Partager via

Des fonctionnalités et ressources Azure qui vous aident à vous protéger, détecter et répondre à des attaques de rançongiciel

  • Article

Microsoft a investi dans les capacités de sécurité natives d’Azure que les organisations peuvent exploiter pour déjouer les techniques d’attaque par ransomware, qu’il s’agisse d’attaques quotidiennes de grande ampleur ou d’attaques ciblées sophistiquées.

Les fonctionnalités clés sont les suivantes :

  • Détection native des menaces : Microsoft Defender pour le cloud offre des capacités de détection des menaces et de réponse de haute qualité, également appelées Détection et réponse étendues (XDR). Cela vous aide à :
    • Éviter de perdre du temps et le talent de ressources de sécurité rares pour créer des alertes personnalisées à partir de journaux d’activité bruts.
    • Assurer une surveillance efficace de la sécurité, ce qui permet souvent aux équipes de sécurité d’approuver rapidement l’utilisation des services Azure.
  • L’authentification sans mot de passe et multifacteur : l’authentification multifacteur Microsoft Entra, l’application Microsoft Entra Authenticator et Windows Hello fournissent ces fonctionnalités. Cela permet de protéger les comptes contre les attaques par mot de passe les plus courantes (qui représentent 99,9 % du volume des attaques d’identité que nous observons dans Microsoft Entra ID). Bien qu’aucune sécurité ne soit parfaite, l’élimination des vecteurs d’attaque par mot de passe uniquement réduit considérablement le risque d’attaque par ransomware sur les ressources Azure.
  • Pare-feu et sécurité réseau natifs : Microsoft a intégré à Azure des dispositifs natifs d’atténuation des attaques DDoS, un pare-feu, un pare-feu d’application web et de nombreux autres contrôles. Cette sécurité « en tant que service » simplifie la configuration et l’implémentation des contrôles de sécurité. Les organisations ont ainsi le choix d’utiliser des services natifs ou des versions d’appliances virtuelles de capacités de fournisseurs familiers pour simplifier leur sécurité Azure.

Microsoft Defender pour le cloud

Microsoft Defender pour le cloud est un outil intégré qui fournit une protection contre les menaces pour les charges de travail exécutées dans Azure, localement et dans d’autres clouds. Il protège vos données hybrides, vos services natifs Cloud et vos serveurs contre les ransomwares et autres menaces et s’intègre à vos flux de travail de sécurité existants, comme votre solution SIEM et le renseignement sur les menaces de Microsoft afin de rationaliser l’atténuation des menaces.

Microsoft Defender pour le cloud assure la protection de toutes les ressources directement au sein de l’expérience Azure et étend la protection aux machines virtuelles et aux bases de données SQL locales et multiclouds à l’aide d’Azure Arc :

  • Protège les services Azure
  • Protège les charges de travail hybrides
  • Rationalise la sécurité grâce à l’intelligence artificielle et à l’automatisation
  • Détecte et bloque les programmes malveillants et les menaces avancées pour les serveurs Linux et Windows sur n’importe quel cloud
  • Protège les services natifs Cloud contre les menaces
  • Protège les services de données contre les attaques par ransomware
  • Protège vos appareils IoT et OT gérés et non gérés, avec la détection des ressources, la gestion des vulnérabilités et la surveillance des menaces en continu

Microsoft Defender pour le cloud vous fournit les outils nécessaires pour détecter et bloquer les ransomwares, les programmes malveillants avancés et les menaces pour vos ressources.

La protection de vos ressources dépend d’un effort conjoint entre votre fournisseur de cloud, Azure et vous, le client. Vous devez vous assurer que vos charges de travail sont sécurisées à mesure que vous effectuez votre transition vers le cloud, et dans le même temps, lorsque vous passez à IaaS (infrastructure as a service), la responsabilité qui incombe au client devient plus importante que celle des approches PaaS (platform as a service) et SaaS (software as a service). Microsoft Defender pour le cloud vous propose les outils nécessaires pour durcir votre réseau, sécuriser vos services et garantir que votre posture de sécurité est optimale.

Microsoft Defender pour le cloud est un système unifié de gestion de la sécurité de l’infrastructure qui renforce la posture de sécurité de vos centres de données et fournit une protection avancée contre les menaces sur vos charges de travail hybrides dans le cloud (dans Azure ou non), ainsi qu’en local.

La protection contre les menaces de Defender pour le cloud vous permet de détecter et de prévenir les menaces au niveau de la couche Infrastructure as a Service (IaaS), des serveurs autres qu’Azure et pour les solutions Platform as Service (PaaS) dans Azure.

La protection contre les menaces de Defender pour le cloud inclut l’analyse de la chaîne de destruction de fusion, qui corrèle automatiquement les alertes dans votre environnement en fonction de l’analyse de la chaîne de destruction cyber, pour vous aider à mieux comprendre l’historique d’une campagne d’attaque, de son point de départ jusqu’au type d’impact sur vos ressources.

Fonctionnalités clés :

  • Évaluation continue de la sécurité : Identifiez les machines Windows et Linux pour lesquelles il manque des correctifs de sécurité ou dont les paramètres de système d’exploitation ne sont pas sécurisés et les configurations Azure sont vulnérables. Ajoutez des listes de surveillance facultatives ou des événements que vous souhaitez surveiller.
  • Recommandations exploitables : Corrigez rapidement les vulnérabilités de sécurité grâce à des recommandations de sécurité hiérarchisées et exploitables.
  • Gestion de stratégie centralisée : Assurez la conformité aux exigences de sécurité obligatoires ou de votre société en gérant de façon centralisée les stratégies de sécurité dans toutes vos charges de travail cloud hybrides.
  • Le renseignement sur les menaces le plus complet du secteur : Exploitez Microsoft Intelligent Security Graph, qui utilise des billions de signaux provenant des systèmes et services Microsoft du monde entier pour identifier les nouvelles menaces et celles en évolution.
  • Analyse avancée et apprentissage automatique : Utilisez l’analyse comportementale et l’apprentissage automatique intégrés pour identifier les modèles d’attaque connus et l’activité post-attaques.
  • Contrôle adaptatif des applications : Bloquez les programmes malveillants et autres applications indésirables en appliquant des recommandations de liste d’autorisation adaptées à vos charges de travail spécifiques et alimentées par l’apprentissage automatique.
  • Alertes hiérarchisées et chronologie des attaques : Concentrez-vous d’abord sur les menaces les plus critiques grâce à des alertes et des incidents classés par ordre de priorité qui sont cartographiés en une seule campagne d’attaque.
  • Enquête simplifiée : Examinez rapidement l’étendue et l’impact d’une attaque grâce à une expérience visuelle et interactive. Utilisez des requêtes ad hoc pour une exploration plus approfondie des données de sécurité.
  • Automatisation et orchestration : Automatisez les flux de travail de sécurité courants pour répondre rapidement aux menaces grâce à l’intégration intégrée avec Azure Logic Apps. Créez des playbooks de sécurité qui peuvent acheminer les alertes vers le système de ticketing existant ou déclencher des actions de réponse aux incidents.

Microsoft Sentinel

Microsoft Sentinel permet de créer une vue complète d’une kill chain.

Grâce à Sentinel, vous pouvez vous connecter à n’importe laquelle de vos sources de sécurité à l’aide des connecteurs intégrés et des normes du secteur, puis tirer parti de l’intelligence artificielle pour mettre en corrélation plusieurs signaux de faible fidélité provenant de plusieurs sources afin de créer une vue complète de la kill chain d’un ransomware et des alertes hiérarchisées pour que les défenseurs puissent accélérer leur temps d’expulsion des adversaires.

Microsoft Sentinel vous offre une vue d’ensemble de l’organisation, ce qui réduit le stress lié aux attaques de plus en plus sophistiquées, aux volumes croissants d’alertes et aux longs délais de résolution.

Collectez des données à l’échelle du cloud sur l’ensemble des utilisateurs, appareils, applications et infrastructures, tant locaux que dans de multiples clouds.

Détectez les menaces jusqu’alors non détectées et réduisez les faux positifs grâce aux analyses et au renseignement sur les menaces inégalé fournis par Microsoft.

Investiguez les menaces à l’aide de l’intelligence artificielle et repérez les activités suspectes à grande échelle en vous appuyant sur les années de travail que Microsoft a consacrées à la cybersécurité.

Répondez aux incidents rapidement avec une orchestration et une automatisation intégrées des tâches courantes.

Prévention des menaces en mode natif avec Microsoft Defender pour le cloud

Microsoft Defender pour le cloud analyse les machines virtuelles d’un abonnement Azure et recommande de déployer une protection des points de terminaison lorsqu’une solution existante n’est pas détectée. Cette recommandation est accessible via la section Recommandations :

Capture d’écran de la vue d’ensemble de Microsoft Defender pour le cloud

Microsoft Defender pour le cloud fournit des alertes de sécurité et une protection avancée contre les menaces pour les machines virtuelles, les bases de données SQL, les conteneurs, les applications web, votre réseau et plus encore. Lorsque Microsoft Defender pour le cloud détecte une menace dans une zone quelconque de votre environnement, il génère une alerte de sécurité. Ces alertes décrivent les détails des ressources affectées, les étapes de correction suggérées et, dans certains cas, l’option permettant de déclencher une application logique en réponse.

Cette alerte est un exemple d’alerte de ransomware Petya détectée :

Exemple d’alerte de ransomware Petya détectée

La solution de sauvegarde native d’Azure protège vos données

Une façon importante pour les organisations de se protéger contre les pertes lors d’une attaque par ransomware consiste à disposer d’une sauvegarde des informations critiques pour l’entreprise au cas où les autres défenses échoueraient. Étant donné que les attaquants de ransomware ont beaucoup investi dans la neutralisation des applications de sauvegarde et des fonctionnalités de système d’exploitation telles que le cliché instantané de volume, il est essentiel d’avoir des sauvegardes qui ne sont pas accessibles à un attaquant malveillant. Grâce à une solution flexible de continuité d’activité et reprise d’activité et à des outils de sécurité et de protection des données de pointe, le cloud Azure offre des services sécurisés pour protéger vos données :

  • Sauvegarde Azure : Le service Sauvegarde Azure offre une solution simple, sécurisée et économique pour sauvegarder votre machine virtuelle Azure. Actuellement, Sauvegarde Azure prend en charge la sauvegarde de tous les disques (disques de système d’exploitation et de données) dans une machine virtuelle à l’aide de la solution de sauvegarde pour machine virtuelle Azure.
  • Récupération d’urgence Azure : Grâce à la récupération d’urgence d’un site local vers le cloud, ou d’un cloud vers un autre, vous pouvez éviter les temps d’arrêt et maintenir vos applications opérationnelles.
  • Sécurité et gestion intégrées dans Azure : Pour réussir à l’ère du cloud, les entreprises doivent disposer d’une visibilité, de mesures et de contrôles sur chaque composant pour identifier les problèmes, les optimiser et les mettre à l’échelle de manière efficace, tout en ayant l’assurance que la sécurité, la conformité et les stratégies sont en place pour garantir la vélocité.

Accès garanti et protégé à vos données

Azure a une longue expérience de la gestion des centres de données mondiaux, qui sont soutenus par l’investissement de 15 milliards de dollars de Microsoft dans l’infrastructure (laquelle fait l’objet d’une évaluation et d’une amélioration continues), avec des investissements et des améliorations permanents, bien sûr.

Fonctionnalités clés :

  • Azure est fourni avec un stockage localement redondant (LRS), où les données sont stockées localement, ainsi qu’un stockage géoredondant (GRS) dans une deuxième région.
  • Toutes les données stockées sur Azure sont protégées par un processus de chiffrement avancé, et tous les centres de données de Microsoft disposent d’une authentification à deux niveaux, de lecteurs d’accès par carte proxy et de scanners biométriques.
  • Azure possède plus de certifications que tout autre fournisseur de cloud public sur le marché, notamment ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 et de nombreuses spécifications internationales.

Ressources supplémentaires

Conclusion

Microsoft accorde une grande importance à la sécurité de son cloud et à la fourniture des contrôles de sécurité dont vous avez besoin pour protéger vos charges de travail dans le cloud. En tant que leader de la cybersécurité, nous assumons notre responsabilité de rendre le monde plus sûr. Cela se reflète dans notre approche globale de la prévention et de la détection des ransomwares dans notre infrastructure de sécurité, nos conceptions, nos produits, nos efforts juridiques, nos partenariats du secteur et nos services.

Nous sommes impatients de collaborer avec vous pour aborder la protection contre les ransomwares, leur détection et leur prévention de manière globale.

Rejoignez-nous :

Pour plus d’informations sur la façon dont Microsoft sécurise son cloud, visitez le portail d’approbation de service.

Prochaine étape

Consultez le livre blanc : Livre blanc Azure Defenses for Ransomware Attack.

Autres articles de cette série :