Функции и ресурсы Azure, помогающие обеспечить защиту, обнаруживать атаки и реагировать на них

Корпорация Майкрософт вложила средства в собственные возможности безопасности Azure, которые организации могут использовать для отражения методов атак программ-шантажистов, используемых как в массовых повседневных атаках, так и в сложных целевых атаках.

Ключевые возможности:

• Встроенное обнаружение угроз: Microsoft Defender для облака предоставляет возможности обнаружения угроз и реагирования на них высокой степени надежности, также называемые расширенным обнаружением и реагированием (XDR). Это поможет вам:
  • Не тратить время и ограниченные ресурсы безопасности для создания пользовательских оповещений с помощью необработанных журналов действий.
  • Обеспечение эффективного мониторинга безопасности, что часто позволяет командам безопасности быстро утверждать использование служб Azure.
• Без пароля и многофакторная проверка подлинности: многофакторная проверка подлинности Microsoft Entra, приложение Microsoft Entra Authenticator и Windows Hello предоставляют эти возможности. Это помогает защитить учетные записи от распространенных атак паролей (которые составляют 99,9% от объема атак удостоверений, которые мы видим в идентификаторе Microsoft Entra). Несмотря на то, что не существует идеальной защиты, устранение векторов атак только на пароли значительно снижает риск атаки программ-шанстажистов на ресурсы Azure.
• Встроенный брандмауэр и сетевая безопасность: Microsoft встроила в Azure встроенные средства защиты от атак DDoS, брандмауэр, брандмауэр веб-приложений и многие другие элементы управления. Такая безопасность "как услуга" помогает упростить настройку и внедрение средств управления безопасностью. Это дает организациям возможность выбора между собственными службами или версиями виртуальных модулей знакомых поставщиков для упрощения безопасности Azure.

Microsoft Defender для облака

Защитник Майкрософт для облака — это встроенное средство, обеспечивающее защиту от угроз для рабочих нагрузок, выполняемых в Azure, локальной среде и в других облаках. Он защищает ваши гибридные данные, собственные облачные сервисы и серверы от программ-шантажистов и других угроз; и интегрируется с вашими существующими рабочими процессами безопасности, такими как ваше решение SIEM и обширная аналитика угроз Майкрософт, чтобы упростить устранение угроз.

Microsoft Defender для облака обеспечивает защиту всех ресурсов непосредственно в среде Azure и распространяет защиту на локальные и многооблачные виртуальные машины и базы данных SQL с помощью Azure Arc:

• защищает службы Azure;
• защищает гибридные рабочие нагрузки;
• Оптимизация безопасности с помощью средств ИИ и автоматизации
• обнаруживает и блокирует сложные вредоносные программы и угрозы для серверов Linux и Windows в любом облаке;
• защищает облачные службы от угроз;
• защищает службы данных от атак программ-шантажистов;
• защищает управляемые и неуправляемые устройства IoT и OT с помощью непрерывного обнаружения активов, управления уязвимостями и мониторинга угроз.

Microsoft Defender для облака предоставляет инструменты для обнаружения и блокировки программ-шантажистов, сложных вредоносных программ и угроз для ваших ресурсов.

Обеспечение безопасности ресурсов достигается взаимодействием поставщика облачных служб, Azure, и вас, клиента. При переходе в облако вы должны обеспечить надежность ваших рабочих нагрузок. Кроме того, при переходе по варианту IaaS (инфраструктура как услуга) именно клиент несет больше ответственности, чем в случае использования вариантов PaaS (платформа как услуга) и SaaS (программное обеспечение как услуга). Microsoft Defender для облака предоставляет средства, необходимые для усиления безопасности вашей сети, защиты служб и гарантии того, что ваши системы находятся на верхнем уровне безопасности.

Microsoft Defender для облака — единая система управления безопасностью инфраструктуры, которая повышает уровень защищенности центров обработки данных и предоставляет расширенную защиту от угроз в гибридных рабочих нагрузках в облаке независимо от того, находятся ли они в Azure или нет, а также локально.

Защита от угроз Defender для облака позволяет обнаруживать и предотвращать угрозы на уровне инфраструктуры как услуги (IaaS), серверов за пределами Azure, а также на уровне платформы как услуги (PaaS) в Azure.

В средстве "Defender для облака" защита от угроз включает комплексный анализ цепочки кибератак, при которой средство автоматически сопоставляет оповещения в среде на основе анализа цепочки кибератак, чтобы помочь лучше понять полную историю кампании атаки, откуда она была запущена и какое влияние имела на ваши ресурсы.

Основные возможности:

• Непрерывная оценка безопасности: выявление компьютеров Windows и Linux с отсутствующими обновлениями безопасности или небезопасными настройками ОС и уязвимыми конфигурациями Azure. Добавление необязательных списков видео к просмотру или событий, которые необходимо отслеживать.
• Практические рекомендации: быстро устраняйте уязвимости в системе безопасности, используя приоритетные практические рекомендации по безопасности.
• Централизованное управление политиками: Обеспечьте соответствие стандартам компании или нормативным требованиям безопасности за счет централизованного управления политиками во всех гибридных облачных нагрузках.
• Обширная отраслевая аналитика угроз: обнаруживайте новые и развивающиеся угрозы безопасности с помощью службы Microsoft Intelligent Security Graph, которая использует миллиарды сигналов служб и систем Майкрософт по всему миру.
• Расширенная аналитика и машинное обучение: используйте встроенную аналитику поведения и машинное обучение для обнаружения известных шаблонов атак и действий после нарушений.
• Адаптивные элементы управления приложениями: блокируйте вредоносные и другие нежелательные программы, используя рекомендации списка разрешений с поддержкой машинного обучения, адаптированных к определенным рабочим нагрузкам.
• Приоритетные предупреждения и временные шкалы атак: сосредоточьтесь на важнейших угрозах, используя приоритетные средства оповещения и инциденты системы безопасности, которые сопоставлены с одной кампанией атаки.
• Упрощенный анализ: быстро исследуйте область и влияние атак с помощью визуальных интерактивных средств. Используйте нерегламентированные запросы для более глубокого исследования данных безопасности.
• Автоматизация и оркестрация: автоматизируйте стандартные рабочие процессы безопасности для быстрого устранения угроз с помощью встроенной интеграции с Azure Logic Apps. Создайте сборники схем безопасности, которые могут маршрутизировать предупреждения в существующую систему отправки запросов или инициировать действия реагирования на инциденты.

Microsoft Sentinel

Метка Microsoft Sentinel помогает создать полное представление о цепочке нарушения безопасности

С помощью Sentinel вы можете подключиться к любому из ваших источников безопасности, используя встроенные соединители и отраслевые стандарты, а затем воспользоваться преимуществами искусственного интеллекта для корреляции нескольких сигналов низкого уровня точности, охватывающих несколько источников, чтобы создать полное представление о цепочке нарушения безопасности программ-шантажистов и расставить приоритеты предупреждений, чтобы средства защиты могли ускорить лишение злоумышленников доступа.

Microsoft Sentinel позволяет получить комплексное представление о происходящем на предприятии. Решение уменьшает нагрузку, вызванную все более изощренными атаками, увеличением количества предупреждений и длительными интервалами времени, требующимися для решения проблем.

Собирайте данные в масштабе облака по всем пользователям, устройствам, приложениям и инфраструктуре в локальной среде и в множестве облаков.

Выявляйте угрозы, которые ранее не удавалось обнаружить, и уменьшайте количество ложных срабатываний с помощью решений для анализа и не имеющих аналогов средств аналитики угроз от Майкрософт.

Исследуйте угрозы с помощью искусственного интеллекта и выявляйте подозрительные действия в любом масштабе, воспользовавшись преимуществами решений Майкрософт, разработанными на основе многолетнего опыта в сфере кибербезопасности.

Оперативное реагирование на инциденты с помощью встроенных средств оркестрации и автоматизации стандартных задач.

Встроенная защита от угроз с помощью Microsoft Defender для облака

Microsoft Defender для облака сканирует виртуальные машины в рамках подписки Azure и дает рекомендации по развертыванию защиты конечных точек, если существующее решение не обнаружено. С этой рекомендацией можно ознакомиться в разделе "Рекомендации":

Microsoft Defender для облака предоставляет оповещения системы безопасности и расширенную защиту от угроз для виртуальных машин, баз данных SQL, контейнеров, веб-приложений, сети и т. д. Когда Microsoft Defender для облака обнаруживает угрозу в любой области вашей среды, он создает оповещение безопасности. В этих оповещениях содержатся сведения об оказавшихся под угрозой ресурсах и предлагаемые действия по исправлению. В некоторых случаях предоставляется также возможность запуска приложения логики в ответ на угрозу.

Это оповещение является примером оповещения об обнаружении программы-шантажиста Petya:

Собственное решение Azure для резервного копирования защищает ваши данные

Одним из важных способов, с помощью которого организации могут помочь защититься от потерь в результате атаки программ-шантажистов, является создание резервной копии критически важной для бизнеса информации на случай отказа других средств защиты. Поскольку злоумышленники, использующие программы-вымогатели, вкладывают значительные средства в нейтрализацию приложений резервного копирования и функций операционной системы, таких как теневое копирование томов, очень важно, чтобы резервные копии были недоступны вымогателям. Благодаря гибкому решению для обеспечения непрерывности бизнес-процессов и аварийного восстановления, а также ведущим в отрасли средствам защиты и безопасности данных облако Azure предлагает службы безопасности для защиты данных.

• Azure Backup: служба Azure Backup предоставляет простое, безопасное и экономичное решение для резервного копирования виртуальной машины Azure. В настоящее время Azure Backup поддерживает резервное копирование всех дисков (ОС и дисков данных) на виртуальной машине с помощью решения резервного копирования для виртуальной машины Azure.
• Аварийное восстановление Azure: при аварийном восстановлении из локальной среды в облако или из одного облака в другое можно избежать простоев и поддерживать работоспособность своих приложений.
• Встроенные средства безопасности и управления в Azure: чтобы добиться успеха в эпоху облачных вычислений, предприятия должны иметь средства визуализации или метрики и элементы управления для каждого компонента, чтобы эффективно выявлять проблемы, оптимизировать и масштабировать, гарантируя при этом безопасность, соответствие требованиям и политики для обеспечения скорости.

Гарантированный и защищенный доступ к вашим данным

Azure обладает длительным опытом управления глобальными центрами обработки данных, которые поддерживаются инвестициями Майкрософт в инфраструктуру на сумму 15 миллиардов долларов, в условиях постоянной оценки и улучшения (с учетом текущих инвестиций и улучшений).

Основные возможности:

• Azure поставляется с локально избыточным хранилищем (LRS), в котором данные хранятся локально, а также с геоизбыточным хранилищем (GRS) во втором регионе.
• Все данные, хранящиеся в Azure, защищаются с помощью расширенного процесса шифрования, а все центры обработки данных Майкрософт имеют двухфакторную проверку подлинности, бесконтактные считыватели идентификационных карточек, биометрические сканеры
• У Azure больше сертификатов, чем у любого другого поставщика общедоступных облачных служб на рынке, включая ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 и множество международных спецификаций.

Дополнительные ресурсы

• Microsoft Cloud Adoption Framework для Azure
• Создание отличных решений с помощью платформы Microsoft Azure Well-Architected Framework
• Основные рекомендации по обеспечению безопасности в Azure
• Базовые показатели безопасности
• Центр ресурсов Microsoft Azure
• Руководство по миграции Azure
• Ответственные за управление соответствием требованиям безопасности
• Реагирование на инциденты в системе управления безопасностью Azure
• Центр руководств по модели "Никому не доверяй"
• Azure Брандмауэр веб-приложений
• VPN-шлюз Azure
• Многофакторная проверка подлинности Microsoft Entra (MFA)
• Защита идентификации Microsoft Entra
• Условный доступ Microsoft Entra
• документация по Microsoft Defender для облака

Заключение

Корпорация Майкрософт уделяет большое внимание как безопасности нашего облака, так и предоставлению вам элементов управления безопасностью, необходимых для защиты ваших облачных рабочих нагрузок. В качестве лидера в области кибербезопасности мы работаем над тем, чтобы сделать мир более безопасным. Это отражено в нашем комплексном подходе к предотвращению и обнаружению программ-шантажистов в нашей структуре безопасности, проектах, продуктах, юридических мерах, отраслевых партнерствах и услугах.

Мы рассчитываем на сотрудничество с вами в решении комплексных задач по защите, обнаружению и предотвращению проникновения программ-шантажистов.

Обращайтесь к нам:

• AskAzureSecurity@microsoft.com
• www.microsoft.com/services

Подробные сведения о том, как корпорация Майкрософт обеспечивает защиту облака, см. на портале служб защиты данных.

Дальнейшие действия

См.: Технический документ по защите Azure от атак программ-шантажистов.

Другие статьи в этой серии:

• Защита от программ-шантажистов в Azure
• Подготовка к атаке программ-шантажистов
• Обнаружение и реагирование на атаки программ-шантажистов