Implementar infraestrutura de prevenção e recuperação de violações de segurança
Como parte das diretrizes de adoção do Zero Trust, este artigo faz parte da seção Prevenir ou reduzir os danos aos negócios causados por um cenário de negócios de violação e descreve como proteger sua organização contra ataques cibernéticos. Este artigo se concentra em como implantar medidas de segurança adicionais para evitar uma violação e limitar sua propagação e para criar e testar uma infraestrutura de continuidade de negócios e recuperação de desastres (BCDR) para se recuperar mais rapidamente de uma violação destrutiva.
Para os elementos do princípio orientador Assumir violação Zero Trust:
Minimize o raio de jateamento e o acesso ao segmento
Descrito neste artigo.
Verificar a criptografia de ponta a ponta
Descrito neste artigo.
Use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas
Descrito no artigo implementar proteção contra ameaças e XDR .
Este artigo parte do princípio de que já modernizou a sua postura de segurança.
Para obter informações detalhadas sobre os recursos do Microsoft Azure, consulte Proteger seus recursos do Azure contra ataques cibernéticos destrutivos.
O ciclo de adoção para implementar a infraestrutura de prevenção e recuperação de violações de segurança
Este artigo descreve a implementação da infraestrutura de prevenção e recuperação de violações de segurança do cenário de negócios Impedir ou reduzir os danos comerciais de um cenário de negócios de violação usando as mesmas fases do ciclo de vida da Estrutura de Adoção de Nuvem para Azure — Definir estratégia, Planejar, Preparar, Adotar e Governar e gerenciar — mas adaptado para Zero Trust.
A tabela a seguir é uma versão acessível da ilustração.
| Definir a estratégia | Planear | Pronta | Adotar | Governar e gerir |
|---|---|---|---|---|
| Resultados Alinhamento organizacional Objetivos estratégicos |
Equipa de stakeholders Planos técnicos Preparação das competências |
Avaliar Teste Programa Piloto |
Implemente incrementalmente em todo o seu patrimônio digital | Rastrear e medir Monitorar e detetar Iterar para vencimento |
Leia mais sobre o ciclo de adoção do Zero Trust na visão geral da estrutura de adoção do Zero Trust.
Para obter mais informações sobre o cenário de negócios "Prevenir ou reduzir os danos comerciais causados por uma violação", consulte:
- Visão geral
- Os elementos adicionais da implementação de proteção contra ameaças e XDR
Definir a fase da estratégia
A fase Definir estratégia é fundamental para definir e formalizar os nossos esforços – formaliza o "Porquê?" deste cenário. Nesta fase, você entende o cenário através de perspetivas de negócios, TI, operacionais e estratégicas. Você define os resultados em relação aos quais medir o sucesso no cenário, entendendo que a segurança é uma jornada incremental e iterativa.
Este artigo sugere motivações e resultados que são relevantes para muitas organizações. Use estas sugestões para aprimorar a estratégia para sua organização com base em suas necessidades exclusivas.
Motivações para implementar a prevenção de violações de segurança e a infraestrutura de recuperação
As motivações para a prevenção de violações de segurança e a infraestrutura de recuperação são simples, mas diferentes partes da sua organização têm incentivos diferentes para fazer esse trabalho. A tabela a seguir resume algumas dessas motivações.
| Área | Motivações |
|---|---|
| Necessidades do negócio | Operar o seu negócio com uma postura de prevenção e recuperação de violações como extensão da segurança. Sua empresa pode se recuperar de uma violação que contenha danos em uma ou mais áreas, enquanto continua os negócios normalmente. |
| Necessidades de TI | Implementar tecnologias e disciplinas para reduzir a probabilidade de uma violação, como atualizar sistemas e endpoints locais e implantar recursos honeypot para distrair e enganar os invasores, mantendo uma abordagem intransigente para segurança e provisionamento de identidade. |
| Necessidades operacionais | Implementar a prevenção e recuperação de violações como procedimentos operacionais padrão. Violações são esperadas e, embora indesejadas, podem ser mitigadas para a vertical do seu negócio. |
| Necessidades estratégicas | Aumentar de forma incremental a capacidade da sua empresa de recuperar de violações, o que pode reduzir o retorno do investimento para os ciberatacantes e, ao mesmo tempo, aumentar a resiliência operacional. O princípio de violação Assumir do Zero Trust força você a planejar e executar alterações e atualizações para garantir a sobrevivência dos negócios, minimizar violações e reduzir o tempo de recuperação de violações. |
Resultados para a implementação da infraestrutura de prevenção e recuperação de violações de segurança
Aplicar o objetivo geral do Zero Trust de "nunca confiar, sempre verificar" à sua infraestrutura de prevenção e redução de danos de violação adiciona uma camada significativa de proteção ao seu ambiente. É importante ser claro sobre os resultados que você espera alcançar para que você possa encontrar o equilíbrio certo de proteção para todas as equipes envolvidas. A tabela a seguir fornece objetivos e resultados sugeridos.
| Objetivo | Resultado |
|---|---|
| Resultados de negócio | As práticas de prevenção e recuperação de violações resultam em custos mínimos associados a violações e recuperação rápida de processos de negócios. |
| Governação | Ferramentas e sistemas de prevenção e recuperação de violações são implantados e os processos internos são testados e prontos para violações. |
| Resiliência organizacional | Entre a prevenção e recuperação de violações de segurança e a proteção proativa contra ameaças, sua organização pode se recuperar rapidamente de um ataque e evitar futuros ataques desse tipo. |
| Segurança | A prevenção e a recuperação de violações estão integradas aos seus requisitos e políticas gerais de segurança. |
Fase de planeamento
Os planos de adoção convertem os princípios da estratégia Zero Trust em um plano acionável. Suas equipes coletivas podem usar o plano de adoção para orientar seus esforços técnicos e alinhá-los com a estratégia de negócios da sua organização.
As motivações e resultados que você define, juntamente com seus líderes de negócios e equipes, apoiam o "Por quê?" para sua organização e se tornam a Estrela Polar para sua estratégia. Em seguida, vem o planejamento técnico para atingir os objetivos.
A adoção técnica para implementar a prevenção e recuperação de violações envolve:
- Configurar o Microsoft Entra Privileged Identity Management (PIM) para proteger o administrador e outras contas privilegiadas para acesso just-in time (JIT).
- Aumentar a segurança da sua infraestrutura de rede.
- Implantar recursos honeypot em sua rede para atrair invasores e detetar sua presença antecipadamente.
- Implementação de uma infraestrutura de aplicação de patches abrangente para manter os servidores e dispositivos atualizados.
- Comece a usar o Microsoft Purview Insider Risk Management.
- Implantar uma infraestrutura BCDR para se recuperar rapidamente de um ataque cibernético destrutivo.
Muitas organizações podem adotar uma abordagem de quatro estágios para esses objetivos de implantação, resumidos na tabela a seguir.
| Stage 1 | Fase 2 | Fase 3 | Fase 4 |
|---|---|---|---|
| Proteger contas privilegiadas Segmente a sua rede Implementar o Azure Site Recovery para continuidade de carga de trabalho crítica Criptografar comunicação de rede |
Implementar o Backup do Microsoft 365 e o Backup do Azure para dados corporativos críticos Implementar um plano de aplicação de patches Crie recursos honeypot Introdução ao Microsoft Purview Insider Risk Management |
Implementar o Backup do Microsoft 365 e o Backup do Azure para todos os dados corporativos Implementar o Azure Site Recovery para todas as cargas de trabalho Obtenha visibilidade do tráfego de rede Projete sua resposta a ameaças e continuidade de negócios/recuperação de desastres (BCDR) |
Descontinuar a tecnologia de segurança de rede herdada Pratique a ameaça e a resposta BCDR |
Se essa abordagem em estágios funcionar para sua organização, você poderá usar:
Este conjunto de diapositivos PowerPoint transferível para apresentar e acompanhar o seu progresso através destas etapas e objetivos para líderes empresariais e outras partes interessadas. Aqui está o slide para este cenário de negócios.
Esta pasta de trabalho do Excel para atribuir proprietários e acompanhar seu progresso para esses estágios, objetivos e suas tarefas. Aqui está a planilha para este cenário de negócios.
Compreender a sua organização
Essa abordagem em estágios recomendada para implementação técnica pode ajudar a contextualizar o exercício de compreensão da sua organização.
Uma etapa fundamental no ciclo de vida de adoção do Zero Trust para cada cenário de negócios inclui fazer inventário e determinar o estado atual de sua infraestrutura. Para este cenário de negócios, você precisa coletar informações sobre o seu atual:
- Políticas e requisitos de segurança de identidade privilegiados.
- Práticas e tecnologias de segurança de rede.
- Riscos internos e prioridades para gerenciá-los.
- Políticas e requisitos de aplicação de patches de servidores e dispositivos.
- Sistemas e políticas BCDR.
Planeamento e alinhamento organizacional
O trabalho técnico de prevenção de uma violação e implementação de uma infraestrutura de recuperação atravessa várias áreas e funções sobrepostas:
- Identidades privilegiadas
- Rede
- Gestão de risco de iniciados
- Aplicação de patches em dispositivos
- BCDR
Esta tabela resume as funções recomendadas ao criar um programa de patrocínio e uma hierarquia de gerenciamento de projetos para determinar e gerar resultados.
| Líderes de programa e proprietários técnicos | Responsabilidade |
|---|---|
| CISO, CIO ou Diretor de Segurança de Dados | Patrocínio executivo |
| Líder do programa de Segurança | Impulsione resultados e colaboração entre equipes |
| Arquiteto de Segurança | Aconselhar sobre configuração e padrões, especialmente em torno de identidades privilegiadas, redes e design de recursos honeypot |
| Líder de TI | Mantenha os recursos do honeypot, implemente requisitos e políticas de aplicação de patches e atualização do sistema e implemente e pratique procedimentos BCDR |
| Arquiteto de Redes | Aconselhar e implementar normas e práticas de segurança de rede |
| Responsáveis pela conformidade | Mapear requisitos de conformidade e riscos para controles específicos e tecnologias disponíveis e aconselhar sobre riscos internos a serem detetados e gerenciados |
| Governança de segurança e/ou líder de TI | Monitorar para garantir a conformidade com as políticas e requisitos definidos |
O conjunto de recursos do PowerPoint para este conteúdo de adoção inclui o slide a seguir com uma exibição de partes interessadas que você pode personalizar para sua própria organização.
Planeamento técnico e prontidão de competências
Antes de iniciar o trabalho técnico, a Microsoft recomenda conhecer os recursos, como eles funcionam juntos e as práticas recomendadas para abordar esse trabalho. A tabela a seguir inclui vários recursos de treinamento para ajudar suas equipes a ganhar habilidades.
| Recurso | Description |
|---|---|
| Módulo: Planear e implementar acesso privilegiado | Saiba como usar o PIM para proteger seus dados e recursos. |
| Módulo: Projetar uma solução para backup e recuperação de desastres | Saiba como selecionar soluções de backup e soluções de recuperação de desastres apropriadas para cargas de trabalho do Azure. |
| Módulo: Proteja sua infraestrutura local contra desastres com o Azure Site Recovery | Saiba como fornecer recuperação de desastres para sua infraestrutura local usando o Azure Site Recovery. |
| Módulo: Proteja sua infraestrutura do Azure com o Azure Site Recovery | Saiba como fornecer recuperação de desastres para sua infraestrutura do Azure personalizando replicação, failover e failback de máquinas virtuais do Azure. |
| Módulo: Projetar e implementar segurança de rede | Saiba como projetar e implementar soluções de segurança de rede, como DDoS do Azure, Grupos de Segurança de Rede, Firewall do Azure e Firewall de Aplicativo Web. |
| Módulo: Proteja e isole o acesso aos recursos do Azure usando grupos de segurança de rede e pontos de extremidade de serviço | Saiba como usar grupos de segurança de rede e pontos de extremidade de serviço para proteger suas máquinas virtuais e serviços do Azure contra acesso não autorizado à rede. |
| Módulo: Gerenciamento de atualizações do Windows Server | Saiba como usar o Windows Server Update Services para implantar atualizações do sistema operacional em computadores na rede. |
Stage 1
Os objetivos de implantação do Estágio 1 incluem bloquear contas de administrador e outras contas de acesso privilegiado, usar produtos de nuvem da Microsoft para fazer backup de dados corporativos críticos e garantir que todo o tráfego de rede seja criptografado.
Proteger contas privilegiadas
Os incidentes de segurança cibernética normalmente começam com um roubo de credenciais de algum tipo. Os atacantes descobrem o nome da conta, que pode ser um endereço de e-mail bem conhecido ou facilmente descoberto, e depois prosseguem para determinar a senha da conta. Este tipo de ataque pode ser frustrado na maioria dos casos pela autenticação multifator (MFA). No entanto, o princípio Assumir violação Zero Trust implica que um invasor pode e vai acessar sua rede usando uma identidade.
Uma vez na sua rede, os atacantes tentam elevar o seu nível de privilégio, comprometendo contas com cada vez mais acesso. O objetivo é comprometer uma conta privilegiada que tenha acesso a uma ampla faixa não apenas de dados confidenciais, mas também a configurações administrativas. Portanto, é imperativo que você impeça esse nível de acesso aos invasores.
Primeiro, para organizações de identidade híbrida, você deve garantir que as contas de administrador ou contas com funções privilegiadas usadas para serviços de nuvem não sejam sincronizadas e armazenadas nos Serviços de Domínio Ative Directory (AD DS) locais. Se eles estiverem armazenados no local e o AD DS ou o Microsoft Entra Connect estiver comprometido, um invasor poderá ter controle administrativo sobre seus serviços de nuvem da Microsoft. Reveja as definições de sincronização para impedir e testar se as suas contas de administrador na nuvem estão presentes no AD DS.
Todas as organizações com uma assinatura de nuvem da Microsoft têm um locatário do Microsoft Entra ID que contém contas de nuvem, que incluem contas de usuário e administrativas. Os administradores precisam executar operações privilegiadas em aplicativos Microsoft Entra ID, Azure, Microsoft 365 ou SaaS.
O primeiro passo para proteger contas privilegiadas é exigir senhas fortes e MFA. Além disso, de acordo com o princípio Usar acesso com privilégios mínimos Zero Trust, use o Microsoft Entra PIM em seu ambiente de produção Microsoft Entra para fornecer uma camada adicional de proteção. O Microsoft Entra PIM fornece ativação de função baseada em tempo e aprovação para reduzir os riscos de permissões de acesso excessivas, desnecessárias ou usadas indevidamente.
Os recursos do Microsoft Entra PIM incluem:
- Acesso privilegiado JIT ao Microsoft Entra ID e aos recursos do Azure
- Acesso com limite de tempo aos recursos usando datas de início e término
- Exigir aprovação para ativar funções com privilégios
- Aplicação da AMF para ativar qualquer função
- Exigir justificativa para entender por que os usuários ativam
- Receba notificações quando funções privilegiadas são ativadas
- Realizar revisões de acesso para garantir que os usuários ainda precisem de funções
| Recurso | Description |
|---|---|
| O que é identidade híbrida com o Microsoft Entra ID? | Introdução à documentação definida para o Microsoft Entra ID Connect. |
| O que é o Microsoft Entra Privileged Identity Management? | Introdução à documentação definida para o Microsoft Entra PIM. |
| Planejar uma implantação do Microsoft Entra PIM | Percorra o processo de planejamento para implantar o PIM para suas contas privilegiadas. |
| Módulo: Planear e implementar acesso privilegiado | Saiba como usar o PIM para proteger seus dados e recursos. |
Segmente a sua rede
Esse objetivo é criar limites em sua rede para que a análise e a filtragem intermediárias possam proteger servidores, aplicativos e dados confidenciais. A segmentação de rede pode ocorrer para servidores locais ou na nuvem, por exemplo, com máquinas virtuais hospedadas em redes virtuais (VNets) na IaaS do Azure.
| Recomendações | Recurso |
|---|---|
| Use muitos microperímetros de nuvem de entrada/saída com alguma microssegmentação. | Proteja as redes com Zero Trust |
| Use várias sub-redes e grupos de segurança de rede para hospedar várias camadas de um aplicativo e restringir o tráfego. | Aplicar os princípios de Confiança Zero a uma VNet falada no Azure Aplicar os princípios de Confiança Zero a uma VNet falada com os Serviços PaaS do Azure |
Para obter informações adicionais sobre segmentação em ambientes do Azure, consulte Segmentando a comunicação de rede baseada no Azure.
Implementar a recuperação de local para continuidade de carga de trabalho crítica
O Azure Site Recovery é uma recuperação de desastres como serviço (DRaaS) nativa que oferece facilidade de implantação, economia e confiabilidade. Implante processos de replicação, failover e recuperação por meio do Site Recovery para ajudar a manter seus aplicativos em execução durante interrupções planejadas e não planejadas, como uma interrupção baseada em um ataque cibernético.
O Azure Site Recovery tem dois componentes principais:
- Serviço do Site Recovery: o Site Recovery ajuda a assegurar a continuidade do negócio ao manter as aplicações empresariais e cargas de trabalho em execução durante as falhas. A Recuperação de Site replica cargas de trabalho executadas em máquinas físicas e virtuais (VMs) de um site primário para um local secundário. Quando ocorre uma interrupção no site principal, você faz failover para um local secundário e acessa aplicativos a partir daí. Depois de executar novamente a localização primária, pode fazer a reativação pós-falha.
- Serviço de backup: o serviço de Backup do Azure mantém seus dados seguros e recuperáveis. Consulte a secção anterior para obter mais informações.
O Site Recovery pode gerir a replicação de:
- VMs do Azure replicando entre regiões do Azure
- Replicação do Azure Public Multi-Access Edge Compute (MEC) para a região
- Replicação entre dois MECs públicos do Azure
- VMs locais, VMs do Azure Stack e servidores físicos
Use o Azure Site Recovery como parte de sua solução BCDR.
| Recurso | Description |
|---|---|
| Descrição geral do Site Recovery | Comece com o conjunto de documentação. |
| Módulo: Proteja sua infraestrutura local contra desastres com o Azure Site Recovery | Saiba como fornecer recuperação de desastres para sua infraestrutura local usando o Azure Site Recovery. |
| Módulo: Proteja sua infraestrutura do Azure com o Azure Site Recovery | Saiba como fornecer recuperação de desastres para sua infraestrutura do Azure personalizando replicação, failover e failback de máquinas virtuais do Azure. |
Criptografar comunicação de rede
Esse objetivo é mais uma verificação para ter certeza de que seu tráfego de rede está criptografado. Verifique com sua equipe de rede para se certificar de que essas recomendações estão satisfeitas.
| Recomendações | Recurso |
|---|---|
| Verifique se o tráfego interno de usuário para aplicativo está criptografado: - Aplique a comunicação somente HTTPS para seus aplicativos web voltados para a Internet. - Conecte funcionários e parceiros remotos ao Microsoft Azure usando o Azure VPN Gateway. - Acesse suas máquinas virtuais do Azure com segurança usando comunicação criptografada por meio do Azure Bastion. |
Redes seguras com Zero Trust-Objetivo 3: O tráfego interno de usuário para aplicativo é criptografado |
| Criptografe o tráfego de back-end do aplicativo entre redes virtuais. Criptografe o tráfego entre o local e a nuvem. |
Redes seguras com Zero Trust-Objective 6: Todo o tráfego é criptografado |
| Para arquitetos de rede, este artigo ajuda a colocar os conceitos de rede recomendados em perspetiva. Ed Fisher, arquiteto de segurança e conformidade da Microsoft, descreve como otimizar sua rede para conectividade na nuvem, evitando as armadilhas mais comuns. | Networking up (para a nuvem)-O ponto de vista de um arquiteto |
Para obter informações adicionais sobre criptografia em ambientes do Azure, consulte Criptografando a comunicação de rede baseada no Azure.
Fase 2
Os objetivos de implantação do Estágio 2 incluem segmentar sua rede para exercer um melhor controle do tráfego para recursos confidenciais, garantir que seus servidores e dispositivos sejam corrigidos com atualizações em tempo hábil, criar recursos honeypot para enganar e distrair os invasores e iniciar o gerenciamento de seus riscos internos.
Implementar o Microsoft 365 e o Backup do Azure para dados corporativos críticos
O BCDR é um elemento importante da mitigação de violações e uma parte crucial de uma infraestrutura BCDR é o backup e a restauração. Para ataques cibernéticos, você também precisa proteger seus backups contra eliminação deliberada, corrupção ou criptografia. Em um ataque de ransomware, o invasor pode criptografar, corromper ou destruir seus dados em tempo real e os backups, deixando sua organização suscetível a um resgate para restaurar suas operações de negócios. Para resolver esta vulnerabilidade, as cópias de segurança dos dados têm de ser imutáveis.
A Microsoft oferece o Backup do Microsoft 365 e o Backup do Azure para funções nativas de backup e restauração.
O Backup do Microsoft 365 é uma nova oferta (atualmente em visualização) que faz backup dos dados do locatário do Microsoft 365 para cargas de trabalho do Exchange, OneDrive e SharePoint em escala e fornece restaurações rápidas. O Backup do Microsoft 365 ou os aplicativos criados sobre a plataforma de Armazenamento de Backup do Microsoft 365 oferecem os seguintes benefícios, independentemente do tamanho ou da escala do seu locatário:
- Backup rápido e imutável em poucas horas
- Restauração rápida em poucas horas
- O site completo do SharePoint e a conta do OneDrive restauram a fidelidade, o que significa que o site e o OneDrive são restaurados para seu estado exato em momentos anteriores específicos por meio de uma operação de reversão
- Restaurações completas de itens de caixa de correio do Exchange ou restaurações granulares de itens usando a pesquisa
- Gerenciamento consolidado de domínio de segurança e conformidade
Para obter mais informações, consulte a visão geral do Backup do Microsoft 365.
O serviço Azure Backup fornece soluções simples, seguras e económicas que lhe permitem fazer cópias de segurança dos seus dados e recuperá-los a partir da cloud do Microsoft Azure. O Backup do Azure pode fazer backup:
- Arquivos, pastas, estado do sistema, VMs locais (Hyper-V e VMware) e outras cargas de trabalho locais.
- VMs do Azure ou arquivos, pastas e estado do sistema.
- Managed Disks do Azure
- Compartilhamentos do Azure Files
- SQL Server em VMs do Azure
- Bancos de dados SAP HANA em VMs do Azure
- Servidores da Base de Dados do Azure para PostgreSQL
- Blobs do Azure
| Recurso | Description |
|---|---|
| Módulo: Projetar uma solução para backup e recuperação de desastres | Saiba como selecionar soluções de backup e soluções de recuperação de desastres apropriadas para cargas de trabalho do Azure. |
| Visão geral do Backup do Microsoft 365 | Introdução ao conjunto de documentação para o Backup do Microsoft 365. |
| Visão geral do serviço de Backup do Azure | Introdução à documentação definida para o Backup do Azure. |
| Plano de backup e restauração para proteger contra ransomware | Saiba como o Backup do Azure protege contra um ataque de ransomware. |
Você pode usar o Backup do Microsoft 365 e o Backup do Azure como parte de sua solução BCDR.
Você também pode usar instantâneos incrementais no Azure para investigação forense após uma violação. Os instantâneos incrementais são cópias de segurança de discos geridos para um ponto no tempo que, quando criados, contêm apenas as alterações desde o último instantâneo. Os instantâneos permitem estabelecer o último ponto no tempo antes de uma violação ocorrer e restaurá-lo para esse estado.
A proteção de identidade para as contas de usuário usadas para administrar backups deve usar autenticação forte com MFA e deve usar PIM para acesso JIT. Certifique-se também de que sua infraestrutura de backup esteja protegida usando identidades secundárias de outro provedor de identidade, como identidades locais ou identidades de sistema local. Estas são conhecidas como contas de quebra de vidro.
Por exemplo, se o ataque cibernético tiver comprometido seu locatário do Microsoft Entra ID e você estiver impedido de usar uma conta de administrador do Microsoft Entra ID para acessar seus backups, a infraestrutura de backup deverá permitir uma entrada separada do locatário comprometido do Microsoft Entra ID.
Implementar um plano de aplicação de patches
Um plano de aplicação de patches inclui a configuração da atualização automática em todo o seu sistema operacional para que os patches sejam implementados rapidamente para evitar invasores que dependem de sistemas sem patches como vetores de ataque.
| Recurso | Description |
|---|---|
| Gerenciamento de endpoints na Microsoft | Comece com uma visão geral das soluções de gerenciamento de pontos finais da Microsoft. |
| Gestão de terminais | Comece com a documentação para gerenciar seus endpoints. |
| Aplicar Zero Trust à IaaS do Azure: automatize atualizações de máquinas virtuais | Configure atualizações automáticas para máquinas virtuais baseadas em Windows e Linux. |
| Configurações do Windows Update que você pode gerenciar por meio da política do Intune | Gerencie as configurações do Windows Update para Windows 10 e Windows 11 com o Microsoft Intune. |
Considere também atualizações e patches necessários para outros dispositivos, especialmente aqueles que:
Ofereça segurança.
Os exemplos incluem roteadores de acesso à Internet, firewalls, dispositivos de filtragem de pacotes e outros dispositivos intermediários de análise de segurança.
Fazem parte da sua infraestrutura BCDR.
Os exemplos incluem serviços de backup de terceiros locais ou on-line.
Crie recursos honeypot
Você cria deliberadamente recursos honeypot, como identidades, compartilhamentos de arquivos, aplicativos e contas de serviço, para que possam ser descobertos por invasores. Esses recursos são dedicados a atrair e enganar invasores e não fazem parte da sua infraestrutura de TI normal.
Seus recursos honeypot devem refletir alvos típicos para atacantes. Por exemplo:
- Nomes de conta de usuário que implicam acesso de administrador, mas não têm privilégios além dos recursos do honeypot.
- Recursos de compartilhamento de arquivos que têm nomes de arquivo que implicam dados confidenciais, como CustomerDatabase.xlxs, mas os dados são fictícios.
Depois de implantar seus recursos honeypot, use sua infraestrutura de proteção contra ameaças para monitorá-los e detetar um ataque precocemente. Idealmente, a deteção ocorre antes que o invasor determine que os recursos do honeypot são falsos e usa técnicas de transferência lateral para viver da terra, nas quais o invasor usa seus próprios aplicativos e ferramentas para atacar seus ativos. Durante o ataque aos recursos do honeypot, você também pode coletar informações sobre a identidade, métodos e motivações do atacante.
Com o novo recurso de fraude no Microsoft Defender XDR, você pode habilitar e configurar contas, hosts e iscas de chamariz com aparência autêntica. Os ativos falsos gerados pelo Defender XDR são então automaticamente implantados em clientes específicos. Quando um invasor interage com os engodos ou iscas, a capacidade de enganar gera alertas de alta confiança, ajudando as investigações da sua equipe de segurança e permitindo que eles observem os métodos e estratégias de um invasor.
Para obter mais informações, consulte a visão geral.
Introdução ao Microsoft Purview Insider Risk Management
O Microsoft Purview Insider Risk Management ajuda você a identificar, triar e agir rapidamente em atividades potencialmente arriscadas. Usando logs do Microsoft 365 e do Microsoft Graph, o gerenciamento de risco interno permite que você defina políticas específicas para identificar indicadores de risco. Exemplos de riscos internos dos utilizadores incluem:
- Fugas de dados sensíveis e derrame de dados
- Violações de confidencialidade
- Roubo de propriedade intelectual (PI)
- Investigação de
- Abuso de informação privilegiada
- Violações de conformidade regulatória
Depois de identificar os riscos, você pode tomar medidas para mitigar esses riscos e, se necessário, abrir casos de investigação e tomar as medidas legais apropriadas.
| Recurso | Description |
|---|---|
| Gestão de risco de iniciados | Comece com o conjunto de documentação. |
| Módulo: Gerenciar risco interno no Microsoft Purview | Saiba mais sobre o gerenciamento de riscos internos e como as tecnologias da Microsoft podem ajudá-lo a detetar, investigar e agir em atividades de risco em sua organização. |
| Módulo: Implementar o Microsoft Purview Insider Risk Management | Saiba como usar o Microsoft Purview Insider Risk Management para planejar sua solução de risco interno, criar políticas de gerenciamento de risco interno e gerenciar alertas e casos de gerenciamento de risco interno. |
Fase 3
Nesta etapa, você amplia seu escopo de backup e recuperação de site para incluir todos os dados corporativos e cargas de trabalho, aumenta sua capacidade de evitar ataques baseados em rede e cria um design e um plano mais formais para sua ameaça e resposta BCDR.
Implementar o Backup do Microsoft 365 e o Backup do Azure para todos os dados corporativos
Quando estiver satisfeito que o Backup do Microsoft 365 e o Backup do Azure estão funcionando para seus dados críticos e foram testados em exercícios de recuperação, agora você pode estendê-lo para incluir todos os seus dados corporativos.
Implementar o Azure Site Recovery para todas as cargas de trabalho
Quando estiver satisfeito que o Azure Site Recovery está funcionando para seus dados críticos e foi testado em exercícios de recuperação, agora você pode estendê-lo para incluir todos os seus dados corporativos.
Obtenha visibilidade do tráfego de rede
Os aplicativos em nuvem que abriram pontos de extremidade para ambientes externos, como a internet ou no local, correm o risco de ataques vindos desses ambientes. Para evitar esses ataques, você deve verificar o tráfego em busca de cargas maliciosas ou lógica.
Para obter mais informações, consulte Filtragem nativa da nuvem e proteção contra ameaças conhecidas.
Para obter informações adicionais sobre como obter visibilidade do tráfego de rede em ambientes do Azure, consulte Obter visibilidade do tráfego de rede.
Projete sua ameaça e resposta BCDR
As consequências de uma violação podem correr o espectro de um invasor infetando dispositivos com malware, que pode ser detetado e contido com relativa facilidade, até ataques de ransomware nos quais o invasor já exfiltrou, criptografou ou destruiu alguns ou todos os dados confidenciais da sua organização e está resgatando sua exposição ou restauração.
Em um ataque de ransomware incapacitante, sua organização pode sofrer uma interrupção de negócios de longo prazo que é semelhante em muitos aspetos a uma crise ou um desastre natural. Pense em uma violação e seu consequente ciberataque destrutivo como uma crise ou desastre causado pelo homem.
Portanto, é importante incluir violações e a possibilidade de um ataque cibernético altamente destrutivo em seu planejamento BCDR. A mesma infraestrutura que você usaria para continuar suas operações de negócios em uma crise ou após um desastre natural pode e deve ser usada para se recuperar de um ataque.
Se você já tiver um plano BCDR em vigor, revise-o para garantir que ele inclua os dados, dispositivos, aplicativos e processos que podem ser afetados em um ataque cibernético.
Caso contrário, inicie seu processo de planejamento para o BCDR geral e inclua ataques cibernéticos como fonte de crise ou desastre. Tenha em atenção que:
Os planos do BC garantem que o negócio possa funcionar normalmente em caso de crise.
Os planos de DR incluem contingências para recuperação de perda de dados ou infraestrutura por meio de backups de dados e substituição ou recuperação de infraestrutura.
Os planos de DR devem incluir procedimentos detalhados para recuperar seus sistemas de TI e processos para restaurar as operações de negócios. Esses planos devem ter um backup off-line, como em mídia portátil armazenada em um local com segurança física em vigor. Os atacantes podem procurar esses tipos de planos de recuperação de TI em seus locais locais e na nuvem e destruí-los como parte de um ataque de ransomware. Como a destruição desses planos tornará mais caro para você restaurar suas operações comerciais, os invasores podem exigir mais resgate.
O Backup do Microsoft 365, o Backup do Azure e o Azure Site Recovery descritos neste artigo são exemplos de tecnologias BCDR.
| Recurso | Description |
|---|---|
| Módulo: Projetar uma solução para backup e recuperação de desastres | Saiba como selecionar soluções de backup e soluções de recuperação de desastres apropriadas para cargas de trabalho do Azure. |
Fase 4
Nesta etapa, você protege ainda mais sua rede e garante que seu plano e processo BCDR funcione, praticando-o para situações de ciberataque destrutivo.
Descontinuar a tecnologia de segurança de rede herdada
Examine o conjunto de tecnologias e produtos que sua organização usa para fornecer segurança de rede e determine se eles são necessários ou redundantes com outros recursos de segurança de rede. Cada tecnologia de segurança de rede também pode ser um alvo para os atacantes. Por exemplo, se a tecnologia ou o produto não estiver sendo atualizado em tempo hábil, considere removê-lo.
Para obter mais informações, consulte Descontinuar a tecnologia de segurança de rede herdada, que descreve os tipos de tecnologias de segurança de rede que talvez não sejam mais necessárias.
Para obter informações adicionais sobre como descontinuar tecnologias de segurança de rede herdadas em ambientes do Azure, consulte Descontinuar tecnologia de segurança de rede herdada.
Pratique a ameaça e a resposta BCDR
Para garantir que suas operações de negócios possam se recuperar rapidamente de um ataque cibernético devastador, você deve praticar regularmente seu plano BCDR em conjunto com sua equipe SecOps. Considere a prática de BCDR para ataques cibernéticos uma vez por mês ou trimestre e quando elementos de sua infraestrutura BCDR mudarem, como o uso de um produto ou método de backup diferente.
Plano de adoção da cloud
Um plano de adoção é um requisito essencial para uma adoção bem-sucedida da nuvem. Os principais atributos de um plano de adoção bem-sucedido para implementar a prevenção e a recuperação de violações de segurança incluem:
- Estratégia e planejamento estão alinhados: ao elaborar seus planos para testar, pilotar e implantar recursos de prevenção de violações e recuperação de ataques em todo o seu patrimônio digital, certifique-se de rever sua estratégia e objetivos para garantir que seus planos estejam alinhados. Isso inclui marcos prioritários e alvo de metas para prevenção e recuperação de violações.
- O plano é iterativo: à medida que você começa a implementar seu plano, aprenderá muitas coisas sobre seu ambiente e o conjunto de recursos que está usando. Em cada etapa de sua implantação, reveja seus resultados em comparação com os objetivos e ajuste os planos. Por exemplo, você pode revisitar o trabalho anterior para ajustar suas políticas.
- O treinamento de sua equipe e usuários é bem planejado: de seus arquitetos de segurança a seus especialistas de TI para redes, dispositivos e BCDR, todos foram treinados para serem bem-sucedidos com suas responsabilidades de prevenção e recuperação de violações.
Para obter mais informações do Cloud Adoption Framework for Azure, consulte Plan for cloud adoption.
Fase pronta
Use os recursos listados neste artigo para priorizar seu plano. O trabalho de implementação da prevenção e recuperação de violações representa uma das camadas em sua estratégia de implantação de Zero Trust multicamadas.
A abordagem por etapas recomendada neste artigo inclui prevenção de violações em cascata e trabalho de recuperação de forma metódica em todo o seu patrimônio digital. Nesta fase, reveja estes elementos do plano para ter a certeza de que está tudo pronto:
- O uso do Microsoft Entra PIM foi testado para contas de administrador e seus administradores de TI são treinados para usá-lo
- Sua infraestrutura de rede foi testada para criptografia de dados conforme necessário, a segmentação para filtrar o acesso foi testada e as tecnologias de rede herdadas redundantes foram determinadas e os testes foram executados para garantir a operação se forem removidos
- As práticas de aplicação de patches do sistema foram testadas para a instalação bem-sucedida de atualizações e a deteção de atualizações com falha
- Você começou a analisar seus riscos internos e como gerenciá-los
- Seus recursos honeypot são implantados e foram testados junto com sua infraestrutura de proteção contra ameaças para detetar o acesso
- Sua infraestrutura e práticas BCDR foram testadas em um subconjunto de dados
Fase de adoção
A Microsoft recomenda uma abordagem iterativa em cascata para implementar a prevenção e a recuperação de violações. Isso permite que você refine sua estratégia e políticas à medida que avança para aumentar a precisão dos resultados. Não há necessidade de esperar até que uma fase esteja concluída antes de começar a próxima. Seus resultados são mais eficazes se você iterar ao longo do caminho.
Os principais elementos da fase de adoção da sua organização devem incluir:
- Habilitando o Microsoft Entra PIM para todas as suas contas de administrador e outras contas privilegiadas
- Implementação de criptografia de tráfego de rede, segmentação e remoção de sistemas legados
- Implantando recursos honeypot
- Implantando sua infraestrutura de gerenciamento de patches
- Analisar seus riscos internos e mapeá-los para o Insider Risk Management
- Implantando e praticando sua infraestrutura BCDR para dados críticos (Estágio 1) ou todos os dados corporativos (Estágio 3)
Governar e gerenciar fases
A governança da capacidade da sua organização de implementar a prevenção e a recuperação de violações é um processo iterativo. Ao criar cuidadosamente o seu plano de implementação e implementá-lo em todo o seu património digital, criou uma fundação. Use as tarefas a seguir para ajudá-lo a começar a construir seu plano de governança inicial para essa fundação.
| Objetivo | Tarefas |
|---|---|
| Rastrear e medir | Atribua proprietários para ações e projetos críticos, como educação de administrador de TI e gerenciamento de recursos honeypot, gerenciamento de patches, segurança de rede e procedimentos BCDR. Crie planos acionáveis com datas para cada ação e projeto e instrumente o progresso usando relatórios e painéis. |
| Monitor | - Acompanhar solicitações PIM e ações resultantes. - Monitorar o acesso aos recursos do honeypot. - Monitorar sistemas a serem corrigidos para falhas de instalação de atualizações. - Testar procedimentos BCDR para integridade completa e restauração. |
| Iterar para vencimento | - Levantamento da infraestrutura de rede para sistemas legados adicionais que podem ser removidos. - Adaptar a infraestrutura BCDR para novos recursos e funcionalidades. |
Passos Seguintes
Para este cenário de negócios:
- Prevenir ou reduzir os danos comerciais causados por uma violação
- Implementar proteção contra ameaças e XDR
Artigos adicionais na estrutura de adoção do Zero Trust:
- Visão geral da estrutura de adoção do Zero Trust
- Modernize rapidamente a sua postura de segurança
- Trabalho remoto e híbrido seguro
- Identificar e proteger dados comerciais confidenciais
- Atender aos requisitos normativos e de conformidade
Recursos de acompanhamento do progresso
Para qualquer um dos cenários de negócios do Zero Trust, você pode usar os seguintes recursos de controle de progresso.
| Recurso de acompanhamento do progresso | Isso ajuda-o... | Projetado para... |
|---|---|---|
Cenário de adoção Plano Fase Grade arquivo Visio ou PDF baixável 
|
Compreenda facilmente os aprimoramentos de segurança para cada cenário de negócios e o nível de esforço para os estágios e objetivos da fase Plano. | Líderes de projetos de cenário de negócios, líderes de negócios e outras partes interessadas. |
Rastreador de adoção Zero Trust para download Apresentação de slides do PowerPoint 
|
Acompanhe o seu progresso através das etapas e objetivos da fase Plano. | Líderes de projetos de cenário de negócios, líderes de negócios e outras partes interessadas. |
Objetivos do cenário de negócios e tarefas para download da pasta de trabalho do Excel 
|
Atribua propriedade e acompanhe seu progresso através dos estágios, objetivos e tarefas da fase Plano. | Líderes de projetos de cenário de negócios, líderes de TI e implementadores de TI. |
Para obter recursos adicionais, consulte Avaliação Zero Trust e recursos de acompanhamento de progresso.