Microsoft Cybersecurity Defense Operations Center

  • Artikel

Sharing Microsoft's best practices to protect, detect, and respond to cybersecurity threats

Cybersicherheit ist eine Gemeinschaftsaufgabe, die uns alle betrifft. Heutzutage kann eine einzige Sicherheitsverletzung, ob physisch oder virtuell, einem Unternehmen einen Schaden in Millionenhöhe und der globalen Wirtschaft potenzielle finanzielle Verluste in Milliardenhöhe zufügen. Täglich werden Berichte über Cyberkriminelle veröffentlicht, die Unternehmen und Einzelpersonen zu ihrem eigenen finanziellen Vorteil oder zu wirtschaftlichen Zwecken angreifen. Zusätzlich zu diesen Bedrohungen gibt es noch die Bedrohungen durch staatliche Akteure, die versuchen, den Geschäftsbetrieb zu stören, Spionage zu betreiben oder generell das Vertrauen zu untergraben.

In diesem Kurzbericht informieren wir über den aktuellen Stand der Online-Sicherheit, die Bedrohungsakteure und die ausgeklügelten Taktiken, die sie einsetzen, um ihre Ziele zu erreichen. Darüber hinaus erhalten Sie Informationen darüber, wie das Cyber Defense Operations Center von Microsoft diese Bedrohungen bekämpft und Kunden dabei hilft, ihre sensiblen Anwendungen und Daten zu schützen.



Microsoft Cyber Defense Operations Center

Das Microsoft Cyber Defense Operations Center

Microsoft engagiert sich sehr stark dafür, die Online-Welt für alle sicherer zu machen. Unsere Cybersicherheitsstrategien wurden auf Grundlage der einzigartigen Einblicke erarbeitet, die wir in die sich schnell entwickelnden verschiedenartigen Cyberbedrohungen haben.

Wir alle müssen zwangsläufig und kontinuierlich in Innovationen in den verschiedenen Angriffsbereichen (Menschen, Orte und Prozesse) investieren, denn unsere Gegner entwickeln sich sowohl in ihrer Entschlossenheit als auch in ihrer Raffinesse ständig weiter. Angesichts der zunehmenden Investitionen vieler Unternehmen in ihre Verteidigungsstrategien, passen sich die Angreifer in rasantem Tempo an und verbessern ihre Taktiken stetig. Glücklicherweise sind Cyberverteidiger wie die globalen Informationssicherheitsteams von Microsoft ebenfalls innovativ und unterbrechen lange bewährte Angriffsmethoden mit kontinuierlichen, fortschrittlichen Schulungen und modernen Sicherheitstechnologien, Tools und Prozessen.

Das Microsoft Cyber Defense Operations Center (CDOC) ist ein Beispiel für die mehr als 1 Milliarde US-Dollar, die wir jährlich in Sicherheit, Datenschutz und Risikomanagement investieren. Das CDOC vereint Spezialisten für Cybersicherheit und Data Scientists, die rund um die Uhr daran arbeiten, Bedrohungen in Echtzeit zu bekämpfen. Weltweit arbeiten mehr als 3.500 Sicherheitsexperten in unseren Produktentwicklungsteams, Informationssicherheitsgruppen und Rechtsabteilungen zusammen, um unsere Cloudinfrastruktur und -dienste, -produkte und -geräte sowie unsere internen Ressourcen zu schützen.

Mehr als 15 Milliarden US-Dollar hat Microsoft in unsere Cloudinfrastruktur investiert. Über 90 Prozent der Fortune-500-Unternehmen nutzen die Microsoft-Cloud. Wir besitzen und betreiben aktuell einen der größten Cloud-Footprints der Welt mit über 100 geografisch verteilten Rechenzentren, 200 Cloud-Services, Millionen von Geräten und einer Milliarde Kunden rund um den Globus.

Bedrohungen der Cybersicherheit durch verschiedene Akteure und ihre Motive

Zum Schutz von Menschen, Geräten, Daten und wichtigen Infrastrukturen ist es zunächst erforderlich, die verschiedenen Bedrohungsakteure und ihre Motive zu verstehen.
  • Cyberkriminelle umfassen mehrere Unterkategorien, obwohl sie oft eine gemeinsame Motivation haben – z. B. finanzielle, nachrichtendienstliche und/oder soziale oder politische Vorteile. Sie gehen in der Regel auf direktem Weg vor, indem sie in ein Finanzdatensystem eindringen, Kleinstbeträge abschöpfen, die zu klein sind, um entdeckt zu werden, und wieder verschwinden, ohne entdeckt zu werden. Ihr hartnäckiges und geheimes Vorgehen ist entscheidend, um ihr Ziel zu erreichen.

    Sie dringen beispielsweise in Systeme ein, um eine hohe finanzielle Auszahlung vorzunehmen und durch ein Labyrinth von Konten umzuleiten, damit sie sich so einer Nachverfolgung und Interventionsmaßnahmen entziehen können. Mitunter ist es aber auch das Ziel, geistiges Eigentum zu stehlen, das die Zielperson besitzt. Hier tritt der Cyberkriminelle als Vermittler auf, um ein Produktdesign, Software-Quellcodes oder andere geschützte Informationen zu liefern, die für ein bestimmtes Unternehmen von Wert sind. Über die Hälfte dieser Aktivitäten werden von organisierten kriminellen Gruppen verübt.

  • Staatliche Akteure arbeiten für eine Regierung, um gezielt Regierungen, Organisationen oder Einzelpersonen zu beeinträchtigen oder zu infiltrieren und so Zugang zu wertvollen Daten oder Informationen zu erhalten. Sie mischen sich in internationalen Angelegenheiten ein, um deren Ausgang zu kontrollieren und zu beeinflussen, wodurch für ein Land oder für mehrere Länder bestimmte Vorteile entstehen könnten. Staatliche Akteure verfolgen das Ziel, den Geschäftsbetrieb zu stören, Unternehmensspionage zu betreiben, Geheimnisse von anderen Regierungen zu stehlen oder auf andere Weise das Vertrauen in Institutionen zu untergraben. Sie verfügen über große Ressourcen und arbeiten ohne Angst vor rechtlichen Konsequenzen mit einem Toolkit, das sowohl einfache als auch hochkomplexe Lösungen umfasst.

    Staatliche Akteure können einige der raffiniertesten Hacker-Talente für sich gewinnen und ihre Tools so weit entwickeln, dass sie zu Waffen werden. Ihr Vorgehen ist äußerst fortschrittlich und vor allem hartnäckig. Dabei setzen sie z. B. Supercomputing ein, um Anmeldedaten mit brachialen Methoden zu knacken, indem sie Millionen von Versuchen ausführen, bis sie das richtige Kennwort finden. Zudem nutzen sie gezielte Phishing-Angriffe, um Insider zur Herausgabe ihrer Anmeldedaten zu verleiten.

  • Insider-Bedrohungen stellen aufgrund der Unvorhersehbarkeit des menschlichen Verhaltens eine besonders große Herausforderung dar. Ein Insider kann z. B. sowohl aus opportunistischen als auch aus finanziellen Motiven handeln. Es gibt jedoch zahlreiche Ursachen für potenzielle Insider-Bedrohungen, angefangen von einfacher Unachtsamkeit bis hin zu ausgeklügelten Plänen. Viele Datensicherheitsverletzungen, die aufgrund von Insidern entstehen, sind gänzlich unbeabsichtigt und beruhen auf versehentlichen oder fahrlässigen Aktivitäten. Diese bringen ein Unternehmen in Gefahr, ohne dass man sich der Schwachstelle bewusst ist.

  • Hacktivisten konzentrieren sich auf politisch und/oder gesellschaftlich motivierte Angriffe. Sie sind darum bemüht, in den Nachrichten präsent und anerkannt zu sein, um auf sich und ihr Anliegen aufmerksam zu machen. Zu den Taktiken gehören DDoS-Angriffe (Distributed Denial of Service), die Ausnutzung von Sicherheitslücken oder die Verunstaltung einer Online-Präsenz. Durch eine Verbindung zu einem sozialen oder politischen Thema kann jedes Unternehmen oder jede Organisation zu einer Zielscheibe werden. Durch die sozialen Medien können Hacktivisten sehr schnell für ihre Sache werben und andere für die Teilnahme rekrutieren.


$4 million is the average cost of data breach in 2017

Methoden der Bedrohungsakteure

Unsere Gegner sind darin geübt, Wege zu finden, um trotz der vorhandenen Schutzmaßnahmen mit diversen ausgeklügelten Methoden in das Netzwerk einer Organisation einzudringen. Etliche Taktiken gibt es schon seit den Anfängen des Internets, andere spiegeln jedoch die Kreativität und zunehmende Raffinesse der heutigen Gegner wider.

  • Social Engineering ist ein weitgefasster Begriff für einen Angriff, der Benutzer dazu bringt, Aktionen auszuführen oder Informationen preiszugeben, die sie sonst nicht ausführen oder preisgeben würden. Beim Social Engineering werden die guten Absichten der meisten Menschen, ihre Hilfsbereitschaft sowie ihr Wunsch Probleme zu vermeiden und bekannten Quellen zu vertrauen ausgenutzt, oder eine Belohnung in Aussicht gestellt. Auch andere Angriffsvektoren können unter das Konzept des Social Engineering fallen. Nachfolgend sind einige der Attribute aufgeführt, mit denen sich Social-Engineering-Taktiken leichter erkennen und bekämpfen lassen:
    • Phishing-Mails sind ein effizientes Mittel, denn sie richten sich gegen das schwächste Glied in der Sicherheitskette – gewöhnliche Benutzer, die nicht unbedingt an Netzwerksicherheit denken. Bei einer Phishing-Kampagne kann ein Benutzer dazu verleitet oder eingeschüchtert werden, seine Zugangsdaten unbeabsichtigt weiterzugeben, indem er auf einen Link klickt, den er für eine legitime Website hält, oder eine Datei herunterlädt, die einen bösartigen Code enthält. Früher waren Phishing-E-Mails schlecht geschrieben und leicht zu erkennen. Heutzutage sind Angreifer sehr versiert darin, legitime E-Mails und Landing-Pages zu imitieren, die nur schwer als betrügerisch zu identifizieren sind.
    • Beim Identity Spoofing gibt sich ein Angreifer als ein anderer legitimer Benutzer aus, indem er die einer Anwendung oder Netzwerkressource präsentierten Informationen fälscht. So werden beispielsweise E-Mails mit einer Handlungsaufforderung versendet, die scheinbar die Adresse eines Kollegen tragen, aber die Adresse verbirgt lediglich den wahren Absender der E-Mail. Ähnlich kann eine URL gefälscht werden, um wie eine legitime Website zu wirken, aber die tatsächliche IP-Adresse deutet in Wirklichkeit auf die Website eines Cyberkriminellen hin.

  • Malware begleitet uns bereits seit den Anfängen der Computertechnik. Derzeit ist ein starker Anstieg von Ransomware und bösartigem Code zu beobachten, der speziell auf die Verschlüsselung von Geräten und Daten abzielt. Cyberkriminelle verlangen dann eine Zahlung in Kryptowährung, damit sie den Opfern die Schlüssel zur Entsperrung bereitstellen und die Kontrolle zurückgeben. Das kann sowohl auf individueller Ebene mit Ihrem Computer und Ihren Datendateien geschehen als auch – inzwischen immer häufiger – mit einem ganzen Unternehmen. Besonders ausgeprägt ist der Einsatz von Ransomware im Gesundheitswesen, da diese Organisationen aufgrund der Konsequenzen für Leben und Tod sehr empfindlich auf Netzwerkausfallzeiten reagieren.

  • Supply Chain Insertion ist ein Beispiel für einen kreativen Ansatz zum Einschleusen von Malware in ein Netzwerk. Ein Angreifer kann beispielsweise Anti-Malware-Tools und -Schutzmaßnahmen umgehen, indem er einen Anwendungsaktualisierungsprozess kapert. Wir stellen fest, dass diese Technik immer häufiger eingesetzt wird. Diese Bedrohung wird also weiter zunehmen, solange die Anwendungsentwickler keine umfassenderen Sicherheitsvorkehrungen in ihre Software einbauen.

  • Bei Man-in-the-middle-Angriffen schleust sich ein Angreifer zwischen einen Benutzer und eine Ressource ein, auf die dieser gerade zugreift, und fängt so kritische Informationen wie die Anmeldedaten eines Benutzers ab. So kann ein Cyberkrimineller beispielsweise in einem Café eine Key-Logging-Software einsetzen, um die Zugangsdaten eines Benutzers zu erfassen, wenn dieser dem WLAN-Netzwerk beitritt. Der Angreifer kann sich so Zugang zu den sensiblen Daten des Benutzers verschaffen, wie z. B. Bankdetails und persönliche Daten. Diese kann er dann im Dark Web nutzen oder verkaufen.

  • DDoS-Angriffe (Distributed Denial of Service) gibt es schon seit mehr als einem Jahrzehnt und mit dem rasanten Wachstum des Internet der Dinge (IoT) treten solche massiven Angriffe immer häufiger auf. Bei dieser Methode überhäuft ein Angreifer eine Website mit bösartigem Datenverkehr, der legitime Anfragen verdrängt. Eine zuvor eingeschleuste Malware wird oft dazu verwendet, ein IoT-Gerät wie eine Webcam oder ein intelligentes Thermostat zu kapern. Bei einer DDoS-Attacke wird ein Netzwerk durch eingehenden Datenverkehr aus verschiedenen Quellen mit zahlreichen Anfragen überflutet. Das überfordert die Server und verwehrt legitimen Anfragen den Zugriff. Viele der Angriffe beinhalten auch das Fälschen von IP-Absenderadressen (IP-Adress-Spoofing), sodass der Standort der angreifenden Rechner nicht ohne Weiteres identifiziert und bekämpft werden kann.

    Häufig wird eine Denial-of-Service-Attacke dazu verwendet, um einen hinterhältigeren Versuch, in eine Organisation einzudringen, zu verschleiern oder davon abzulenken. Meistens ist es das Ziel des Angreifers, mit den gestohlenen Zugangsdaten in ein Netzwerk einzudringen und sich dann seitlich durch das Netzwerk zu bewegen, um Zugang zu noch „mächtigeren“ Zugangsdaten zu erhalten. Diese sind häufig der Schlüssel zu den sensibelsten und wertvollsten Informationen innerhalb eines Unternehmens.


90% of all cyberattacks start with a phishing email

Die Militarisierung des Cyberspace

Die zunehmende Wahrscheinlichkeit von Cyberkriegen stellt heute eine der größten Sorgen von Regierungen und Bürgern dar. Eine Cyberkriegsführung beinhaltet, dass Nationalstaaten Computer und Netzwerke nutzen, um sich gegenseitig anzugreifen.

Es werden sowohl offensive als auch defensive Operationen eingesetzt, um Cyberattacken, Spionage und Sabotage durchzuführen. Viele Nationen haben ihre Fähigkeiten weiterentwickelt und engagieren sich seit vielen Jahren in der Cyberkriegsführung, entweder als Angreifer, Verteidiger oder beides.

Doch neue Tools und Methoden für Cyberbedrohungen, die durch fortschrittliche militärische Investitionen entwickelt wurden, können ebenfalls gestohlen und online weitergegeben werden. Auf diese Weise können auch Cyberkriminelle sie als Waffe einsetzen.

Der Cybersicherheitsstatus von Microsoft

Auch wenn die Cybersicherheit bei Microsoft schon immer an erster Stelle stand, haben wir erkannt, dass wir uns auch weiterhin kontinuierlich dafür einsetzen müssen, um uns in der digitalen Welt zu schützen und um Sicherheitsbedrohungen zu erkennen und darauf zu reagieren. Die folgenden drei Verpflichtungen zeichnen unseren Ansatz zur Cyberverteidigung aus. Sie sind darüber hinaus ein nützlicher Rahmen für die Weiterentwicklung der Cyberverteidigungsstrategien und -fähigkeiten von Microsoft.

SCHÜTZEN

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

Schützen

Microsofts oberste Priorität ist der Schutz der von unseren Kunden und Mitarbeitern genutzten Computerumgebung vor entschlossenen Angreifern und somit die Gewährleistung der Ausfallsicherheit unserer Cloud-Infrastruktur sowie unserer Dienste, Produkte, Geräte und der unternehmensinternen Ressourcen.

Die Sicherheitsmaßnahmen des CDOC-Teams erstrecken sich über alle Endpunkte, von Sensoren und Rechenzentren bis hin zu Identitäten und SaaS-Anwendungen (Software-as-a-Service). Defense-Indepth – d. h. der Einsatz eines vielschichtigen Kontrollsystems aus mehreren überlagerten Sicherheitsvorkehrungen und Risikominderungsstrategien – ist ein Best-Practice-Verfahren, das in der gesamten Branche eingesetzt wird. Diesen Ansatz verfolgen wir ebenfalls zum Schutz unserer wertvollen Kunden- und Unternehmensressourcen.

Zu den Schutzmaßnahmen bei Microsoft gehören:

  • Die umfassende Überwachung und Kontrolle der physischen Umgebung unserer globalen Rechenzentren, einschließlich Kameras, Personenkontrolle, Zäune und Barrieren sowie mehrere Identifikationsmethoden für den physischen Zugang.

  • Softwaredefinierte Netzwerke, mit denen unsere Cloud-Infrastruktur vor Eindringlingen und DDoS-Angriffen geschützt wird.

  • Die Multifaktor-Authentifizierung wird in unserer gesamten Infrastruktur zur Regelung des Identitäts- und Zugriffsmanagements eingesetzt. Sie gewährleistet den Schutz kritischer Ressourcen und Daten durch mindestens zwei der folgenden Punkte:
    • Etwas, das Sie wissen (Passwort oder PIN)
    • Etwas, das Sie sind (biometrisch)
    • Etwas, das Sie haben (Smartphone)
  • Bei einer nicht-persistenten Verwaltung werden JIT-Berechtigungen (Just-In-Time) und JEA-Berechtigungen (Just-Enough-Administrator) für technische Mitarbeiter verwendet, die für die Verwaltung der Infrastruktur und Dienste zuständig sind. Auf diese Weise wird ein einmaliger Zugangsdatensatz für einen erweiterten Zugriff bereitgestellt, der nach einer vorher festgelegten Zeitspanne automatisch abläuft.

  • Die ordnungsgemäße Betriebssicherheit wird durch aktuelle Anti-Malware-Software und die Einhaltung eines strikten Patching- und Konfigurationsmanagements sichergestellt.

  • Das Forschungsteam des Microsoft Malware Protection Centers identifiziert, rekonstruiert und entwickelt Malware-Signaturen und setzt diese dann in unserer Infrastruktur zur erweiterten Erkennung und Abwehr ein. Diese Signaturen werden über Windows-Updates und Benachrichtigungen an unsere Responder, unsere Kunden und an die Industrie verteilt, damit die entsprechenden Geräte geschützt sind.

  • Microsoft Security Development Lifecycle (SDL) ist ein Softwareentwicklungsprozess, mit dem Entwickler sicherere Software erstellen und Sicherheitsanforderungen einhalten können, während zugleich die Entwicklungskosten gesenkt werden. SDL wird verwendet, um alle Anwendungen, Onlinedienste und Produkte zu stärken und ihre Wirksamkeit routinemäßig durch Penetrationstests und Schwachstellenscans zu überprüfen.

  • Die Bedrohungsmodellierung und Angriffsflächenanalyse gewährleistet, dass potenzielle Bedrohungen bewertet, gefährdete Aspekte eines Dienstes evaluiert und die Angriffsfläche durch die Einschränkung von Diensten oder durch die Eliminierung unnötiger Funktionen minimiert wird.

  • Die Klassifizierung der Daten nach ihrer Sensibilität und die Ergreifung entsprechender Maßnahmen zu ihrem Schutz, einschließlich einer Verschlüsselung bei der Übertragung und im Ruhezustand, sowie die Durchsetzung des Prinzips eines Zugriffs mit den geringsten Rechten tragen zusätzlich zum Schutz bei. • Awareness-Training, bei dem ein Vertrauensverhältnis zwischen dem Benutzer und dem Sicherheitsteam aufgebaut wird, um eine Umgebung zu entwickeln, in der Benutzer Vorfälle und Anomalien ohne Angst vor Konsequenzen melden können.

Durch eine Vielzahl von Kontrollen und durch die Defense-in-Depth-Strategie wird gewährleistet, dass im Falle eines Versagens in einem Bereich kompensierende Kontrollen in anderen Bereichen vorhanden sind, um die Sicherheit und den Datenschutz unserer Kunden, Cloud-Dienste und unserer eigenen Infrastruktur zu garantieren. Doch keine Umgebung ist wirklich undurchdringbar, da jeder Mensch Fehler macht und entschlossene Angreifer weiterhin nach Schwachstellen suchen und diese ausnutzen werden. Dank der erheblichen und fortlaufenden Investitionen in die verschiedenen Schutzschichten und in die Baseline-Analyse können wir ungewöhnliche Aktivitäten schnell erkennen.

ERKENNEN

57+ days is the industry's median number of days between infiltration and detection

Detect

Die CDOC-Teams bedienen sich automatisierter Software, maschinellen Lernens, Verhaltensanalyse und forensischer Techniken, um einen intelligenten Sicherheitsgraphen unserer Umgebung zu erstellen. Das Signal wird mit kontextbezogenen Metadaten und Verhaltensmodellen angereichert, die aus Quellen wie dem Active Directory, den Asset- und Konfigurationsmanagementsystemen und den Ereignisprotokollen generiert werden.

Dank unserer umfassenden Investitionen in die Sicherheitsanalyse können wir umfangreiche Verhaltensprofile und Vorhersagemodelle erstellen, die es uns ermöglichen, „die Punkte zu verbinden“ und komplexe Bedrohungen zu identifizieren, die andernfalls möglicherweise unentdeckt geblieben wären. Auf diese können wir dann mit starken und koordinierten Eindämmungs- und Abhilfemaßnahmen reagieren.

Microsoft bedient sich außerdem speziell entwickelter Sicherheitssoftware sowie branchenführender Tools und maschineller Lernverfahren. Unsere Threat Intelligence wird kontinuierlich weiterentwickelt, und zwar mit automatisierter Datenanreicherung, um bösartige Aktivitäten schneller zu erkennen und mit hoher Zuverlässigkeit zu melden. Des Weiteren werden regelmäßig Sicherheitsrisikoscans durchgeführt, um die Wirksamkeit der Schutzmaßnahmen zu testen und zu verfeinern. Durch den Umfang der Investitionen von Microsoft in sein Sicherheitsökosystem und die Vielfalt der Signale, die von den CDOC-Teams überwacht werden, erhalten wir einen viel umfassenderen Überblick über die Bedrohungen als die meisten anderen Dienstleister.

Zu den Erkennungsmaßnahmen von Microsoft gehören:

  • Eine ganzjährige Rund-um-die-Uhr-Überwachung von Netzwerken und physischen Umgebungen im Hinblick auf potenzielle Cybersicherheitsereignisse. Die Verhaltensprofilerstellung basiert auf Nutzungsmustern und einem aktuellen Verständnis der einzigartigen Bedrohungen für unsere Dienste.

  • Die Identitäts- und Verhaltensanalyse wird entwickelt, um ungewöhnliche Aktivitäten hervorzuheben.

  • Softwaretools und Techniken des maschinellen Lernens werden routinemäßig eingesetzt, um Unregelmäßigkeiten zu entdecken und zu melden.

  • Erweiterte Analysetools und -prozesse werden eingesetzt, um weitere anomale Aktivitäten und innovative Korrelationsfunktionen zu identifizieren. Dadurch können aus den enormen Datenmengen in Quasi-Echtzeit hochkontextualisierte Risikoerkennungen erstellt werden.

  • Automatisierte, softwarebasierte Prozesse, die kontinuierlich geprüft und weiterentwickelt werden, um ihre Effektivität zu erhöhen.

  • Data Scientists und Sicherheitsexperten arbeiten routinemäßig Seite an Seite, um sich mit eskalierten Ereignissen zu befassen, die ungewöhnliche Merkmale aufweisen und eine weitere Zielanalyse erforderlich machen. Daraufhin können sie potenzielle Reaktions- und Abhilfemaßnahmen festlegen.

REAKTION

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

Reagieren

Erkennt Microsoft ungewöhnliche Aktivitäten in einem System, werden die Reaktionsteams alarmiert, die schnell und mit präzisen Maßnahmen reagieren. Benachrichtigungen von softwarebasierten Erkennungssystemen durchlaufen unsere automatischen Reaktionssysteme, die mit Hilfe risikobasierter Algorithmen Ereignisse markieren, die ein Eingreifen unseres Reaktionsteams erforderlich machen. Der Begriff Mean-Time-to-Mitigate (durchschnittliche Zeit bis zur Abschwächung) ist von besonders großer Bedeutung. Unser Automatisierungssystem liefert den Einsatzkräften relevante, umsetzbare Informationen, mit denen Triage, Schadensbegrenzung und Wiederherstellung beschleunigt werden können.

Zur Verwaltung von Sicherheitsvorfällen dieser Größenordnung setzen wir ein mehrstufiges System ein, um Reaktionsaufgaben effizient der richtigen Ressource zuzuweisen und einen rationalen Eskalationspfad zu ermöglichen.

Zu den Reaktionsmaßnahmen von Microsoft gehören:

  • Automatisierte Reaktionssysteme verwenden risikobasierte Algorithmen, um Ereignisse zu kennzeichnen, die ein menschliches Eingreifen erfordern.

  • Automatisierte Reaktionssysteme verwenden risikobasierte Algorithmen, um Ereignisse zu kennzeichnen, die ein menschliches Eingreifen erfordern.

  • Wohldefinierte, dokumentierte und skalierbare Incident-Response-Prozesse sorgen im Rahmen eines kontinuierlichen Verbesserungsmodells dafür, dass wir den Gegnern immer einen Schritt voraus sind, da sie allen Respondern zur Verfügung stehen.

  • Die Fachkenntnisse unserer Teams in den verschiedenen Sicherheitsbereichen sorgen für ein breit gefächertes Kompetenzspektrum, mit dem Vorfälle bearbeitet werden können. Sicherheitsfachkenntnisse in den Bereichen Vorfallsreaktion, Forensik und Intrusionsanalyse sowie ein tiefes Verständnis der Plattformen, Dienste und Anwendungen, die in unseren Cloudrechenzentren betrieben werden.

  • Umfassende unternehmensweite Suche über Cloud-, Hybrid- und On-Premises-Daten und -Systeme zur Bestimmung des Ausmaßes eines Vorfalls.

  • Spezialisten führen detaillierte forensische Analysen bei großen Bedrohungen durch, um die Vorfälle zu verstehen und bei ihrer Eindämmung und Beseitigung zu helfen. • Die Sicherheitssoftwaretools, die Automatisierung und die Hyper-Scale-Cloud-Infrastruktur von Microsoft ermöglichen es unseren Sicherheitsexperten, die Zeit zum Erkennen, Untersuchen und Analysieren von, zum Reagieren auf und zur Wiederherstellung nach Cyberangriffen zu reduzieren.

  • Penetrationstests werden bei allen Microsoft-Produkten und -Diensten durch laufende Red/Blue-Teamübungen durchgeführt, um Schwachstellen aufzudecken, bevor ein echter Angreifer diese für einen Angriff ausnutzen kann.

Cyberdefense für unsere Kunden

Häufig werden wir gefragt, welche Tools und Prozesse unsere Kunden für ihre eigene Umgebung übernehmen können und wie Microsoft bei der Implementierung helfen kann. Microsoft hat viele der Cyberdefense-Produkte und -Dienste, die wir im CDOC verwenden, zu einer eigenen Reihe von Produkten und Diensten zusammengefasst. Die Microsoft Enterprise Cybersecurity Group und die Microsoft Consulting Services-Teams arbeiten eng mit unseren Kunden zusammen, um ihnen die Lösungen zu liefern, die für ihre spezifischen Bedürfnisse und Anforderungen am besten geeignet sind.

Zu den ersten Schritten, die Microsoft dringend empfiehlt, gehört die Etablierung einer Sicherheitsgrundlage. Mit unseren grundlegenden Diensten bieten wir kritische Angriffsabwehr und Kerndienste zur Identitätsfeststellung, die Ihnen helfen, den Schutz Ihrer Ressourcen zu gewährleisten. Diese Grundlage hilft Ihnen dabei, Ihre digitale Transformation zu beschleunigen, um sich in Richtung eines sichereren modernen Unternehmens zu bewegen.

Aufbauend auf diesem Fundament können Kunden dann Lösungen nutzen, die sich bei anderen Microsoft-Kunden bewährt haben und die in unseren eigenen IT- und Cloud-Service-Umgebungen eingesetzt werden. Für weitere Informationen zu unseren Tools, Funktionen und Serviceangeboten für die Cybersicherheit von Unternehmen besuchen Sie Microsoft.com/security und kontaktieren Sie unsere Teams unter cyberservices@microsoft.com.

Bewährte Verfahren zum Schutz Ihrer Umgebung

Investieren Sie in Ihre Plattform Investieren Sie in Ihre Ausstattung Investieren Sie in Ihre Mitarbeiter
Agilität und Skalierbarkeit benötigen Planung und den Aufbau einer Enabling-Plattform Stellen Sie sicher, dass Sie die Elemente in Ihrer Plattform umfassend evaluieren Kompetente Analysten und Data Scientists sind das Fundament für die Verteidigung, während die Benutzer den neuen Sicherheitsperimeter darstellen
Führen Sie ein gut dokumentiertes Inventar Ihrer Ressourcen Beschaffen und/oder erstellen Sie die Tools, die zur vollständigen Überwachung Ihres Netzwerks, Ihrer Hosts und Ihrer Protokolle erforderlich sind Etablieren Sie Beziehungen und Kommunikationslinien zwischen dem Vorfallsreaktionsteam und anderen Gruppen
Implementieren Sie eine gut definierte Sicherheitsrichtlinie mit klaren Standards und Richtlinien für Ihr Unternehmen Führen Sie proaktiv Kontrollen und Maßnahmen durch und testen Sie diese regelmäßig auf ihre Richtigkeit und Wirksamkeit Übernehmen Sie das Prinzip der geringstmöglichen Administratorberechtigungen; beseitigen Sie dauerhafte Administratorrechte
Sorgen Sie für die richtige Betriebssicherheit - mit rechtzeitigen Patches und Antivirenprogrammen können die meisten Angriffe verhindert werden Behalten Sie die Richtlinien zum Änderungsmanagement unter strenger Kontrolle Verwenden Sie den Lessons-Learned-Prozess, um aus sämtlichen größeren Vorfällen trotzdem Nutzen zu ziehen
Verstärken Sie den Schutz von Konten und Geräten mithilfe der Multi-Faktor-Authentifizierung Überwachen Sie ungewöhnliche Konto- und Berechtigungsaktivitäten, um Missbrauch zu erkennen Beziehen Sie die Benutzer ein und bieten Sie entsprechende Schulungsangebote an, um sie zu befähigen, potenzielle Bedrohungen zu erkennen und eine eigene Verantwortung beim Schutz der Unternehmensdaten zu übernehmen