Idee per le soluzioni
Questo articolo descrive un'idea di soluzione. L'architetto cloud può usare queste linee guida per visualizzare i componenti principali per un'implementazione tipica di questa architettura. Usare questo articolo come punto di partenza per progettare una soluzione ben progettata in linea con i requisiti specifici del carico di lavoro.
Questo articolo illustra come creare un diagramma dell'ambiente IT essenziale dell'organizzazione e sviluppare una mappa delle minacce. Questi diagrammi consentono di pianificare e creare il livello di sicurezza difensivo. Comprendere l'ambiente IT e come è progettato è essenziale definire i servizi di sicurezza richiesti dall'ambiente per i livelli di protezione necessari.
I sistemi informatici contengono informazioni utili per le organizzazioni che lo producono e per gli attori malintenzionati. Un attore malintenzionato può essere un individuo o un gruppo di persone che eseguono azioni dannose contro una persona o un'organizzazione. I loro sforzi possono causare danni ai computer, ai dispositivi, ai sistemi e alle reti delle aziende. I loro obiettivi sono compromettere o rubare informazioni preziose usando minacce come malware o attacchi di forza bruta.
In questo articolo viene esaminato un modo per mappare le minacce all'ambiente IT in modo da poter pianificare l'uso dei servizi di sicurezza Microsoft per implementare la strategia di sicurezza. Questo è il secondo articolo di una serie di cinque articoli introdotti in Usare il monitoraggio di Azure per integrare i componenti di sicurezza.
La buona notizia è che non è necessario creare una mappa delle minacce da zero. La matrice MITRE ATT&CK è una soluzione ideale per sviluppare una mappa delle minacce. MITRE ATT&CK è un database di conoscenze globale che esegue il mapping delle minacce basate sulle tattiche e sulle tecniche osservate nel mondo reale. MITRE Corporation cataloga ogni minaccia disponibile e individua molti dettagli sul funzionamento di tali minacce e su come difendersi da tali minacce. Si tratta di un servizio pubblico a cui è possibile accedere online presso MITRE ATT&CK®.
Questo articolo usa un subset di tali minacce per presentare un esempio di come è possibile eseguire il mapping delle minacce all'ambiente IT.
Potenziali casi d'uso
Alcune minacce sono diffuse indipendentemente dal segmento di settore, ad esempio ransomware, attacchi DDoS, scripting tra siti, sql injection e così via. Tuttavia, alcune organizzazioni hanno preoccupazioni su tipi specifici di minacce specifiche che sono particolari per il loro settore o che erano la base di attacchi informatici che hanno sperimentato. Il diagramma presentato in questo articolo consente di eseguire il mapping di tali minacce per l'organizzazione in base all'area che gli attori malintenzionati potrebbero attaccare. Lo sviluppo di una mappa delle minacce consente di pianificare i livelli di difesa necessari per avere un ambiente più sicuro.
È possibile usare questo diagramma con diverse combinazioni di attacchi per comprendere come evitare e attenuare tali attacchi. Non è necessariamente necessario usare il framework MITRE ATT&CK. Il framework è solo un esempio. Microsoft Sentinel e altri servizi di sicurezza Microsoft hanno collaborato con MITRE per fornire informazioni dettagliate sulle minacce.
Alcune organizzazioni usano Cyber Kill Chain®, una metodologia di Lockheed Martin, per mappare e comprendere come viene eseguito un attacco o una serie di attacchi contro un ambiente IT. Cyber Kill Chain organizza minacce e attacchi considerando meno tattiche e tecniche rispetto al framework MITRE ATT&CK. È comunque efficace per comprendere le minacce e come possono essere eseguite. Per altre informazioni su questa metodologia, vedere Cyber Kill Chain.
Architettura
Scaricare un file di Visio di questa architettura.
©2021 MITRE Corporation. Questo lavoro viene riprodotto e distribuito con l'autorizzazione di The MITRE Corporation.
Per l'ambiente IT delle organizzazioni, vengono specificati i componenti solo per Azure e Microsoft 365. L'ambiente IT specifico può includere dispositivi, appliance e tecnologie di provider di tecnologie diversi.
Per l'ambiente Azure, il diagramma mostra i componenti elencati nella tabella seguente.
| Etichetta | Documentazione |
|---|---|
| Rete virtuale | Che cos'è Rete virtuale di Azure? |
| LBS | Informazioni su Azure Load Balancer |
| Segnale orario | Indirizzi IP pubblici |
| SERVER | Macchine virtuali |
| K8S | Servizio Azure Kubernetes |
| VDI | Che cos'è Desktop virtuale Azure? |
| APP WEB | Panoramica del Servizio app |
| ARCHIVIAZIONE DI AZURE | Introduzione ad Archiviazione di Azure |
| DB | Informazioni sul database SQL di Azure |
| Microsoft Entra ID | Cos'è Microsoft Entra ID? |
Il diagramma rappresenta Microsoft 365 tramite i componenti elencati nella tabella seguente.
| Etichetta | Descrizione | Documentazione |
|---|---|---|
OFFICE 365 |
Servizi di Microsoft 365 (in precedenza Office 365). Le applicazioni che Microsoft 365 rende disponibili dipendono dal tipo di licenza. | Microsoft 365 - Sottoscrizione per Office Apps |
Microsoft Entra ID |
ID Microsoft Entra, lo stesso usato da Azure. Molte aziende usano lo stesso servizio Microsoft Entra per Azure e Microsoft 365. | Cos'è Microsoft Entra ID? |
Workflow
Per comprendere quale parte dell'ambiente IT è probabile che queste minacce attacchino, il diagramma dell'architettura di questo articolo si basa su un ambiente IT tipico per un'organizzazione che dispone di sistemi locali, una sottoscrizione di Microsoft 365 e una sottoscrizione di Azure. Le risorse in ognuno di questi livelli sono servizi comuni a molte aziende. Sono classificati nel diagramma in base ai pilastri di Microsoft Zero Trust: rete, infrastruttura, endpoint, applicazione, dati e identità. Per altre informazioni su Zero Trust, vedere Adottare la sicurezza proattiva con Zero Trust.
Il diagramma dell'architettura include i livelli seguenti:
Locale
Il diagramma include alcuni servizi essenziali, ad esempio server (VM), appliance di rete e DNS. Include applicazioni comuni che si trovano nella maggior parte degli ambienti IT ed eseguite su macchine virtuali o server fisici. Include anche vari tipi di database, sql e non SQL. Le organizzazioni hanno in genere un file server che condivide i file in tutta l'azienda. Infine, il servizio Dominio di Active Directory, un componente di infrastruttura diffuso, gestisce le credenziali utente. Il diagramma include tutti questi componenti nell'ambiente locale.
Ambiente Office 365
Questo ambiente di esempio contiene applicazioni office tradizionali, ad esempio Word, Excel, PowerPoint, Outlook e OneNote. A seconda del tipo di licenza, può includere anche altre applicazioni, ad esempio OneDrive, Exchange, Sharepoint e Teams. Nel diagramma, questi sono rappresentati da un'icona per le app di Microsoft 365 (in precedenza Office 365) e un'icona per Microsoft Entra ID. Gli utenti devono essere autenticati per ottenere l'accesso alle applicazioni di Microsoft 365 e l'ID Microsoft Entra funge da provider di identità. Microsoft 365 autentica gli utenti con lo stesso tipo di ID Microsoft Entra usato da Azure. Nella maggior parte delle organizzazioni, il tenant microsoft Entra ID è lo stesso per Azure e Microsoft 365.
Ambiente Azure
Questo livello rappresenta i servizi cloud pubblici di Azure, tra cui macchine virtuali, reti virtuali, piattaforme come servizi, applicazioni Web, database, archiviazione, servizi di identità e altro ancora. Per altre informazioni su Azure, vedere la documentazione di Azure.
Tattiche e tecniche MITRE ATT&CK
Questo diagramma mostra le prime 16 minacce, in base alle tattiche e alle tecniche pubblicate da The MITRE Corporation. Nelle linee rosse è possibile visualizzare un esempio di attacco misto, il che significa che un attore malintenzionato potrebbe coordinare più attacchi contemporaneamente.
Come usare il framework MITRE ATT&CK
È possibile iniziare con una semplice ricerca del nome della minaccia o del codice di attacco nella pagina Web principale MITRE ATT&CK®.
È anche possibile esplorare le minacce nelle pagine tattiche o tecniche:
È comunque possibile usare MITRE ATT&CK® Navigator, uno strumento intuitivo fornito da MITRE che consente di individuare tattiche, tecniche e dettagli sulle minacce.
Componenti
L'architettura di esempio in questo articolo usa i componenti di Azure seguenti:
Microsoft Entra ID è un servizio di gestione delle identità e degli accessi basato sul cloud. Microsoft Entra ID consente agli utenti di accedere a risorse esterne, ad esempio Microsoft 365, il portale di Azure e migliaia di altre applicazioni SaaS. Consente inoltre di accedere alle risorse interne, ad esempio le app nella rete Intranet aziendale.
Rete virtuale di Azure è il blocco predefinito fondamentale per la rete privata in Azure. Rete virtuale consente a molti tipi di risorse di Azure di comunicare in modo sicuro tra loro, internet e reti locali. Rete virtuale offre una rete virtuale che trae vantaggio dall'infrastruttura di Azure, ad esempio scalabilità, disponibilità e isolamento.
Azure Load Balancer è un servizio di bilanciamento del carico (in ingresso e in uscita) a bassa latenza e a bassa latenza per tutti i protocolli UDP e TCP. È progettato per gestire milioni di richieste al secondo assicurando al tempo stesso la disponibilità elevata della soluzione. Azure Load Balancer offre ridondanza della zona, garantendo disponibilità elevata tra zone di disponibilità.
Le macchine virtuali sono uno dei diversi tipi di risorse di calcolo su richiesta e scalabili offerte da Azure. Una macchina virtuale di Azure offre la flessibilità della virtualizzazione senza che sia necessario acquistare e gestire l'hardware fisico in cui viene eseguita.
Il servizio Azure Kubernetes è un servizio Kubernetes completamente gestito per la distribuzione e la gestione di applicazioni in contenitori. Il servizio Azure Kubernetes offre kubernetes serverless, integrazione continua/recapito continuo (CI/CD) e sicurezza e governance di livello aziendale.
Desktop virtuale Azure è un servizio di virtualizzazione di desktop e app che viene eseguito nel cloud per fornire desktop per gli utenti remoti.
App Web è un servizio basato su HTTP per l'hosting di applicazioni Web, API REST e back-end per dispositivi mobili. È possibile sviluppare nel linguaggio preferito e le applicazioni vengono eseguite e ridimensionate con facilità in ambienti basati su Windows e Linux.
Archiviazione di Azure è a disponibilità elevata, scalabile, durevole e sicura di archiviazione per vari oggetti dati nel cloud, tra cui oggetto, BLOB, file, disco, coda e archiviazione tabelle. Tutti i dati scritti in un account di Archiviazione di Azure vengono crittografati dal servizio. Archiviazione di Azure offre un controllo dettagliato su chi può accedere ai dati.
Il database SQL di Azure è un motore di database PaaS completamente gestito che gestisce la maggior parte delle funzioni di gestione del database, ad esempio l'aggiornamento, l'applicazione di patch, i backup e il monitoraggio. Fornisce queste funzioni senza coinvolgimento dell'utente. database SQL offre una gamma di funzionalità di sicurezza e conformità predefinite che consentono all'applicazione di soddisfare i requisiti di sicurezza e conformità.
Collaboratori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.
Autore principale:
- Rudnei Oliveira | Senior Customer Engineer
Altri contributori:
- Gary Moore | Programmatore/writer
- Andrew Nathan | Senior Customer Engineering Manager
Passaggi successivi
Questo documento si riferisce ad alcuni servizi, tecnologie e terminologie. Per altre informazioni, vedere le risorse seguenti:
- MITRE ATT&CK®
- ATT&CK® Navigator)
- Anteprima pubblica: il pannello MITRE ATT&CK Framework in Microsoft Sentinel, un post del blog sul dominio cloud e intelligenza artificiale di Azure
- The Cyber Kill Chain®
- Adottare la sicurezza proattiva con Zero Trust
- Minaccia miscelata su Wikipedia
- Come cambiano i cyberattacchi in base alle nuove Report sulla difesa digitale Microsoft dal blog sulla sicurezza Microsoft
Risorse correlate
Per altri dettagli su questa architettura di riferimento, vedere gli altri articoli di questa serie:
- Parte 1: Usare il monitoraggio di Azure per integrare i componenti di sicurezza
- Parte 3: Creare il primo livello di difesa con i servizi di sicurezza di Azure
- Parte 4: Creare il secondo livello di difesa con i servizi di sicurezza XDR di Microsoft Defender
- Parte 5: Integrare i servizi di sicurezza Azure e Microsoft Defender XDR