Condividi tramite

Microsoft Cybersecurity Defense Operations Center

condivisione delle procedure consigliate di Microsoft per proteggere, rilevare e rispondere alle minacce alla sicurezza informatica

La cybersecurity è una responsabilità condivisa, che influisce su tutti noi. Oggi, una singola violazione, fisica o virtuale, può causare milioni di dollari di danni a un'organizzazione e potenzialmente miliardi di perdite finanziarie per l'economia globale. Ogni giorno, vediamo rapporti su criminali informatici che prendono di mira imprese e individui per ottenere guadagni finanziari o per scopi di natura sociale. Aggiungi a queste minacce quelle da parte di attori statali nazionali che cercano di interrompere le operazioni, condurre spionaggio o in genere minare la fiducia.

In questo documento, condividiamo lo stato della sicurezza online, gli attori delle minacce e le tattiche sofisticate che impiegano per raggiungere i loro obiettivi, e il modo in cui il Cyber Defense Operations Center di Microsoft combatte queste minacce e aiuta i clienti a proteggere le loro applicazioni e dati sensibili.



Microsoft Cyber Defense Operations Center

The Microsoft Cyber Defense Operations Center

Microsoft è profondamente impegnata a rendere il mondo online più sicuro per tutti. Le strategie di cybersecurity della nostra azienda si sono sviluppate dalla visibilità unica che abbiamo nel panorama cibernetico in rapida evoluzione.

L'innovazione nello spazio di attacco tra persone, luoghi e processi è un investimento necessario e continuo che tutti dobbiamo fare, in quanto gli avversari continuano a evolversi sia nella determinazione che nella sofisticatezza. In risposta a un aumento degli investimenti nelle strategie di difesa da parte di molte organizzazioni, gli attaccanti si adattano e migliorano le tattiche a velocità vertiginosa. Fortunatamente, i cyberdefender come i team di sicurezza delle informazioni globali di Microsoft stanno anche innovando e interrompendo metodi di attacco affidabili e continui con tecnologie di formazione avanzate e moderne tecnologie di sicurezza, strumenti e processi.

Microsoft Cyber Defense Operations Center (CDOC) è un esempio di oltre 1 miliardo di dollari che investiamo ogni anno sulla sicurezza, la protezione dei dati e la gestione dei rischi. Il CDOC riunisce specialisti della cybersecurity e data scientist in una struttura 24x7 per combattere le minacce in tempo reale. Siamo connessi a più di 3.500 professionisti della sicurezza a livello globale tra i team di sviluppo di prodotti, i gruppi di sicurezza delle informazioni e i team legali per proteggere l'infrastruttura e i servizi cloud, i prodotti e i dispositivi e le risorse interne.

Microsoft ha investito oltre 15 miliardi di dollari nell'infrastruttura cloud, con oltre il 90% delle aziende Fortune 500 che usano il cloud Microsoft. Oggi, siamo proprietari di uno dei più grandi footprint cloud al mondo con più di 100 data center con distribuzione geografica, 200 servizi cloud, milioni di dispositivi e un miliardo di clienti in tutto il mondo.

Attori e motivazioni delle minacce per la cybersecurity

Il primo passaggio per proteggere persone, dispositivi, dati e infrastruttura critica consiste nel comprendere i diversi tipi di attori delle minacce e le relative motivazioni.
  • cybercriminali si estendono su diverse sottocategorie, anche se spesso condividono motivazioni comuni, finanziaria, intelligence e/o guadagno sociale o politico. Il loro approccio è in genere diretto: infiltrandosi in un sistema di dati finanziari, sottraendo micro-importi troppo piccoli da rilevare e uscendo prima di essere scoperti. Mantenere una presenza clandestina persistente è fondamentale per soddisfare il loro obiettivo.

    Il loro approccio può essere un'intrusione che devia un grande pagamento finanziario attraverso un labirinto di conti per eludere il tracciamento e l'intervento. A volte, l'obiettivo è quello di rubare la proprietà intellettuale che il bersaglio possiede in modo che il cybercriminale agisca come intermediario per fornire un progetto di prodotto, codice sorgente software o altre informazioni proprietarie che hanno valore per un'entità specifica. Più della metà di queste attività sono perpetrate da gruppi criminali organizzati.

  • Attori statali lavorano per un governo per interrompere o compromettere governi, organizzazioni o individui specifici per ottenere l'accesso a dati o informazioni di intelligence importanti. Essi sono impegnati in affari internazionali per influenzare e guidare un risultato che può beneficiare di un paese o di una regione. L'obiettivo di un attore di stato nazionale è interrompere le operazioni, condurre spionaggio contro le aziende, rubare segreti da altri governi o in caso contrario minare la fiducia nelle istituzioni. Lavorano con grandi risorse a loro disposizione e senza timore di retribuzioni legali, con un toolkit che si estende da semplice a alta complessità.

    Gli attori statali possono attirare alcuni dei talenti di cyberhacking più sofisticati e possono avanzare i loro strumenti fino al punto di weaponizzazione. L'approccio alle intrusioni comporta spesso una minaccia persistente avanzata che utilizza la potenza di calcolo avanzata per crackare con forza bruta le credenziali attraverso milioni di tentativi di scoprire la password corretta. Possono anche utilizzare attacchi di phishing altamente mirati per convincere un insider a rivelare le proprie credenziali.

  • Le minacce interne sono particolarmente complesse a causa dell'imprevedibilità del comportamento umano. La motivazione di un insider potrebbe essere opportunistica e mirare al guadagno finanziario. Tuttavia, esistono molteplici cause di potenziali minacce interne, che si estendono dalla semplice disattenzione a schemi sofisticati. Molte violazioni dei dati derivanti dalle minacce interne sono completamente involontarie a causa di attività accidentali o trascurabili che comportano un'organizzazione a rischio senza essere consapevoli della vulnerabilità.

  • Hacktivists si concentrano su attacchi politici e/o socialmente motivati. Si sforzano di essere visibili e riconosciuti nelle notizie per attirare l'attenzione su se stessi e la loro causa. Le loro tattiche includono attacchi DDoS (Distributed Denial of Service), exploit di vulnerabilità o defacing di una presenza online. Una connessione a un problema sociale o politico può fare di qualsiasi azienda o organizzazione un obiettivo. I social media consentono ai hacktivisti di promuovere rapidamente la loro causa e reclutare altri utenti a partecipare.


$ 4 milioni è il costo medio della violazione dei dati nel 2017

Tecniche degli attori delle minacce

Gli avversari sono abili a trovare modi per penetrare nella rete di un'organizzazione nonostante le protezioni in atto usando varie tecniche sofisticate. Diverse tattiche sono state in giro fin dai primi giorni di Internet, anche se altri riflettono la creatività e la crescente complessità degli avversari di oggi.

  • Il social engineering è un termine ampio per un attacco che inganna gli utenti ad agire o divulgare informazioni che altrimenti non lo farebbero. L'ingegneria sociale gioca sulle buone intenzioni della maggior parte delle persone e sulla loro volontà di essere utile, per evitare problemi, per fidarsi di fonti familiari o per ottenere potenzialmente una ricompensa. Altri vettori di attacco possono cadere sotto l'ombrello dell'ingegneria sociale, ma di seguito sono riportati alcuni degli attributi che rendono più facile riconoscere e difendere le tattiche di ingegneria sociale:
    • it-IT: i messaggi di posta elettronica di phishing sono uno strumento efficace perché sfruttano l'anello più debole della catena di sicurezza, ovvero gli utenti di tutti i giorni che non considerano la sicurezza della rete una priorità. Una campagna di phishing può invitare o spaventare un utente a condividere inavvertitamente le proprie credenziali ingannando loro di fare clic su un collegamento che ritiene sia un sito legittimo o scaricare un file che contiene codice dannoso. I messaggi di posta elettronica di phishing erano scritti male ed erano facili da riconoscere. Oggi, gli avversari sono diventati abili a simulare messaggi di posta elettronica legittimi e siti di atterraggio che risultano difficili da identificare come fraudolenti.
    • Lo spoofing di identità comporta un avversario che si fa passare per un altro utente legittimo falsificando le informazioni fornite a un'applicazione o a una risorsa di rete. Un esempio è un messaggio di posta elettronica che arriva apparentemente con l'indirizzo di un collega che richiede un'azione, ma l'indirizzo nasconde l'origine reale del mittente del messaggio di posta elettronica. Analogamente, un URL può essere spoofed per apparire come sito legittimo, ma l'indirizzo IP effettivo punta effettivamente al sito di un criminale informatico.

  • Il malware è stato con noi fin dall'alba del calcolo. Oggi, assistiamo a un forte aumento di ransomware e codice dannoso appositamente progettato per crittografare dispositivi e dati. I criminali informatici richiedono quindi il pagamento in criptovaluta per le chiavi per sbloccare e restituire il controllo alla vittima. Ciò può verificarsi a livello individuale per il computer e i file di dati, o ora più frequentemente, per un'intera azienda. L'uso del ransomware è particolarmente pronunciato nel settore sanitario, poiché le conseguenze della vita o della morte che queste organizzazioni devono affrontare rendono estremamente sensibili ai tempi di inattività della rete.

  • l'inserimento nella catena di fornitura è un esempio di approccio creativo all'introduzione di malware in una rete. Ad esempio, dirottando un processo di aggiornamento dell'applicazione, un antagonista aggira gli strumenti e le protezioni antimalware. Stiamo vedendo che questa tecnica diventa più comune e questa minaccia continuerà a crescere fino a quando le protezioni di sicurezza più complete non vengono infuse nel software dagli sviluppatori di applicazioni.

  • Gli attacchi man-in-the-middlecomportano un attaccante che si inserisce tra un utente e una risorsa a cui l'utente accede, intercettando così informazioni critiche, come le credenziali di accesso di un utente. Ad esempio, un criminale informatico in un bar può usare software di registrazione delle chiavi per acquisire le credenziali di dominio di un utente durante l'aggiunta alla rete Wifi. L'attore di minaccia può quindi ottenere l'accesso alle informazioni sensibili dell'utente, ad esempio le informazioni bancarie e personali che possono usare o vendere sul Dark Web.

  • Gli attacchi Distributed Denial of Service (DDoS)esistono da oltre un decennio e gli attacchi massicci stanno diventando più comuni con la rapida crescita di Internet delle cose (IoT). Quando si usa questa tecnica, un antagonista sovraccarica un sito bombardandolo con traffico dannoso che sposta le query legittime. Il malware piantato in precedenza viene spesso usato per dirottare un dispositivo IoT, ad esempio una webcam o un termostato intelligente. In un attacco DDoS, il traffico in ingresso da diverse origini inonda una rete con numerose richieste. Questo sovraccarica i server e nega l'accesso da richieste legittime. Molti attacchi comportano anche la falsificazione di indirizzi IP mittente (spoofing di indirizzi IP), così che la posizione dei computer che attaccano non possa essere facilmente identificata e neutralizzata.

    Spesso un attacco Denial of Service viene usato per coprire o distrarre da uno sforzo più ingannevole per penetrare un'organizzazione. Nella maggior parte dei casi, l'obiettivo dell'avversario è ottenere l'accesso a una rete usando credenziali compromesse, quindi spostarsi in un secondo momento attraverso la rete per ottenere l'accesso a credenziali più "potenti" che sono le chiavi per le informazioni più sensibili e preziose all'interno dell'organizzazione.


90% di tutti i cyberattack iniziano con un messaggio di posta elettronica di phishing

La militarizzazione del cyberspazio

La crescente possibilità di cyberwarfare è oggi una delle principali preoccupazioni tra governi e cittadini. Coinvolge gli stati nazionali nell'uso e nel puntamento di computer e reti nella guerra.

Sia le operazioni offensive che difensive vengono usate per condurre attacchi informatici, spionaggio e sabotaggio. Gli stati nazionali hanno sviluppato le loro capacità e sono impegnati in cyberwarfare sia come aggressori, imputati, o entrambi per molti anni.

Nuovi strumenti e tattiche di minaccia sviluppati tramite investimenti militari avanzati possono anche essere violati e le minacce informatiche possono essere condivise online e armate da cybercriminali per un ulteriore uso.

Posizione di cibersicurezza di Microsoft

Sebbene la sicurezza sia sempre stata una priorità per Microsoft, sappiamo che il mondo digitale richiede progressi continui nel nostro impegno nel modo in cui proteggiamo, rileviamo e rispondiamo alle minacce alla cybersecurity. Questi tre impegni definiscono il nostro approccio alla difesa informatica e fungono da framework utile per la discussione delle strategie e delle funzionalità di difesa informatica di Microsoft.

PROTEGGERE

campagne di phishing mirate continuano a essere la punta di lancia delle violazioni correlate allo spionaggio

Proteggere

Il primo impegno di Microsoft è quello di proteggere l'ambiente informatico usato dai clienti e dai dipendenti per garantire la resilienza dell'infrastruttura e dei servizi cloud, dei prodotti, dei dispositivi e delle risorse aziendali interne dell'azienda da avversari determinati.

Le misure di protezione dei team CDOC si estendono su tutti gli endpoint, dai sensori e dai data center alle identità e alle applicazioni SaaS (Software-as-a-Service). Defense-indepth, ovvero l'applicazione di controlli a più livelli con misure di sicurezza sovrapposte e strategie di mitigazione dei rischi, è una procedura consigliata nel settore ed è l'approccio adottato per proteggere i nostri preziosi asset aziendali e clienti.

Le tattiche di protezione di Microsoft includono:

  • Monitoraggio e controlli estesi sull'ambiente fisico dei nostri data center globali, tra cui telecamere, screening del personale, recinzioni e barriere e più metodi di identificazione per l'accesso fisico.

  • Reti definite dal software che proteggono la nostra infrastruttura cloud da intrusioni e attacchi DDoS.

  • L'autenticazione a più fattori viene usata nell'infrastruttura per controllare la gestione delle identità e degli accessi. Garantisce che le risorse e i dati critici siano protetti da almeno due dei seguenti elementi:
    • Qualcosa che conosci (password o PIN)
    • Qualcosa che sei (biometria)
    • Qualcosa che hai (smartphone)
  • L'amministrazione non persistente impiega i privilegi JIT (Just-In-Time) e JEA (Just-Enough Administrator) per il personale tecnico che gestisce l'infrastruttura e i servizi. In questo modo viene fornito un set univoco di credenziali per l'accesso con privilegi elevati che scadono automaticamente dopo una durata pre-designata.

  • L'igiene corretta viene rigorosamente mantenuta tramite up-to-date, software antimalware e conformità alla rigorosa gestione delle patch e della configurazione.

  • Il team di ricercatori del Microsoft Malware Protection Center identifica, ingegnerizza inversamente e sviluppa firme di malware e quindi le distribuisce attraverso la nostra infrastruttura per il rilevamento e la difesa avanzati. Queste firme vengono distribuite ai risponditori, ai clienti e al settore tramite gli aggiornamenti e le notifiche di Windows per proteggere i propri dispositivi.

  • Microsoft Security Development Lifecycle (SDL) è un processo di sviluppo software che consente agli sviluppatori di creare software più sicuro e soddisfare i requisiti di conformità della sicurezza riducendo al contempo i costi di sviluppo. SDL viene usato per rafforzare tutte le applicazioni, i servizi online e i prodotti e per convalidarne regolarmente l'efficacia tramite test di penetrazione e analisi delle vulnerabilità.

  • La modellazione delle minacce e l'analisi della superficie di attacco garantiscono la valutazione delle potenziali minacce, gli aspetti esposti del servizio e la superficie di attacco viene ridotta al minimo limitando i servizi o eliminando funzioni non necessarie.

  • Classificare i dati in base alla sensibilità e adottare le misure appropriate per proteggerli, inclusa la crittografia in transito e inattivi, e l'applicazione del principio di accesso con privilegi minimi garantisce una protezione aggiuntiva. • Formazione sulla consapevolezza che promuove una relazione di trust tra l'utente e il team di sicurezza per sviluppare un ambiente in cui gli utenti segnalano eventi imprevisti e anomalie senza timore di ripercussione.

Avere una vasta gamma di controlli e una strategia di difesa avanzata aiuta a garantire che qualsiasi area non riesca, ci sono controlli di compensazione in altre aree per contribuire a mantenere la sicurezza e la privacy dei clienti, dei servizi cloud e della nostra infrastruttura. Tuttavia, nessun ambiente è veramente impenetrabile, poiché le persone commettono errori e avversari determinati continueranno a cercare vulnerabilità e sfruttarle. Gli investimenti significativi che continuiamo a fare in questi livelli di protezione e l'analisi di base ci consentono di rilevare rapidamente quando è presente un'attività anomala.

RILEVARE

57+ giorni è il numero mediano di giorni tra l'infiltrazione e il rilevamento

Rilevare

I team CDOC usano software automatizzato, Machine Learning, analisi comportamentale e tecniche forensi per creare un grafico intelligente della sicurezza dell'ambiente. Questo segnale è arricchito con i metadati contestuali e i modelli comportamentali generati da origini quali Active Directory, sistemi di gestione delle risorse e della configurazione e registri eventi.

I nostri estesi investimenti nell'analisi della sicurezza creano profili comportamentali avanzati e modelli predittivi che consentono di "connettere i punti" e identificare minacce avanzate che altrimenti potrebbero non essere state rilevate, quindi contrastare con forti attività di contenimento e correzione coordinata.

Microsoft usa anche software di sicurezza personalizzato, insieme agli strumenti di leader del settore e all'apprendimento automatico. L'intelligence sulle minacce è in continua evoluzione, con l'arricchimento automatico dei dati per rilevare più rapidamente attività dannose e segnalare con elevata fedeltà. Le analisi delle vulnerabilità vengono eseguite regolarmente per testare e perfezionare l'efficacia delle misure protettive. L'ampiezza degli investimenti di Microsoft nell'ecosistema di sicurezza e la varietà di segnali monitorati dai team CDOC offrono una visualizzazione delle minacce più completa di quanto possa essere ottenuto dalla maggior parte dei provider di servizi.

Le tattiche di rilevamento di Microsoft includono:

  • Monitoraggio di ambienti fisici e di rete 24x7x365 per potenziali eventi di cybersecurity. La profilatura del comportamento si basa sui modelli di utilizzo e sulla comprensione delle minacce uniche per i servizi.

  • L'analisi delle identità e del comportamento viene sviluppata per evidenziare le attività anomale.

  • Gli strumenti e le tecniche software di Machine Learning vengono usati regolarmente per individuare e contrassegnare le irregolarità.

  • Strumenti e processi analitici avanzati vengono distribuiti per identificare ulteriormente le attività anomale e le funzionalità innovative di correlazione. In questo modo è possibile creare rilevamenti altamentecontestualizzati dai volumi enormi di dati quasi in tempo reale.

  • Processi automatizzati basati su software controllati continuamente e sviluppati per aumentare l'efficacia.

  • I data scientist e gli esperti di sicurezza lavorano regolarmente side-by-side per affrontare gli eventi inoltrati che presentano caratteristiche insolite che richiedono un'ulteriore analisi degli obiettivi. Possono quindi determinare potenziali interventi di risposta e correzione.

RISPONDERE

90% di tutti gli incidenti di sicurezza delle informazioni sono Denial of Service, Attacchi a applicazioni Web e Crimeware

Rispondi

Quando Microsoft rileva attività anomale nei nostri sistemi, attiva i team di risposta per interagire e rispondere rapidamente con una forza precisa. Le notifiche dei sistemi di rilevamento basati su software passano attraverso i sistemi di risposta automatizzati usando algoritmi basati sul rischio per contrassegnare gli eventi che richiedono l'intervento del team di risposta. Mean-Time-to-Mitigate è fondamentale e il nostro sistema di automazione fornisce agli interventisti informazioni rilevanti e utilizzabili che accelerano la valutazione, la mitigazione e il ripristino.

Per gestire gli eventi imprevisti di sicurezza su larga scala, viene distribuito un sistema a livelli per assegnare in modo efficiente le attività di risposta alla risorsa corretta e facilitare un percorso di escalation razionale.

Le tattiche di risposta di Microsoft includono:

  • I sistemi di risposta automatizzati usano algoritmi basati sul rischio per contrassegnare gli eventi che richiedono l'intervento umano.

  • I sistemi di risposta automatizzati usano algoritmi basati sul rischio per contrassegnare gli eventi che richiedono l'intervento umano.

  • I processi di risposta agli eventi imprevisti ben definiti, documentati e scalabili all'interno di un modello di miglioramento continuo consentono di mantenere gli avversari in anticipo rendendoli disponibili a tutti i risponditori.

  • L'esperienza in materia in tutti i team, in più aree di sicurezza, offre un set di competenze diversificato per affrontare gli eventi imprevisti. Esperienza di sicurezza nella risposta agli eventi imprevisti, nelle analisi forensi e nelle intrusioni; e una conoscenza approfondita delle piattaforme, dei servizi e delle applicazioni che operano nei data center cloud.

  • Ricerca nell'intera organizzazione tra dati e sistemi cloud, ibridi e locali per determinare l'ambito di un evento imprevisto.

  • L'analisi forense approfondita per le principali minacce viene eseguita dagli specialisti per comprendere gli eventi imprevisti e per facilitarne il contenimento e l'eradicazione. • Gli strumenti software per la sicurezza microsoft, l'automazione e l'infrastruttura cloud su larga scala consentono ai nostri esperti di sicurezza di ridurre il tempo necessario per rilevare, analizzare, analizzare, rispondere e recuperare da attacchi informatici.

  • I test di penetrazione vengono impiegati in tutti i prodotti e i servizi Microsoft tramite esercizi continui di Red Team/Blue Team per scoprire le vulnerabilità prima che un vero avversario possa sfruttare questi punti deboli per un attacco.

Cyberdefense per i nostri clienti

Spesso viene chiesto quali strumenti e processi i clienti possono adottare per il proprio ambiente e come Microsoft potrebbe aiutare nell'implementazione. Microsoft ha consolidato molti dei prodotti e dei servizi cyberdefense usati nel CDOC in una gamma di prodotti e servizi. I team di Microsoft Enterprise Cybersecurity Group e Microsoft Consulting Services interagiscono con i clienti per offrire le soluzioni più appropriate per esigenze e requisiti specifici.

Uno dei primi passaggi che Microsoft consiglia vivamente è quello di stabilire una base di sicurezza. I nostri servizi di base forniscono difese di attacco critiche e servizi di abilitazione dell'identità di base che consentono di garantire la protezione degli asset. La fondazione ti aiuta ad accelerare il tuo percorso di trasformazione digitale per diventare un'azienda moderna e più sicura.

Basandosi su questa base, i clienti possono quindi sfruttare soluzioni di successo con altri clienti Microsoft e distribuite negli ambienti it e servizi cloud di Microsoft. Per altre informazioni sugli strumenti, le funzionalità e le offerte di servizi per la sicurezza informatica aziendale, visitare Microsoft.com/security e contattare i team all'indirizzo cyberservices@microsoft.com.

Procedure consigliate per proteggere l'ambiente

Investire nella piattaforma Investire nella strumentazione Investire nelle persone
l'agilità e la scalabilità richiedono la pianificazione e la creazione di strumenti per l'abilitazione della piattaforma Assicurarsi di misurare in modo esaustivo gli elementi nella piattaforma analisti qualificati e data scientist sono la base della difesa, mentre gli utenti sono il nuovo perimetro di sicurezza
Gestire un inventario ben documentato degli asset Acquisire e/o compilare gli strumenti necessari per monitorare completamente la rete, gli host e i log Stabilire relazioni e canali di comunicazione tra il team di risposta agli eventi imprevisti e altri gruppi.
Avere criteri di sicurezza ben definiti con standard chiari e linee guida per l'organizzazione Mantenere in modo proattivo controlli e misure e testarli regolarmente per verificare l'accuratezza e l'efficacia Adottare i principi di amministratore con privilegi minimi; eliminare i diritti di amministratore permanente
Mantenere una corretta igiene: la maggior parte degli attacchi potrebbe essere impedita con patch tempestive e antivirus Mantenere un controllo rigoroso sui criteri di gestione delle modifiche Usare il processo appreso dalle lezioni per ottenere valore da ogni evento imprevisto principale
Usare l'autenticazione a più fattori per rafforzare la protezione degli account e dei dispositivi Monitorare le attività anomale degli account e delle credenziali per rilevare eventuali abusi. Integrare, educare e consentire agli utenti di riconoscere le minacce probabili e il proprio ruolo nella protezione dei dati aziendali