Centre d’opérations de cyberdéfense (CDOC) Microsoft

  • Article

Sharing Microsoft's best practices to protect, detect, and respond to cybersecurity threats

La cybersécurité est une responsabilité partagée qui nous concerne tous. Aujourd’hui, une violation unique, physique ou virtuelle, peut entraîner des millions de dollars de dommages pour une organisation et éventuellement des milliards de pertes financières pour l’économie mondiale. Chaque jour, nous voyons des rapports sur les cybercriminels ciblant les entreprises et les individus à des fins financières ou sociales. Ajoutez à ces menaces des intervenants de l’État-nation qui cherchent à interrompre les opérations, à espionner ou à compromettre la confiance en général.

Dans ce résumé, nous partageons l’état de la sécurité en ligne, les intervenants des menaces et les tactiques sophistiquées qu’ils utilisent pour faire progresser leurs objectifs. Nous expliquons également les moyens employés par le Centre d’opérations de cyberdéfense Microsoft pour combattre ces menaces et aider les clients à protéger leurs applications et leurs données sensibles.



Microsoft Cyber Defense Operations Center

Centre d’opérations de cyberdéfense Microsoft

Microsoft s’engage sérieusement à rendre le monde en ligne plus sûr pour tout le monde. Les stratégies de cybersécurité de notre entreprise ont changé depuis la visibilité unique dont nous disposons dans le paysage des cybermenaces qui évolue rapidement.

L’innovation dans l’espace d’attaque entre les personnes, les lieux et les processus est un investissement nécessaire et continu que nous devons faire, car les adversaires continuent d’évoluer à la fois en matière de détermination et de sophistication. En réponse à des investissements accrus dans les stratégies de défense de nombreuses organisations, les attaquants s’adaptent et améliorent les tactiques à une vitesse effrénée. Heureusement, des cyberdéfenseurs, tels que les équipes de sécurité des informations globales de Microsoft, innovent et interrompent les méthodes d’attaque utilisées depuis longtemps avec des formations avancées et des technologies, outils et processus de sécurité modernes.

Le Centre d’opérations de cyberdéfense (CDOC) Microsoft est un exemple de plus de 1 milliard de dollars que nous investissons chaque année dans la sécurité, la protection des données et la gestion des risques. Le CDOC réunit des spécialistes de la cybersécurité et des scientifiques des données dans un cadre ouvert 24 h/24 et 7 j/7 pour combattre les menaces en temps réel. Nous sommes en contact avec plus de 3 500 professionnels de la sécurité dans le monde entier dans le cadre de nos équipes de développement de produits, de groupes de sécurité des informations et d’équipes juridiques pour protéger notre infrastructure et nos services, produits et appareils cloud, ainsi que nos ressources internes.

Microsoft a investi plus de 15 milliards de dollars dans notre infrastructure cloud et plus de 90 % des sociétés du classement Fortune 500 utilisent le cloud Microsoft. Aujourd’hui, nous détenons et exploitons l’une des plus grandes infrastructures cloud du monde avec plus de 100 centres de données géo-distribués, 200 services cloud, des millions d’appareils et un milliard de clients dans le monde entier.

Motivations et intervenants des menaces de cybersécurité

La première étape de la protection des personnes, des appareils, des données et de l’infrastructure critique consiste à comprendre les différents types d’intervenants des menaces et leurs motivations.
  • Les cybercriminels comptent plusieurs sous-catégories, bien qu’ils partagent souvent des motivations communes (financières, renseignements et/ou des avantages politiques ou sociaux). Leur approche est généralement directe : ils infiltrent un système de données financières, parcourent rapidement les micro-montants trop petits pour être détectés et quittent avant d’être découverts. Le maintien d’une présence clandestine permanente est essentiel pour atteindre leurs objectifs.

    Leur approche peut être une intrusion qui dévie un important paiement financier à travers un labyrinthe de comptes pour échapper au suivi et à l’intervention. Dans certains cas, l’objectif est de dérober la propriété intellectuelle que la cible possède afin que le cybercriminel joue le rôle d’intermédiaire pour fournir une conception de produit, un code source logiciel ou d’autres informations propriétaires ayant de la valeur pour une entité spécifique. Plus de la moitié de ces activités sont perpétrées par des groupes criminels organisés.

  • Les intervenants de l’État-nation travaillent pour un gouvernement afin de perturber ou de compromette les gouvernements, les organisations ou les individus ciblés pour accéder à des données ou des renseignements précieux. Ils sont impliqués dans des affaires internationales pour influencer et produire un résultat susceptible de profiter à au moins un pays. L’objectif d’un intervenant de l’État-nation est d’interrompre les opérations, d’assurer l’espionnage d’entreprises, de voler des secrets d’autres gouvernements ou de compromettre la confiance dans les institutions. Il travaille avec d’importantes ressources à sa disposition et sans crainte de sanction juridique, avec des outils simples à très complexes.

    Les intervenants de l’État-nation peuvent attirer certains des talents de cyberpiratage les plus doués et faire progresser leurs outils jusqu’au point d’armement. Leur approche d’intrusion implique souvent une menace permanente avancée qui utilise la puissance de supercalcul pour attaquer les informations d’identification en force brute, par millions de tentatives pour arriver au mot de passe correct. Ils peuvent également utiliser des attaques par hameçonnage hyper ciblées pour amener un initié à divulguer ses informations d’identification.

  • Les menaces des initiés sont particulièrement difficiles en raison du caractère imprévisible du comportement humain. La motivation d’un initié peut être l’opportunisme et un gain financier. Toutefois, il existe plusieurs causes aux menaces potentielles émanant des initiés, allant de la simple négligence aux schémas sophistiqués. De nombreuses violations de données résultant de menaces d’initiés sont complètement involontaires en raison d’une activité accidentelle ou négligente qui expose une organisation à un risque sans qu’elle soit consciente de sa vulnérabilité.

  • Les hacktivistes se concentrent sur des attaques politiques et/ou sociales. Ils cherchent à être visibles et reconnus dans les actualités pour attirer l’attention sur eux-mêmes et leur cause. Leurs tactiques incluent les attaques par déni de service distribué (DDoS), les failles de vulnérabilité ou l’altération d’une présence en ligne. Un lien avec un problème politique ou social peut faire d’une entreprise ou d’une organisation une cible. Les réseaux sociaux permettent aux hacktivistes de facilement mettre leur cause en avant et de recruter d’autres participants.


$4 million is the average cost of data breach in 2017

Techniques des intervenants des menaces

Les adversaires sont compétents pour trouver des moyens de pénétrer le réseau d’une organisation en dépit des protections en place à l’aide de différentes techniques sophistiquées. Plusieurs tactiques existent depuis les prémices d’Internet, bien que d’autres reflètent la créativité et l’amélioration de la sophistication des adversaires actuels.

  • L'ingénierie sociale est un terme général pour une attaque qui incite les utilisateurs à agir ou à divulguer des informations qu’ils n’auraient jamais divulguées. L’ingénierie sociale joue sur les bonnes intentions de la plupart des gens et sur leur volonté d’aider pour éviter les problèmes, approuver des sources familières ou obtenir une récompense potentielle. D’autres vecteurs d’attaque peuvent tomber sous le couvert de l’ingénierie sociale, mais voici quelques-uns des attributs qui facilitent la reconnaissance et la protection des tactiques d’ingénierie sociale :
    • Les e-mails de hameçonnage constituent un outil efficace, car ils jouent sur le lien le plus faible de la chaîne de sécurité : les utilisateurs de tous les jours qui n’accordent que peu d’importance à la sécurité réseau. Une campagne de hameçonnage peut inviter ou inciter un utilisateur à partager par inadvertance ses informations d’identification en employant un subterfuge pour le faire cliquer sur un lien qu’il estime être un site légitime ou télécharger un fichier contenant du code malveillant. Les e-mails de hameçonnage sont généralement mal écrits et faciles à reconnaître. Aujourd’hui, les adversaires sont devenus plus aptes à imiter des e-mails légitimes et des sites d’arrivée difficiles à identifier comme frauduleux.
    • L'usurpation d’identité implique un adversaire usurpant l’identité d’un autre utilisateur légitime en falsifiant les informations présentées à une application ou à une ressource réseau. Il s’agit par exemple d’un e-mail provenant apparemment de l’adresse d’un collègue qui demande une action, mais l’adresse masque la véritable source de l’expéditeur de l’e-mail. De même, une URL peut être usurpée pour apparaître comme un site légitime, mais l’adresse IP réelle pointe en fait vers le site d’un cybercriminel.

  • Les logiciels malveillants sont connus depuis l’aube de l’informatique. Aujourd’hui, nous constatons une forte impulsion dans les ransomwares et le code malveillant conçu spécifiquement pour chiffrer les appareils et les données. Les cybercriminels demandent ensuite un paiement en cryptomonnaie pour les clés permettant de déverrouiller et de rendre le contrôle à la victime. Cela peut se produire à un niveau individuel sur votre ordinateur et vos fichiers de données, ou maintenant plus fréquemment au niveau d’une entreprise entière. L’utilisation de ransomwares est particulièrement prononcée dans le domaine de la santé, étant donné que les conséquences en matière de vie ou de mort auxquelles ces organisations sont confrontées les rendent très sensibles aux temps d’arrêt du réseau.

  • L’insertion de la chaîne logistique est un exemple d’une approche créative d’injection des logiciels malveillants dans un réseau. Par exemple, en piratant un processus de mise à jour d’application, un adversaire contourne les outils et les protections anti-programme malveillant. Cette technique est devenue plus courante et cette menace continue à se développer jusqu’à ce que des protections de sécurité plus complètes soient intégrées au logiciel par les développeurs d’applications.

  • Les attaques de l’intercepteur impliquent l’insertion d’un adversaire entre un utilisateur et une ressource à laquelle il accède, interceptant ainsi des informations critiques, telles que les informations d’identification de connexion d’un utilisateur. Par exemple, un cybercriminel dans un café peut utiliser un logiciel de journalisation des clés pour capturer les informations d’identification de domaine d’un utilisateur lorsqu’il rejoint le réseau Wi-Fi. L’intervenant de la menace peut ensuite accéder aux informations sensibles de l’utilisateur, telles que les informations bancaires et personnelles, qu’il peut utiliser ou vendre sur le dark web.

  • Les attaques par déni de service distribué (DDoS) existent depuis plus d’une décennie et les attaques massives sont devenues plus courantes avec la croissance rapide de l’Internet des objets (IoT). Lorsqu’il utilise cette technique, un adversaire surcharge un site en le bombardant de trafic malveillant, qui supplante les requêtes légitimes. Les logiciels malveillants déjà implantés permettent souvent de détourner un appareil IoT, tel qu’une webcam ou un thermostat intelligent. Dans une attaque DDoS, le trafic entrant provenant de différentes sources submerge un réseau avec de nombreuses requêtes. Cela surcharge les serveurs et refuse l’accès aux requêtes légitimes. De nombreuses attaques impliquent également la falsification d’adresses IP d’expéditeur (usurpation d’adresse IP), de sorte que l’emplacement des ordinateurs attaquants ne peut pas être facilement identifié ni vaincu.

    Souvent, une attaque par déni de service permet de couvrir ou de détourner l’attention d’un effort plus trompeur pour pénétrer une organisation. Dans la plupart des cas, l’objectif de l’adversaire est d’accéder à un réseau à l’aide d’informations d’identification compromises, puis de se déplacer latéralement sur le réseau pour accéder à des informations d’identification plus « puissantes », qui sont les clés des informations les plus sensibles et les plus précieuses au sein de l’organisation.


90% of all cyberattacks start with a phishing email

Militarisation du cyberespace

L’éventualité grandissante d’une guerre cybernétique est l’une des principales préoccupations des gouvernements et des citoyens à l’heure actuelle. Elle implique des États-nations utilisant et ciblant des ordinateurs et des réseaux dans la guerre.

Les opérations offensives et défensives permettent de mener des cyberattaques, d’espionner et de saboter. Les États-nations développent leurs capacités et se sont engagés dans une guerre cybernétique en tant qu’agresseurs, défenseurs ou les deux pendant de nombreuses années.

Les nouveaux outils et tactiques de menaces développés par le biais d’investissements militaires avancés peuvent également être percés et les cybermenaces peuvent être partagées en ligne et utilisées comme armes par des cybercriminels pour une utilisation ultérieure.

Position de Microsoft en matière de cybersécurité

Bien que la sécurité ait toujours été prioritaire pour Microsoft, nous constatons que l’univers numérique exige des progrès constants dans notre engagement en matière de protection, de détection et de réponse aux menaces de cybersécurité. Ces trois engagements définissent notre approche de la cyberdéfense et servent d’infrastructure utile à notre discussion concernant les stratégies et les fonctionnalités de cyberdéfense de Microsoft.

PROTÉGER

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

Protéger

Le premier engagement de Microsoft consiste à protéger l’environnement informatique utilisé par nos clients et nos employés afin de garantir la résilience de notre infrastructure cloud et de nos services, produits, appareils et ressources d’entreprise internes face à des adversaires déterminés.

Les mesures de protection des équipes CDOC couvrent tous les points de terminaison, des capteurs aux centres de données, en passant par les identités et les applications SaaS (Software-as-a-Service). Défense approfondie : l’application de contrôles sur plusieurs couches avec des stratégies de protection et d’atténuation des risques qui se chevauchent est la meilleure pratique dans le secteur et constitue notre approche pour protéger nos précieuses ressources client et d’entreprise.

Tactiques de protection de Microsoft :

  • Surveillance et contrôles étendus de l’environnement physique de nos centres de données mondiaux, notamment les caméras, le dépistage du personnel, les limites et les barrières, et plusieurs méthodes d’identification pour l’accès physique.

  • Réseaux à définition logicielle qui protègent notre infrastructure cloud des intrusions et des attaques DDoS.

  • Authentification multifacteur utilisée dans notre infrastructure pour contrôler la gestion des identités et des accès. Elle garantit que les données et ressources critiques sont protégées par au moins deux des éléments suivants :
    • Un élément que vous connaissez (un mot de passe ou un code PIN)
    • Un élément vous concernant particulièrement (biométrie)
    • Un élément que vous avez (un smartphone)
  • L’administration non persistante utilise des privilèges juste-à-temps (JIT) et des privilèges d’administrateur juste suffisants (JEA) pour le personnel d’ingénierie qui gère l’infrastructure et les services. Cela fournit un ensemble unique d’informations d’identification pour un accès avec élévation de privilèges qui expire automatiquement après une durée prédéfinie.

  • Une hygiène appropriée est maintenue rigoureusement par le biais de logiciels anti-programmes malveillants à jour et d’adhésions à une gestion stricte des correctifs et de la configuration.

  • L’équipe de chercheurs du Centre de protection Microsoft contre les programmes malveillants identifie, pratique l’ingénierie à rebours et développe des signatures de programmes malveillants, puis les déploie dans notre infrastructure pour une détection et une défense avancées. Ces signatures sont distribuées à nos répondeurs, aux clients et au secteur via des mises à jour Windows et des notifications pour protéger leurs appareils.

  • Microsoft Security Development Lifecycle (SDL) est un processus de développement logiciel qui aide les développeurs à créer des logiciels plus sécurisés et à répondre aux exigences de conformité en matière de sécurité, tout en réduisant les coûts de développement. Le SDL permet de renforcer l’ensemble des applications, des services en ligne et des produits, et de valider régulièrement son efficacité par le biais de tests de pénétration et d’une analyse des vulnérabilités.

  • La modélisation des menaces et l’analyse des surfaces d’attaque garantissent que les menaces potentielles sont évaluées, que les aspects exposés du service sont évalués et que la surface d’attaque est réduite par la limitation des services ou l’élimination des fonctions inutiles.

  • La classification des données en fonction de leur sensibilité et la mise en œuvre des mesures appropriées pour les protéger, notamment le chiffrement en transit et au repos, ainsi que l’application du principe de l’accès le moins privilégié, offrent une protection supplémentaire. • Formation à la sensibilisation qui favorise une relation d’approbation entre l’utilisateur et l’équipe de sécurité pour développer un environnement dans lequel les utilisateurs signalent des incidents et des anomalies sans crainte de répercussions.

Le fait de disposer d’un ensemble complet de contrôles et d’une stratégie de défense approfondie vous aide à garantir qu’en cas de défaillance d’un domaine, il existe des contrôles de compensation dans d’autres domaines pour assurer la sécurité et la confidentialité de nos clients, de nos services cloud et de notre propre infrastructure. Toutefois, aucun environnement n’est véritablement impénétrable, car les personnes font des erreurs et des adversaires déterminés continuent à chercher des vulnérabilités et à les exploiter. Les investissements significatifs que nous continuons à effectuer dans ces couches de protection et l’analyse de ligne de base nous permettent de détecter rapidement la présence d’une activité anormale.

DÉTECTER

57+ days is the industry's median number of days between infiltration and detection

Detect

Les équipes CDOC utilisent des logiciels automatisés, le Machine Learning, une analyse comportementale et des techniques d’investigation pour créer un graphique de sécurité intelligent de notre environnement. Ce signal est enrichi avec des métadonnées contextuelles et des modèles de comportement générés à partir de sources, telles qu’Active Directory, des systèmes de gestion des ressources et de la configuration, et des journaux des événements.

Nos vastes investissements dans l’analyse de la sécurité créent des profils de comportement et des modèles prédictifs enrichis qui nous permettent de « relier les points » et d’identifier les menaces avancées qui, sans cela, n’auraient pas pu être détectées, puis bloquent les activités renforcées de correction coordonnée et d’autonomie.

Microsoft utilise également des logiciels de sécurité développés à l’aide d’outils personnalisés, ainsi que des outils de pointe et le Machine Learning. Nos renseignements sur les menaces évoluent continuellement, avec l’enrichissement automatisé des données pour détecter plus rapidement les activités malveillantes et les rapports avec une haute fidélité. Les analyses de vulnérabilité sont effectuées régulièrement pour tester et affiner l’efficacité des mesures de protection. L’ampleur de l’investissement de Microsoft dans son écosystème de sécurité et la variété des signaux contrôlés par les équipes CDOC offrent une vue des menaces plus complète que celle qui peut être obtenue par la plupart des fournisseurs de services.

Tactiques de détection de Microsoft :

  • Surveillance constante des environnements réseau et physiques pour les événements de cybersécurité potentiels. Le profilage des comportements est basé sur des modèles d’utilisation et une compréhension des menaces uniques pesant sur nos services.

  • Les analyses d’identité et de comportement sont développées pour mettre en évidence une activité anormale.

  • Les techniques et outils logiciels de Machine Learning sont couramment utilisés pour détecter et signaler des irrégularités.

  • Des processus et des outils analytiques avancés sont déployés pour continuer à identifier l’activité anormale et les fonctionnalités de corrélation novatrices. Cela permet de créer des détections hautement contextualisées à partir d’énormes volumes de données en temps quasi-réel.

  • Processus automatisés basés sur des logiciels qui sont audités et évolués en permanence pour une efficacité accrue.

  • Les scientifiques des données et les experts en matière de sécurité travaillent régulièrement côte à côte pour traiter les événements réaffectés qui présentent des caractéristiques inhabituelles nécessitant une analyse supplémentaire des cibles. Ils peuvent ensuite déterminer les efforts de correction et de réponse potentiels.

RÉPONDRE

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

Réponse

Lorsque Microsoft détecte une activité anormale dans nos systèmes, elle avertit nos équipes de réponse pour qu’elles réagissent rapidement avec précision. Les notifications de systèmes de détection basés sur des logiciels passent par nos systèmes de réponse automatisés à l’aide d’algorithmes basés sur les risques pour signaler les événements nécessitant une intervention de notre équipe de réponse. La durée d’atténuation moyenne est primordiale et notre système d’automatisation fournit aux répondeurs des informations pertinentes et exploitables qui accélèrent le tri, l’atténuation et la récupération.

Pour gérer les incidents de sécurité à une échelle très importante, nous déployons un système à plusieurs niveaux afin d’attribuer efficacement des tâches de réponse à la ressource appropriée et de faciliter un chemin d’escalade rationnelle.

Tactiques de réponse de Microsoft :

  • Les systèmes de réponse automatisés utilisent des algorithmes basés sur les risques pour signaler les événements nécessitant une intervention humaine.

  • Les systèmes de réponse automatisés utilisent des algorithmes basés sur les risques pour signaler les événements nécessitant une intervention humaine.

  • Les processus de réponse aux incidents bien définis, documentés et évolutifs au sein d’un modèle d’amélioration continue vous aident à garder une longueur d’avance sur les adversaires en les mettant à la disposition de tous les répondeurs.

  • L’expertise dans le domaine de nos équipes, dans plusieurs domaines de sécurité, offre un ensemble de compétences diversifié pour gérer les incidents. L’expertise en matière de sécurité dans les réponses aux incidents, les investigations et l’analyse des intrusions, ainsi qu’une compréhension approfondie des plateformes, des services et des applications utilisés nos centres de données cloud.

  • Recherche d’entreprise étendue dans le cloud, données et systèmes hybrides et locaux pour déterminer l’ampleur d’un incident.

  • Une analyse d’investigation profonde pour les menaces majeures est effectuée par des spécialistes pour comprendre les incidents et contribuer à leur confinement et à leur éradication. • Les outils logiciels de sécurité de Microsoft, l’automatisation et l’infrastructure cloud hyper-scale permettent à nos experts en sécurité de réduire le temps de détection, d’examen, d’analyse, de réponse et de récupération après des cyberattaques.

  • Les tests de pénétration sont utilisés sur tous les produits et services Microsoft par le biais d’exercices Red Team/Blue Team en cours pour découvrir les vulnérabilités avant qu’un adversaire réel puisse tirer parti de ces points faibles pour une attaque.

Cyberdéfense pour nos clients

Nous sommes souvent invités à déterminer les outils et les processus que nos clients peuvent adopter pour leur propre environnement et à expliquer comment Microsoft peut contribuer à leur implémentation. Microsoft a consolidé un grand nombre des produits et services de cyberdéfense que nous utilisons dans CDOC dans une gamme de produits et services. Le groupe Microsoft Enterprise Cybersecurity Group et les équipes Microsoft Consulting Services collaborent avec nos clients pour fournir les solutions les plus adaptées à leurs besoins et exigences spécifiques.

L’une des premières étapes vivement recommandées par Microsoft consiste à établir une base de la sécurité. Nos services de base fournissent des défenses contre les attaques critiques et des services de développement d’identités de base qui vous permettent de garantir la protection des ressources. La base vous aide à accélérer le parcours de votre transformation numérique pour devenir une entreprise moderne plus sécurisée.

En s’appuyant sur cette base, les clients peuvent ensuite tirer parti de solutions éprouvées avec d’autres clients Microsoft et déployées dans les environnements informatiques et de services cloud de Microsoft. Pour plus d’informations sur nos outils, fonctionnalités et offres de service de cybersécurité d’entreprise, consultez Microsoft.com/security et contactez nos équipes à l’adresse cyberservices@microsoft.com.

Meilleures pratiques pour protéger votre environnement

Investir dans votre plateforme Investir dans votre instrumentation Investir dans vos collaborateurs
L’agilité et l’évolutivité requièrent la planification et la création d’une plateforme d’activation Vérifiez que vous mesurez de façon exhaustive les éléments de votre plateforme Les analystes qualifiés et les scientifiques des données constituent la base de la défense, tandis que les utilisateurs sont le nouveau périmètre de sécurité
Conserver un inventaire bien documenté de vos ressources Acquérir et/ou créer les outils nécessaires pour surveiller entièrement votre réseau, vos hôtes et vos journaux Établir des relations et des lignes de communication entre l’équipe de réponse aux incidents et les autres groupes
Avoir une stratégie de sécurité bien définie avec des normes claires et des conseils pour votre organisation Gérer de manière proactive les contrôles et les mesures, et les tester régulièrement pour des raisons de précision et d’efficacité Adopter des principes d’administration de privilège minimum, supprimer les droits d’administrateur permanents
Assurer une hygiène appropriée : la plupart des attaques peuvent être évitées avec les correctifs opportuns et des antivirus Maintenir un contrôle strict sur les stratégies de gestion des modifications Utiliser le processus d’enseignements tirés pour tirer parti de chaque incident majeur
Utiliser l’authentification multifacteur pour renforcer la protection des comptes et des appareils Analyser les activités anormales des informations d’identification et des comptes pour détecter un abus Consulter et former des utilisateurs, et leur donner les moyens de reconnaître des menaces probables et leur propre rôle dans la protection des données d’entreprise