Funzionalità e risorse di Azure che consentono di proteggere, rilevare e rispondere

Microsoft ha investito in funzionalità di sicurezza native di Azure che le organizzazioni possono sfruttare per sconfiggere le tecniche di attacco ransomware presenti sia in attacchi ad alto volume che in attacchi quotidiani e attacchi mirati sofisticati.

Le funzionalità principali includono:

• Rilevamento delle minacce native: Microsoft Defender per il cloud offre funzionalità di rilevamento e risposta delle minacce di alta qualità, denominate anche rilevamento e risposta estesa (XDR). In questo modo è possibile:
  • Evitare di perdere tempo e talento di risorse di sicurezza scarse per creare avvisi personalizzati usando i log attività non elaborati.
  • Garantire un monitoraggio efficace della sicurezza, che spesso consente ai team di sicurezza di approvare rapidamente l'uso dei servizi di Azure.
• Autenticazione senza password e a più fattori: l'autenticazione a più fattori Microsoft Entra, l'app Microsoft Entra Authenticator e Windows Hello offrono queste funzionalità. Ciò consente di proteggere gli account da attacchi password comunemente visti (che rappresentano il 99,9% del volume di attacchi di identità visualizzati in Microsoft Entra ID). Anche se nessuna sicurezza è perfetta, l'eliminazione di vettori di attacco solo password riduce notevolmente il rischio di attacco ransomware alle risorse di Azure.
• Firewall nativo e sicurezza di rete: Microsoft ha creato mitigazioni degli attacchi DDoS native, Firewall, Web Application Firewall e molti altri controlli in Azure. Queste funzionalità di sicurezza "as a service" consentono di semplificare la configurazione e l'implementazione dei controlli di sicurezza. Queste offrono alle organizzazioni la scelta di usare servizi nativi o versioni di appliance virtuali di funzionalità del fornitore familiari per semplificare la sicurezza di Azure.

Microsoft Defender for Cloud

Microsoft Defender per il cloud è uno strumento predefinito che fornisce la protezione dalle minacce per i carichi di lavoro in esecuzione in Azure, in locale e in altri cloud. Protegge i dati ibridi, i servizi nativi del cloud e i server da ransomware e altre minacce; e si integra con i flussi di lavoro di sicurezza esistenti come la soluzione SIEM e l'ampia intelligence sulle minacce di Microsoft per semplificare la mitigazione delle minacce.

Microsoft Defender per il cloud offre protezione per tutte le risorse direttamente all'interno dell'esperienza di Azure ed estende la protezione alle macchine virtuali locali e multi-cloud e ai database SQL con Azure Arc:

• Protegge i servizi di Azure
• Protegge i carichi di lavoro ibridi
• Semplifica la sicurezza con l'intelligenza artificiale e l'automazione
• Rileva e blocca malware e minacce avanzate per i server Linux e Windows in qualsiasi cloud
• Protegge i servizi nativi del cloud dalle minacce
• Protegge i servizi dati da attacchi ransomware
• Protegge i dispositivi IoT e OT gestiti e non gestiti, con l'individuazione continua degli asset, i gestione delle vulnerabilità e il monitoraggio delle minacce

Microsoft Defender per il cloud fornisce gli strumenti per rilevare e bloccare ransomware, malware avanzato e minacce per le risorse

Mantenere al sicuro le risorse è il risultato della collaborazione tra il provider di servizi cloud, Azure, e il cliente. È necessario assicurarsi che i carichi di lavoro siano sicuri man mano che si passa al cloud e, allo stesso tempo, quando si passa a IaaS (Infrastruttura distribuita come servizio) il cliente si assume più responsabilità rispetto a PaaS (Piattaforma distribuita come servizio) e SaaS (Software come un servizio). Microsoft Defender per il cloud offre gli strumenti necessari per la protezione avanzata della rete e dei servizi e per verificare che la sicurezza sia la massima possibile.

Microsoft Defender per il cloud è un sistema unificato di gestione della sicurezza dell'infrastruttura che rafforza il comportamento di sicurezza dei data center e fornisce protezione avanzata dalle minacce nei carichi di lavoro ibridi nel cloud, sia in Azure che in locale.

la protezione dalle minacce di Defender per il cloud consente di rilevare e prevenire minacce a livello IaaS (Infrastructure as a Service), server non Di Azure e piattaforme distribuite come servizio (PaaS) in Azure.

la protezione dalle minacce di Defender per il cloud include l'analisi della kill chain fusion, che correla automaticamente gli avvisi nell'ambiente in base all'analisi della catena di uccidazioni informatiche, per comprendere meglio la storia completa di una campagna di attacco, dove è iniziata e quale tipo di impatto ha avuto sulle risorse.

Funzionalità essenziali:

• Valutazione continua della sicurezza: identificare i computer Windows e Linux con aggiornamenti della sicurezza mancanti o impostazioni del sistema operativo non sicure e configurazioni vulnerabili di Azure. Aggiungere watchlist o eventi facoltativi da monitorare.
• Consigli interattivi: correggere rapidamente le vulnerabilità di sicurezza con raccomandazioni sulla sicurezza con priorità e interattive.
• Gestione centralizzata dei criteri: garantisce la conformità con i requisiti di sicurezza normativi o aziendali tramite la gestione centralizzata dei criteri di sicurezza in tutti i carichi di lavoro cloud ibridi.
• Intelligence sulle minacce più estesa del settore: accedere a Microsoft Intelligent Security Graph, che usa trilioni di segnali provenienti da servizi Microsoft e sistemi in tutto il mondo per identificare minacce nuove e in continua evoluzione.
• Analisi avanzata e Machine Learning: usare l'analisi comportamentale predefinita e l'apprendimento automatico per identificare modelli di attacco noti e attività post-violazione.
• Controllo adattivo delle applicazioni: blocca malware e altre applicazioni indesiderate applicando raccomandazioni consentite adattate ai carichi di lavoro specifici e basate su Machine Learning.
• Avvisi e sequenze temporali degli attacchi con priorità: concentrarsi prima sulle minacce più critiche con avvisi e eventi imprevisti con priorità mappati in una singola campagna di attacco.
• Indagine semplificata: analizzare rapidamente l'ambito e l'impatto di un attacco con un'esperienza visiva e interattiva. Usare query ad hoc per un'esplorazione più approfondita dei dati di sicurezza.
• Automazione e orchestrazione: automatizzare i flussi di lavoro di sicurezza comuni per affrontare rapidamente le minacce usando l'integrazione predefinita con App per la logica di Azure. Creare playbook di sicurezza in grado di instradare gli avvisi al sistema di creazione di ticket esistente o attivare azioni di risposta agli eventi imprevisti.

Microsoft Sentinel

Microsoft Sentinel consente di creare una visualizzazione completa di una kill chain

Con Sentinel, è possibile connettersi a qualsiasi origine di sicurezza usando connettori predefiniti e standard di settore e quindi sfruttare l'intelligenza artificiale per correlare più segnali a bassa fedeltà che si estendono su più origini per creare una visualizzazione completa di una kill chain ransomware e avvisi con priorità in modo che i difensori possano accelerare il loro tempo per rimuovere gli avversari.

Microsoft Sentinel offre una panoramica immediata per tutta l'azienda, alleviando il carico associato ad attacchi sempre più sofisticati, volume crescente degli avvisi e lunghi tempi di risoluzione.

Raccogliere dati su scala cloud per tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, in locale e in più cloud.

Rilevare minacce non rilevate in precedenza e ridurre al minimo i falsi positivi usando l'analisi di Microsoft e l'intelligence sulle minacce senza precedenti.

Analizzare le minacce con l'intelligenza artificiale e cercare attività sospette su larga scala, sfruttando anni di lavoro sulla sicurezza informatica in Microsoft.

Rispostarapida agli eventi imprevisti con funzionalità integrate di orchestrazione e automazione delle attività comuni.

Prevenzione delle minacce nativa con Microsoft Defender per il cloud

Microsoft Defender per il cloud analizza le macchine virtuali in una sottoscrizione di Azure e consiglia di distribuire Endpoint Protection in cui non viene rilevata una soluzione esistente. È possibile accedere a questa raccomandazione tramite la sezione Consigli:

Microsoft Defender per il cloud fornisce avvisi di sicurezza e protezione avanzata dalle minacce per macchine virtuali, database SQL, contenitori, applicazioni Web, rete e altro ancora. Quando Microsoft Defender per il cloud rileva una minaccia in qualsiasi area dell'ambiente, genera un avviso di sicurezza. Questi avvisi descrivono in dettaglio le risorse interessate, le procedure di correzione suggerite e, in alcuni casi, rendono disponibile un'opzione per attivare un'app per la logica in risposta.

Questo avviso è un esempio di avviso ransomware Petya rilevato:

La soluzione di backup nativa di Azure protegge i dati

Un modo importante che le organizzazioni possono aiutare a proteggersi dalle perdite in un attacco ransomware è avere un backup di informazioni critiche per l'azienda nel caso in cui altre difese abbiano esito negativo. Poiché gli utenti malintenzionati ransomware hanno investito molto nella neutralizzazione delle applicazioni di backup e delle funzionalità del sistema operativo come la copia shadow del volume, è fondamentale avere backup inaccessibili a un utente malintenzionato. Con una soluzione flessibile di continuità aziendale e ripristino di emergenza, strumenti di protezione e sicurezza leader del settore, il cloud di Azure offre servizi sicuri per proteggere i dati:

• Backup di Azure: Backup di Azure servizio offre una soluzione semplice, sicura e conveniente per eseguire il backup della macchina virtuale di Azure. Attualmente, Backup di Azure supporta il backup di tutti i dischi (sistema operativo e dischi dati) in una macchina virtuale usando la soluzione di backup per la macchina virtuale di Azure.
• Ripristino di emergenza di Azure: con il ripristino di emergenza dal locale al cloud o da un cloud a un altro, è possibile evitare tempi di inattività e mantenere le applicazioni in esecuzione.
• Sicurezza e gestione predefinita in Azure: per avere successo nell'era cloud, le aziende devono avere visibilità/metriche e controlli su ogni componente per individuare in modo efficiente, ottimizzare e ridimensionare in modo efficace i problemi, garantendo al tempo stesso la sicurezza, la conformità e i criteri per garantire la velocità.

Accesso garantito e protetto ai dati

Azure ha un lungo periodo di esperienza nella gestione dei data center globali, che sono supportati dall'investimento di 15 miliardi di dollari di infrastruttura di Microsoft che è in fase di valutazione e miglioramento continui, con investimenti e miglioramenti continui, naturalmente.

Funzionalità essenziali:

• Azure include Archiviazione con ridondanza locale, in cui i dati vengono archiviati in locale e con ridondanza geografica Archiviazione (GRS) in una seconda area
• Tutti i dati archiviati in Azure sono protetti da un processo di crittografia avanzata e tutti i data center Microsoft hanno l'autenticazione a due livelli, i lettori di accesso alle schede proxy, gli scanner biometrici
• Azure dispone di più certificazioni rispetto a qualsiasi altro provider di cloud pubblico sul mercato, tra cui ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 e molte specifiche internazionali

Risorse aggiuntive

• Microsoft Cloud Adoption Framework per Azure
• Creare soluzioni eccezionali con microsoft Azure Well-Architected Framework
• Procedure consigliate per la sicurezza di Azure
• Baseline di sicurezza
• Centro risorse di Microsoft Azure
• Guida alla migrazione di Azure
• Gestione della conformità alla sicurezza
• Controllo della sicurezza di Azure - Risposta agli eventi imprevisti
• Linee guida su Zero Trust
• Azure Web Application Firewall
• Gateway VPN di Azure
• Autenticazione a più fattori Microsoft Entra (MFA)
• Microsoft Entra ID Protection
• Accesso condizionale di Microsoft Entra
• Documentazione relativa a Microsoft Defender for Cloud

Conclusione

Microsoft si concentra principalmente sulla sicurezza del cloud e offre i controlli di sicurezza necessari per proteggere i carichi di lavoro cloud. In qualità di leader nella cybersecurity, abbracciamo la nostra responsabilità di rendere il mondo un posto più sicuro. Questo si riflette nel nostro approccio completo alla prevenzione e al rilevamento di ransomware nel nostro framework di sicurezza, progettazioni, prodotti, sforzi legali, partnership del settore e servizi.

Non vediamo l'ora di collaborare con voi per affrontare la protezione ransomware, il rilevamento e la prevenzione in modo olistico.

Connessione con noi:

• AskAzureSecurity@microsoft.com
• www.microsoft.com/services

Per informazioni dettagliate su come Microsoft protegge il cloud, visitare il portale di attendibilità dei servizi.

E adesso

Vedere il white paper: Difese di Azure per attacchi ransomware white paper.

Altri articoli in questa serie:

• Protezione ransomware in Azure
• Prepararsi per un attacco ransomware
• Rilevare e rispondere all'attacco ransomware