Freigeben über

Microsoft Cybersecurity Defense Operations Center

Teilen der bewährten Methoden von Microsoft zum Schutz, Erkennen und Reagieren auf Cybersicherheitsbedrohungen

Cybersicherheit ist eine gemeinsame Verantwortung, die uns alle betrifft. Heute kann eine einzige Verletzung, physische oder virtuelle, Millionen von Dollar Schaden an einer Organisation und potenziell Milliarden von finanziellen Verlusten für die Weltwirtschaft verursachen. Jeden Tag sehen wir Berichte über Cyberkriminelle, die Unternehmen und Einzelpersonen für finanzielle Gewinne oder sozial motivierte Zwecke adressieren. Fügen Sie diese Bedrohungen hinzu, die von nationalstaatlichen Akteuren, die versuchen, Operationen zu unterbrechen, Spionage durchzuführen oder generell das Vertrauen zu untergraben.

In diesem Kurzen teilen wir den Status der Onlinesicherheit, der Bedrohungsakteure und der komplexen Taktiken, die sie verwenden, um ihre Ziele voranzutreiben, und wie das Cyber Defense Operations Center von Microsoft diese Bedrohungen bekämpft und Kunden hilft, ihre vertraulichen Anwendungen und Daten zu schützen.



Microsoft Cyber Defense Operations Center

Das Microsoft Cyber Defense Operations Center

Microsoft verpflichtet sich zutiefst, die Onlinewelt für jeden sicherer zu machen. Die Cybersicherheitsstrategien unseres Unternehmens haben sich aus der einzigartigen Sichtbarkeit entwickelt, die wir in der sich schnell entwickelnden Cyberthreat-Landschaft haben.

Innovation im Angriffsraum über Menschen, Orte und Prozesse hinweg ist eine notwendige und kontinuierliche Investition, die wir alle machen müssen, da sich Angreifer weiterhin sowohl in Entschlossenheit als auch in der Raffinesse weiterentwickeln. Als Reaktion auf erhöhte Investitionen in Verteidigungsstrategien vieler Organisationen passen sich Angreifer an und verbessern ihre Taktiken mit rasanter Geschwindigkeit. Glücklicherweise sind Cyberdefender wie die globalen Informationssicherheitsteams von Microsoft auch innovativ und unterbrechen lange zuverlässige Angriffsmethoden mit laufenden, fortgeschrittenen Schulungen und modernen Sicherheitstechnologien, Tools und Prozessen.

Das Microsoft Cyber Defense Operations Center (CDOC) ist ein Beispiel für die jährlich mehr als 1 Mrd. US-Dollar, die wir in Sicherheit, Datenschutz und Risikomanagement investieren. Das CDOC vereint Cybersicherheitsspezialisten und Data Scientists in einer 24x7-Einrichtung zur Bekämpfung von Bedrohungen in Echtzeit. Wir sind weltweit mit mehr als 3.500 Sicherheitsexperten in unseren Produktentwicklungsteams, Informationssicherheitsgruppen und Rechtsteams verbunden, um unsere Cloudinfrastruktur und -dienste, Produkte und Geräte sowie interne Ressourcen zu schützen.

Microsoft hat mehr als 15 Milliarden US-Dollar in unsere Cloudinfrastruktur investiert, mit über 90 Prozent der Fortune 500-Unternehmen, die die Microsoft-Cloud nutzen. Heute besitzen und betreiben wir einen der weltweit größten Cloud-Footprints mit mehr als 100 geoverteilten Rechenzentren, 200 Clouddiensten, Millionen von Geräten und einer Milliarde Kunden auf der ganzen Welt.

Akteure und Motivationen für Cybersicherheitsrisiken

Der erste Schritt zum Schutz von Personen, Geräten, Daten und kritischer Infrastruktur besteht darin, die verschiedenen Arten von Bedrohungsakteuren und deren Motivationen zu verstehen.
  • Cyberkriminelle mehrere Unterkategorien umfassen, obwohl sie häufig gemeinsame Motivationen teilen – Finanz-, Intelligenz- und/oder soziale oder politische Gewinne. Ihr Ansatz ist in der Regel direkt – indem ein Finanzdatensystem infiltriert wird, Mikrobeträge abgeschöpft werden, die zu klein sind, um entdeckt zu werden, und das System verlassen, bevor sie entdeckt werden. Die Aufrechterhaltung einer dauerhaften, geheimen Präsenz ist entscheidend, um ihr Ziel zu erreichen.

    Ihr Ansatz kann ein Angriff sein, der eine große finanzielle Auszahlung durch ein Labyrinth von Konten umleitet, um Nachverfolgung und Intervention zu umgehen. Manchmal besteht das Ziel darin, geistiges Eigentum zu stehlen, das das Ziel besitzt, damit das Cyberkriminal als Vermittler fungiert, um ein Produktdesign, einen Softwarequellcode oder andere proprietäre Informationen zu liefern, die einen Wert für eine bestimmte Entität haben. Mehr als die Hälfte dieser Aktivitäten werden von organisierten Kriminellen begangen.

  • nationalstaatliche Akteure für eine Regierung arbeiten, um gezielte Regierungen, Organisationen oder Einzelpersonen zu stören oder zu kompromittieren, um Zugang zu wertvollen Daten oder Informationen zu erhalten. Sie engagieren sich für internationale Angelegenheiten, um ein Ergebnis zu beeinflussen und zu fördern, das einem Land oder einer Region zugute kommen kann. Das Ziel eines nationalstaatlichen Akteurs besteht darin, Operationen zu stören, Spionage gegen Unternehmen durchzuführen, Geheimgeheimnisse von anderen Regierungen zu stehlen oder das Vertrauen in Institutionen anderweitig zu untergraben. Sie arbeiten mit großen Ressourcen zur Verfügung und ohne Angst vor rechtlicher Vergeltung, mit einem Toolkit, das sich von einfach bis hoch komplex erstreckt.

    Staatliche Akteure können einige der anspruchsvollsten Cyberhacking-Talente anziehen und ihre Werkzeuge bis zur Waffenreife weiterentwickeln. Ihr Vorgehen ist äußerst fortschrittlich und vor allem hartnäckig. Dabei setzen sie z. B. Supercomputing ein, um Anmeldedaten mit brachialen Methoden zu knacken, indem sie Millionen von Versuchen ausführen, bis sie das richtige Kennwort finden. Sie können auch hypergezielte Phishingangriffe verwenden, um einen Insider dazu zu bringen, ihre Anmeldeinformationen preiszugeben.

  • Insider- Bedrohungen sind aufgrund der Unvorstellbarkeit des menschlichen Verhaltens besonders schwierig. Die Motivation eines Insiders kann opportunistisch sein und auf finanziellen Gewinn abzielen. Es gibt jedoch mehrere Ursachen für potenzielle Insider-Bedrohungen, die von einfacher Unachtsamkeit bis hin zu komplexen Schemas reichen. Viele Datenschutzverletzungen, die sich aus Insider-Bedrohungen ergeben, sind völlig unbeabsichtigt aufgrund versehentlicher oder fahrlässiger Aktivitäten, die eine Organisation gefährdet, ohne sich der Sicherheitsanfälligkeit bewusst zu sein.

  • Hacktivisten konzentrieren sich auf politisch und/oder sozial motivierte Angriffe. Sie sind bestrebt, in den Nachrichten sichtbar und anerkannt zu werden, um die Aufmerksamkeit auf sich und ihre Ursache zu lenken. Zu ihren Taktiken gehören verteilte Denial-of-Service (DDoS)-Angriffe, Ausnutzung von Sicherheitslücken oder Verunstaltung einer Onlinepräsenz. Eine Verbindung zu einem sozialen oder politischen Problem kann jedes Unternehmen oder jede Organisation als Ziel festlegen. Social Media ermöglicht Hacktivisten, ihre Sache schnell zu evangelisieren und andere zu rekrutieren, um teilzunehmen.


4 Millionen US-Dollar ist die durchschnittliche Kosten für Datenschutzverletzungen im Jahr 2017

Techniken von Bedrohungsakteuren

Gegner sind qualifiziert, Wege zu finden, um das Netzwerk einer Organisation zu durchdringen, obwohl die Schutzmaßnahmen mit verschiedenen komplexen Techniken vorhanden sind. Seit den frühen Tagen des Internets gibt es mehrere Taktiken, obwohl andere die Kreativität und die zunehmende Raffinesse der heutigen Gegner widerspiegeln.

  • Social Engineering- ist ein allgemeiner Begriff für einen Angriff, der Benutzer dazu verleitet, aktiv zu werden oder Informationen preiszugeben, die sie andernfalls nicht tun würden. Social Engineering nutzt die guten Absichten der meisten Menschen und deren Bereitschaft aus, hilfreich zu sein, Probleme zu vermeiden, vertrauten Quellen zu vertrauen oder um potenziell eine Belohnung zu gewinnen. Andere Angriffsvektoren können unter das Dach von Social Engineering fallen, aber die folgenden sind einige der Eigenschaften, die es einfacher machen, Social Engineering-Taktiken zu erkennen und abzuwehren:
    • Phishing-E-Mails sind ein effektives Werkzeug, da sie den schwächsten Punkt in der Sicherheitskette ausnutzen – nämlich alltägliche Benutzer, denen Netzwerksicherheit nicht an oberster Stelle steht. Eine Phishingkampagne kann einen Benutzer einladen oder erschrecken, seine Anmeldeinformationen versehentlich freizugeben, indem er sie dazu verleitt, auf einen Link zu klicken, den er glaubt, eine legitime Website ist oder eine Datei herunterlädt, die bösartigen Code enthält. Phishing-E-Mails waren früher schlecht geschrieben und leicht zu erkennen. Heute haben sich Angreifer dazu entwickelt, legitime E-Mails und Zielwebsites nachzuahmen, die schwer als betrügerisch zu identifizieren sind.
    • Beim Identity Spoofing gibt sich ein Angreifer als ein anderer legitimer Benutzer aus, indem er die einer Anwendung oder Netzwerkressource präsentierten Informationen fälscht. Ein Beispiel ist eine E-Mail, die scheinbar die Adresse eines Kollegen trägt, der eine Aktion anfordert, aber die Adresse versteckt die echte Quelle des E-Mail-Absenders. Ebenso kann eine URL gespooft werden, um als legitime Website zu erscheinen, aber die tatsächliche IP-Adresse verweist tatsächlich auf die Website eines Cyberkriminals.

  • Schadsoftware ist seit beginn des Computings bei uns. Heute sehen wir einen starken Anstieg bei Ransomware und bösartigem Code, der speziell zur Verschlüsselung von Geräten und Daten vorgesehen ist. Cyberkriminelle fordern dann die Zahlung in Kryptowährung für die Schlüssel, um die Kontrolle zu entsperren und an das Opfer zurückzugeben. Dies kann auf einer einzelnen Ebene auf Ihrem Computer und Ihren Datendateien oder jetzt häufiger in einem ganzen Unternehmen geschehen. Die Verwendung von Ransomware ist besonders im Gesundheitswesen ausgeprägt, da die Folgen des Lebens oder Todes, denen diese Organisationen gegenüberstehen, sehr empfindlich auf Netzwerkausfallzeiten machen.

  • Supply Chain Insertion ist ein Beispiel für einen kreativen Ansatz zum Einschleusen von Malware in ein Netzwerk. Beispielsweise umgehen Angreifer Sicherheits- und Schutzmaßnahmen, indem sie den Update-Prozess einer Anwendung kapern. Wir sehen, dass diese Technik häufiger wird, und diese Bedrohung wird weiter wachsen, bis umfassendere Sicherheitsschutzfunktionen von Anwendungsentwicklern in Software integriert werden.

  • Man-in-the-Middle-Angriffe umfassen einen Angreifer, der sich selbst zwischen einem Benutzer und einer Ressource einfügt, auf die er zugreift, wodurch wichtige Informationen wie die Anmeldeinformationen eines Benutzers abgefangen werden. Beispielsweise kann ein Cyberkriminal in einem Café Schlüsselprotokollierungssoftware verwenden, um die Domänenanmeldeinformationen eines Benutzers zu erfassen, während sie am WLAN-Netzwerk teilnehmen. Der Bedrohungsakteur kann dann Zugriff auf die vertraulichen Informationen des Benutzers erhalten, z. B. Bank- und persönliche Informationen, die er im Dunklen Web verwenden oder verkaufen kann.

  • Verteilter Denial of Service (DDoS)Angriffe gibt es seit mehr als einem Jahrzehnt, und massive Angriffe treten mit dem rasanten Wachstum des Internets der Dinge (IoT) häufiger auf. Bei der Verwendung dieser Technik überfordert ein Angreifer eine Website, indem er sie mit bösartigem Datenverkehr bombardiert, der legitime Abfragen verschiebt. Zuvor gepflanzte Schadsoftware wird häufig verwendet, um ein IoT-Gerät wie eine Webcam oder einen intelligenten Thermometer zu entjacken. Bei einem DDoS-Angriff überflutet eingehender Datenverkehr aus verschiedenen Quellen ein Netzwerk mit zahlreichen Anfragen. Dies überfordert Server und verweigert legitimen Anfragen den Zugriff. Viele Angriffe umfassen auch das Schmieden von IP-Absenderadressen (IP-Adressspoofing), sodass der Standort der angriffenden Computer nicht leicht identifiziert und besiegt werden kann.

    Häufig wird ein Denial-of-Service-Angriff verwendet, um einen betrügerischeren Versuch abzudecken oder abzulenken, um in eine Organisation einzudringen. In den meisten Fällen besteht das Ziel des Angreifers darin, zugriff auf ein Netzwerk mit kompromittierten Anmeldeinformationen zu erhalten, und sich dann lateral über das Netzwerk zu bewegen, um Zugriff auf leistungsfähigere Anmeldeinformationen zu erhalten, die die Schlüssel für die vertraulichsten und wertvollsten Informationen innerhalb der Organisation sind.


90% aller Cyberangriffe beginnen mit einer Phishing-E-Mail-

Die Militarisierung des Cyberraums

Die wachsende Möglichkeit des Cyberwarfarens ist eines der führenden Anliegen der Regierungen und Bürger heute. Dazu gehören Nationalstaaten, die Computer und Netzwerke in Kriegsführung verwenden und auf sie abzielen.

Sowohl offensive als auch defensive Operationen werden verwendet, um Cyberangriffe, Spionage und Sabotage durchzuführen. Nation-Staaten entwickeln ihre Fähigkeiten und engagieren sich in Cyberwarfare entweder als Aggressoren, Beklagte oder beides seit vielen Jahren.

Neue Bedrohungstools und Taktiken, die durch erweiterte militärische Investitionen entwickelt wurden, können auch verletzt werden, und Cyberbedrohungen können online geteilt und von Cyberkriminellen zur weiteren Verwendung waffenisiert werden.

Der Microsoft-Cybersicherheitsstatus

Obwohl die Sicherheit immer eine Priorität für Microsoft war, erkennen wir an, dass die digitale Welt kontinuierliche Fortschritte in unserem Engagement erfordert, wie wir Cybersicherheitsbedrohungen schützen, erkennen und darauf reagieren. Diese drei Verpflichtungen definieren unseren Ansatz zur Cyberabwehr und dienen als nützlichen Rahmen für unsere Diskussion über die Strategien und Fähigkeiten der Cyberabwehr von Microsoft.

SCHÜTZEN

Gezielte Phishing-Kampagnen gehören nach wie vor zu den am meisten verbreiteten Spionagemethoden.

Schützen

Microsofts erstes Engagement besteht darin, die Computerumgebung zu schützen, die von unseren Kunden und Mitarbeitern verwendet wird, um die Resilienz unserer Cloudinfrastruktur und -dienste, Produkte, Geräte und der internen Unternehmensressourcen des Unternehmens vor bestimmten Gegnern sicherzustellen.

Die Schutzmaßnahmen der CDOC-Teams erstrecken sich über alle Endpunkte, von Sensoren und Rechenzentren bis hin zu Identitäten und SaaS-Anwendungen (Software-as-a-Service). Defense-indepth – das Anwenden von Kontrollen auf mehreren Ebenen mit überlappenden Schutzmaßnahmen und Risikominderungsstrategien – ist eine bewährte Methode in der gesamten Branche, und es ist der Ansatz, den wir ergreifen, um unsere wertvollen Kunden- und Unternehmensressourcen zu schützen.

Zu den Schutztaktiken von Microsoft gehören:

  • Umfassende Überwachung und Kontrolle über die physische Umgebung unserer globalen Rechenzentren, darunter Kameras, Personalprüfung, Zäune und Barrieren sowie mehrere Identifikationsmethoden für den physischen Zugang.

  • Softwaredefinierte Netzwerke, die unsere Cloudinfrastruktur vor Angriffen und DDoS-Angriffen schützen.

  • Die mehrstufige Authentifizierung wird in unserer Infrastruktur eingesetzt, um Identitäts- und Zugriffsverwaltung zu steuern. Dadurch wird sichergestellt, dass wichtige Ressourcen und Daten durch mindestens zwei der folgenden Daten geschützt werden:
    • Etwas, das Sie kennen (Kennwort oder PIN)
    • Etwas, was Sie sind (Biometrie)
    • Etwas, das Sie haben (Smartphone)
  • Bei einer nicht-persistenten Verwaltung werden JIT-Berechtigungen (Just-In-Time) und JEA-Berechtigungen (Just-Enough-Administrator) für technische Mitarbeiter verwendet, die für die Verwaltung der Infrastruktur und Dienste zuständig sind. Dies bietet einen eindeutigen Satz von Anmeldeinformationen für erhöhten Zugriff, der nach einer vordefinierten Dauer automatisch abläuft.

  • Die ordnungsgemäße Betriebssicherheit wird durch aktuelle Anti-Malware-Software und die Einhaltung eines strikten Patching- und Konfigurationsmanagements sichergestellt.

  • Das Team des Microsoft Malware Protection Centers identifiziert, reverse engineering und entwickelt Schadsoftwaresignaturen und stellt sie dann in unserer Infrastruktur für erweiterte Erkennung und Verteidigung bereit. Diese Signaturen werden über Windows-Updates und Benachrichtigungen zum Schutz ihrer Geräte an unsere Responder, Kunden und die Branche verteilt.

  • Microsoft Security Development Lifecycle (SDL) ist ein Softwareentwicklungsprozess, der Entwicklern hilft, sicherere Software zu erstellen und Sicherheitscomplianceanforderungen zu erfüllen und gleichzeitig die Entwicklungskosten zu reduzieren. Der SDL wird verwendet, um alle Anwendungen, Onlinedienste und Produkte zu härten und seine Effektivität durch Penetrationstests und Sicherheitsrisikoüberprüfungen routinemäßig zu überprüfen.

  • Die Analyse der Bedrohungsmodellierung und Angriffsfläche stellt sicher, dass potenzielle Bedrohungen bewertet, offengelegte Aspekte des Diensts ausgewertet werden und die Angriffsfläche minimiert wird, indem Dienste eingeschränkt oder unnötige Funktionen eliminiert werden.

  • Die Klassifizierung von Daten gemäß ihrer Vertraulichkeit und die Durchführung der geeigneten Maßnahmen zu ihrem Schutz, einschließlich Verschlüsselung während der Übertragung und im Ruhezustand, sowie das Erzwingen des Prinzips des minimalen Zugriffsrechts bietet zusätzlichen Schutz. • Sensibilisierungsschulungen, die eine Vertrauensstellung zwischen dem Benutzer und dem Sicherheitsteam fördern, um eine Umgebung zu entwickeln, in der Benutzer Vorfälle und Anomalien melden, ohne Angst vor Wiederholung zu haben.

Mit einer umfassenden Reihe von Kontrollen und einer Verteidigungs-in-Tiefe-Strategie können Sie sicherstellen, dass, sollte ein Bereich ausfallen, in anderen Bereichen ausgleichende Kontrollen vorhanden sind, um die Sicherheit und den Datenschutz unserer Kunden, Clouddienste und unserer eigenen Infrastruktur aufrechtzuerhalten. Allerdings ist keine Umgebung wirklich undurchdringlich, da Menschen Fehler machen und ermittelte Gegner weiterhin nach Sicherheitsrisiken suchen und sie ausnutzen. Die bedeutenden Investitionen, die wir weiterhin in diesen Schutzebenen vornehmen, und die Basisanalyse ermöglicht es uns, schnell zu erkennen, wann eine ungewöhnliche Aktivität vorhanden ist.

ENTDECKEN

Mehr als 57 Tage ist die Medianzahl in der Branche für den Zeitraum zwischen Infiltration und Erkennung

Entdecken

Die CDOC-Teams verwenden automatisierte Software, maschinelles Lernen, Verhaltensanalyse und forensische Techniken, um ein intelligentes Sicherheitsdiagramm unserer Umgebung zu schaffen. Dieses Signal wird mit kontextbezogenen Metadaten und Verhaltensmodellen erweitert, die aus Quellen wie Active Directory, Ressourcen- und Konfigurationsverwaltungssystemen und Ereignisprotokollen generiert werden.

Unsere umfangreichen Investitionen in Sicherheitsanalysen bauen umfangreiche Verhaltensprofile und Predictive-Modelle auf, die es uns ermöglichen, "die Punkte zu verbinden" und erweiterte Bedrohungen zu identifizieren, die andernfalls nicht erkannt wurden, und dann mit starken Eindämmungs- und koordinierten Wartungsaktivitäten entgegenwirken.

Microsoft setzt auch benutzerdefinierte Sicherheitssoftware zusammen mit branchenführenden Tools und maschinellem Lernen ein. Unsere Bedrohungsinformationen entwickeln sich kontinuierlich weiter, mit automatisierter Datenanreicherung, um schädliche Aktivitäten schneller zu erkennen und mit hoher Genauigkeit zu berichten. Sicherheitsrisikoüberprüfungen werden regelmäßig durchgeführt, um die Wirksamkeit von Schutzmaßnahmen zu testen und zu verfeinern. Die Breite der Investitionen von Microsoft in sein Sicherheitsökosystem und die Vielzahl von Signalen, die von den CDOC-Teams überwacht werden, bieten eine umfassendere Bedrohungsansicht, als von den meisten Dienstanbietern erreicht werden kann.

Zu den Erkennungstaktiken von Microsoft gehören:

  • Überwachen von Netzwerk- und physischen Umgebungen 24x7x365 für potenzielle Cybersicherheitsereignisse. Verhaltensprofilerstellung basiert auf Nutzungsmustern und einem Verständnis eindeutiger Bedrohungen für unsere Dienste.

  • Identitäts- und Verhaltensanalysen werden entwickelt, um ungewöhnliche Aktivitäten hervorzuheben.

  • Maschinelle Lernsoftware-Tools und -Techniken werden routinemäßig verwendet, um Unregelmäßigkeiten zu erkennen und zu kennzeichnen.

  • Erweiterte Analysetools und -prozesse werden eingesetzt, um anomaliele Aktivitäten und innovative Korrelationsfunktionen weiter zu identifizieren. Dies ermöglicht es, hochkontextualisierte Erkennungen aus den enormen Mengen an Daten in nahezu Echtzeit zu erzeugen.

  • Automatisierte softwarebasierte Prozesse, die kontinuierlich überwacht und weiterentwickelt werden, um eine höhere Effektivität zu erzielen.

  • Data Scientists und Sicherheitsexperten arbeiten routinemäßig nebeneinander, um eskalierte Ereignisse zu behandeln, die ungewöhnliche Merkmale aufweisen, die eine weitere Analyse von Zielen erfordern. Sie können dann potenzielle Reaktionen und Abhilfemaßnahmen ermitteln.

REAKTION

Dienstverweigerung (Denial of Service), Angriffe auf Webanwendungen und Crimeware stellen 90 % aller Informationssicherheitsvorfälle dar

Reagieren

Wenn Microsoft ungewöhnliche Aktivitäten in unseren Systemen erkennt, werden unsere Einsatzteams aktiviert, um präzise und schnell zu reagieren. Benachrichtigungen von softwarebasierten Erkennungssystemen fließen durch unsere automatisierten Reaktionssysteme mit risikobasierten Algorithmen, um Ereignisse zu kennzeichnen, die ein Eingreifen unseres Reaktionsteams erfordern. Der Begriff Mean-Time-to-Mitigate (durchschnittliche Zeit bis zur Abschwächung) ist von besonders großer Bedeutung. Unser Automatisierungssystem liefert den Einsatzkräften relevante, umsetzbare Informationen, mit denen Triage, Schadensbegrenzung und Wiederherstellung beschleunigt werden können.

Um Sicherheitsvorfälle in einem so massiven Maßstab zu verwalten, stellen wir ein mehrstufiges System bereit, um Reaktionsaufgaben effizient der richtigen Ressource zuzuweisen und einen rationalen Eskalationspfad zu ermöglichen.

Zu den Reaktionstaktiken von Microsoft gehören:

  • Automatisierte Reaktionssysteme verwenden risikobasierte Algorithmen, um Ereignisse zu kennzeichnen, die menschliche Intervention erfordern.

  • Automatisierte Reaktionssysteme verwenden risikobasierte Algorithmen, um Ereignisse zu kennzeichnen, die menschliche Intervention erfordern.

  • Gut definierte, dokumentierte und skalierbare Prozesse zur Reaktion auf Vorfälle innerhalb eines kontinuierlichen Verbesserungsmodells helfen uns dabei, uns vor Gegnern zu halten, indem diese allen Antwortenden zur Verfügung gestellt werden.

  • Fachkompetenz in unseren Teams in mehreren Sicherheitsbereichen bietet eine vielfältige Kompetenz für die Behandlung von Vorfällen. Sicherheitskompetenz in der Reaktion auf Vorfälle, Forensik und Angriffsanalyse; und ein tiefes Verständnis der Plattformen, Dienste und Anwendungen, die in unseren Cloud-Rechenzentren tätig sind.

  • Ein breites Unternehmen sucht über Cloud-, Hybrid- und lokale Daten und Systeme hinweg, um den Umfang eines Vorfalls zu ermitteln.

  • Umfassende forensische Analysen für wichtige Bedrohungen werden von Spezialisten durchgeführt, um Vorfälle zu verstehen und ihre Eindämmung und Beseitigung zu unterstützen. • Die Sicherheitssoftwaretools, Automatisierungs- und hyperskalen Cloudinfrastruktur von Microsoft ermöglichen es unseren Sicherheitsexperten, die Zeit zu reduzieren, um Cyberangriffe zu erkennen, zu untersuchen, zu analysieren, zu reagieren und wiederherzustellen.

  • Penetrationstests werden in allen Microsoft-Produkten und -Diensten über laufende Red Team/Blue Team-Übungen eingesetzt, um Sicherheitsrisiken zu lösen, bevor ein echter Angreifer diese Schwachstellen für einen Angriff nutzen kann.

Cyberdefense für unsere Kunden

Wir werden häufig gefragt, welche Tools und Prozesse unsere Kunden für ihre eigene Umgebung übernehmen können und wie Microsoft bei der Implementierung helfen kann. Microsoft hat viele der Cyberdefense-Produkte und -Dienste konsolidiert, die wir im CDOC verwenden, in einer Reihe von Produkten und Diensten. Die Microsoft Enterprise Cybersecurity Group und Microsoft Consulting Services-Teams engagieren sich mit unseren Kunden, um die für ihre spezifischen Anforderungen und Anforderungen am besten geeigneten Lösungen bereitzustellen.

Einer der ersten Schritte, die Microsoft dringend empfiehlt, besteht darin, eine Sicherheitsbasis einzurichten. Unsere Foundation-Dienste bieten wichtige Angriffsabwehr und Kernidentitätsaktivierungsdienste, die Ihnen helfen, sicherzustellen, dass Ressourcen geschützt sind. Die Stiftung hilft Ihnen, Ihre digitale Transformation zu beschleunigen, um zu einem sichereren modernen Unternehmen zu gelangen.

Basierend auf dieser Grundlage können Kunden Lösungen nutzen, die sich bei anderen Microsoft-Kunden als erfolgreich erwiesen haben und in Microsofts eigenen IT- und Cloud-Services-Umgebungen bereitgestellt werden. Weitere Informationen zu unseren Unternehmens-Cybersicherheitstools, Funktionen und Serviceangeboten finden Sie unter Microsoft.com/security und wenden Sie sich an unsere Teams bei cyberservices@microsoft.com.

Bewährte Methoden zum Schutz Ihrer Umgebung

Investieren Sie in Ihre Plattform Investieren Sie in Ihre Instrumentierung Investieren Sie in Ihre Mitarbeiter
Agilität und Skalierbarkeit erfordern Planung und den Aufbau einer unterstützenden Plattform Stellen Sie sicher, dass Sie die Elemente in Ihrer Plattform vollständig messen Qualifizierte Analysten und Datenwissenschaftler sind die Grundlage der Verteidigung, während die Benutzer den neuen Sicherheitsperimeter bilden
Verwalten eines gut dokumentierten Inventars Ihrer Ressourcen Erwerben und/oder erstellen Sie die Tools, die zum vollständigen Überwachen Ihres Netzwerks, Hosts und Protokolle erforderlich sind. Beziehungen und Kommunikationslinien zwischen dem Incident-Response-Team und anderen Gruppen aufbauen.
Verfügen Sie über eine klar definierte Sicherheitsrichtlinie mit klaren Standards und Anleitungen für Ihre Organisation Proaktive Wartung von Kontrollen und Maßnahmen und regelmäßiges Testen auf Genauigkeit und Effektivität Übernehmen Sie die Grundsätze des geringsten Privilegs; Beseitigung dauerhafter Administratorrechte
Ordnungsgemäße Hygiene beibehalten – die meisten Angriffe könnten mit rechtzeitigen Patches und Antivirenprogrammen verhindert werden. Enge Kontrolle über Änderungsverwaltungsrichtlinien behalten Nutzen Sie den gelernten Prozess, um von jedem wichtigen Vorfall einen Mehrwert zu erzielen.
Verwenden der mehrstufigen Authentifizierung zur Stärkung des Schutzes von Konten und Geräten Überwachen Sie ungewöhnliche Aktivitäten in Bezug auf Konten und Anmeldeinformationen, um Missbrauch zu erkennen. Benutzer auflisten, schulen und befähigen, wahrscheinliche Bedrohungen und ihre eigene Rolle beim Schutz von Geschäftsdaten zu erkennen