Centro de Operações de Defesa de Cibersegurança da Microsoft

A cibersegurança é uma responsabilidade partilhada, que nos afeta a todos. Hoje, uma única violação, física ou virtual, pode causar milhões de dólares de danos a uma organização e potencialmente bilhões em perdas financeiras para a economia global. Todos os dias, vemos relatos de cibercriminosos visando empresas e indivíduos para obter ganhos financeiros ou fins de motivação social. Acrescente-se a estas ameaças as de atores do Estado-nação que procuram perturbar as operações, realizar espionagem ou, de um modo geral, minar a confiança.

Neste resumo, compartilhamos o estado da segurança online, os agentes de ameaças e as táticas sofisticadas que eles empregam para avançar em seus objetivos, e como o Centro de Operações de Defesa Cibernética da Microsoft combate essas ameaças e ajuda os clientes a proteger seus aplicativos e dados confidenciais.

	O Centro de Operações de Defesa Cibernética da Microsoft A Microsoft está profundamente empenhada em tornar o mundo online mais seguro para todos. As estratégias de cibersegurança da nossa empresa evoluíram da visibilidade única que temos para o cenário de ciberameaças em rápida evolução. A inovação no espaço de ataque entre pessoas, lugares e processos é um investimento necessário e contínuo que todos precisamos fazer, à medida que os adversários continuam a evoluir em determinação e sofisticação. Em resposta ao aumento dos investimentos em estratégias de defesa por muitas organizações, os atacantes estão se adaptando e melhorando as táticas em velocidade vertiginosa. Felizmente, defensores cibernéticos como as equipes globais de segurança da informação da Microsoft também estão inovando e interrompendo métodos de ataque confiáveis há muito tempo com treinamento avançado e contínuo e tecnologias, ferramentas e processos modernos de segurança. O Centro de Operações de Defesa Cibernética da Microsoft (CDOC) é um exemplo dos mais de US$ 1 bilhão que investimos anualmente em segurança, proteção de dados e gerenciamento de riscos. O CDOC reúne especialistas em segurança cibernética e cientistas de dados em uma instalação 24x7 para combater ameaças em tempo real. Estamos conectados a mais de 3.500 profissionais de segurança em todo o mundo em nossas equipes de desenvolvimento de produtos, grupos de segurança da informação e equipes jurídicas para proteger nossa infraestrutura e serviços, produtos e dispositivos em nuvem e recursos internos. A Microsoft investiu mais de US$ 15 bilhões em nossa infraestrutura de nuvem, com mais de 90% das empresas da Fortune 500 usando a nuvem da Microsoft. Hoje, possuímos e operamos uma das maiores pegadas de nuvem do mundo, com mais de 100 datacenters geodistribuídos, 200 serviços de nuvem, milhões de dispositivos e um bilhão de clientes em todo o mundo. Agentes e motivações das ameaças à cibersegurança O primeiro passo para proteger pessoas, dispositivos, dados e infraestruturas críticas é compreender os diferentes tipos de agentes de ameaças e as suas motivações. Os cibercriminosos abrangem várias subcategorias, embora muitas vezes partilhem motivações comuns: ganhos financeiros, de inteligência e/ou sociais ou políticos. Sua abordagem geralmente é direta, infiltrando-se em um sistema de dados financeiros, ignorando microquantidades muito pequenas para serem detetadas e saindo antes de serem descobertas. Manter uma presença persistente e clandestina é fundamental para atingir o seu objetivo. A sua abordagem pode ser uma intrusão que desvia um grande pagamento financeiro através de um labirinto de contas para evitar o rastreio e a intervenção. Às vezes, o objetivo é roubar a propriedade intelectual que o alvo possui para que o cibercriminoso atue como intermediário para entregar um design de produto, código-fonte de software ou outras informações proprietárias que tenham valor para uma entidade específica. Mais de metade destas atividades são perpetradas por grupos criminosos organizados. Os atores do Estado-nação trabalham para um governo para interromper ou comprometer governos, organizações ou indivíduos visados para obter acesso a dados ou inteligência valiosos. Eles estão envolvidos em assuntos internacionais para influenciar e impulsionar um resultado que pode beneficiar um país ou países. O objetivo de um ator de Estado-nação é interromper operações, realizar espionagem contra corporações, roubar segredos de outros governos ou minar a confiança nas instituições. Eles trabalham com grandes recursos à sua disposição e sem medo de represálias legais, com um kit de ferramentas que vai do simples ao altamente complexo. Os atores do Estado-nação podem atrair alguns dos mais sofisticados talentos de ciberhacking e podem avançar suas ferramentas até o ponto de armamento. Sua abordagem de intrusão geralmente envolve uma ameaça persistente avançada usando o poder de supercomputação para quebrar credenciais de força bruta através de milhões de tentativas de chegar à senha correta. Eles também podem usar ataques de phishing hiperdirecionados para atrair um insider a revelar suas credenciais. As ameaças internas são particularmente desafiadoras devido à imprevisibilidade do comportamento humano. A motivação para um insider talvez oportunista e para ganho financeiro. No entanto, existem múltiplas causas para potenciais ameaças internas, que vão desde o simples descuido até esquemas sofisticados. Muitas violações de dados resultantes de ameaças internas são completamente não intencionais devido a atividades acidentais ou negligentes que colocam uma organização em risco sem estar ciente da vulnerabilidade. Os hacktivistas concentram-se em ataques políticos e/ou de motivação social. Esforçam-se por ser visíveis e reconhecidos nas notícias para chamar a atenção para si próprios e para a sua causa. As suas táticas incluem ataques distribuídos de negação de serviço (DDoS), explorações de vulnerabilidades ou desfiguração de uma presença online. Uma conexão com uma questão social ou política pode tornar qualquer empresa ou organização um alvo. As redes sociais permitem que hacktivistas evangelizem rapidamente sua causa e recrutem outras pessoas para participar.
	Técnicas de agentes de ameaças Os adversários são hábeis em encontrar maneiras de penetrar na rede de uma organização, apesar das proteções em vigor usando várias técnicas sofisticadas. Várias táticas existem desde os primórdios da Internet, embora outras reflitam a criatividade e a crescente sofisticação dos adversários de hoje. Engenharia social é um termo amplo para um ataque que engana os usuários para agir ou divulgar informações que de outra forma não fariam. A engenharia social joga com as boas intenções da maioria das pessoas e sua vontade de ser útil, evitar problemas, confiar em fontes familiares ou potencialmente ganhar uma recompensa. Outros vetores de ataque podem cair sob o guarda-chuva da engenharia social, mas a seguir estão alguns dos atributos que tornam as táticas de engenharia social mais fáceis de reconhecer e defender: Os e-mails de phishing são uma ferramenta eficaz porque jogam contra o elo mais fraco da cadeia de segurança – os usuários comuns que não consideram a segurança da rede como prioridade. Uma campanha de phishing pode convidar ou assustar um utilizador a partilhar inadvertidamente as suas credenciais, induzindo-o a clicar numa hiperligação que acredita ser um site legítimo ou a descarregar um ficheiro que contenha código malicioso. Os e-mails de phishing costumavam ser mal escritos e fáceis de reconhecer. Hoje, os adversários tornaram-se hábeis em imitar e-mails legítimos e sites de destino que são difíceis de identificar como fraudulentos. A falsificação de identidade envolve um adversário disfarçado de outro usuário legítimo, falsificando as informações apresentadas a um aplicativo ou recurso de rede. Um exemplo é um e-mail que chega aparentemente com o endereço de um colega solicitando ação, mas o endereço está escondendo a verdadeira fonte do remetente do e-mail. Da mesma forma, um URL pode ser falsificado para aparecer como um site legítimo, mas o endereço IP real está realmente apontando para o site de um cibercriminoso. O malware está conosco desde os primórdios da computação. Hoje, estamos vendo um forte aumento de ransomware e código malicioso especificamente destinados a criptografar dispositivos e dados. Os cibercriminosos exigem então o pagamento em criptomoeda para que as chaves desbloqueiem e devolvam o controlo à vítima. Isso pode acontecer em um nível individual para o seu computador e arquivos de dados, ou agora com mais frequência, para uma empresa inteira. O uso de ransomware é particularmente pronunciado no campo da saúde, pois as consequências de vida ou morte que essas organizações enfrentam as tornam altamente sensíveis ao tempo de inatividade da rede. A inserção da cadeia de suprimentos é um exemplo de uma abordagem criativa para injetar malware em uma rede. Por exemplo, ao sequestrar um processo de atualização de aplicativo, um adversário contorna as ferramentas e proteções antimalware. Estamos vendo essa técnica se tornar mais comum e essa ameaça continuará a crescer até que proteções de segurança mais abrangentes sejam infundidas no software pelos desenvolvedores de aplicativos. Os ataques man-in-the-middleenvolvem um adversário inserindo-se entre um usuário e um recurso que ele está acessando, intercetando assim informações críticas, como as credenciais de login de um usuário. Por exemplo, um cibercriminoso em uma cafeteria pode empregar um software de registro de chaves para capturar as credenciais de domínio de um usuário quando ele se junta à rede wi-fi. O agente de ameaças pode então obter acesso às informações confidenciais do usuário, como informações bancárias e pessoais que eles podem usar ou vender na dark web. Os ataques distribuídos de negação de serviço (DDoS) existem há mais de uma década e são ataques massivos que estão se tornando mais comuns com o rápido crescimento da Internet das Coisas (IoT). Ao usar essa técnica, um adversário sobrecarrega um site, bombardeando-o com tráfego malicioso que desloca consultas legítimas. Malware plantado anteriormente é frequentemente usado para sequestrar um dispositivo IoT, como uma webcam ou termostato inteligente. Em um ataque DDoS, o tráfego de entrada de diferentes fontes inunda uma rede com inúmeras solicitações. Isso sobrecarrega os servidores e nega o acesso de solicitações legítimas. Muitos ataques envolvem a falsificação de endereços de remetente IP (falsificação de endereços IP) também, de modo que a localização das máquinas invasoras não pode ser facilmente identificada e derrotada. Muitas vezes, um ataque de negação de serviço é usado para cobrir ou distrair de um esforço mais enganoso para penetrar em uma organização. Na maioria dos casos, o objetivo do adversário é obter acesso a uma rede usando credenciais comprometidas e, em seguida, mover-se lateralmente pela rede para obter acesso a credenciais mais "poderosas", que são as chaves para as informações mais confidenciais e valiosas dentro da organização.
	A militarização do ciberespaço A possibilidade crescente de guerra cibernética é uma das principais preocupações entre governos e cidadãos atualmente. Envolve Estados-nação usando e visando computadores e redes em guerras. Tanto as operações ofensivas como as defensivas são utilizadas para realizar ciberataques, espionagem e sabotagem. Os Estados-nação têm vindo a desenvolver as suas capacidades e a envolverem-se na guerra cibernética como agressores, arguidos ou ambos há muitos anos. Novas ferramentas e táticas de ameaças desenvolvidas através de investimentos militares avançados também podem ser violadas e as ameaças cibernéticas podem ser compartilhadas on-line e armadas por cibercriminosos para uso posterior. A postura de segurança cibernética da Microsoft Embora a segurança sempre tenha sido uma prioridade para a Microsoft, reconhecemos que o mundo digital exige avanços contínuos em nosso compromisso em como protegemos, detetamos e respondemos a ameaças de segurança cibernética. Esses três compromissos definem nossa abordagem à defesa cibernética e servem como uma estrutura útil para nossa discussão sobre as estratégias e capacidades de defesa cibernética da Microsoft.
PROTEGER	Proteger O primeiro compromisso da Microsoft é proteger o ambiente de computação usado por nossos clientes e funcionários para garantir a resiliência de nossa infraestrutura de nuvem e serviços, produtos, dispositivos e recursos corporativos internos da empresa de adversários determinados. As medidas de proteção das equipes do CDOC abrangem todos os endpoints, desde sensores e datacenters até identidades e aplicativos de software como serviço (SaaS). A defesa aprofundada — aplicando controles em várias camadas com salvaguardas sobrepostas e estratégias de mitigação de riscos — é uma prática recomendada em todo o setor e é a abordagem que adotamos para proteger nossos valiosos ativos corporativos e de clientes. As táticas de proteção da Microsoft incluem: Monitoramento e controles extensivos sobre o ambiente físico de nossos datacenters globais, incluindo câmeras, triagem de pessoal, cercas e barreiras, e vários métodos de identificação para acesso físico. Redes definidas por software que protegem a nossa infraestrutura na nuvem contra intrusões e ataques DDoS. A autenticação multifator é empregada em toda a nossa infraestrutura para controlar o gerenciamento de identidade e acesso. Assegura que os recursos e dados críticos são protegidos por, pelo menos, dois dos seguintes elementos: Algo que sabe (palavra-passe ou PIN) Algo que você é (biometria) Algo que você tem (smartphone) A administração não persistente emprega privilégios just-in-time (JIT) e administrador just-enough (JEA) para a equipe de engenharia que gerencia a infraestrutura e os serviços. Isso fornece um conjunto exclusivo de credenciais para acesso elevado que expira automaticamente após uma duração pré-designada. A higiene adequada é rigorosamente mantida através de software antimalware atualizado e aderência a patches rigorosos e gerenciamento de configuração. A equipe de pesquisadores do Centro de Proteção contra Malware da Microsoft identifica, faz engenharia reversa e desenvolve assinaturas de malware e, em seguida, implanta-as em nossa infraestrutura para deteção e defesa avançadas. Estas assinaturas são distribuídas aos nossos respondedores, clientes e à indústria através de Atualizações do Windows e notificações para proteger os seus dispositivos. O Microsoft Security Development Lifecycle (SDL) é um processo de desenvolvimento de software que ajuda os desenvolvedores a criar software mais seguro e atender aos requisitos de conformidade de segurança, reduzindo os custos de desenvolvimento. O SDL é usado para fortalecer todos os aplicativos, serviços on-line e produtos, e para validar rotineiramente sua eficácia por meio de testes de penetração e varredura de vulnerabilidade. A modelagem de ameaças e a análise da superfície de ataque garantem que as ameaças potenciais sejam avaliadas, os aspetos expostos do serviço sejam avaliados e a superfície de ataque seja minimizada restringindo serviços ou eliminando funções desnecessárias. A classificação dos dados de acordo com a sua sensibilidade e a adoção das medidas adequadas para os proteger, incluindo a encriptação em trânsito e em repouso, e a aplicação do princípio do acesso com privilégios mínimos proporcionam uma proteção adicional. • Treinamento de conscientização que fomenta uma relação de confiança entre o usuário e a equipe de segurança para desenvolver um ambiente onde os usuários relatarão incidentes e anomalias sem medo de repercussões. Ter um rico conjunto de controles e uma estratégia de defesa profunda ajuda a garantir que, caso alguma área falhe, haja controles compensatórios em outras áreas para ajudar a manter a segurança e a privacidade de nossos clientes, serviços de nuvem e nossa própria infraestrutura. No entanto, nenhum ambiente é verdadeiramente impenetrável, pois as pessoas cometerão erros e adversários determinados continuarão a procurar vulnerabilidades e explorá-las. Os investimentos significativos que continuamos a fazer nessas camadas de proteção e análise de linha de base nos permitem detetar rapidamente quando a atividade anormal está presente.
DETETAR	Detetar As equipes do CDOC empregam software automatizado, aprendizado de máquina, análise comportamental e técnicas forenses para criar um gráfico de segurança inteligente do nosso ambiente. Esse sinal é enriquecido com metadados contextuais e modelos comportamentais gerados a partir de fontes como Ative Directory, sistemas de gerenciamento de ativos e configurações e logs de eventos. Nossos amplos investimentos em análise de segurança criam perfis comportamentais ricos e modelos preditivos que nos permitem "conectar os pontos" e identificar ameaças avançadas que, de outra forma, poderiam não ter sido detetadas e, em seguida, combater com forte contenção e atividades coordenadas de remediação. A Microsoft também emprega software de segurança personalizado, juntamente com ferramentas líderes do setor e aprendizado de máquina. Nossa inteligência contra ameaças está em constante evolução, com enriquecimento automatizado de dados para detetar mais rapidamente atividades maliciosas e relatar com alta fidelidade. As varreduras de vulnerabilidade são realizadas regularmente para testar e refinar a eficácia das medidas de proteção. A amplitude do investimento da Microsoft em seu ecossistema de segurança e a variedade de sinais monitorados pelas equipes do CDOC fornecem uma visão de ameaça mais abrangente do que pode ser alcançada pela maioria dos provedores de serviços. As táticas de deteção da Microsoft incluem: Monitorização de redes e ambientes físicos 24x7x365 para potenciais eventos de cibersegurança. A definição de perfis de comportamento baseia-se em padrões de utilização e na compreensão de ameaças únicas aos nossos serviços. A análise de identidade e comportamental é desenvolvida para destacar atividades anormais. Ferramentas e técnicas de software de aprendizado de máquina são usadas rotineiramente para descobrir e sinalizar irregularidades. Ferramentas e processos analíticos avançados são implantados para identificar ainda mais atividades anômalas e capacidades inovadoras de correlação. Isso permite que deteções altamente contextualizadas sejam criadas a partir dos enormes volumes de dados quase em tempo real. Processos automatizados baseados em software que são continuamente auditados e evoluídos para maior eficácia. Cientistas de dados e especialistas em segurança trabalham rotineiramente lado a lado para lidar com eventos escalados que exibem características incomuns que exigem uma análise mais aprofundada dos alvos. Eles podem, então, determinar possíveis esforços de resposta e remediação.
RESPOSTA	Resposta Quando a Microsoft deteta atividade anormal em nossos sistemas, aciona nossas equipes de resposta para se envolver e responder rapidamente com força precisa. As notificações dos sistemas de deteção baseados em software fluem através dos nossos sistemas de resposta automatizados utilizando algoritmos baseados no risco para sinalizar eventos que exijam a intervenção da nossa equipa de resposta. O tempo médio para mitigar é fundamental e nosso sistema de automação fornece aos socorristas informações relevantes e acionáveis que aceleram a triagem, mitigação e recuperação. Para gerenciar incidentes de segurança em uma escala tão grande, implantamos um sistema hierárquico para atribuir eficientemente tarefas de resposta ao recurso certo e facilitar um caminho de escalonamento racional. As táticas de resposta da Microsoft incluem: Os sistemas de resposta automatizados utilizam algoritmos baseados no risco para sinalizar eventos que requerem intervenção humana. Os sistemas de resposta automatizados utilizam algoritmos baseados no risco para sinalizar eventos que requerem intervenção humana. Processos de resposta a incidentes bem definidos, documentados e escaláveis dentro de um modelo de melhoria contínua ajudam a nos manter à frente dos adversários, disponibilizando-os para todos os respondentes. A experiência no assunto em todas as nossas equipes, em várias áreas de segurança, fornece um conjunto diversificado de habilidades para lidar com incidentes. Experiência em segurança em resposta a incidentes, perícia forense e análise de intrusão; e uma compreensão profunda das plataformas, serviços e aplicativos que operam em nossos datacenters em nuvem. Pesquisa empresarial ampla em dados e sistemas na nuvem, híbridos e locais para determinar o escopo de um incidente. A análise forense profunda das principais ameaças é realizada por especialistas para compreender os incidentes e ajudar na sua contenção e erradicação. • As ferramentas de software de segurança, automação e infraestrutura de nuvem de hiperescala da Microsoft permitem que nossos especialistas em segurança reduzam o tempo para detetar, investigar, analisar, responder e se recuperar de ataques cibernéticos. O teste de penetração é empregado em todos os produtos e serviços da Microsoft por meio de exercícios contínuos da Red Team/Blue Team para descobrir vulnerabilidades antes que um adversário real possa aproveitar esses pontos fracos para um ataque. Ciberdefesa para os nossos clientes Muitas vezes somos questionados sobre quais ferramentas e processos nossos clientes podem adotar para seu próprio ambiente e como a Microsoft pode ajudar em sua implementação. A Microsoft consolidou muitos dos produtos e serviços de defesa cibernética que usamos no CDOC em uma gama de produtos e serviços. As equipas do Microsoft Enterprise Cybersecurity Group e dos Serviços de Consultoria da Microsoft interagem com os nossos clientes para fornecer as soluções mais adequadas às suas necessidades e requisitos específicos. Um dos primeiros passos que a Microsoft recomenda vivamente é estabelecer uma base de segurança. Nossos serviços básicos fornecem defesas críticas contra ataques e serviços essenciais de habilitação de identidade que ajudam você a garantir que os ativos sejam protegidos. A fundação ajuda você a acelerar sua jornada de transformação digital para avançar em direção a uma empresa moderna mais segura. Com base nessa base, os clientes podem aproveitar soluções comprovadamente bem-sucedidas com outros clientes da Microsoft e implantadas nos próprios ambientes de TI e serviços de nuvem da Microsoft. Para obter mais informações sobre nossas ferramentas, recursos e ofertas de serviços de segurança cibernética corporativa, visite Microsoft.com/security e entre em contato com nossas equipes em cyberservices@microsoft.com. Práticas recomendadas para proteger seu ambiente Invista na sua plataforma Invista na sua instrumentação Invista nas suas pessoas Agilidade e escalabilidade exigem planejamento e construção de plataforma habilitadora Certifique-se de que está a medir exaustivamente os elementos na sua plataforma Analistas qualificados e cientistas de dados são a base da defesa, enquanto os usuários são o novo perímetro de segurança Mantenha um inventário bem documentado de seus ativos Adquira e/ou crie as ferramentas necessárias para monitorar totalmente sua rede, hosts e logs Estabelecer relações e linhas de comunicação entre a equipa de resposta a incidentes e outros grupos Tenha uma política de segurança bem definida com padrões e orientações claras para a sua organização Manter proativamente controles e medidas, e testá-los regularmente quanto à precisão e eficácia Adotar princípios de administrador de privilégios mínimos; eliminar direitos de administrador persistentes Mantenha uma higiene adequada — a maioria dos ataques pode ser evitada com patches e antivírus oportunos Manter um controlo apertado sobre as políticas de gestão de alterações Use o processo de lições aprendidas para obter valor de cada incidente importante Empregar autenticação multifator para fortalecer a proteção de contas e dispositivos Monitore a atividade anormal de contas e credenciais para detetar abusos Recrutar, educar e capacitar os usuários a reconhecer ameaças prováveis e seu próprio papel na proteção de dados corporativos