Операционный центр по обеспечению кибербезопасности Майкрософт

  • Статья

Sharing Microsoft's best practices to protect, detect, and respond to cybersecurity threats

Кибербезопасность — это общая ответственность, которая касается всех нас. Сегодня достаточно одной бреши, физической или виртуальной, чтобы нанести ущерб организации на миллионы долларов и потенциально привести к миллиардным финансовым потерям для мировой экономики. Каждый день мы видим сообщения о том, что киберпреступники атакуют предприятия и частных лиц с целью получения финансовой выгоды или социальных привилегий. К этим угрозам можно добавить угрозы со стороны носителей государственных интересов, стремящихся сорвать операции, осуществить шпионаж или в целом подорвать доверие к компании.

В этом обзоре рассказывается о состоянии сетевой безопасности, злоумышленниках и сложных тактиках, которые они используют для достижения своих целей, а также о том, как Центр киберзащиты Майкрософт ведет борьбу с этими угрозами и оказывает помощь клиентам в защите их конфиденциальных приложений и данных.



Microsoft Cyber Defense Operations Center

Центр киберзащиты Майкрософт

Корпорация Майкрософт глубоко привержена идее сделать Интернет более безопасным. Стратегии кибербезопасности нашей компании были разработаны на основе тщательного наблюдения за быстро меняющимся характером киберугроз.

Инновации в области атак на отдельных лиц, определенные места и процессы требуют от всех нас постоянных инвестиций, поскольку злоумышленники продолжают развиваться, становясь все более решительными и изощренными. В ответ на возрастающие инвестиции многих организаций в стратегии защиты злоумышленники адаптируют и совершенствуют тактику своих атак с головокружительной скоростью. К счастью, киберзащитники, как, например, команды глобальной информационной безопасности корпорации Майкрософт, также внедряют инновации и срывают уже давно применяемые методы атак с помощью постоянного повышения квалификации и использования современных технологий, инструментов и процессов безопасности.

Центр киберзащиты Майкрософт (CDOC) является одним из таких примеров. Каждый год туда инвестируется более 1 миллиарда долларов США. Эти средства идут на обеспечение безопасности, защиту данных и управление рисками. CDOC объединяет специалистов по кибербезопасности и исследователей данных центре для борьбы с угрозами, круглосуточно работающем в режиме реального времени. К нам подключено более 3 500 специалистов по безопасности со всего мира, которые работают в группах по разработке продуктов, группах информационной безопасности и юридических отделах, чтобы защитить нашу облачную инфраструктуру и службы, продукты и устройства, а также внутренние ресурсы.

Корпорация Майкрософт инвестировала более 15 миллиардов долларов США в нашу облачную инфраструктуру, при этом более 90 процентов компаний из списка Fortune 500 используют облако Майкрософт. Сегодня мы владеем и управляем одной из крупнейших в мире облачных сетей с более чем 100 распределенными по географическому принципу центрами обработки данных, 200 облачными службами, миллионами устройств и миллиардом клиентов по всему миру.

Субъекты и мотивы угроз кибербезопасности

Первый шаг к защите отдельных лиц, устройств, данных и ключевой инфраструктуры — это понимание различных типов злоумышленников и их мотивов.
  • Есть несколько категорий киберпреступников, хотя зачастую все они имеют общие мотивы — захват финансов, секретных данных, а также получение социальных или политических выгод. Их подход обычно простой: они проникают в систему финансовых данных, снимают микросуммы, слишком маленькие для обнаружения, и уходят до того, как их обнаружат. Постоянное тайное присутствие имеет решающее значение для достижения цели.

    Их подходом может быть вторжение, в результате которого крупная финансовая выплата проходит через лабиринт счетов, что позволяет избежать отслеживания и оперативного вмешательства. Иногда целью является кража интеллектуальной собственности, которой обладает целевой объект. Тогда киберпреступник выступает в качестве посредника, чтобы передать дизайн продукта, исходный код программного обеспечения или другую конфиденциальную информацию, имеющую ценность для конкретного объекта. Более половины этих действий совершается организованными преступными группами.

  • Носители государственных интересов работают на государственные организации. Их целью является скомпрометировать или ослабить целевые государственные учреждения, организации или отдельных лиц, чтобы получить доступ к ценным или разведывательным данным. Они активно вовлечены в сферу международных отношений, чтобы влиять на результат, который может принести пользу той или иной стране или странам. Цель носителя государственных интересов заключается в том, чтобы помешать проведению важных операций, шпионить за корпорациями, выкрадывать конфиденциальные данные правительств других стран и вести прочую подрывную деятельность против институтов государственной власти. В их распоряжении находятся большие ресурсы — от самых простых до очень сложных. Имея такой арсенал инструментов, они не боятся попасть в руки правосудия.

    Носители государственных интересов часто прибегают к услугам самых талантливых специалистов по взлому данных и нередко доводят свои средства до полного совершенства. Совершая несанкционированный доступ, они используют подход создания высокотехнологичной, постоянно действующей угрозы, применяя сверхмощную вычислительную технику, чтобы получить доступ к учетным путем миллионов попыток подбора правильного пароля. Они также могут использовать гиперцелевые фишинговые атаки, чтобы побудить внутреннего пользователя раскрыть свои учетные данные.

  • Устранять угрозы, исходящие от лица, имеющего доступ к конфиденциальной информации, — особо сложная задача, так как человеческое поведение непредсказуемо. Мотивация лица, имеющего доступ к конфиденциальной информации, может быть коварной и направленной на получение финансовой выгоды. Однако для создания такой угрозы существует множество причин — от простой небрежности до изощренных схемами. Многие утечки данных в результате таких угроз являются совершенно непреднамеренными из-за случайных или небрежных действий пользователей, которые подвергают организацию риску, не зная об имеющейся уязвимости.

  • Хакер-активисты сосредотачиваются на политических или социально мотивированных атаках. Они стремятся быть заметными и узнаваемыми в новостях, чтобы привлечь внимание к себе и своему делу. К их тактике относятся распределенные атаки типа "отказ в обслуживании" (DDoS), использование уязвимостей или нарушение доступности присутствия в сети. Любая компания или организация может стать их мишенью, если ее деятельность связана с определенной общественной или политической проблематикой. Социальные сети позволяют хакер-активистам оперативно пропагандировать свое дело и тем самым привлекать других к участию в нем.


$4 million is the average cost of data breach in 2017

Технические средства злоумышленников

Злоумышленники умело находят способы проникновения в сеть организации, несмотря на установленные средства защиты, используя различные сложные технические средства. Некоторые методы известны с первых дней существования Интернета, однако другие отражают креативность и растущую изощренность современных злоумышленников.

  • Социотехника — это широкий термин для обозначения атаки, во время которой злоумышленники обманом заставляют пользователей совершать какие-либо действия или разглашать информацию, на что они не решились бы при обычных обстоятельствах. Социотехника использует благие намерения большинства людей и их желание быть полезными, избегать проблем, доверять знакомым источникам или иметь потенциальную возможность получить какое-либо вознаграждение. Под определение социотехники могут подпадать и другие векторы атак. Ниже перечислены некоторые признаки, по которым тактику социотехники легче распознать и защититься от нее.
    • Фишинговые сообщения электронной почты являются эффективным средством, поскольку они противостоят самому слабому звену в цепи безопасности — обычным пользователям, которые обычно не задумываются о сетевой безопасности. Фишинговая кампания может побудить или запугать пользователя, чтобы он непреднамеренно поделился своими учетными данными, обманом заставив его перейти по ссылке, которая, как он думает, ведет на надежный сайт, или загрузить файл, содержащий вредоносный код. Раньше фишинговые сообщения электронной почты были плохо написаны и легко распознавались. Сегодня злоумышленники научились имитировать легитимные электронные письма и целевые сайты, которые трудно идентифицировать как мошеннические.
    • Спуфинг удостоверений предполагает, что злоумышленник маскируется под другого законного пользователя, подделывая информацию, представленную приложению или сетевому ресурсу. Примером может служить электронное письмо, которое, как вам кажется, содержит адрес коллеги, запрашивающего какое-либо действие, но за этим адресом скрывается реальный источник отправителя сообщения электронной почты. Аналогичным образом может быть подменен URL-адрес, чтобы выглядеть как надежный сайт, но фактический IP-адрес на самом деле указывает на сайт киберпреступника.

  • Вредоносные программы существуют с самого момента появления компьютеров. Сегодня мы наблюдаем значительный рост количества программ-шантажистов и вредоносного кода, специально предназначенного для шифрования устройств и данных. Затем киберпреступники требуют оплату в криптовалюте за ключи для разблокировки и возвращения контроля управления своей жертве. Это может произойти как на индивидуальном уровне с вашим компьютером и файлами данных, так и на уровне целого предприятия. Использование программ-шантажистов особенно примечательно в сфере здравоохранения, поскольку последствия простоя сети в таких организациях очень значительны — это жизнь или смерть.

  • Внедрение в цепочку поставок является примером творческого подхода к запуску вредоносных программ в сети. Например, перехватив процесс обновления приложения, злоумышленник обходит средства защиты от вредоносных программ. Мы видим, что эта техника становится все более распространенной, и эта угроза будет расти до тех пор, пока разработчики приложений не внедрят в программное обеспечение более комплексные средства защиты.

  • Атаки типа злоумышленник в середине подразумевают, что злоумышленник вставляет себя между пользователем и ресурсом, к которому он получает доступ, перехватывая таким образом важную информацию, например учетные данные пользователя. Например, сидя в кафе, киберпреступник может запустить программное обеспечение для взлома, чтобы перехватывать доменные учетные данные посетителей, когда те подключаются к местной сети Wi-Fi. Затем злоумышленник может получить доступ к конфиденциальной информации пользователя, такой как банковские и личные данные, чтобы потом использовать или продать в теневом Интернете.

  • Распределенные атаки типа "отказ в обслуживании" (DDoS) существуют уже более десяти лет, и массовые атаки становятся все более распространенными в связи с быстрым развитием Интернета вещей (IoT). При использовании этой техники злоумышленник перегружает сайт, забрасывая его вредоносным трафиком, который вытесняет приемлемые запросы. Заранее установленные вредоносные программы часто используются для взлома IoT-устройств, таких как веб-камера или умный термостат. При атаке DDoS входящий трафик из разных источников перегружает сеть многочисленными запросами. Это перегружает серверы и запрещает доступ приемлемых запросов. Многие атаки включают также подмену IP-адресов отправителей (спуфинг IP-адресов), чтобы местоположение компьютеров злоумышленников было сложно определить и обезвредить их.

    Часто атака типа "отказ в обслуживании" используется для прикрытия или отвлечения внимания от более изощренных попыток проникновения в организацию обманным путем. В большинстве случаев цель противника — получить доступ к сети, используя скомпрометированные учетные данные, а затем двигаться по сети, чтобы получить доступ к более "весомым" учетным данным, которые являются ключами к наиболее конфиденциальной и ценной информации в организации.


90% of all cyberattacks start with a phishing email

Милитаризация киберпространства

Растущая возможность кибервойны — одна из главных причин сегодняшнего беспокойства правительств и обычных граждан по всему миру. Она заключается в использовании государствами компьютеров и сетей в военных целях.

Для проведения кибератак, шпионажа и саботажа используются как наступательные, так и оборонительные операции. Государства развивают свои возможности и участвуют в кибервойнах либо как агрессоры, либо как обороняющиеся стороны, либо как те и другие на протяжении многих лет.

Новые средства и тактики угроз, разработанные благодаря инвестициям в передовые военные возможности, также могут быть взломаны, а киберугрозы могут распространяться в Интернете и превратиться в оружие для дальнейшего использования.

Позиция корпорации Майкрософт в области кибербезопасности

Хотя безопасность всегда была приоритетом для корпорации Майкрософт, мы должны признать, что цифровой мир требует постоянного совершенствования наших обязательств в отношении защиты, обнаружения и реагирования на угрозы кибербезопасности. Эти три обязательства определяют наш подход к защите от кибератак и служат полезной основой для обсуждения стратегий и возможностей кибербезопасности корпорации Майкрософт.

ЗАЩИТА

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

Защита

Первым обязательством корпорации Майкрософт является защита вычислительной среды, используемой нашими клиентами и сотрудниками, для обеспечения устойчивости нашей облачной инфраструктуры и служб, продуктов, устройств и внутренних корпоративных ресурсов компании от действий решительно настроенных злоумышленников.

Защитные меры команд CDOC охватывают все конечные точки, от датчиков и центров обработки данных до удостоверений и приложений типа "программное обеспечение как услуга" (SaaS). Глубокая защита — применение элементов управления на нескольких уровнях с дублирующимися защитными мерами и стратегиями снижения рисков. Это является лучшей практикой в отрасли, и именно такой подход мы используем для защиты ценных активов наших клиентов и корпораций.

Тактика защиты корпорации Майкрософт включает в себя следующее:

  • Расширенный мониторинг и контроль физического окружения наших глобальных центров данных, в том числе камер, отбор персонала, ограждения и барьеры, а также многочисленные методы идентификации для физического доступа.

  • Программно-определяемые сети, защищающие нашу облачную инфраструктуру от вторжений и атак DDoS.

  • Для контроля идентификации и управления доступом в нашей инфраструктуре используется многофакторная проверка подлинности. Это гарантирует, что критически важные ресурсы и данные защищены по крайней мере двумя из следующих средств:
    • что-то, что вы знаете (пароль или ПИН-код);
    • Что-то, относящееся непосредственно к вам (биометрические данные).
    • что-то, что у вас есть (смартфон).
  • При непостоянном администрировании используются привилегии JIT и JEA для инженерно-технического персонала, управляющего инфраструктурой и службами. Это обеспечивает уникальный набор учетных данных для повышенного статуса доступа, который автоматически исчезает по истечении ранее установленного срока.

  • Надлежащая защита от вредоносных программ и соблюдение строгих правил установки исправлений и управления конфигурацией строго соблюдаются.

  • Группа исследователей Центра Майкрософт по защите от вредоносных программ выявляет, реконструирует и разрабатывает сигнатуры вредоносных программ, а затем развертывает их в нашей инфраструктуре для расширенного обнаружения и защиты. Эти сигнатуры распространяются среди наших сотрудников группы реагирования, клиентов и представителей отрасли с помощью Обновления Windows и уведомления для защиты их устройств.

  • Жизненный цикл разработки защищенных приложений Майкрософт (SDL) — это процесс разработки программного обеспечения, который помогает разработчикам создавать более безопасное программное обеспечение и выполнять требования по соблюдению безопасности, снижая при этом стоимость разработки. SDL используется для защиты всех приложений, онлайн-служб и продуктов, а также для регулярной проверки их эффективности с помощью тестирования на проникновение и сканирования уязвимостей.

  • Моделирование угроз и анализ поверхности атаки обеспечивает оценку потенциальных угроз, оценку уязвимых аспектов услуги и минимизацию поверхности атаки путем ограничения служб или устранения ненужных функций.

  • Классификацию данных в соответствии с уровнем их конфиденциальности и принятие соответствующих мер для их защиты, включая шифрование при передаче и хранении, а также соблюдение принципа доступа с минимальными привилегиями обеспечивает дополнительную защиту. • Ознакомительное обучение, способствующее установлению доверительных отношений между пользователем и командой безопасности, для создания среды, в которой пользователи будут сообщать об инцидентах и аномалиях, не опасаясь последствий.

Наличие обширного набора элементов управления и стратегия глубокой защиты позволяет гарантировать, что в случае сбоя одной области существуют компенсирующие элементы управления в других областях, помогающие обеспечить безопасность и конфиденциальность наших клиентов, облачных служб и нашей собственной инфраструктуры. Однако на сегодня ни одна среда не является по-настоящему непроницаемой, поскольку люди будут совершать ошибки, а решительные злоумышленники будут продолжать искать уязвимости и использовать их. Значительные инвестиции, которые мы продолжаем вкладывать в эти уровни защиты и базовый анализ, позволяют нам быстро определять наличие аномальной активности.

ОБНАРУЖЕНИЕ

57+ days is the industry's median number of days between infiltration and detection

Обнаружить

Команды CDOC используют автоматизированное программное обеспечение, машинное обучение, анализ поведения и методы ретроспективного анализа для создания интеллектуального графа безопасности нашей среды. Этот сигнал дополняется контекстно-зависимыми метаданными и моделями поведения, созданными на основе таких источников, как Active Directory, системы управления ресурсами и конфигурацией, а также журналы событий.

Наши щедрые инвестиции в аналитику безопасности создают мощные профили поведения и прогнозные модели, позволяющие "подключаться к точкам" и выявлять сложные угрозы, которые в противном случае могли быть незамеченными, а затем противодействовать строгому сдерживанию и согласованным действиями по исправлению.

Корпорация Майкрософт также использует специально разработанное ПО для обеспечения безопасности наряду с ведущими в отрасли средствами и машинным обучением. Наша система анализа угроз постоянно совершенствуется благодаря автоматическому обогащению данных для более быстрого обнаружения вредоносной активности и составления отчетов с высокой точностью. Сканирование уязвимостей проводится регулярно для проверки и уточнения эффективности защитных мер. Масштабы инвестиций корпорации Майкрософт в экосистему безопасности и разнообразие сигналов, отслеживаемых командами CDOC, обеспечивают более полное представление об угрозах, чем это может быть достигнуто большинством поставщиков услуг.

Тактика обнаружения корпорации Майкрософт включает в себя следующее:

  • Мониторинг сетевой и физической среды 24x7x365 на предмет потенциальных событий кибербезопасности. Профилирование поведения, основанное на моделях использования и понимании уникальных угроз для наших служб.

  • Анализ удостоверений и поведения, который разрабатывается для выявления аномальной активности.

  • Программные средства и методы машинного обучения, которые регулярно используются для обнаружения и выявления нарушений.

  • Передовые аналитические средства и процессы для дальнейшего выявления аномальной активности и инновационных возможностей корреляции. Это позволяет создавать обнаружения с высокой степенью контекста на основе огромных объемов данных практически в режиме реального времени.

  • Автоматизированные процессы на основе программного обеспечения, которые постоянно проверяются и совершенствуются для повышения эффективности.

  • Специалисты по анализу данных и эксперты по безопасности регулярно работают бок о бок для устранения непредвиденных событий, которые проявляют необычные характеристики, требующие дальнейшего анализа целевых объектов. Затем они могут определить возможные меры реагирования и исправления последствий.

РЕАГИРОВАНИЕ

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

Respond

Когда корпорация Майкрософт обнаруживает аномальную активность в наших системах, она запускает группы реагирования для того, чтобы задействовать их и быстро отреагировать. Уведомления от программных систем обнаружения проходят через наши автоматизированные системы реагирования, использующие алгоритмы, основанные на оценке рисков, чтобы отметить события, требующие вмешательства нашей группы реагирования. Время на устранение последствий имеет первостепенное значение, и наша автоматизированная система предоставляет сотрудникам группы реагирования актуальную и действенную информацию, которая ускоряет процесс рассмотрения, устранения рисков и восстановления.

Для управления инцидентами безопасности в таких огромных масштабах мы развертываем многоуровневую систему для эффективного распределения задач реагирования на нужные ресурсы и содействия рациональному пути эскалации.

Тактика реагирования корпорации Майкрософт включает в себя следующее:

  • Автоматизированные системы реагирования используют алгоритмы, основанные на оценке рисков, чтобы отмечать события, требующие вмешательства человека.

  • Автоматизированные системы реагирования используют алгоритмы, основанные на оценке рисков, чтобы отмечать события, требующие вмешательства человека.

  • Хорошо определенные, документированные и масштабируемые процессы реагирования на инциденты в рамках модели постоянного совершенствования помогают нам опережать злоумышленников, делая их беззащитными перед сотрудниками группы реагирования.

  • Экспертная компетентность наших команд в различных областях безопасности предоставляет широкий набор навыков по устранению инцидентов. Это опыт в области безопасности касательно реагирования на инциденты, ретроспективного анализа и анализа вторжений; глубокое понимание работы платформ, служб и приложений, работающих в наших облачных центрах данных.

  • Широкий корпоративный поиск в облачных, гибридных и локальных данных и системах для определения области инцидента.

  • Глубокий ретроспективный анализ основных угроз выполняется специалистами, чтобы понимать причины инцидентов и помогать в их локализации и искоренении. • Программные средства Майкрософт для обеспечения безопасности, а также автоматизация и гипермасштабная облачная инфраструктура позволяют нашим специалистам по безопасности сократить время на обнаружение, исследование, анализ, реагирование и восстановление после кибератак.

  • Ко всем продуктам и службам корпорации Майкрософт применяется тест на проникновение в процессе постоянного обучения команд управления или групп специалистов с расследованием нарушений безопасности. Эти учения предназначены для выявления уязвимостей до того, как реальный злоумышленник сможет использовать эти слабые места для атаки.

Киберзащита для наших клиентов

Нас часто спрашивают, какие средства и процессы наши клиенты могут перенять для своей среды и как Майкрософт может помочь в их внедрении. Корпорация Майкрософт объединила многие продукты и службы киберзащиты, которые мы используем в CDOC, в целый ряд продуктов и служб. Команды Группы корпоративной кибербезопасности Майкрософт и Службы консультаций Майкрософт взаимодействуют с нашими клиентами, предоставляя им решения, наиболее соответствующие их конкретным потребностям и требованиям.

Одним из первых шагов, которые настоятельно рекомендует корпорация Майкрософт, является создание фундамента безопасности. Наши базовые службы обеспечивают защиту от критических атак и основные услуги по разрешению удостоверений, которые помогут вам обеспечить защиту активов. Эта основа поможет вам ускорить процесс цифровой трансформации и перейти к более безопасной современной корпоративной среде.

Опираясь на эту основу, клиенты могут использовать решения, которые доказали свою успешность в работе с другими клиентами Майкрософт и были развернуты в собственных ИТ-средах и средах облачных служб Майкрософт. Для получения дополнительной информации о наших средствах, возможностях и сервисных предложениях в области корпоративной кибербезопасности посетите сайт Microsoft.com/security и свяжитесь с нашими специалистами по адресу cyberservices@microsoft.com.

Рекомендации по защите вашей среды

Инвестируйте в свою платформу Инвестируйте в оборудование Инвестируйте в сотрудников
Для обеспечения гибкости и масштабируемости требуется планирование и создание платформы Убедитесь, что вы всесторонне изучили элементы своей платформы Квалифицированные аналитики и исследователи данных — основа защиты, а пользователи — новый периметр безопасности
Ведите документально оформленную инвентаризацию своих активов Приобретите или создайте средства, необходимые для полного мониторинга сети, узлов и журналов Установите взаимоотношения и линии связи между группой реагирования на инциденты и другими группами
Имейте четко определенную политику безопасности с четкими стандартами и руководством для вашей организации Заблаговременно поддерживайте элементы управления и меры, а также регулярно проверяйте их точность и эффективность Примите концепцию минимальных привилегий администратора; исключите постоянные права администратора
Поддерживайте надлежащую защиту — большинство атак можно предотвратить с помощью своевременных исправлений и антивирусных программ Поддерживайте жесткий контроль над политикой управления изменениями Используйте процесс получения уроков, чтобы извлечь пользу из каждого крупного инцидента
Используйте многофакторную проверку подлинности для усиления защиты учетных записей и устройств Отслеживайте аномальную активность учетных записей и учетных данных для обнаружения нарушений Привлекайте и обучайте пользователей, а также расширяйте их возможности для распознавания вероятных угроз и их собственной роли в защите бизнес-данных