Centre d’opérations de défense de la cybersécurité Microsoft

La cybersécurité est une responsabilité partagée qui nous affecte tous. Aujourd’hui, une seule violation, physique ou virtuelle, peut causer des millions de dollars de dommages à une organisation et potentiellement des milliards de pertes financières à l’économie mondiale. Chaque jour, nous voyons des rapports de cybercriminels ciblant des entreprises et des individus à des fins financières ou socialement motivées. Ajoutez à ces menaces celles que les acteurs d'États-nations qui cherchent à perturber les opérations, à mener des activités d'espionnage ou à saper la confiance de manière générale.

Dans ce bref résumé, nous partageons l’état de la sécurité en ligne, des acteurs des menaces et des tactiques sophistiquées qu’ils utilisent pour faire avancer leurs objectifs, et comment Microsoft Cyber Defense Operations Center combat ces menaces et aide les clients à protéger leurs applications et données sensibles.

	Centre des opérations de cyberdéfense Microsoft Microsoft s’engage profondément à rendre le monde en ligne plus sûr pour tout le monde. Les stratégies de cybersécurité de notre entreprise ont évolué à partir de la visibilité unique que nous avons dans le paysage de cyberthreat en évolution rapide. L’innovation dans l’espace d’attaque entre les personnes, les lieux et les processus est un investissement nécessaire et continu que nous devons tous faire, car les adversaires continuent d’évoluer dans la détermination et la sophistication. En réponse à des investissements accrus dans les stratégies de défense par de nombreuses organisations, les attaquants s’adaptent et améliorent les tactiques à la vitesse de rupture. Heureusement, les cyberdéfenseurs, comme les équipes mondiales de sécurité des informations de Microsoft, innovent et perturbent les méthodes d’attaque établies de longue date grâce à des formations continues et avancées, ainsi que des technologies, des outils et des processus de sécurité modernes. Microsoft Cyber Defense Operations Center (CDOC) est un exemple de plus de 1 milliard de dollars que nous investissons chaque année sur la sécurité, la protection des données et la gestion des risques. Le CDOC réunit des spécialistes en cybersécurité et des scientifiques des données dans une installation de 24 x 7 pour lutter contre les menaces en temps réel. Nous sommes connectés à plus de 3 500 professionnels de la sécurité dans le monde entier dans nos équipes de développement de produits, groupes de sécurité des informations et équipes juridiques pour protéger notre infrastructure et nos services cloud, produits et appareils et ressources internes. Microsoft a investi plus de 15 milliards de dollars dans notre infrastructure cloud, avec plus de 90 % des entreprises fortune 500 utilisant le cloud Microsoft. Aujourd’hui, nous sommes propriétaires et exploitant l’une des plus grandes empreintes cloud au monde avec plus de 100 centres de données géo-distribués, 200 services cloud, des millions d’appareils et un milliard de clients dans le monde entier. Acteurs et motivations des menaces de cybersécurité La première étape de la protection des personnes, des appareils, des données et de l’infrastructure critique consiste à comprendre les différents types d’acteurs des menaces et leurs motivations. Les cybercriminels s’étendent sur plusieurs sous-catégories, bien qu’ils partagent souvent des motivations communes : financières, intelligence et/ou gain social ou politique. Leur approche est généralement directe : en infiltrant un système de données financières, en écrémant des micro-montants trop petits pour être détectés et en disparaissant avant d’être découverts. Maintenir une présence persistante et clandestine est essentiel pour atteindre leur objectif. Leur approche peut être une intrusion qui détourne un gros paiement financier par un labyrinthe de comptes pour échapper au suivi et à l’intervention. Parfois, l’objectif est de voler la propriété intellectuelle que la cible possède de telle sorte que le cybercriminel agit en tant qu’intermédiaire pour fournir une conception de produit, du code source logiciel ou d’autres informations propriétaires qui ont une valeur à une entité spécifique. Plus de la moitié de ces activités sont commises par des groupes criminels organisés. Les acteurs de l’État nation travaillent pour qu’un gouvernement perturbe ou compromet les gouvernements, organisations ou individus ciblés pour accéder à des données ou des renseignements précieux. Ils sont engagés dans les affaires internationales pour influencer et conduire un résultat qui pourrait bénéficier à un pays ou à une région. L’objectif d’un acteur de l’État national est de perturber les opérations, de mener une espionnage contre des entreprises, de voler des secrets d’autres gouvernements ou de compromettre la confiance dans les institutions. Ils travaillent avec de grandes ressources à leur disposition et sans crainte de rétribution juridique, avec une boîte à outils qui s’étend de simple à très complexe. Les acteurs étatiques nationaux peuvent attirer certains des talents de piratage informatique les plus sophistiqués et peuvent faire progresser leurs outils jusqu’à leur transformation en armes. Leur approche d’intrusion implique souvent une menace persistante avancée à l’aide de la puissance de supercomputation pour briser les informations d’identification par force brute à travers des millions de tentatives d’arrivée au mot de passe correct. Ils peuvent également utiliser des attaques de hameçonnage hyper-ciblées pour attirer un initié afin de révéler leurs informations d’identification. Les menaces internes sont particulièrement difficiles en raison de l’impdictibilité du comportement humain. La motivation d’un insider peut-être opportuniste et pour un gain financier. Toutefois, il existe plusieurs causes de menaces internes potentielles, allant de l’insouciance simple aux schémas sophistiqués. De nombreuses violations de données résultant de menaces internes sont totalement involontaires en raison d’une activité accidentelle ou négligente qui met une organisation en danger sans avoir connaissance de la vulnérabilité. Les hacktivistes se concentrent sur les attaques politiques et/ou socialement motivées. Ils s’efforcent d’être visibles et reconnus dans les nouvelles pour attirer l’attention sur eux-mêmes et leur cause. Leurs tactiques incluent les attaques par déni de service distribué (DDoS), l'exploitation des vulnérabilités ou la défiguration d'une présence en ligne. Une connexion à un problème social ou politique peut faire de n’importe quelle entreprise ou organisation une cible. Les médias sociaux permettent aux hacktivistes d’évangéliser rapidement leur cause et de recruter d’autres personnes à participer.
	Techniques des acteurs malveillants Les adversaires sont qualifiés pour trouver des moyens de pénétrer le réseau d’une organisation malgré les protections en place à l’aide de diverses techniques sophistiquées. Plusieurs tactiques ont été autour depuis les premiers jours de l’Internet, bien que d’autres reflètent la créativité et la sophistication croissante des adversaires d’aujourd’hui. L’ingénierie sociale est un terme large pour une attaque qui permet aux utilisateurs d’agir ou de divulguer des informations qu’ils ne le feraient pas autrement. L’ingénierie sociale joue sur les bonnes intentions de la plupart des gens et leur volonté d’être utile, d’éviter les problèmes, de faire confiance à des sources familières ou de gagner potentiellement une récompense. D’autres vecteurs d’attaque peuvent se trouver sous l’ombre d’ingénierie sociale, mais voici quelques-uns des attributs qui facilitent la reconnaissance et la défense des tactiques d’ingénierie sociale : Les e-mails d’hameçonnage sont un outil efficace, car ils exploitent le lien le plus faible dans la chaîne de sécurité, les utilisateurs ordinaires qui ne pensent pas à la sécurité réseau comme une priorité de premier plan. Une campagne d’hameçonnage peut inviter ou effrayer un utilisateur à partager par inadvertance ses informations d’identification en cliquant sur un lien qu’il croit être un site légitime ou en téléchargeant un fichier contenant du code malveillant. Les e-mails d’hameçonnage étaient auparavant mal écrits et faciles à reconnaître. Aujourd'hui, les adversaires sont devenus experts dans l'art d'imiter les e-mails légitimes et les sites d'accueil, les rendant difficiles à identifier comme frauduleux. L’usurpation d’identité implique qu'un adversaire se fait passer pour un autre utilisateur légitime en falsifiant les informations de s'identifier présentées à une application ou à une ressource réseau. Par exemple, un e-mail qui arrive semble porter l’adresse d’un collègue demandant une action, mais l’adresse cache la source réelle de l’expéditeur de l’e-mail. De même, une URL peut être usurpée pour apparaître comme un site légitime, mais l’adresse IP réelle pointe réellement vers le site d’un cybercriminel. Les programmes malveillants ont été avec nous depuis l’aube de l’informatique. Aujourd’hui, nous voyons une forte hausse des ransomwares et du code malveillant spécifiquement destiné à chiffrer les appareils et les données. Les cybercriminels demandent ensuite un paiement en crypto-monnaie pour que les clés déverrouillent et retournent le contrôle à la victime. Cela peut se produire à un niveau individuel pour votre ordinateur et vos fichiers de données, ou maintenant plus fréquemment, à une entreprise entière. L’utilisation du ransomware est particulièrement prononcée dans le domaine de la santé, car les conséquences de la vie ou de la mort auxquelles ces organisations font face les rendent très sensibles aux temps d’arrêt du réseau. L’insertion de chaîne d’approvisionnement est un exemple d’approche créative pour injecter des programmes malveillants dans un réseau. Par exemple, en détournant un processus de mise à jour d’application, un adversaire contourne les outils et protections anti-programmes malveillants. Nous voyons cette technique devenir plus courante et cette menace continuera de croître jusqu’à ce que les protections de sécurité plus complètes soient fusionnées dans les logiciels par les développeurs d’applications. Les attaques de type man-in-the-middleimpliquent l’insertion d’un adversaire entre un utilisateur et une ressource auquel ils accèdent, interceptant ainsi les informations critiques telles que les informations d’identification de connexion d’un utilisateur. Par exemple, un cybercriminel dans un café peut utiliser un logiciel de journalisation de clés pour capturer les informations d’identification de domaine d’un utilisateur au fur et à mesure qu’il rejoint le réseau wifi. L’acteur de menace peut alors accéder aux informations sensibles de l’utilisateur, telles que les informations bancaires et personnelles qu’il peut utiliser ou vendre sur le web sombre. Les attaques par déni de service distribué (DDoS) ont été depuis plus d’une décennie et sont des attaques massives sont de plus en plus courantes avec la croissance rapide de l’Internet des objets (IoT). Lorsque vous utilisez cette technique, un adversaire submerge un site en le bombardant avec du trafic malveillant qui remplace les requêtes légitimes. Un programme malveillant précédemment planté est souvent utilisé pour détourner un appareil IoT tel qu’une webcam ou un thermostat intelligent. Dans une attaque DDoS, le trafic entrant provenant de différentes sources inonde un réseau avec de nombreuses requêtes. Cela surcharge les serveurs et refuse l’accès à partir de demandes légitimes. De nombreuses attaques impliquent également la falsification des adresses IP des expéditeurs (usurpation d’adresses IP) pour rendre difficile l’identification et la neutralisation de l’emplacement des systèmes attaquants. Souvent, une attaque par déni de service est utilisée pour couvrir ou distraire d’un effort plus trompeur pour pénétrer une organisation. Dans la plupart des cas, l’objectif de l’adversaire est d’accéder à un réseau à l’aide d’informations d’identification compromises, puis de se déplacer ultérieurement sur le réseau pour accéder à des informations d’identification plus « puissantes » qui sont les clés des informations les plus sensibles et les plus précieuses au sein de l’organisation.
	La militarisation du cyberespace La possibilité croissante de cyber-guerre est l’une des principales préoccupations des gouvernements et des citoyens aujourd’hui. Elle implique l’utilisation et le ciblage d’ordinateurs et de réseaux dans la guerre. Les opérations offensives et défensives sont utilisées pour mener des cyberattaques, l’espionnage et le sabotage. Les États-nations ont développé leurs capacités et se sont engagés dans la cyber-guerre en tant qu’agresseurs, défendeurs ou les deux depuis de nombreuses années. De nouveaux outils et tactiques de menace développés par des investissements militaires avancés peuvent également être compromis, et les cybermenaces peuvent être partagées en ligne et utilisées comme armes par les cybercriminels à des fins plus poussées. La posture de cybersécurité Microsoft Bien que la sécurité ait toujours été une priorité pour Microsoft, nous reconnaissons que le monde numérique nécessite des progrès continus dans notre engagement en matière de protection, de détection et de réponse aux menaces de cybersécurité. Ces trois engagements définissent notre approche de la cyberdéfense et servent de cadre utile pour notre discussion sur les stratégies et capacités de cyberdéfense de Microsoft.
PROTÉGER	Protéger Le premier engagement de Microsoft est de protéger l’environnement informatique utilisé par nos clients et nos employés pour garantir la résilience de notre infrastructure et services cloud, produits, appareils et ressources internes de l’entreprise contre les adversaires déterminés. Les mesures de protection des équipes du CDOC s’étendent sur tous les points de terminaison, des capteurs et des centres de données aux identités et aux applications Software-as-a-Service (SaaS). Défense en profondeur — appliquer des contrôles à plusieurs couches avec des protections et stratégies d'atténuation des risques redondantes — est une meilleure pratique dans l’ensemble du secteur, et c’est l’approche que nous adoptons pour protéger les actifs précieux de nos clients et de notre entreprise. Les tactiques de protection de Microsoft sont les suivantes : Surveillance et contrôles étendus sur l’environnement physique de nos centres de données mondiaux, notamment les caméras, le filtrage du personnel, les clôtures et les barrières, et plusieurs méthodes d’identification pour l’accès physique. Réseaux définis par logiciel qui protègent notre infrastructure cloud contre les intrusions et les attaques DDoS. L’authentification multifacteur est utilisée dans notre infrastructure pour contrôler la gestion des identités et des accès. Il garantit que les ressources et données critiques sont protégées par au moins deux des éléments suivants : Quelque chose que vous connaissez (mot de passe ou code confidentiel) Quelque chose que vous êtes (biométrie) Quelque chose que vous avez (smartphone) L’administration non persistante utilise des privilèges juste-à-temps (JIT) et suffisamment privilégiés (JEA) pour le personnel d'ingénierie qui gère l'infrastructure et les services. Cela fournit un ensemble unique d’informations d’identification pour l’accès avec élévation de privilèges qui expire automatiquement après une durée prédéfinie. L’hygiène appropriée est rigoureusement maintenue par le biais de up-to-date, logiciel anti-programme malveillant et adhésion à une gestion stricte des correctifs et de la configuration. L’équipe de chercheurs du Centre de protection contre les programmes malveillants Microsoft identifie, inverse et développe des signatures de programmes malveillants, puis les déploie dans notre infrastructure pour la détection et la défense avancées. Ces signatures sont distribuées à nos répondeurs, clients et le secteur par le biais des mises à jour windows et des notifications pour protéger leurs appareils. Microsoft Security Development Lifecycle (SDL) est un processus de développement logiciel qui aide les développeurs à créer des logiciels plus sécurisés et à répondre aux exigences de conformité de la sécurité tout en réduisant les coûts de développement. Le SDL est utilisé pour renforcer toutes les applications, les services en ligne et les produits, et pour valider régulièrement son efficacité grâce aux tests d’intrusion et à l’analyse des vulnérabilités. La modélisation des menaces et l’analyse de la surface d’attaque garantissent que les menaces potentielles sont évaluées, les aspects exposés du service sont évalués et la surface d’attaque est réduite en limitant les services ou en éliminant les fonctions inutiles. La classification des données en fonction de sa sensibilité et la prise des mesures appropriées pour la protéger, y compris le chiffrement en transit et au repos, et l’application du principe d’accès au privilège minimum fournit une protection supplémentaire. • Formation de sensibilisation qui favorise une relation de confiance entre l’utilisateur et l’équipe de sécurité afin de développer un environnement où les utilisateurs signalent des incidents et des anomalies sans crainte de répercussions. Disposer d’un ensemble complet de contrôles et d’une stratégie de défense en profondeur permet de s’assurer que si n’importe quel domaine échoue, il existe des contrôles de compensation dans d’autres domaines pour aider à maintenir la sécurité et la confidentialité de nos clients, services cloud et notre propre infrastructure. Toutefois, aucun environnement n’est vraiment impénétrable, car les gens feront des erreurs et les adversaires déterminés continueront à rechercher des vulnérabilités et à les exploiter. Les investissements importants que nous continuons à réaliser dans ces couches de protection et l’analyse de la base de référence nous permettent de détecter rapidement quand une activité anormale est présente.
DÉTECTER	Détection Les équipes CDOC utilisent des logiciels automatisés, le Machine Learning, l’analyse comportementale et les techniques d’investigation pour créer un graphique de sécurité intelligent de notre environnement. Ce signal est enrichi de métadonnées contextuelles et de modèles comportementaux générés à partir de sources telles que Les systèmes de gestion des ressources et des configurations Active Directory et les journaux des événements. Nos investissements étendus dans l’analytique de la sécurité créent des profils comportementaux riches et des modèles prédictifs qui nous permettent de « connecter les points » et d’identifier les menaces avancées susceptibles d’être non détectées, puis de contrer avec des activités de correction fortes et coordonnées. Microsoft utilise également des logiciels de sécurité personnalisés, ainsi que des outils de gestion de l’industrie et du Machine Learning. Notre renseignement sur les menaces évolue continuellement, avec l’enrichissement automatisé des données pour détecter plus rapidement les activités malveillantes et signaler avec une haute fidélité. Des analyses de vulnérabilité sont effectuées régulièrement pour tester et affiner l’efficacité des mesures de protection. L’ampleur de l’investissement de Microsoft dans son écosystème de sécurité et la variété des signaux surveillés par les équipes CDOC fournissent une vue des menaces plus complète que possible par la plupart des fournisseurs de services. Les tactiques de détection de Microsoft sont les suivantes : Surveillance des environnements réseau et physiques 24x7x365 pour les événements de cybersécurité potentiels. Le profilage du comportement est basé sur des modèles d’utilisation et une compréhension des menaces uniques pour nos services. L’analyse de l’identité et du comportement est développée pour mettre en évidence l’activité anormale. Les outils et techniques du Machine Learning sont couramment utilisés pour détecter et signaler des irrégularités. Les outils et processus analytiques avancés sont déployés pour identifier davantage les activités anormales et les fonctionnalités de corrélation innovantes. Cela permet de créer des détections hautement contextualisées à partir des énormes volumes de données en quasi-temps réel. Les processus automatisés basés sur des logiciels qui sont audités et évolués en continu pour améliorer l’efficacité. Les scientifiques des données et les experts en sécurité travaillent régulièrement côte à côte pour traiter les événements croissants qui présentent des caractéristiques inhabituelles nécessitant une analyse plus approfondie des cibles. Ils peuvent ensuite déterminer les efforts potentiels de réponse et de correction.
RÉPONDRE	Répondre Lorsque Microsoft détecte une activité anormale dans nos systèmes, elle déclenche l’engagement et la réponse rapide de nos équipes de réponse avec une force précise. Les notifications provenant de systèmes de détection basés sur des logiciels transitent par nos systèmes de réponse automatisés à l’aide d’algorithmes basés sur les risques pour signaler les événements nécessitant une intervention de notre équipe de réponse. Le délai moyen d’atténuation est primordial et notre système d’automatisation fournit aux répondants des informations pertinentes et exploitables qui accélèrent le triage, l’atténuation et la récupération. Pour gérer les incidents de sécurité à une telle échelle, nous déployons un système hiérarchisé pour affecter efficacement des tâches de réponse à la ressource appropriée et faciliter une escalade rationnelle. Les tactiques de réponse de Microsoft sont les suivantes : Les systèmes de réponse automatisés utilisent des algorithmes basés sur les risques pour marquer les événements nécessitant une intervention humaine. Les systèmes de réponse automatisés utilisent des algorithmes basés sur les risques pour marquer les événements nécessitant une intervention humaine. Les processus de réponse aux incidents bien définis, documentés et évolutifs au sein d’un modèle d’amélioration continue nous aident à nous tenir à l’avance des adversaires en les rendant accessibles à tous les répondants. L’expertise au sein de nos équipes, dans plusieurs domaines de sécurité, fournit un ensemble de compétences diversifié pour traiter les incidents. Expertise en matière de sécurité en matière de réponse aux incidents, d’investigation et d’analyse des intrusions ; et une compréhension approfondie des plateformes, services et applications qui fonctionnent dans nos centres de données cloud. Recherche approfondie au sein de l'entreprise à travers les données et systèmes cloud, hybrides et locaux pour déterminer l'étendue d'un incident. Une analyse légale approfondie des menaces majeures est effectuée par des spécialistes pour comprendre les incidents et aider à l’endiguement et à l’éradication. • Les outils logiciels de sécurité de Microsoft, l’automatisation et l’infrastructure cloud à grande échelle permettent à nos experts en sécurité de réduire le temps nécessaire pour détecter, examiner, analyser, répondre et récupérer des cyberattaques. Les tests d’intrusion sont utilisés dans tous les produits et services Microsoft grâce à des exercices Red Team/Blue Team en cours pour déterrer les vulnérabilités avant qu’un véritable adversaire puisse tirer parti de ces points faibles pour une attaque. Cyberdefense pour nos clients Nous sommes souvent demandé quels outils et processus nos clients peuvent adopter pour leur propre environnement et comment Microsoft peut aider dans leur implémentation. Microsoft a consolidé de nombreux produits et services cyberdéfense que nous utilisons dans le CDOC dans une gamme de produits et de services. Les équipes microsoft Enterprise Cybersecurity Group et Microsoft Consulting Services interagissent avec nos clients pour fournir les solutions les plus adaptées à leurs besoins et exigences spécifiques. L’une des premières étapes recommandées par Microsoft est d’établir une base de sécurité. Nos services de base fournissent des défenses d’attaque critiques et des services d’activation d’identité de base qui vous aident à vous assurer que les ressources sont protégées. La fondation vous aide à accélérer votre parcours de transformation numérique pour passer à une entreprise moderne plus sécurisée. En s’appuyant sur cette base, les clients peuvent ensuite tirer parti des solutions éprouvées avec d’autres clients Microsoft et déployées dans les environnements de services informatiques et cloud de Microsoft. Pour plus d’informations sur nos outils de cybersécurité d’entreprise, fonctionnalités et offres de service, visitez Microsoft.com/security et contactez nos équipes à l’adresse cyberservices@microsoft.com. Meilleures pratiques pour protéger votre environnement Investir dans votre plateforme Investir dans votre instrumentation Investir dans vos gens L’agilité et l’extensibilité nécessitent la planification et la création d’une plateforme d’activation Vérifiez que vous mesurez de façon exhaustive les éléments de votre plateforme Les analystes qualifiés et les scientifiques des données sont la base de la défense, tandis que les utilisateurs sont le nouveau périmètre de sécurité Maintenir un inventaire bien documenté de vos ressources Acquérir et/ou créer les outils nécessaires pour surveiller entièrement votre réseau, vos hôtes et vos logs Établir des relations et des lignes de communication entre l’équipe de réponse aux incidents et d’autres groupes Disposer d’une stratégie de sécurité bien définie avec des normes et des conseils clairs pour votre organisation Maintenir de manière proactive les contrôles et les mesures, et les tester régulièrement pour obtenir de l’exactitude et de l’efficacité Adoptez les principes de privilège minimal ; éliminez les droits d’administrateur persistants Maintenir une hygiène appropriée : la plupart des attaques peuvent être évitées avec des correctifs et antivirus en temps opportun Maintenir un contrôle étroit sur les stratégies de gestion des modifications Utiliser le processus appris par les leçons pour obtenir de la valeur de chaque incident majeur Utiliser l’authentification multifacteur pour renforcer la protection des comptes et des appareils Surveiller l’activité anormale de compte et d’informations d’identification pour détecter les abus Inscrire, éduquer et permettre aux utilisateurs de reconnaître les menaces probables et leur propre rôle dans la protection des données métier