzistentního protokolování Potvrzení pokrytí protokolování rozhraní API a sledování mezer pozorovatelnosti	Nastavení a zobrazení rozšířené telemetrie v Application Insights pro standardní pracovní postupy v Azure Logic Apps Datový model telemetrie Application Insights Kurz: Monitorování publikovaných rozhraní API
Integrace detekce hrozeb	Korelace protokolů s metadaty inventáře za účelem zlepšení přesnosti detekce Použití analýz a strojového učení k proaktivní identifikaci anomálií	Analýza hrozeb v programu Microsoft Defender Datový model telemetrie Application Insights Analýza hrozeb v programu Microsoft Defender
Náprava nepoužívaných aplikací	Identifikace neaktivních aplikací pomocí protokolů využití a přihlašování Ověření u vlastníků služeb a povolení výjimek důležitých pro firmy Použijte měkké odstranění s obdobím odkladu, po kterém následuje trvalé odebrání. Spouštění citlivých úloh v důvěryhodném spouštěcím prostředí	Doporučení Microsoft Entra: Odebrání nepoužívaných přihlašovacích údajů z aplikací Doporučení Microsoft Entra: Odebrání nepoužívaných aplikací Uchovávání, odstraňování a zničení dat v Microsoftu 365 Rychlý start: Vytvoření důvěrného virtuálního počítače na webu Azure Portal
Spouštění citlivých úloh v důvěryhodném spouštěcím prostředí	Vytvoření důvěrného virtuálního počítače na webu Azure Portal pro citlivé úlohy	Vytvoření důvěrného virtuálního počítače na webu Azure Portal

Výsledky

Implementace centralizovaného komplexního inventáře infrastruktury společnosti Microsoft vedla k:

• Rychlejší detekce hrozeb a reakce na incidenty kvůli lepší srozumitelnosti signálu
• Konzistentní vynucování zásad nulové důvěryhodnosti napříč všemi spravovanými prostředky
• Eliminace zastaralých nebo osamocených aplikací, snížení prostoru pro útok
• Proaktivní řízení postojů založené na důvěryhodné telemetrii v reálném čase

Výhody

• 97% pokrytí průběžného sledování napříč produkčními prostředími
• Rychlejší detekce hrozeb a reakce na incidenty kvůli lepší srozumitelnosti signálu
• Konzistentní vynucení nulové důvěryhodnosti u všech spravovaných prostředků
• Omezený prostor pro útoky odstraněním zastaralých nebo osamocených aplikací
• Důvěryhodná telemetrie pro proaktivní správu stavu

Kompromisy

• Vyžaduje významné technické investice do automatizace a standardizace telemetrie.
• Vyžaduje kulturní změnu pro stanovení priorit viditelnosti prostředků napříč týmy.
• Omezuje používání nespravovaných nebo osobních zařízení ve prospěch systémů připojených k doméně.
• Představuje riziko přerušení, pokud byly neaktivní, ale kritické aplikace byly odebrány bez ověření.

Klíčové faktory úspěchu

Pokud chcete sledovat úspěch, změřte následující:

• Procento produkčních prostředků s úplným pokrytím zásob
• Počet nespravovaných nebo opuštěných systémů, které byly opraveny
• Procento pokrytí protokolování telemetrie infrastruktury
• Metriky času na detekci a času na reakci před a po implementaci inventáře
• Objem nepoužívaných aplikací, které se bezpečně opravují za čtvrtletí

Shrnutí

Kompletní inventář provozní infrastruktury je základním nástrojem pro zajištění Zabezpečení podle návrhu, Zabezpečení ve výchozím nastavení a Zabezpečených operací v rámci iniciativy Microsoft Secure Future Initiative.

Organizace, které se zaváže k viditelnosti prostředků v reálném čase a standardizaci telemetrie, můžou posílit stav zabezpečení, snížit provozní riziko a rychleji a efektivněji reagovat. Vytvoření kompletního inventáře infrastruktury není jen osvědčeným postupem; jedná se o kritický požadavek na odolnost a škálovatelnost kybernetické bezpečnosti v moderním podniku.

Začněte s vytvářením inventáře ještě dnes a povolte detekci hrozeb, která funguje s přehledností, konzistencí a jistotou.