Microsoft Cybersecurity Defense Operations Center
[アーティクル]
06/02/2023
3 人の共同作成者
フィードバック
この記事の内容
サイバーセキュリティは共通の責任であり、すべての人に影響を与えます。 現在、物理的または仮想的な 1 回の違反により、組織に数百万ドルの損害が発生し、グローバル経済に対して数十億ドルの金銭的損失が発生する可能性があります。 毎日、企業や個人を対象としたサイバー犯罪者の報告が、金銭的な利益や社会的動機による目的で表示されます。 これらの脅威に加えて、運用の中断、スパイ活動の実施、または一般的に信頼の損ないを求める国のアクターによる脅威を追加します。
この簡単な説明では、オンライン セキュリティの状態、脅威のアクター、目標を進めるために使用する高度な戦術、および Microsoft の Cyber Defense Operations Center がこれらの脅威とどのように対処し、お客様が機密アプリケーションやデータを保護するのに役立つかを共有します。
The Microsoft Cyber Defense Operations Center
Microsoft は、すべてのユーザーにとってオンラインの世界をより安全なものにすることに深く取り組んでいます。 弊社のサイバーセキュリティ戦略は、独自の可視性から、急速に進化するサイバー脅威の状況へと進化してきました。
敵対者が決定と洗練の両方で進化し続ける中で、人、場所、プロセス全体にわたる攻撃空間のイノベーションは、すべての人が行う必要があり、継続的な投資です。 多くの組織による防御戦略への投資の増加に対応して、攻撃者は戦術を迅速に適応させ、改善しています。
幸いにも、Microsoft のグローバル情報セキュリティ チームのような cyberdefenders も、継続的で高度なトレーニングと最新のセキュリティ テクノロジ、ツール、プロセスを使用して、長い信頼性の高い攻撃方法を革新し、中断しています。
Microsoft Cyber Defense Operations Center (CDOC) は、セキュリティ、データ保護、リスク管理に毎年 10 億ドルを超える投資を行っている例の 1 つです。 CDOC は、24 時間 365 日体制でサイバーセキュリティの専門家とデータ サイエンティストを集め、脅威にリアルタイムで対処します。 Microsoft は、クラウド インフラストラクチャとサービス、製品とデバイス、内部リソースを保護するために、製品開発チーム、情報セキュリティ グループ、法務チーム全体で、世界中の 3,500 人を超えるセキュリティ専門家と接続しています。
Microsoft はクラウド インフラストラクチャに 150 億ドルを超える投資を行っており、フォーチュン 500 企業の 90% 以上が Microsoft クラウドを使用しています。 現在、100 を超える geo 分散データセンター、200 個のクラウド サービス、数百万台のデバイス、および世界中の 10 億を超える顧客を持つ、世界最大のクラウド フットプリントの 1 つを所有し、運用しています。
サイバーセキュリティの脅威アクターと動機
人、デバイス、データ、重要なインフラストラクチャを保護するための最初のステップは、さまざまな種類の脅威アクターとその動機を理解することです。
サイバー犯罪者 は複数のサブカテゴリにまたがりますが、多くの場合、一般的な動機 (財務、インテリジェンス、または社会的または社会的利益) を共有しています。 通常、財務データ システムに侵入し、検出される前にマイクロ量を検出して終了するには小さすぎることをスキット化することで、アプローチは直接的です。 永続的な clandestine プレゼンスを維持することは、その目的を達成するために重要です。国家のアクターは、 政府が重要なデータやインテリジェンスへのアクセスを得るために、対象の政府、組織、または個人を混乱させたり侵害したりするために働いています。 彼らは、国や国に利益をもたらす可能性のある結果に影響を与え、推進するために国際問題に従事しています。 国家主体の目的は、業務を中断したり、企業に対してスパイ活動を行ったり、他の政府から秘密を盗んだり、機関への信頼を損なったりすることです。 大規模なリソースを自由に操作し、法的報復を恐れることなく、単純なものから非常に複雑なものまでを含むツールキットを使用します。インサイダー の脅威は、人間の行動の予測不可能性のために特に困難です。 インサイダーの動機は、おそらく日和見的で、金銭的な利益を得るための動機です。 ただし、インサイダーの潜在的な脅威には、単純な不注意から高度なスキームまで、複数の原因があります。 内部関係者の脅威に起因する多くのデータ侵害は、組織が脆弱性を認識せずに危険にさらされる偶発的または過失的なアクティビティにより、完全に意図しません。Hacktivists は 、社会的または社会的に動機付けられた攻撃に焦点を当てています。 ニュースで目に見え、認識されるように努め、自分自身とその原因に注意を引きます。 その戦術には、分散型サービス拒否 (DDoS) 攻撃、脆弱性の悪用、オンライン プレゼンスの改ざんなどがあります。 ソーシャルまたはポリティカルの問題への接続により、任意の会社または組織をターゲットにすることができます。 ソーシャル メディアを使用すると、ハクティビストは自分の原因をすばやくエバンジェリゼーブし、他のユーザーを参加させるための募集を行うことができます。
脅威アクターの手法
敵対者は、さまざまな高度な手法を使用して保護されているにもかかわらず、組織のネットワークに侵入する方法を見つけるのに熟練しています。 インターネットの初期からいくつかの戦術が行われてきましたが、他の戦術は、今日の敵対者の創造性と洗練さを反映しています。
ソーシャル エンジニアリング は、ユーザーが他の方法では行わない情報の操作や漏えいを仕掛ける攻撃の広範な用語です。 ソーシャル エンジニアリングは、ほとんどの人の善意と、役に立つ、問題を回避する、使い慣れたソースを信頼する、または報酬を得る可能性がある人の意欲に基づいて行われます。 その他の攻撃ベクトルはソーシャル エンジニアリングの一部に該当する可能性がありますが、ソーシャル エンジニアリングの戦術を認識して防御しやすくする属性の一部を次に示します。
フィッシング メール は、セキュリティ チェーンの最も弱いリンク (ネットワーク セキュリティを最上位と考えない日常的なユーザー) と対戦するため、効果的なツールです。 フィッシング キャンペーンでは、正当なサイトだと思われるリンクをクリックさせたり、悪意のあるコードを含むファイルをダウンロードしたりすることで、ユーザーが誤って資格情報を共有するようユーザーを招待したり、恐げたりすることがあります。 フィッシングメールは、以前は書き込みが不十分で、認識しやすいものになっています。 現在、敵対者は、不正であると識別するのが困難な正当なメールやランディング サイトを模倣することに熟達しています。ID スプーフィング には、アプリケーションまたはネットワーク リソースに提示された情報を改ざんすることで、別の正当なユーザーとして敵対的な偽装が含まれます。 たとえば、アクションを要求している同僚のアドレスを含んでいるように見えて到着する電子メールですが、アドレスは電子メール送信者の実際のソースを隠しています。 同様に、URL は正当なサイトとして表示されるように偽装できますが、実際の IP アドレスは実際にはサイバー犯罪者のサイトを指しています。
マルウェアは、コンピューティングの怨怨から私たちの目の前にいます。 現在、デバイスとデータを暗号化することを目的としたランサムウェアと悪意のあるコードに、強力なアップティックが発生しています。 その後、サイバー犯罪者は、キーのロックを解除し、制御を被害者に返すために、暗号化による支払いを要求します。 これは、コンピューターとデータ ファイルに対する個々のレベルで発生する可能性があります。また、企業全体に対して、より頻繁に発生する可能性があります。 ランサムウェアの使用は、特に医療分野で顕著です。これは、これらの組織が直面する生存または死亡の結果により、ネットワークのダウンタイムに対して非常に機密性が高いためです。
サプライ チェーンの挿入 は、ネットワークにマルウェアを挿入するためのクリエイティブなアプローチの例です。 たとえば、アプリケーション更新プロセスを乗っ取ることで、敵対者はマルウェア対策ツールと保護を回避します。 この手法がより一般的になり、この脅威は、より包括的なセキュリティ保護がアプリケーション開発者によってソフトウェアに組み込まれるまで拡大し続けます。中間 者攻撃には、ユーザーとアクセスしているリソースの間に敵対者が自分自身を挿入し、それによってユーザーのログイン資格情報などの重要な情報を傍受する必要があります。 たとえば、コーヒー ショップのサイバー犯罪者は、キー ログ ソフトウェアを使用して、Wifi ネットワークに参加するユーザーのドメイン資格情報をキャプチャできます。 その後、脅威アクターは、ダーク Web で使用または販売できる銀行や個人情報など、ユーザーの機密情報にアクセスできます。分散型サービス拒否 (DDoS) 攻撃は約 10 年を超え、モノのインターネット (IoT) の急速な成長に伴って大規模な攻撃がより一般的になっています。 この手法を使用すると、敵対者は正当なクエリを置き換える悪意のあるトラフィックでサイトを攻撃することでサイトを圧倒します。 以前に植えられたマルウェアは、多くの場合、Web カメラやスマート サーモスタットなどの IoT デバイスを乗っ取るために使用されます。 DDoS 攻撃では、さまざまなソースからの受信トラフィックによって、多数の要求がネットワークに殺到します。 これにより、サーバーが圧倒され、正当な要求からのアクセスが拒否されます。 多くの攻撃には、IP 送信者アドレスの偽造 (IP アドレススプーフィング) も含まれており、攻撃するマシンの場所を簡単に特定して倒すことはできません。
サイバー空間の軍事化
サイバー戦争の可能性の高まりは、今日の政府と市民の間で主要な懸念事項の 1 つです。 これは、戦争でコンピューターとネットワークを使用し、ターゲットとする国の状態を含みます。
攻撃と防御の両方の操作は、サイバー攻撃、スパイ活動、妨害行為を行うために使用されます。 国家は長年にわたって能力を開発し、攻撃者、被告、またはその両方としてサイバー戦争に従事してきました。
高度な軍事投資を通じて開発された新しい脅威ツールや戦術も侵害される可能性があり、サイバー脅威をオンラインで共有し、サイバー犯罪者によって武器化して、さらなる使用を図ることができます。
Microsoft のサイバーセキュリティ体制
セキュリティは常に Microsoft の優先事項ですが、デジタル世界では、サイバーセキュリティの脅威を保護、検出、および対応する方法に関する取り組みを継続的に進める必要があることを認識しています。 これらの 3 つのコミットメントは、サイバー防御に対するアプローチを定義し、Microsoft のサイバー防御戦略と機能に関するディスカッションに役立つフレームワークとして機能します。
保護
保護
Microsoft の最初のコミットメントは、クラウド インフラストラクチャとサービス、製品、デバイス、および会社の内部企業リソースの回復性を、決定された敵対者から確保するために、お客様と従業員が使用するコンピューティング環境を保護することです。
CDOC チームの保護対策は、センサーやデータセンターから ID、サービスとしてのソフトウェア (SaaS) アプリケーションまで、すべてのエンドポイントに及んでいます。 防御-indepth は、セーフガードとリスク軽減戦略が重複する複数のレイヤーに制御を適用する方法であり、業界全体でベスト プラクティスであり、貴重な顧客と企業の資産を保護するために取るアプローチです。
Microsoft の保護戦略は次のとおりです。
カメラ、人員のスクリーニング、フェンスとバリア、物理的アクセスのための複数の識別方法など、グローバル データセンターの物理的環境に対する広範な監視と制御。
侵入や DDoS 攻撃からクラウド インフラストラクチャを保護するソフトウェア定義ネットワーク。
多要素認証は、ID とアクセス管理を制御するためにインフラストラクチャ全体で使用されます。 これにより、次の 2 つ以上の重要なリソースとデータが確実に保護されます。
知っているもの (パスワードまたは PIN)
自分の存在 (生体認証)
持っているもの (スマートフォン)
非永続的な管理では、インフラストラクチャとサービスを管理するエンジニアリング スタッフに対して、Just-In-Time (JIT) と十分な管理者 (JEA) 特権が採用されます。 これにより、事前に指定された期間の後に自動的に期限切れになる管理者特権でのアクセスに対する一意の資格情報セットが提供されます。
適切な検疫は、最新のマルウェア対策ソフトウェアと厳格なパッチ適用と構成管理への準拠を通じて厳密に維持されます。
Microsoft マルウェア プロテクション センターの研究者チームは、マルウェアシグネチャを特定、リバース エンジニアリング、開発し、高度な検出と防御のためにインフラストラクチャ全体に展開します。 これらの署名は、レスポンダー、お客様、および業界に対して、デバイスを保護するためのWindows更新と通知を通じて配布されます。
Microsoft Security Development ライフサイクル (SDL) は、開発者がより安全なソフトウェアを構築し、開発コストを削減しながらセキュリティ コンプライアンス要件に対処するのに役立つソフトウェア開発プロセスです。 SDL は、すべてのアプリケーション、オンライン サービス、製品を強化し、侵入テストと脆弱性スキャンを通じてその有効性を日常的に検証するために使用されます。
脅威モデリングと攻撃表面分析により、潜在的な脅威が評価され、サービスの公開された側面が評価され、サービスを制限したり、不要な機能を排除したりすることで攻撃面が最小限に抑えられます。
機密に従ってデータを分類し、転送中の暗号化や保存時の暗号化など、データを保護するための適切な手段を取り、最小特権アクセスの原則を適用すると、追加の保護が提供されます。 • ユーザーとセキュリティ チームの間の信頼関係を促進し、ユーザーが反響を恐れずにインシデントや異常を報告する環境を開発する意識トレーニング。
豊富な一連の制御と多層防御戦略を使用すると、1 つの領域で障害が発生した場合に、他の領域で制御を補正して、お客様、クラウド サービス、および独自のインフラストラクチャのセキュリティとプライバシーを維持するのに役立ちます。 しかし、人々がエラーを発生させ、決定された敵対者が引き続き脆弱性を探して悪用するため、本当に不可解な環境はありません。 これらの保護レイヤーとベースライン分析に引き続き行う重要な投資により、異常なアクティビティがいつ存在するかを迅速に検出できます。
検出
検出
CDOC チームは、自動化されたソフトウェア、機械学習、行動分析、フォレンジック手法を使用して、環境のインテリジェントなセキュリティ グラフを作成します。 このシグナルは、Active Directory、資産および構成管理システム、イベント ログなどのソースから生成されたコンテキスト メタデータと動作モデルによって強化されます。
セキュリティ分析に対する広範な投資は、豊富な行動プロファイルと予測モデルを構築し、"ドットを接続" し、それ以外の場合は検出されなかった可能性のある高度な脅威を特定し、強力な封じ込めと調整された修復アクティビティに対抗します。
Microsoft では、カスタム開発のセキュリティ ソフトウェアと、業界をリードするツールや機械学習も採用しています。 Microsoft の脅威インテリジェンスは絶えず進化し続け、データエンリッチメントが自動化され、悪意のあるアクティビティをより迅速に検出し、高い忠実度で報告します。 脆弱性スキャンは、保護対策の有効性をテストおよび絞り込むために定期的に実行されます。 Microsoft のセキュリティ エコシステムへの投資の幅と、CDOC チームによって監視されるさまざまなシグナルにより、ほとんどのサービス プロバイダーが達成できるよりも包括的な脅威ビューが提供されます。
Microsoft の検出方法は次のとおりです。
潜在的なサイバーセキュリティ イベントについて、ネットワーク環境と物理環境を 24 時間 365 日監視します。 動作プロファイルは、使用パターンと、サービスに対する固有の脅威の理解に基づいています。
ID と行動分析は、異常なアクティビティを強調するために開発されています。
機械学習ソフトウェア ツールと手法は、不規則性を検出してフラグを設定するために日常的に使用されます。
高度な分析ツールとプロセスをデプロイして、異常なアクティビティと革新的な相関関係機能をさらに特定します。 これにより、膨大な量のデータからほぼリアルタイムで高度にコンテキスト化された検出を作成できます。
継続的に監査され、有効性を高めるために進化する自動化されたソフトウェア ベースのプロセス。
データ サイエンティストとセキュリティの専門家は、ターゲットの詳細な分析を必要とする異常な特性を示すエスカレートされたイベントに対処するために、日常的に連携して取り組んでいます。 その後、潜在的な応答と修復作業を決定できます。
応答
応答
Microsoft がシステム内の異常なアクティビティを検出すると、応答チームが正確な力で関与し、迅速に対応できるようになります。 ソフトウェア ベースの検出システムからの通知は、リスクベースのアルゴリズムを使用して自動化された応答システムを経由し、応答チームからの介入が必要なイベントにフラグを設定します。 Mean-Time-to-Mitigate は最も重要であり、自動化システムは、トリアージ、軽減策、回復を加速する、関連する実用的な情報をレスポンダーに提供します。
このような大規模なセキュリティ インシデントを管理するために、適切なリソースに応答タスクを効率的に割り当て、合理的なエスカレーション パスを容易にする階層化されたシステムをデプロイします。
Microsoft の対応策は次のとおりです。
自動応答システムでは、リスクベースのアルゴリズムを使用して、人間の介入が必要なイベントにフラグを設定します。
自動応答システムでは、リスクベースのアルゴリズムを使用して、人間の介入が必要なイベントにフラグを設定します。
継続的な改善モデル内で明確に定義され、文書化され、スケーラブルなインシデント対応プロセスは、すべてのレスポンダーがこれらを利用できるようにすることで、敵対者の前に進むのに役立ちます。
複数のセキュリティ分野において、チーム全体の専門分野の専門知識は、インシデントに対処するための多様なスキル セットを提供します。 インシデント対応、フォレンジック、侵入分析に関するセキュリティの専門知識。クラウド データセンターで動作するプラットフォーム、サービス、アプリケーションについて深く理解しています。
クラウド、ハイブリッド、オンプレミスのデータとシステム全体を検索し、インシデントの範囲を決定する幅広い企業。
重大な脅威に対する深いフォレンジック分析は、インシデントを理解し、その封じ込めと根絶を支援するために専門家によって実行されます。 • Microsoft のセキュリティ ソフトウェア ツール、自動化、ハイパースケール クラウド インフラストラクチャにより、セキュリティエキスパートはサイバー攻撃の検出、調査、分析、対応、復旧にかかる時間を短縮できます。
侵入テストは、進行中の Red Team/Blue Team 演習を通じて、すべての Microsoft 製品とサービスで採用され、実際の敵対者がこれらの弱点を攻撃に利用する前に脆弱性を発見します。
お客様向けの Cyberdefense
多くの場合、お客様が独自の環境に採用できるツールとプロセスと、Microsoft が実装にどのように役立つかを尋ねられます。 Microsoft は、CDOC で使用するサイバー定義製品とサービスの多くを、さまざまな製品とサービスに統合しています。 Microsoft Enterprise Cybersecurity Group および Microsoft Consulting Services チームは、お客様の特定のニーズと要件に最も適したソリューションを提供するために、お客様と連携します。
Microsoft が高くお勧めする最初の手順の 1 つは、セキュリティ基盤を確立することです。 Microsoft の基盤サービスは、資産の保護を確実に行うのに役立つ、重大な攻撃防御とコア ID 有効化サービスを提供します。 この基盤は、デジタル変革の取り組みを加速し、より安全な最新の企業に移行するのに役立ちます。
この基盤を基盤として、お客様は他の Microsoft のお客様と共に成功したソリューションを活用し、Microsoft 独自の IT およびクラウド サービス環境にデプロイすることができます。 エンタープライズ サイバーセキュリティ ツール、機能、サービスオファリングの詳細については、Microsoft.com/security を参照し、Microsoft のチーム cyberservices@microsoft.comにお問い合わせください。
環境を保護するためのベスト プラクティス
プラットフォームに投資する
インストルメンテーションに投資する
ユーザーに投資する
アジリティとスケーラビリティには、プラットフォームを有効にする計画と構築が必要です プラットフォーム内の要素を徹底的に測定していることを確認する スキルのあるアナリストとデータ サイエンティストは防御の基礎であり、ユーザーは新しいセキュリティ境界です
資産の十分に文書化されたインベントリを維持する
ネットワーク、ホスト、ログを完全に監視するために必要なツールを取得または構築する
Establsih の関係とインシデント対応チームと他のグループ間のコミュニケーションの行
明確な標準と組織のガイダンスを持つ明確に定義されたセキュリティ ポリシーを持っている
制御とメジャーを事前に管理し、正確性と有効性を定期的にテストする
最小特権管理者の原則を採用する。永続的な管理者権限を排除する
適切な衛生状態を維持する- ほとんどの攻撃は、タイムリーなパッチとウイルス対策を使用して防ぐことができます
変更管理ポリシーを厳密に制御する
教訓を得たプロセスを使用して、すべての重大なインシデントから価値を得る
多要素認証を採用して、アカウントとデバイスの保護を強化する
不正使用を検出するために、異常なアカウントと資格情報アクティビティを監視する
ユーザーがビジネス データを保護する際に、可能性の高い脅威と自分の役割を認識できるように参加し、教育し、権限を与える
