Udostępnij za pośrednictwem


Microsoft Cybersecurity Defense Operations Center

udostępnianie najlepszych rozwiązań firmy Microsoft w celu ochrony, wykrywania i reagowania na zagrożenia cyberbezpieczeństwa

Cyberbezpieczeństwo jest wspólną odpowiedzialnością, która wpływa na nas wszystkich. Obecnie pojedyncze naruszenie, fizyczne lub wirtualne, może spowodować miliony dolarów szkód w organizacji i potencjalnie miliardy strat finansowych dla globalnej gospodarki. Codziennie widzimy doniesienia o cyberprzestępcach skierowanych do firm i osób fizycznych na cele finansowe lub motywowane społecznie. Dodaj do tych zagrożeń przez podmioty państwowe dążące do zakłócania operacji, prowadzenia szpiegostwa lub ogólnie podważają zaufanie.

W tym krótkim briefie dzielimy się stanem bezpieczeństwa online, podmiotów zagrożeń i wyrafinowanej taktyki, którą stosują w celu osiągnięcia swoich celów, oraz sposobu, w jaki centrum operacji cyberobrony firmy Microsoft zwalcza te zagrożenia i pomaga klientom chronić poufne aplikacje i dane.



Microsoft Cyber Defense Operations Center

The Microsoft Cyber Defense Operations Center

Firma Microsoft jest głęboko zaangażowana w uczynienie świata online bezpieczniejszym dla wszystkich. Strategie cyberbezpieczeństwa naszej firmy ewoluowały dzięki naszej unikalnej perspektywie na szybko zmieniający się krajobraz zagrożeń cybernetycznych.

Innowacje w obszarze ataków wśród ludzi, miejsc i procesów stanowią niezbędną i stałą inwestycję, którą musimy podejmować, ponieważ przeciwnicy nadal ewoluują zarówno determinacją, jak i wyrafinowaniem. W odpowiedzi na zwiększone inwestycje w strategie obrony przez wiele organizacji, atakujący dostosowują się i ulepszają taktykę z zawrotną prędkością. Na szczęście obrońcy cyberprzestrzeni, tacy jak globalne zespoły ds. zabezpieczeń informacji firmy Microsoft, również wprowadzają innowacje i zakłócają od dawna niezawodne metody ataków z pomocą ciągłych, zaawansowanych szkoleń oraz nowoczesnych technologii, narzędzi i procesów.

Microsoft Cyber Defense Operations Center (CDOC) jest jednym z przykładów ponad 1 miliardów dolarów, które inwestujemy każdego roku w zabezpieczenia, ochronę danych i zarządzanie ryzykiem. CDOC łączy specjalistów ds. cyberbezpieczeństwa i analityków danych w obiekcie 24x7 w celu zwalczania zagrożeń w czasie rzeczywistym. Jesteśmy połączeni z ponad 3500 specjalistami ds. zabezpieczeń na całym świecie w naszych zespołach programistycznych produktów, grupach zabezpieczeń informacji i zespołach prawnych w celu ochrony naszej infrastruktury i usług w chmurze, produktów i urządzeń oraz zasobów wewnętrznych.

Firma Microsoft zainwestowała ponad 15 miliardów dolarów w naszą infrastrukturę chmury, a ponad 90 procent firm z listy Fortune 500 korzysta z chmury firmy Microsoft. Obecnie posiadamy i obsługujemy jedną z największych na świecie chmury z ponad 100 rozproszonych geograficznie centrów danych, 200 usług w chmurze, milionów urządzeń i miliardów klientów na całym świecie.

Podmioty zagrożeń dla cyberbezpieczeństwa i motywacje

Pierwszym krokiem do ochrony osób, urządzeń, danych i infrastruktury krytycznej jest zrozumienie różnych typów podmiotów zagrożeń i ich motywacji.
  • Cyberprzestępcy zawierają kilka podkategorii, choć często mają wspólne motywacje — korzyści finansowe, wywiadowcze i/lub społeczne lub polityczne. Ich podejście jest zwykle bezpośrednie — poprzez infiltrację systemu danych finansowych, wyprowadzenie mikroskopijnych kwot zbyt małych, by je wykryć, i wycofanie się, zanim zostaną odkryci. Utrzymanie trwałej, tajnej obecności ma kluczowe znaczenie dla osiągnięcia ich celu.

    Ich podejście może być ingerencją, która przekieruje dużą wypłatę finansową przez labirynt kont, aby uniknąć śledzenia i interwencji. Czasami celem jest kradzież własności intelektualnej, którą cel posiada, tak aby cyberprzestępcy działali jako pośrednik w dostarczaniu projektu produktu, kodu źródłowego oprogramowania lub innych zastrzeżonych informacji, które mają wartość dla określonej jednostki. Ponad połowa z tych działań jest popełniana przez zorganizowane grupy przestępcze.

  • pl-PL: Podmioty państwowe pracują dla rządu, aby atakować wybrane rządy, organizacje lub osoby, aby uzyskać dostęp do cennych danych lub informacji wywiadowczych. Są one zaangażowane w sprawy międzynarodowe, aby wpływać i napędzać wynik, który może przynieść korzyści krajowi lub regionowi. Celem aktora państwowego jest zakłócanie operacji, prowadzenie szpiegostwa przeciwko korporacjom, kradzież tajemnic od innych rządów lub w inny sposób podważanie zaufania do instytucji. Pracują z dużymi zasobami i bez obawy przed odwetem prawnym, z zestawem narzędzi, który rozciąga się od prostych do wysoce złożonych.

    Państwa narodowe mogą przyciągnąć niektórych z najbardziej wyrafinowanych specjalistów w zakresie cyberhackingu i mogą rozwijać swoje narzędzia do poziomu przekształcenia w broń. Ich podejście do włamania często wiąże się z zaawansowanym trwałym zagrożeniem (APT) przy użyciu superkomputerowej mocy do złamania poświadczeń metodą brute force przez miliony prób, aby dojść do poprawnego hasła. Mogą również korzystać z wysoce ukierunkowanych ataków phishingowych, aby nakłonić insidera do ujawnienia swoich danych uwierzytelniających.

  • zagrożenia wewnętrzne są szczególnie trudne z uwagi na nieprzewidywalność ludzkiego zachowania. Motywacja insidera może być oportunistyczna albo dla zysku finansowego. Istnieje jednak wiele przyczyn potencjalnych zagrożeń wewnętrznych, które wynikają z prostej nieostrożności po zaawansowane schematy. Wiele naruszeń danych wynikających z zagrożeń wewnętrznych jest całkowicie niezamierzonych z powodu przypadkowego lub niedbalsowego działania, które naraża organizację na ryzyko bez świadomości luki w zabezpieczeniach.

  • Hacktywiści skupiają się na atakach politycznych i/lub motywowanych społecznie. Starają się być widoczne i rozpoznawalne w wiadomościach, aby zwrócić uwagę na siebie i ich sprawę. Ich taktyka obejmuje ataki typu "rozproszona odmowa usługi" (DDoS), luki w zabezpieczeniach lub wyczyszczanie obecności online. Połączenie z kwestią społeczną lub polityczną może sprawić, że każda firma lub organizacja stanie się celem. Media społecznościowe umożliwiają hacktivists szybko ewangelizować swoją sprawę i rekrutować innych do udziału.


4 miliony dolarów to średni koszt naruszenia danych w 2017 r.

Techniki stosowane przez podmioty zagrażające

Przeciwnicy posiadają umiejętność znajdowania sposobów na penetrację sieci organizacji pomimo zastosowanych zabezpieczeń, używając różnych zaawansowanych technik. Kilka taktyk było stosowanych już od wczesnych dni Internetu, podczas gdy inne odzwierciedlają kreatywność i coraz większe wyrafinowanie dzisiejszych przeciwników.

  • Inżynieria społeczna jest ogólnym pojęciem określającym atak, który skłania użytkowników do działania lub ujawnienia informacji, do których w innym przypadku by nie doszło. Inżynieria społeczna odgrywa na dobrych intencjach większości ludzi i ich gotowość do bycia pomocnym, aby uniknąć problemów, zaufać znanym źródłom lub potencjalnie zdobyć nagrodę. Inne wektory ataków mogą znajdować się pod parasolem inżynierii społecznej, ale poniżej przedstawiono niektóre atrybuty, które ułatwiają rozpoznawanie i obronę taktyki inżynierii społecznej:
    • Wiadomości phishingowe są skutecznym narzędziem, ponieważ wykorzystują najsłabsze ogniwo w łańcuchu zabezpieczeń — codziennych użytkowników, którzy nie myślą o zabezpieczeniach sieci jako o sprawie na pierwszym miejscu. Kampania phishingowa może skłonić lub przestraszyć użytkownika, aby przypadkowo udostępnił swoje poświadczenia, klikając link, który uważa za wiarygodną witrynę, lub pobierając plik zawierający złośliwy kod. Wiadomości phishingowe były kiepsko napisane i łatwe do rozpoznania. Dzisiaj cyberprzestępcy stali się znakomici w udawaniu legalnych e-maili i stron docelowych, które są trudne do zidentyfikowania jako fałszywe.
    • Fałszowanie tożsamości obejmuje przeciwnika podszywającego się pod innego uprawnionego użytkownika poprzez fałszywe informacje przedstawiane aplikacji lub zasobowi sieciowemu. Przykładem jest wiadomość e-mail, która pojawia się pozornie z adresem współpracownika żądającego akcji, ale adres ukrywa rzeczywiste źródło nadawcy wiadomości e-mail. Podobnie adres URL może być fałszowany, aby był wyświetlany jako legalna witryna, ale rzeczywisty adres IP w rzeczywistości wskazuje witrynę cyberprzestępcy.

  • Złośliwe oprogramowanie jest z nami od początku przetwarzania. Obecnie obserwujemy silny wzrost ransomware i złośliwego kodu, przeznaczonych specjalnie do szyfrowania urządzeń i danych. Cyberprzestępcy następnie domagają się płatności w kryptowalutie za klucze, aby odblokować i zwrócić kontrolę nad ofiarą. Może się to zdarzyć na poziomie indywidualnym na komputerze i plikach danych, a teraz częściej w całym przedsiębiorstwie. Stosowanie oprogramowania wymuszającego okup jest szczególnie widoczne w dziedzinie opieki zdrowotnej, ponieważ konsekwencje życia lub śmierci, z jakimi borykają się organizacje, sprawiają, że są bardzo wrażliwe na przestoje w sieci.

  • Integracja w łańcuch dostaw jest przykładem kreatywnego podejścia do wstrzykiwania złośliwego oprogramowania do sieci. Na przykład przez przejęcie procesu aktualizacji aplikacji, atakujący omija narzędzia i zabezpieczenia chroniące przed złośliwym oprogramowaniem. Widzimy, że ta technika staje się bardziej powszechna, a to zagrożenie będzie nadal rosnąć, dopóki nie zostaną wprowadzone bardziej kompleksowe zabezpieczenia oprogramowania przez deweloperów aplikacji.

  • ataki typu Man-in-the-middleobejmują przeciwnika wstawiając się między użytkownikiem a zasobem, do którego uzyskuje dostęp, przechwytując w ten sposób krytyczne informacje, takie jak poświadczenia logowania użytkownika. Na przykład cyberprzestępca w kawiarni może stosować oprogramowanie do rejestrowania kluczy w celu przechwycenia poświadczeń domeny użytkowników podczas dołączania do sieci Wi-Fi. Aktor zagrożenia może następnie uzyskać dostęp do poufnych informacji użytkownika, takich jak bankowość i dane osobowe, których mogą używać lub sprzedawać w ciemnej sieci.

  • Atakitypu "rozproszona odmowa usługi" (DDoS) istnieją od ponad dekady, a stają się coraz bardziej powszechne wraz z szybkim rozwojem Internetu rzeczy (IoT). W przypadku korzystania z tej techniki przeciwnik przeciąża witrynę, bombardując ją celowym ruchem, który wypiera uzasadnione zapytania. Wcześniej posadzone złośliwe oprogramowanie jest często używane do porwania urządzenia IoT, takiego jak kamera internetowa lub inteligentny termostat. W ataku DDoS ruch przychodzący z różnych źródeł zalewa sieć wieloma żądaniami. Powoduje to przeciążenie serwerów i odmawia dostępu do uzasadnionych żądań. Wiele ataków wiąże się również z sfałszowaniem adresów IP (fałszowaniem adresów IP), dzięki czemu lokalizacja atakowanych maszyn nie może być łatwo zidentyfikowana i pokonana.

    Często atak typu "odmowa usługi" jest używany do pokrycia lub odwrócenia uwagi od bardziej zwodniczych wysiłków w celu penetracji organizacji. W większości przypadków celem przeciwnika jest uzyskanie dostępu do sieci przy użyciu poświadczeń, których bezpieczeństwo zostało naruszone, a następnie przejście w sieci w celu uzyskania dostępu do bardziej "zaawansowanych" poświadczeń, które są kluczami do najbardziej poufnych i cennych informacji w organizacji.



90% wszystkich cyberataków zaczynają się od wiadomości e-mail wyłudzających informacje

Militaryzacja cyberprzestrzeni

Rosnąca możliwość cyberwarfary jest obecnie jedną z głównych obaw wśród rządów i obywateli. Obejmuje to państwa narodowe używające komputerów i sieci oraz atakujące je w wojnie.

Zarówno ofensywne, jak i defensywne operacje służą do prowadzenia cyberataków, szpiegostwa i sabotażu. Państwa narodowe rozwijają swoje możliwości i angażują się w wojny cybernetyczne, występując jako agresorzy, obrońcy lub w obu rolach, od wielu lat.

Nowe narzędzia i taktyka zagrożeń opracowane dzięki zaawansowanym inwestycjom wojskowym mogą być również naruszone, a cyberataki mogą być udostępniane online i bronione przez cyberprzestępców do dalszego wykorzystania.

Postawa cyberbezpieczeństwa firmy Microsoft

Chociaż bezpieczeństwo zawsze było priorytetem dla firmy Microsoft, uznajemy, że świat cyfrowy wymaga ciągłego rozwoju naszego zobowiązania w zakresie ochrony, wykrywania i reagowania na zagrożenia cyberbezpieczeństwa. Te trzy zobowiązania definiują nasze podejście do cyberobrony i służą jako przydatne ramy do dyskusji na temat strategii i możliwości cyberobrony firmy Microsoft.

CHROŃ

Celowanie kampanii phishingowych nadal jest przodującym elementem naruszeń związanych ze szpiegostwem

Chronić

Pierwszym zobowiązaniem firmy Microsoft jest ochrona środowiska obliczeniowego używanego przez naszych klientów i pracowników w celu zapewnienia odporności naszej infrastruktury i usług w chmurze, produktów, urządzeń i wewnętrznych zasobów firmy przed określonymi przeciwnikami.

Środki ochrony zespołów CDOC obejmują wszystkie punkty końcowe, od czujników i centrów danych do tożsamości i aplikacji SaaS (software-as-a-service). Ochrona — stosowanie mechanizmów kontroli w wielu warstwach z nakładającymi się zabezpieczeniami i strategiami ograniczania ryzyka — jest najlepszym rozwiązaniem w całej branży i podejściem, które podejmujemy w celu ochrony cennych zasobów klientów i firm.

Taktyka ochrony firmy Microsoft obejmuje:

  • Obszerne monitorowanie i kontrola nad środowiskiem fizycznym naszych globalnych centrów danych, w tym kamer, kontroli personelu, ogrodzeń i barier oraz wielu metod identyfikacji w celu uzyskania dostępu fizycznego.

  • Sieci zdefiniowane programowo, które chronią naszą infrastrukturę chmury przed włamaniami i atakami DDoS.

  • Uwierzytelnianie wieloskładnikowe jest stosowane w całej infrastrukturze w celu kontrolowania zarządzania tożsamościami i dostępem. Gwarantuje to, że krytyczne zasoby i dane są chronione przez co najmniej dwa z następujących elementów:
    • Coś, co znasz (hasło lub numer PIN)
    • Coś, czym jesteś (biometria)
    • Coś, co masz (smartfon)
  • Administracja tymczasowa używa uprawnień just-in-time (JIT) i minimalnych uprawnień administratora (JEA) dla personelu inżynieryjnego, który zarządza infrastrukturą i usługami. Zapewnia to unikatowy zestaw poświadczeń dla podwyższonego poziomu dostępu, który automatycznie wygasa po wstępnie wyznaczonym czasie trwania.

  • Właściwa higiena jest rygorystycznie utrzymywana dzięki up-to- date, oprogramowaniu antywirusowemu oraz rygorystycznemu przestrzeganiu zasad zarządzania poprawkami i konfiguracją.

  • Zespół badaczy Centrum Ochrony przed Złośliwym Oprogramowaniem firmy Microsoft identyfikuje, przeprowadza inżynierię wsteczną i opracowuje sygnatury złośliwego oprogramowania, a następnie wdraża je w naszej infrastrukturze na potrzeby zaawansowanej ochrony i wykrywania. Te podpisy są dystrybuowane do naszych osób odpowiadających, klientów i branży za pośrednictwem aktualizacji systemu Windows i powiadomień w celu ochrony swoich urządzeń.

  • Microsoft Security Development Lifecycle (SDL) to proces tworzenia oprogramowania, który ułatwia deweloperom tworzenie bezpieczniejszego oprogramowania i spełnianie wymagań dotyczących zgodności z zabezpieczeniami przy jednoczesnym zmniejszeniu kosztów programowania. SDL służy do wzmacniania zabezpieczeń wszystkich aplikacji, usług online i produktów oraz rutynowego weryfikowania jego skuteczności poprzez testowanie penetracyjne i skanowanie luk w zabezpieczeniach.

  • Modelowanie zagrożeń i analiza powierzchni ataków gwarantuje, że potencjalne zagrożenia są oceniane, narażone aspekty usługi są oceniane, a powierzchnia ataków jest zminimalizowana przez ograniczenie usług lub wyeliminowanie niepotrzebnych funkcji.

  • Klasyfikowanie danych zgodnie z ich poufnością i podejmowanie odpowiednich środków w celu ich ochrony, w tym szyfrowania podczas przesyłania i magazynowania oraz wymuszanie zasady dostępu z najniższymi uprawnieniami zapewnia dodatkową ochronę. • Szkolenie świadomości, które wspiera relację zaufania między użytkownikiem a zespołem ds. zabezpieczeń w celu opracowania środowiska, w którym użytkownicy będą zgłaszać zdarzenia i anomalie bez obawy przed reperkusją.

Posiadanie bogatego zestawu mechanizmów kontroli oraz strategii warstwowej obrony pomaga zapewnić, że w przypadku awarii w którymkolwiek obszarze, istnieją wyrównawcze mechanizmy kontroli w innych obszarach, aby pomóc w utrzymaniu bezpieczeństwa i prywatności naszych klientów, usług w chmurze oraz naszej własnej infrastruktury. Jednak żadne środowisko nie jest naprawdę nieprzeniknione, ponieważ ludzie popełniają błędy i zdeterminowani przeciwnicy będą nadal szukać luk w zabezpieczeniach i wykorzystywać je. Znaczące inwestycje, które nadal wprowadzamy w tych warstwach ochrony i analizie linii bazowej, pozwalają nam szybko wykrywać, kiedy występują nietypowe działania.

WYKRYĆ

57+ dni to mediana w branży liczba dni między infiltracją a wykrywaniem

Wykryć

Zespoły CDOC wykorzystują zautomatyzowane oprogramowanie, uczenie maszynowe, analizę behawioralną i techniki śledcze w celu utworzenia inteligentnego grafu zabezpieczeń naszego środowiska. Ten sygnał jest wzbogacony o kontekstowe metadane i modele behawioralne generowane ze źródeł, takich jak usługi Active Directory, systemy zarządzania zasobami i konfiguracją oraz dzienniki zdarzeń.

Nasze obszerne inwestycje w analizę zabezpieczeń tworzą zaawansowane profile behawioralne i modele predykcyjne, które pozwalają nam "połączyć kropki" i zidentyfikować zaawansowane zagrożenia, które w przeciwnym razie mogły nie zostać wykryte, a następnie przeciwdziałać silnemu powstrzymaniu i skoordynowanym działaniom korygujących.

Firma Microsoft stosuje również niestandardowe oprogramowanie zabezpieczające wraz z narzędziami branżowymi i uczeniem maszynowym. Nasza analiza zagrożeń stale ewoluuje, z automatycznym wzbogacaniem danych, co pozwala na szybsze wykrywanie złośliwej aktywności i raportowanie z wysoką precyzją. Skanowanie luk w zabezpieczeniach jest wykonywane regularnie w celu przetestowania i uściślenia skuteczności środków ochronnych. Zakres inwestycji firmy Microsoft w ekosystem zabezpieczeń i różnorodność sygnałów monitorowanych przez zespoły CDOC zapewniają bardziej kompleksowy widok zagrożeń, niż można osiągnąć przez większości dostawców usług.

Taktyka wykrywania firmy Microsoft obejmuje:

  • Monitorowanie sieci i środowisk fizycznych 24x7x365 pod kątem potencjalnych zdarzeń cyberbezpieczeństwa. Profilowanie zachowania opiera się na wzorcach użycia i zrozumieniu unikatowych zagrożeń dla naszych usług.

  • Analiza tożsamości i zachowań jest opracowywana w celu wyróżnienia nietypowych działań.

  • Narzędzia i techniki uczenia maszynowego są rutynowo używane do wykrywania i oznaczania nieprawidłowości.

  • Zaawansowane narzędzia analityczne i procesy są wdrażane w celu dalszego identyfikowania nietypowych działań i innowacyjnych możliwości korelacji. Dzięki temu można tworzyć wysoce skontextualizowane wykrycia na podstawie ogromnych ilości danych prawie w czasie rzeczywistym.

  • Zautomatyzowane procesy oparte na oprogramowaniu, które są stale poddawane inspekcji i ewoluowały w celu zwiększenia skuteczności.

  • Analitycy danych i eksperci ds. zabezpieczeń rutynowo pracują obok siebie, aby rozwiązać eskalowane zdarzenia, które wykazują nietypowe cechy wymagające dalszej analizy celów. Następnie mogą określić potencjalne działania w zakresie reagowania i korygowania.

ODPOWIEDZ

90% wszystkich zdarzeń związanych z bezpieczeństwem informacji to odmowa usługi, ataki aplikacji internetowej i oprogramowanie kryminalne

Odpowiedz

Gdy firma Microsoft wykryje nietypowe działania w naszych systemach, wyzwala nasze zespoły reagowania, aby angażować się i szybko reagować z dokładną siłą. Powiadomienia z systemów wykrywania opartego na oprogramowaniu przepływają przez nasze zautomatyzowane systemy reagowania przy użyciu algorytmów opartych na ryzyku w celu flagowania zdarzeń wymagających interwencji naszego zespołu reagowania. Średni Czas na Ograniczenie jest kluczowy, a nasz system automatyzacji dostarcza istotne i użyteczne informacje, które przyspieszają rozpoznanie, łagodzenie i odzyskiwanie.

Aby zarządzać zdarzeniami zabezpieczeń na taką ogromną skalę, wdrażamy system warstwowy, aby efektywnie przypisywać zadania odpowiedzi do odpowiedniego zasobu i ułatwiać racjonalną ścieżkę eskalacji.

Taktyka odpowiedzi firmy Microsoft obejmuje:

  • Zautomatyzowane systemy reagowania używają algorytmów opartych na ryzyku w celu flagowania zdarzeń wymagających interwencji człowieka.

  • Zautomatyzowane systemy reagowania używają algorytmów opartych na ryzyku w celu flagowania zdarzeń wymagających interwencji człowieka.

  • Dobrze zdefiniowane, udokumentowane i skalowalne procesy reagowania na zdarzenia w ramach modelu ciągłego ulepszania pomagają nam wyprzedzać przeciwników, udostępniając je wszystkim obiektom reagującym.

  • Znajomość dziedziny w naszych zespołach, w wielu obszarach zabezpieczeń, zapewnia zróżnicowany zestaw umiejętności do rozwiązywania zdarzeń. Wiedza na temat bezpieczeństwa w zakresie reagowania na zdarzenia, analizy kryminalistyczne i analizy nieautoryzowanego dostępu; oraz dogłębne zrozumienie platform, usług i aplikacji działających w naszych centrach danych w chmurze.

  • Szerokie wyszukiwanie na poziomie przedsiębiorstwa w systemach w chmurze, hybrydowych oraz lokalnych w celu określenia zakresu zdarzenia.

  • Głęboka analiza kryminalistyczna dla poważnych zagrożeń jest wykonywana przez specjalistów w celu zrozumienia incydentów i pomocy w ich powstrzymaniu i wyeliminowaniu. • Narzędzia do zabezpieczeń firmy Microsoft, automatyzacja i infrastruktura chmury w hiperskalie umożliwiają naszym ekspertom ds. zabezpieczeń skrócenie czasu wykrywania, analizowania, reagowania i odzyskiwania po cyberatakach.

  • Testy penetracyjne są stosowane we wszystkich produktach i usługach firmy Microsoft za pośrednictwem trwających ćwiczeń Red Team/Blue Team w celu odkrycia luk w zabezpieczeniach, zanim prawdziwy przeciwnik może wykorzystać te słabe punkty ataku.

Cyberobrona dla naszych klientów

Często pytamy, jakie narzędzia i procesy mogą wdrażać nasi klienci dla własnego środowiska oraz jak firma Microsoft może pomóc w ich implementacji. Firma Microsoft skonsolidowała wiele produktów i usług, których używamy w CDOC, w jeden zestaw. Zespoły microsoft Enterprise Cybersecurity Group i Microsoft Consulting Services kontaktują się z naszymi klientami, aby dostarczać rozwiązania najbardziej odpowiednie dla ich konkretnych potrzeb i wymagań.

Jednym z pierwszych kroków, które firma Microsoft zdecydowanie zaleca, jest ustanowienie podstaw zabezpieczeń. Nasze usługi podstawowe zapewniają krytyczne zabezpieczenia ataków i podstawowe usługi z obsługą tożsamości, które ułatwiają zapewnienie ochrony zasobów. Fundacja pomaga przyspieszyć proces transformacji cyfrowej, aby przejść w kierunku bezpieczniejszego nowoczesnego przedsiębiorstwa.

Korzystając z tej podstawy, klienci mogą następnie korzystać z rozwiązań, które okazały się skuteczne z innymi klientami firmy Microsoft i wdrażane we własnych środowiskach IT i usług w chmurze firmy Microsoft. Aby uzyskać więcej informacji na temat naszych narzędzi do cyberbezpieczeństwa w przedsiębiorstwie, możliwości i ofert usług, odwiedź Microsoft.com/security i skontaktuj się z naszymi zespołami w witrynie cyberservices@microsoft.com.

Najlepsze rozwiązania dotyczące ochrony środowiska

Zainwestuj w platformę Zainwestuj w instrumentację Zainwestuj w swoich ludzi
Elastyczność i skalowalność wymagają planowania i budowania platformy wspierającej Upewnij się, że wyczerpująco mierzysz elementy na swojej platformie Wykwalifikowani analitycy i naukowcy danych stanowią podstawę obrony, podczas gdy użytkownicy są nowym perymetrem bezpieczeństwa
Zachowaj dobrze udokumentowany spis zasobów Uzyskiwanie i/lub tworzenie narzędzi potrzebnych do pełnego monitorowania sieci, hostów i dzienników Nawiąż relacje i linie komunikacji między zespołem reagowania na incydenty a innymi grupami.
Posiadanie dobrze zdefiniowanych zasad zabezpieczeń z jasnymi standardami i wskazówkami dla organizacji Proaktywne utrzymywanie kontroli i miar oraz regularne testowanie ich pod kątem dokładności i skuteczności Przyjęcie zasad administratora najniższych uprawnień; eliminowanie trwałych praw administratora
Zachowaj właściwą higienę — większość ataków może być zapobiegana odpowiednim poprawkom i oprogramowaniu antywirusowemu Utrzymywanie ścisłej kontroli nad zasadami zarządzania zmianami Skorzystaj z procesu wyciągania wniosków, aby uzyskać wartość z każdego poważnego incydentu
Stosowanie uwierzytelniania wieloskładnikowego w celu wzmocnienia ochrony kont i urządzeń Monitorowanie nietypowych działań związanych z kontem i poświadczeniami w celu wykrywania nadużyć Rejestrowanie, edukowanie i zwiększanie możliwości użytkowników do rozpoznawania prawdopodobnych zagrożeń i ich własnej roli w ochronie danych biznesowych