Funkcje i zasoby platformy Azure, które ułatwiają ochronę, wykrywanie i reagowanie

Firma Microsoft zainwestowała w natywne funkcje zabezpieczeń platformy Azure, które organizacje mogą wykorzystać do pokonania technik ataków wymuszających oprogramowanie wymuszające okup, które można znaleźć zarówno w przypadku dużych, codziennych ataków, jak i zaawansowanych ataków ukierunkowanych.

Kluczowe możliwości to:

• Natywne wykrywanie zagrożeń: Microsoft Defender dla Chmury zapewnia wysokiej jakości funkcje wykrywania zagrożeń i reagowania, nazywane również wykrywaniem rozszerzonym i reagowaniem (XDR). Ułatwia to:
  • Unikaj marnowania czasu i talentów ograniczonych zasobów zabezpieczeń, aby tworzyć niestandardowe alerty przy użyciu nieprzetworzonych dzienników aktywności.
  • Zapewnij skuteczne monitorowanie zabezpieczeń, które często umożliwia zespołom ds. zabezpieczeń szybkie zatwierdzanie korzystania z usług platformy Azure.
• Uwierzytelnianie bez hasła i uwierzytelnianie wieloskładnikowe: uwierzytelnianie wieloskładnikowe firmy Microsoft, aplikacja Microsoft Entra Authenticator i usługa Windows Hello zapewniają te możliwości. Pomaga to chronić konta przed często spotykanych ataków hasłem (które stanowią 99,9% liczby ataków tożsamości widocznych w identyfikatorze Entra firmy Microsoft). Chociaż żadne zabezpieczenia nie są doskonałe, wyeliminowanie wektorów ataków tylko na hasła znacznie obniża ryzyko ataku wymuszającego okup do zasobów platformy Azure.
• Natywna zapora i zabezpieczenia sieci: firma Microsoft utworzyła natywne środki zaradcze ataków DDoS, zaporę, zaporę aplikacji internetowej i wiele innych kontrolek na platformie Azure. Te zabezpieczenia "jako usługa" ułatwiają konfigurację i implementację mechanizmów kontroli zabezpieczeń. Zapewniają one organizacjom możliwość korzystania z usług natywnych lub urządzeń wirtualnych wersji znanych możliwości dostawcy w celu uproszczenia zabezpieczeń platformy Azure.

Microsoft Defender for Cloud Alert

Microsoft Defender dla Chmury to wbudowane narzędzie, które zapewnia ochronę przed zagrożeniami dla obciążeń działających na platformie Azure, lokalnie i w innych chmurach. Chroni dane hybrydowe, usługi natywne dla chmury i serwery przed oprogramowaniem wymuszającym okup i innymi zagrożeniami; i integruje się z istniejącymi przepływami pracy zabezpieczeń, takimi jak rozwiązanie SIEM i ogromna analiza zagrożeń firmy Microsoft w celu usprawnienia ograniczania ryzyka zagrożeń.

Microsoft Defender dla Chmury zapewnia ochronę wszystkich zasobów bezpośrednio w środowisku platformy Azure i rozszerza ochronę lokalnych i wielochmurowych maszyn wirtualnych oraz baz danych SQL przy użyciu usługi Azure Arc:

• Chroni usługi platformy Azure
• Chroni obciążenia hybrydowe
• Usprawnianie zabezpieczeń dzięki sztucznej inteligencji i automatyzacji
• Wykrywa i blokuje zaawansowane złośliwe oprogramowanie i zagrożenia dla serwerów z systemami Linux i Windows w dowolnej chmurze
• Chroni usługi natywne dla chmury przed zagrożeniami
• Chroni usługi danych przed atakami wymuszającym okup
• Chroni zarządzane i niezarządzane urządzenia IoT i OT przy użyciu ciągłego odnajdywania zasobów, zarządzanie lukami w zabezpieczeniach i monitorowania zagrożeń

Microsoft Defender dla Chmury udostępnia narzędzia do wykrywania i blokowania oprogramowania wymuszającego okup, zaawansowanego złośliwego oprogramowania i zagrożeń dla zasobów

Utrzymywanie bezpieczeństwa zasobów to wspólna odpowiedzialność dostawcy usług w chmurze, platformy Azure i klienta. Podczas przechodzenia do chmury trzeba upewnić się, że obciążenia będą bezpieczne. Trzeba też pamiętać, że przejście na model IaaS (infrastruktura jako usługa) to większa odpowiedzialność po stronie klienta niż w przypadku korzystania z modeli PaaS (platforma jako usługa) i SaaS (oprogramowanie jako usługa). Microsoft Defender dla Chmury udostępnia narzędzia potrzebne do wzmacniania zabezpieczeń sieci, zabezpieczania usług i upewnienia się, że korzystasz ze stanu zabezpieczeń.

Microsoft Defender dla Chmury to ujednolicony system zarządzania zabezpieczeniami infrastruktury, który wzmacnia stan zabezpieczeń centrów danych i zapewnia zaawansowaną ochronę przed zagrożeniami w ramach obciążeń hybrydowych w chmurze niezależnie od tego, czy znajdują się na platformie Azure, czy nie — a także lokalnie.

Defender dla Chmury ochrona przed zagrożeniami umożliwia wykrywanie zagrożeń i zapobieganie im w warstwie Infrastruktura jako usługa (IaaS), serwery spoza platformy Azure oraz platformy jako usługa (PaaS) na platformie Azure.

Defender dla Chmury ochrona przed zagrożeniami obejmuje analizę łączenia łańcuchów zagrożeń, która automatycznie koreluje alerty w środowisku na podstawie analizy łańcucha zagrożeń cybernetycznych, aby lepiej zrozumieć pełną historię kampanii ataku, w której rozpoczęła się i jaki wpływ miała na zasoby.

Najważniejsze funkcje:

• Ciągła ocena zabezpieczeń: zidentyfikuj maszyny z systemami Windows i Linux z brakującymi aktualizacjami zabezpieczeń lub niezabezpieczonymi ustawieniami systemu operacyjnego i podatnymi na zagrożenia konfiguracjami platformy Azure. Dodaj opcjonalne listy kontrolne lub zdarzenia, które chcesz monitorować.
• Zalecenia z możliwością działania: Szybkie korygowanie luk w zabezpieczeniach dzięki priorytetowych rekomendacjom zabezpieczeń z możliwością działania.
• Scentralizowane zarządzanie zasadami: zapewnianie zgodności z wymaganiami firmy lub zabezpieczeń regulacyjnych przez centralne zarządzanie zasadami zabezpieczeń we wszystkich obciążeniach chmury hybrydowej.
• Najbardziej obszerna analiza zagrożeń w branży: wciągnij się do programu Microsoft Intelligent Security Graph, który używa bilionów sygnałów z usługi firmy Microsoft i systemów na całym świecie, aby zidentyfikować nowe i zmieniające się zagrożenia.
• Zaawansowana analiza i uczenie maszynowe: użyj wbudowanej analizy behawioralnej i uczenia maszynowego, aby zidentyfikować znane wzorce ataków i aktywność po naruszeniu zabezpieczeń.
• Adaptacyjna kontrola aplikacji: blokuj złośliwe oprogramowanie i inne niepożądane aplikacje, stosując zalecenia listy dozwolonych dostosowane do określonych obciążeń i obsługiwane przez uczenie maszynowe.
• Priorytetowe alerty i osie czasu ataków: najpierw skoncentruj się na najbardziej krytycznych zagrożeniach z priorytetem alertów i zdarzeń mapowanych na jedną kampanię ataku.
• Uproszczone badanie: szybkie badanie zakresu i wpływu ataku za pomocą wizualnego, interaktywnego środowiska. Użyj zapytań ad hoc w celu dokładniejszej eksploracji danych zabezpieczeń.
• Automatyzacja i aranżacja: Automatyzowanie typowych przepływów pracy zabezpieczeń w celu szybkiego reagowania na zagrożenia przy użyciu wbudowanej integracji z usługą Azure Logic Apps. Utwórz podręczniki zabezpieczeń, które mogą kierować alerty do istniejącego systemu obsługi biletów lub wyzwalać akcje reagowania na zdarzenia.

Microsoft Sentinel

Usługa Microsoft Sentinel pomaga utworzyć pełny widok łańcucha zabić

Dzięki usłudze Sentinel możesz nawiązać połączenie z dowolnym źródłem zabezpieczeń przy użyciu wbudowanych łączników i standardów branżowych, a następnie skorzystać z sztucznej inteligencji, aby skorelować wiele sygnałów o niskiej wierności obejmujących wiele źródeł, aby utworzyć pełny widok łańcucha zabić oprogramowania wymuszającego okup i priorytetowych alertów, aby obrońcy mogli przyspieszyć czas eksmisji przeciwników.

Microsoft Sentinel to twój widok z lotu ptaka w całym przedsiębiorstwie, co łagodzi stres coraz bardziej zaawansowanych ataków, zwiększając liczbę alertów i długich ram czasowych rozwiązywania problemów.

Zbieranie danych na dużą skalę chmury we wszystkich użytkownikach, urządzeniach, aplikacjach i infrastrukturze, zarówno w środowisku lokalnym, jak i w wielu chmurach.

Wykrywanie wcześniej niewykrytych zagrożeń i minimalizowanie wyników fałszywie dodatnich przy użyciu analizy firmy Microsoft i niezrównanej analizy zagrożeń.

Badanie zagrożeń za pomocą sztucznej inteligencji i wyszukiwanie podejrzanych działań na dużą skalę, wykorzystując lata pracy w zakresie bezpieczeństwa cybernetycznego w firmie Microsoft.

Reaguj błyskawicznie na incydenty, korzystając z funkcji aranżowania i automatyzowania typowych zadań.

Natywna ochrona przed zagrożeniami za pomocą Microsoft Defender dla Chmury

Microsoft Defender dla Chmury skanuje maszyny wirtualne w ramach subskrypcji platformy Azure i zaleca wdrożenie programu Endpoint Protection, w którym nie wykryto istniejącego rozwiązania. Do tego zalecenia można uzyskać dostęp za pośrednictwem sekcji Rekomendacje:

Microsoft Defender dla Chmury zapewnia alerty zabezpieczeń i zaawansowaną ochronę przed zagrożeniami dla maszyn wirtualnych, baz danych SQL, kontenerów, aplikacji internetowych, sieci i innych. Gdy Microsoft Defender dla Chmury wykryje zagrożenie w dowolnym obszarze środowiska, generuje alert zabezpieczeń. Te alerty opisują szczegóły zasobów, których dotyczy problem, sugerowane kroki korygowania, a w niektórych przypadkach opcja wyzwalania aplikacji logiki w odpowiedzi.

Ten alert jest przykładem wykrytego alertu oprogramowania wymuszającego okup petya:

Natywne rozwiązanie do tworzenia kopii zapasowych platformy Azure chroni Dane

Jednym z ważnych sposobów ochrony organizacji przed stratami w ataku wymuszającym okup jest utworzenie kopii zapasowej informacji o krytycznym znaczeniu dla działania firmy w przypadku awarii innych obrony. Ze względu na to, że osoby atakujące wymuszające oprogramowanie wymuszające okup zainwestowały mocno w neutralizację aplikacji kopii zapasowych i funkcji systemu operacyjnego, takich jak kopiowanie woluminów w tle, ma kluczowe znaczenie dla tworzenia kopii zapasowych, które są niedostępne dla złośliwego atakującego. Dzięki elastycznemu rozwiązaniu do zapewniania ciągłości działania i odzyskiwania po awarii wiodące w branży narzędzia do ochrony danych i zabezpieczeń chmura platformy Azure oferuje bezpieczne usługi w celu ochrony danych:

• Azure Backup: usługa Azure Backup zapewnia proste, bezpieczne i ekonomiczne rozwiązanie do tworzenia kopii zapasowych maszyny wirtualnej platformy Azure. Obecnie usługa Azure Backup obsługuje tworzenie kopii zapasowych wszystkich dysków (dysków systemu operacyjnego i danych) na maszynie wirtualnej przy użyciu rozwiązania do tworzenia kopii zapasowych dla maszyny wirtualnej platformy Azure.
• Odzyskiwanie po awarii platformy Azure: w przypadku odzyskiwania po awarii ze środowiska lokalnego do chmury lub z jednej chmury do innej można uniknąć przestojów i utrzymać działanie aplikacji.
• Wbudowane zabezpieczenia i zarządzanie na platformie Azure: aby odnieść sukces w erze chmury, przedsiębiorstwa muszą mieć wgląd/metryki i mechanizmy kontroli na każdym składniku, aby efektywnie określać problemy, optymalizować i skalować, jednocześnie zapewniając bezpieczeństwo, zgodność i zasady w celu zapewnienia szybkości.

Gwarantowany i chroniony dostęp do danych

Platforma Azure ma długi okres doświadczenia w zarządzaniu globalnymi centrami danych, które są wspierane przez 15 miliardów dolarów inwestycji w infrastrukturę firmy Microsoft, która jest w ramach ciągłej oceny i poprawy — z ciągłymi inwestycjami i ulepszeniami, oczywiście.

Najważniejsze funkcje:

• Platforma Azure jest dostarczana z magazynem lokalnie nadmiarowym (LRS), gdzie dane są przechowywane lokalnie, a także magazyn geograficznie nadmiarowy (GRS) w drugim regionie
• Wszystkie dane przechowywane na platformie Azure są chronione przez zaawansowany proces szyfrowania, a wszystkie centra danych firmy Microsoft mają uwierzytelnianie dwuwarstwowe, czytniki dostępu do kart proxy, skanery biometryczne
• Platforma Azure ma więcej certyfikatów niż jakikolwiek inny dostawca chmury publicznej na rynku, w tym ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 i wiele specyfikacji międzynarodowych

Dodatkowe zasoby

• Struktura wdrażania chmury firmy Microsoft dla platformy Azure
• Tworzenie wspaniałych rozwiązań za pomocą platformy Microsoft Azure Well-Architected Framework
• Najlepsze rozwiązania dotyczące zabezpieczeń platformy Azure
• Punkty odniesienia zabezpieczeń
• Centrum zasobów platformy Microsoft Azure
• Przewodnik po migracji platformy Azure
• Zarządzanie zgodnością z zabezpieczeniami
• Azure Security Control — reagowanie na zdarzenia
• Centrum wskazówek dotyczących zerowego zaufania
• Zapora aplikacji internetowej platformy Azure
• Brama sieci VPN platformy Azure
• Microsoft Entra MultiFactor Authentication (MFA)
• Ochrona tożsamości Microsoft Entra
• Microsoft Entra — dostęp warunkowy
• dokumentacja Microsoft Defender dla Chmury

Podsumowanie

Firma Microsoft koncentruje się głównie na zabezpieczeniach chmury i zapewnianiu mechanizmów kontroli zabezpieczeń potrzebnych do ochrony obciążeń w chmurze. Jako lider w dziedzinie cyberbezpieczeństwa przyjmujemy naszą odpowiedzialność za uczynienie świata bezpieczniejszym miejscem. Jest to odzwierciedlone w naszym kompleksowym podejściu do zapobiegania i wykrywaniu oprogramowania wymuszającego okup w naszej strukturze zabezpieczeń, projektach, produktach, wysiłkach prawnych, partnerstwach branżowych i usługach.

Czekamy na współpracowanie z Tobą w zakresie ochrony oprogramowania wymuszającego okup, wykrywania i zapobiegania w całości.

Połączenie z nami:

• AskAzureSecurity@microsoft.com
• www.microsoft.com/services

Aby uzyskać szczegółowe informacje na temat zabezpieczania chmury przez firmę Microsoft, odwiedź portal zaufania usług.

Co dalej?

Zobacz oficjalny dokument: Azure Defenses for ransomware attack (Ochrona przed atakami wymuszającym okup).

Inne artykuły z tej serii:

• Ochrona przed oprogramowaniem wymuszającym okup na platformie Azure
• Przygotowanie do ataku wymuszającego okup
• Wykrywanie ataku wymuszającego okup i reagowanie na nie