|
Centro de Operações de Defesa Cibernética da Microsoft
A Microsoft está profundamente comprometida em tornar o mundo online mais seguro para todos. As estratégias de segurança cibernética da nossa empresa evoluíram da visibilidade exclusiva que temos para o cenário de ameaças cibernéticas em rápida evolução.
A inovação no espaço de ataque entre pessoas, locais e processos é um investimento necessário e contínuo que todos precisamos fazer, à medida que os adversários continuam a evoluir tanto na determinação quanto na sofisticação. Em resposta ao aumento dos investimentos em estratégias de defesa por muitas organizações, os invasores estão adaptando e melhorando táticas a uma velocidade vertiginosa.
Felizmente, os defensores cibernéticos, como as equipes globais de segurança da informação da Microsoft, também estão inovando e interrompendo métodos de ataque de longa data e confiáveis com treinamento contínuo, avançado e tecnologias de segurança modernas, ferramentas e processos.
O CDOC (Centro de Operações de Defesa Cibernética) da Microsoft é um exemplo dos mais de US$ 1 bilhão que investimos a cada ano em segurança, proteção de dados e gerenciamento de riscos. O CDOC reúne especialistas em segurança cibernética e cientistas de dados em uma instalação 24 horas por dia, 7 dias por semana, para combater ameaças em tempo real. Estamos conectados a mais de 3.500 profissionais de segurança globalmente em nossas equipes de desenvolvimento de produtos, grupos de segurança da informação e equipes jurídicas para proteger nossa infraestrutura de nuvem e serviços, produtos e dispositivos e recursos internos.
A Microsoft investiu mais de US$ 15 bilhões em nossa infraestrutura de nuvem, com mais de 90% das empresas da Fortune 500 usando a nuvem da Microsoft. Hoje, temos e operamos um dos maiores volumes de nuvem do mundo com mais de 100 datacenters distribuídos geograficamente, 200 serviços de nuvem, milhões de dispositivos e um bilhão de clientes em todo o mundo.
Motivações e atores de ameaças à segurança cibernética
A primeira etapa para proteger pessoas, dispositivos, dados e infraestrutura crítica é entender os diferentes tipos de atores de ameaça e suas motivações.
-
Os cibercriminosos abrangem várias subcategorias, embora muitas vezes compartilhem motivações comuns: ganhos financeiros, de inteligência e/ou sociais ou políticos. Sua abordagem geralmente é direta, infiltrando-se em um sistema de dados financeiros, extraindo micro-quantidades pequenas demais para serem detectadas e saindo antes de serem descobertos. Manter uma presença persistente e clandestina é fundamental para atender ao seu objetivo.
Sua abordagem pode ser uma intrusão que desvia um grande pagamento financeiro através de um labirinto de contas para evitar o acompanhamento e a intervenção. Às vezes, o objetivo é roubar a propriedade intelectual que o destino possui para que o cibercriminoso atue como um intermediário para fornecer um design de produto, código-fonte de software ou outras informações proprietárias que têm valor para uma entidade específica. Mais da metade dessas atividades são perpetradas por grupos criminosos organizados.
-
Agentes estatais trabalham para um governo com o objetivo de interromper ou comprometer governos, organizações ou indivíduos alvo, para obter acesso a dados ou informações confidenciais valiosas. Eles estão envolvidos em assuntos internacionais para influenciar e conduzir um resultado que possa beneficiar um país ou região. O objetivo de um ator de estado-nação é interromper operações, realizar espionagem contra corporações, roubar segredos de outros governos ou, de outra forma, minar a confiança nas instituições. Eles trabalham com grandes recursos à sua disposição e sem medo de retribuição legal, com um kit de ferramentas que abrange de simples a altamente complexo.
Agentes estatais podem atrair alguns dos mais sofisticados talentos de hacking cibernético e podem avançar suas ferramentas a ponto de convertê-las em armas. Sua abordagem de intrusão geralmente envolve uma ameaça persistente avançada usando o poder de supercomputação para quebrar credenciais por força bruta através de milhões de tentativas para descobrir a senha correta. Eles também podem usar ataques de phishing hiper-direcionados para atrair um insider para revelar suas credenciais.
-
As ameaças internas são particularmente desafiadoras devido à imprevisibilidade do comportamento humano. A motivação para um informante talvez seja oportunista ou para ganho financeiro. No entanto, há várias causas para possíveis ameaças internas, que abrangem desde simples descuido até esquemas sofisticados. Muitas violações de dados resultantes de ameaças internas são completamente não intencionais devido a atividades acidentais ou negligentes que colocam uma organização em risco sem estar ciente da vulnerabilidade.
-
Hacktivistas se concentram em ataques políticos e/ou socialmente motivados. Eles se esforçam para serem visíveis e reconhecidos nas notícias para chamar a atenção para si mesmos e sua causa. Suas táticas incluem ataques DDoS (negação de serviço distribuído), explorações de vulnerabilidade ou desfiguração de uma presença online. Uma conexão com uma questão social ou política pode tornar qualquer empresa ou organização um alvo. As mídias sociais permitem que os hacktivistas evangelizem rapidamente sua causa e recrutam outros para participar.
|
|
Técnicas de agentes de ameaça
Os adversários são qualificados para encontrar maneiras de penetrar na rede de uma organização, apesar das proteções em vigor usando várias técnicas sofisticadas. Várias táticas existem desde os primeiros dias da Internet, embora outras reflitam a criatividade e a crescente sofisticação dos adversários de hoje.
-
A engenharia social é um termo amplo para um ataque que engana os usuários a agir ou divulgar informações que de outra forma não fariam. A engenharia social explora as boas intenções da maioria das pessoas e sua disposição para ajudar, evitar problemas, confiar em fontes familiares ou ganhar uma recompensa potencial. Outros vetores de ataque podem estar sob o guarda-chuva da engenharia social, mas os seguintes são alguns dos atributos que facilitam o reconhecimento e a defesa das táticas de engenharia social:
-
Os e-mails de phishing são uma ferramenta eficaz porque visam o elo mais fraco na cadeia de segurança—usuários comuns que não pensam na segurança de rede como uma prioridade. Uma campanha de phishing pode convidar ou assustar um usuário para compartilhar inadvertidamente suas credenciais, enganando-o para clicar em um link que ele acredita ser um site legítimo ou baixar um arquivo que contém código mal-intencionado. Emails de phishing costumavam ser mal escritos e fáceis de reconhecer. Hoje, os adversários tornaram-se hábeis em imitar e-mails legítimos e locais de aterrissagem que são difíceis de identificar como fraudulentos.
-
A falsificação de identidade envolve um adversário mascarado como outro usuário legítimo falsificando as informações apresentadas a um aplicativo ou recurso de rede. Um exemplo é um email que chega aparentemente com o endereço de um colega solicitando ação, mas o endereço está ocultando a origem real do remetente de email. Da mesma forma, uma URL pode ser falsificada para aparecer como um site legítimo, mas o endereço IP real está realmente apontando para o site de um cibercriminoso.
- Malware está conosco desde o início da computação. Hoje, estamos vendo um forte aumento no ransomware e no código mal-intencionado especificamente destinado a criptografar dispositivos e dados. Os cibercriminosos exigem pagamento em criptomoedas para que as chaves desbloqueiem e retornem o controle à vítima. Isso pode acontecer em um nível individual para seu computador e arquivos de dados, ou agora com mais frequência, para uma empresa inteira. O uso de ransomware é particularmente pronunciado no campo da saúde, pois as consequências de vida ou morte que essas organizações enfrentam os tornam altamente sensíveis ao tempo de inatividade da rede.
-
A inserção da cadeia de suprimentos é um exemplo de uma abordagem criativa para injetar malware em uma rede. Por exemplo, ao seqüestrar um processo de atualização de aplicativo, um adversário contorna as ferramentas e proteções antimalware. Estamos vendo essa técnica se tornar mais comum e essa ameaça continuará a crescer até que proteções de segurança mais abrangentes sejam infundidas no software pelos desenvolvedores de aplicativos.
-
Ataques man-in-the-middleenvolvem um adversário inserindo-se entre um usuário e um recurso que ele está acessando, interceptando assim informações críticas, como as credenciais de logon de um usuário. Por exemplo, um cibercriminoso em uma cafeteria pode empregar software de keylogger para capturar as credenciais de domínio de um usuário quando se conectam à rede wi-fi. O ator de ameaça pode obter acesso às informações confidenciais do usuário, como informações bancárias e pessoais que podem ser usadas ou vendidas na dark web.
- Os ataques de DDoS (Negação de Serviço Distribuído)existem há mais de uma década e são ataques maciços que estão se tornando mais comuns com o rápido crescimento da Internet das Coisas (IoT). Ao usar essa técnica, um adversário sobrecarrega um local bombardeando-o com tráfego mal-intencionado que desloca consultas legítimas. Malwares previamente plantados geralmente são usados para seqüestrar um dispositivo IoT, como uma webcam ou termostato inteligente. Em um ataque DDoS, o tráfego de entrada de fontes diferentes inunda uma rede com várias solicitações. Isso sobrecarrega os servidores e nega o acesso de solicitações legítimas. Muitos ataques também envolvem a falsificação de endereços de remetente IP (falsificação de endereço IP), assim, o local das máquinas atacantes não pode ser facilmente identificado e contido.
Muitas vezes, um ataque de negação de serviço é usado para cobrir ou distrair de um esforço mais enganoso para penetrar em uma organização. Na maioria dos casos, o objetivo do adversário é obter acesso a uma rede usando credenciais comprometidas e, em seguida, mover-se lateralmente pela rede para obter acesso a credenciais mais "poderosas" que são as chaves para as informações mais confidenciais e valiosas dentro da organização.
|
|
A militarização do ciberespaço
A crescente possibilidade de guerra cibernética é uma das principais preocupações entre governos e cidadãos hoje em dia. Envolve estados-nação usando e direcionando computadores e redes em guerra.
Operações ofensivas e defensivas são usadas para realizar ataques cibernéticos, espionagem e sabotagem. Os Estados-nação têm desenvolvido suas capacidades e se envolvido em guerra cibernética, seja como agressores, réus ou ambos por muitos anos.
Novas ferramentas e táticas de ameaças desenvolvidas por meio de investimentos militares avançados também podem ser violadas e ameaças cibernéticas podem ser compartilhadas online e armadas por cibercriminosos para uso adicional.
A postura de segurança cibernética da Microsoft
Embora a segurança sempre tenha sido uma prioridade para a Microsoft, reconhecemos que o mundo digital requer avanços contínuos em nosso compromisso em como protegemos, detectamos e respondemos a ameaças à segurança cibernética. Esses três compromissos definem nossa abordagem de defesa cibernética e servem como uma estrutura útil para nossa discussão sobre as estratégias e funcionalidades de defesa cibernética da Microsoft.
|
PROTEGER
|
Proteger
O primeiro compromisso da Microsoft é proteger o ambiente de computação usado por nossos clientes e funcionários para garantir a resiliência de nossa infraestrutura de nuvem e serviços, produtos, dispositivos e recursos corporativos internos da empresa contra adversários determinados.
As medidas de proteção das equipes da CDOC abrangem todos os endpoints, desde sensores e datacenters até identidades e aplicativos SaaS (software como serviço). Defesa em profundidade — aplicar controles em várias camadas com defesas sobrepostas e estratégias de mitigação de risco — é uma prática recomendada em todo o setor e é a abordagem que adotamos para proteger nossos valiosos ativos corporativos e de clientes.
As táticas de proteção da Microsoft incluem:
- Monitoramento extensivo e controles sobre o ambiente físico de nossos datacenters globais, incluindo câmeras, triagem de pessoal, cercas e barreiras e vários métodos de identificação para acesso físico.
- Redes definidas por software que protegem nossa infraestrutura de nuvem contra invasões e ataques de DDoS.
- A autenticação multifator é empregada em nossa infraestrutura para controlar o gerenciamento de identidade e acesso. Ele garante que os recursos críticos e os dados sejam protegidos por pelo menos dois dos seguintes:
- Algo que você sabe (senha ou PIN)
- Algo seu (biometria)
- Algo que você tem (smartphone)
- A administração não persistente emprega privilégios JIT (just-in-time) e JEA (just-enough administrator) para funcionários de engenharia que gerenciam infraestrutura e serviços. Isso fornece um conjunto exclusivo de credenciais para acesso elevado que expira automaticamente após uma duração pré-designada.
- A higiene adequada é rigorosamente mantida por meio up-tosoftware antimalware e de data e adesão ao gerenciamento estrito de patch e configuração.
- A equipe de pesquisadores do Microsoft Malware Protection Center identifica, faz engenharia reversa e desenvolve assinaturas de malware e as implanta em nossa infraestrutura para detecção e defesa avançadas. Essas assinaturas são distribuídas para nossos respondentes, clientes e o setor por meio de Atualizações do Windows e notificações para proteger seus dispositivos.
- O SDL (Microsoft Security Development Lifecycle) é um processo de desenvolvimento de software que ajuda os desenvolvedores a criar software mais seguro e atender aos requisitos de conformidade de segurança, reduzindo o custo de desenvolvimento. O SDL é usado para proteger todos os aplicativos, serviços online e produtos e validar rotineiramente sua eficácia por meio de testes de penetração e verificação de vulnerabilidades.
- A modelagem de ameaças e a análise da superfície de ataque garantem que possíveis ameaças sejam avaliadas, os aspectos expostos do serviço sejam avaliados e a superfície de ataque seja minimizada restringindo os serviços ou eliminando funções desnecessárias.
- Classificar dados de acordo com sua confidencialidade e tomar as medidas apropriadas para protegê-los, incluindo criptografia em trânsito e em repouso, e impor o princípio do acesso de privilégios mínimos fornece proteção adicional. • Treinamento de reconhecimento que promove uma relação de confiança entre o usuário e a equipe de segurança para desenvolver um ambiente em que os usuários relatarão incidentes e anomalias sem medo de repercussão.
Ter um conjunto avançado de controles e uma estratégia de defesa em profundidade ajuda a garantir que, se qualquer área falhar, haja controles de compensação em outras áreas para ajudar a manter a segurança e a privacidade de nossos clientes, serviços de nuvem e nossa própria infraestrutura. No entanto, nenhum ambiente é realmente impenetrável, pois as pessoas cometerão erros e os adversários determinados continuarão a procurar vulnerabilidades e explorá-los. Os investimentos significativos que continuamos a fazer nessas camadas de proteção e na análise de linha de base nos permitem detectar rapidamente quando a atividade anormal está presente.
|
DETECTAR
|
Detectar
As equipes da CDOC empregam software automatizado, aprendizado de máquina, análise comportamental e técnicas forenses para criar um grafo de segurança inteligente do nosso ambiente. Esse sinal é enriquecido com metadados contextuais e modelos comportamentais gerados de fontes como Active Directory, sistemas de gerenciamento de ativos e configurações e logs de eventos.
Nossos extensos investimentos em análise de segurança criam perfis comportamentais ricos e modelos preditivos que nos permitem "conectar os pontos" e identificar ameaças avançadas que poderiam ter passado despercebidas e, em seguida, contramedir com forte contenção e atividades coordenadas de remediação.
A Microsoft também emprega softwares de segurança personalizados, juntamente com ferramentas líderes do setor e aprendizado de máquina. Nossa inteligência contra ameaças está evoluindo continuamente, com enriquecimento automatizado de dados para detectar mais rapidamente atividades mal-intencionadas e relatar com alta fidelidade. Verificações de vulnerabilidade são realizadas regularmente para testar e refinar a eficácia das medidas de proteção. A amplitude do investimento da Microsoft em seu ecossistema de segurança e a variedade de sinais monitorados pelas equipes da CDOC fornecem uma visão de ameaça mais abrangente do que pode ser obtida pela maioria dos provedores de serviços.
As táticas de detecção da Microsoft incluem:
- Monitoramento de ambientes físicos e de rede 24x7x365 para possíveis eventos de segurança cibernética. A criação de perfil de comportamento baseia-se nos padrões de uso e na compreensão de ameaças exclusivas aos nossos serviços.
- A identidade e a análise comportamental são desenvolvidas para realçar a atividade anormal.
- As ferramentas e técnicas de software de machine learning são usadas rotineiramente para descobrir e sinalizar irregularidades.
- Ferramentas e processos analíticos avançados são implantados para identificar ainda mais a atividade anômala e as funcionalidades inovadoras de correlação. Isso permite que detecções altamente contextualizadas sejam criadas a partir dos enormes volumes de dados com processamento em tempo quase real.
- Processos automatizados baseados em software que são continuamente auditados e evoluídos para maior eficácia.
- Cientistas de dados e especialistas em segurança trabalham rotineiramente lado a lado para lidar com eventos escalonado que exibem características incomuns que exigem uma análise mais detalhada dos alvos. Em seguida, eles podem determinar possíveis esforços de resposta e correção.
|
RESPONDER
|
Responder
Quando a Microsoft detecta atividade anormal em nossos sistemas, dispara nossas equipes de resposta para se envolverem e responderem rapidamente com força precisa. As notificações de sistemas de detecção baseados em software fluem por meio de nossos sistemas de resposta automatizados usando algoritmos baseados em risco para sinalizar eventos que exigem intervenção da nossa equipe de resposta. O tempo médio para atenuar é primordial e nosso sistema de automação fornece aos respondentes informações relevantes e acionáveis que aceleram a triagem, a mitigação e a recuperação.
Para gerenciar incidentes de segurança em uma escala tão grande, implantamos um sistema em camadas para atribuir tarefas de resposta com eficiência ao recurso certo e facilitar um caminho de escalonamento racional.
As táticas de resposta da Microsoft incluem:
- Os sistemas de resposta automatizados usam algoritmos baseados em risco para sinalizar eventos que exigem intervenção humana.
- Os sistemas de resposta automatizados usam algoritmos baseados em risco para sinalizar eventos que exigem intervenção humana.
- Processos de resposta a incidentes bem definidos, documentados e escalonáveis dentro de um modelo de melhoria contínua ajudam a nos manter à frente dos adversários, tornando-os disponíveis para todos os respondentes.
- A experiência no assunto em nossas equipes, em várias áreas de segurança, fornece um conjunto de habilidades diversificado para lidar com incidentes. Experiência em segurança em resposta a incidentes, análise forense e intrusão; e uma compreensão profunda das plataformas, serviços e aplicativos que operam em nossos datacenters de nuvem.
- Pesquisa abrangente na empresa em dados e sistemas locais, híbridos e de nuvem para determinar o escopo de um incidente.
- Análises forenses profundas para grandes ameaças são realizadas por especialistas para entender os incidentes e ajudar em sua contenção e erradicação. • As ferramentas de software de segurança, a automação e a infraestrutura de nuvem de hiperescaba da Microsoft permitem que nossos especialistas em segurança reduzam o tempo para detectar, investigar, analisar, responder e se recuperar de ataques cibernéticos.
- O teste de penetração é empregado em todos os produtos e serviços da Microsoft por meio de exercícios contínuos da Equipe Vermelha/Equipe Azul para descobrir vulnerabilidades antes que um adversário real possa aproveitar esses pontos fracos para um ataque.
Cyberdefense para nossos clientes
Muitas vezes nos perguntam quais ferramentas e processos nossos clientes podem adotar para seu próprio ambiente e como a Microsoft pode ajudar em sua implementação. A Microsoft consolidou muitos dos produtos e serviços de defesa cibernética que usamos no CDOC em uma variedade de produtos e serviços. As equipes do Microsoft Enterprise Cybersecurity Group e do Microsoft Consulting Services se envolvem com nossos clientes para fornecer as soluções mais apropriadas para suas necessidades e requisitos específicos.
Uma das primeiras etapas que a Microsoft recomenda é estabelecer uma base de segurança. Nossos serviços de fundação fornecem defesas de ataque críticas e serviços principais de habilitação de identidade que ajudam você a garantir que os ativos estejam protegidos. A fundação ajuda você a acelerar sua jornada de transformação digital para tornar-se uma empresa mais moderna e segura.
Com base nessa base, os clientes podem aproveitar soluções comprovadamente bem-sucedidas com outros clientes da Microsoft e implantadas nos próprios ambientes de serviços de TI e nuvem da Microsoft. Para obter mais informações sobre nossas ferramentas de segurança cibernética corporativa, recursos e ofertas de serviço, visite Microsoft.com/security e entre em contato com nossas equipes.cyberservices@microsoft.com
Práticas recomendadas para proteger seu ambiente
Investir em sua plataforma |
Investir em sua instrumentação |
Invista em seu povo |
Agilidade e escalabilidade exigem planejamento e criação de plataforma de habilitação |
Verifique se você está medindo exaustivamente os elementos em sua plataforma |
Analistas qualificados e cientistas de dados são a base da defesa, enquanto os usuários são o novo perímetro de segurança |
Manter um inventário bem documentado de seus ativos |
Adquirir e/ou criar as ferramentas necessárias para monitorar totalmente sua rede, hosts e logs |
Estabeleça relações e linhas de comunicação entre a equipe de resposta a incidentes e outros grupos |
Tenha uma política de segurança bem definida com padrões e diretrizes claros para sua organização |
Manter proativamente controles e medidas e testá-los regularmente para precisão e eficácia |
Adotar princípios de administrador de privilégios mínimos; eliminar direitos de administrador persistentes |
Manter a higiene adequada — a maioria dos ataques pode ser evitada com patches oportunos e antivírus |
Manter um controle rígido sobre as políticas de gerenciamento de alterações |
Usar o processo de lições aprendidas para obter valor de cada incidente principal |
Empregar autenticação multifator para fortalecer a proteção de contas e dispositivos |
Monitorar atividades anormais de contas e credenciais para detectar abuso |
Inscrever, educar e capacitar os usuários a reconhecer ameaças prováveis e sua própria função na proteção de dados empresariais |
|