Поделиться через

Центр операций защиты от кибербезопасности Майкрософт

совместное использование рекомендаций Майкрософт по защите, обнаружению и реагированию на угрозы кибербезопасности

Кибербезопасность является общей ответственностью, которая влияет на нас всех. Сегодня одно нарушение, физическое или виртуальное, может вызвать миллионы долларов ущерба организации и потенциально миллиарды финансовых потерь мировой экономики. Каждый день мы получаем сообщения о киберпреступниках, нацеленных на бизнес и частных лиц для получения финансовой выгоды или в социально мотивированных целях. Добавьте к этим угрозам действия государственных акторов, стремящихся прерывать операции, вести шпионаж или ослаблять доверие в целом.

В этом кратком руководстве мы делимся состоянием онлайн-безопасности, субъектов угроз и сложной тактикой, которую они используют для продвижения своих целей, и как Microsoft Cyber Defense Operations Center борется с этими угрозами и помогает клиентам защищать свои конфиденциальные приложения и данные.



Центр операций Microsoft Cyber Defense

Центр операций Microsoft Cyber Defense

Корпорация Майкрософт глубоко стремится сделать интернет-мир безопаснее для всех. Стратегии кибербезопасности нашей компании развивались от уникальной видимости, которую мы имеем в быстро развивающемся ландшафте кибербезопасности.

Инновации в пространстве атак между людьми, местами и процессами являются необходимыми и непрерывными инвестициями, которые мы все должны сделать, так как злоумышленники продолжают развиваться как в решимости, так и в сложности. В ответ на увеличение инвестиций в стратегии обороны многими организациями злоумышленники адаптируются и стремительно улучшают тактику. К счастью, киберзащитники, такие как глобальные команды информационной безопасности Microsoft, также внедряют инновации и прерывают давно существовавшие надежные методы атак с помощью постоянного продвинутого обучения и современных технологий безопасности, инструментов и процессов.

Центр операций Microsoft Cyber Defense (CDOC) является одним из примеров более $ 1 млрд, которые мы вкладываем каждый год в безопасность, защиту данных и управление рисками. CDOC объединяет специалистов по кибербезопасности и специалистов по обработке и анализу данных в объекте 24x7 для борьбы с угрозами в режиме реального времени. Мы подключены к более чем 3500 специалистов по безопасности во всем мире в наших группах разработки продуктов, группах информационной безопасности и юридических командах для защиты нашей облачной инфраструктуры и служб, продуктов и устройств и внутренних ресурсов.

Корпорация Майкрософт инвестировала более $15 млрд в нашу облачную инфраструктуру, и более 90 процентов компаний из списка Fortune 500 используют облако Майкрософт. Сегодня у нас есть один из крупнейших облачных ресурсов в мире с более чем 100 географически распределенными центрами обработки данных, 200 облачными службами, миллионами устройств и миллиардами клиентов по всему миру.

Субъекты и мотивы угроз кибербезопасности

Первым шагом в защите людей, устройств, данных и критической инфраструктуры является понимание различных типов субъектов угроз и их мотивации.
  • Киберпреступники охватывают несколько подкатегорий, хотя они часто разделяют общие мотивы — финансовые, разведывательные и/или социальные или политические выгоды. Их подход обычно заключается в прямом проникновении в систему финансовых данных, похищении микросумм, которые слишком малы для обнаружения, и уходе до того, как их заметят. Поддержание постоянного, скрытого присутствия имеет решающее значение для достижения их цели.

    Их подход может быть вторжением, которое отвлекает большую финансовую выплату через лабиринт счетов, чтобы избежать отслеживания и вмешательства. Иногда цель состоит в том, чтобы украсть интеллектуальную собственность, которой обладает цель, чтобы киберпреступник действовал в качестве посредника для передачи дизайна продукта, программного исходного кода или другой конфиденциальной информации, которая имеет ценность для определенной организации. Более половины этих действий совершаются организованными преступными группами.

  • Государственные акторы работают на правительство, чтобы нарушить или скомпрометировать целевые правительства, организации или лица, чтобы получить доступ к ценным данным или разведданным. Они участвуют в международных делах, чтобы повлиять и привести к результату, который может принести пользу стране или региону. Цель субъекта национального государства заключается в том, чтобы нарушить операции, вести шпионаж против корпораций, украсть секреты от других правительств или иначе подрывать доверие в учреждениях. Они работают с большими ресурсами, которыми они располагают, и без страха перед юридическим преследованием, с набором средств, охватывающим от простейших до самых сложных.

    Государственные субъекты могут привлечь наиболее сложные кибер-хакерские таланты и могут развить свои инструменты до уровня оружия. Их подход к вторжению часто включает в себя продвинутую постоянную угрозу, с использованием мощности суперкомпьютеров для взлома учетных данных методом перебора через миллионы попыток подбора правильного пароля. Они также могут использовать сильно нацеленные фишинговые атаки, чтобы заставить инсайдера выдать свои учетные данные.

  • внутренняя угроза особенно сложна из-за непредсказуемости человеческого поведения. Мотивация инсайдера может быть оппортунистической и нацеленной на финансовую выгоду. Однако существует несколько причин для потенциальных внутренних угроз, охватывающих простую беспечность до сложных схем. Многие нарушения данных, вызванные внутренними угрозами, совершенно непреднамеренные из-за случайной или небрежной деятельности, которая ставит организацию под угрозу, не зная об уязвимости.

  • Хактивисты сосредотачиваются на политических и/или социально мотивированных атаках. Они стремятся быть видимыми и признаны в новостях, чтобы привлечь внимание к себе и их делу. Их тактика включает распределенные атаки типа "отказ в обслуживании" (DDoS), уязвимости или нарушение присутствия в Интернете. Подключение к социальному или политическому вопросу может сделать любую компанию или организацию целевой. Социальные медиа позволяют хактивистам быстро продвигать их причины и привлекать других для участия.


$ 4 млн является средней стоимостью нарушения данных в 2017 году

Методы злоумышленника

Злоумышленники квалифицированы при поиске путей проникновения в сеть организации, несмотря на защиту на месте с помощью различных сложных методов. Несколько тактик существовали с первых дней Интернета, хотя другие отражают творчество и всё большую утончённость сегодняшних противников.

  • Социальная инженерия — это общее понятие для атак, которые обманывают пользователей и заставляют их совершать действия или раскрывать информацию, что они в противном случае не сделали бы. Социальная инженерия играет на хорошие намерения большинства людей и их готовность быть полезными, чтобы избежать проблем, доверять знакомым источникам или потенциально получить вознаграждение. Другие векторы атак могут попасть под зонтик социальной инженерии, но ниже приведены некоторые из атрибутов, которые делают тактику социальной инженерии проще распознавать и защищать от:
    • Фишинговые сообщения электронной почты являются эффективным инструментом, потому что они направлены на самое слабое звено в цепочке безопасности — обычные пользователи, которые не задумываются о безопасности сети как о чем-то важном. Фишинговая кампания может пригласить или напугать пользователя, чтобы непреднамеренно поделиться своими учетными данными, обманув их щелкнуть ссылку, которую они считают законным сайтом или скачать файл, содержащий вредоносный код. Фишинговые сообщения электронной почты были плохо написаны и легко распознать. Сегодня злоумышленники научились умело имитировать законные электронные письма и посадочные страницы, которые трудно распознать как обман.
    • спуфинг удостоверений включает в себя ситуацию, когда злоумышленник маскируется под другого законного пользователя, подделывая информацию, предоставляемую приложению или сетевому ресурсу. Примером является сообщение электронной почты, которое, казалось бы, имеет адрес коллеги, запрашивающего действие, но адрес скрывает реальный источник отправителя электронной почты. Аналогичным образом URL-адрес может отображаться как законный сайт, но фактический IP-адрес на самом деле указывает на сайт киберпреступника.

  • Вредоносные программы были с нами с рассвета вычислений. В настоящее время мы наблюдаем сильный рост вымогательского ПО и вредоносного программного обеспечения, специально предназначенного для шифрования устройств и данных. Затем киберкриминалы требуют оплаты в криптовалюте для ключей, чтобы разблокировать и вернуть контроль жертве. Это может произойти на уровне отдельных компьютеров и данных или теперь, что чаще, всему предприятию. Использование программ-вымогателей особенно распространено в области здравоохранения, так как жизненно важные последствия делают эти организации особо чувствительными к сбоям в работе сети.

  • Внедрение в цепочку поставок является примером творческого подхода к размещению вредоносных программ в сеть. Например, перехватив процесс обновления приложения, злоумышленник может обойти средства защиты от вредоносных программ. Мы видим, что эта методика становится более распространенной, и эта угроза будет продолжать расти до тех пор, пока более комплексные средства защиты безопасности не будут вложены в программное обеспечение разработчиками приложений.

  • атаки "Человек посередине"предполагают, что злоумышленник вклинивается между пользователем и ресурсом, к которому они обращаются, тем самым перехватывая критически важные сведения, такие как учетные данные пользователя для входа. Например, киберкриминальный в кафе может использовать программное обеспечение для ведения журнала ключей для записи учетных данных домена пользователей по мере присоединения к сети Wifi. Затем субъект угроз может получить доступ к конфиденциальной информации пользователя, например банковским и персональным данным, которые они могут использовать или продавать в темной сети.

  • распределенные атаки типа "Отказ в обслуживании" (DDoS)существуют более десяти лет и это массовые атаки, которые становятся более распространёнными с быстрым ростом Интернета вещей (IoT). При использовании этой техники злоумышленник перегружает сайт, бомбардируя его вредоносным трафиком, вытесняя законные запросы. Ранее установленное вредоносное программное обеспечение часто используется для захвата устройства из категории Интернета вещей, например, веб-камеры или смарт-термостата. При атаке DDoS входящий трафик из разных источников заполняет сеть многочисленными запросами. Это перегружает серверы и отказывает в доступе законным запросам. Многие атаки включают в себя подделку IP-адресов (спуфинг IP-адресов), поэтому расположение атакующих компьютеров не может быть легко идентифицировано и поражено.

    Часто атака типа "отказ в обслуживании" используется для прикрытия или отвлечения от более обманных действий, чтобы проникнуть в организацию. В большинстве случаев целью злоумышленника является получение доступа к сети с помощью скомпрометированных учетных данных, а затем перемещение по сети, чтобы получить доступ к более мощным учетным данным, которые являются ключами к наиболее конфиденциальным и ценным сведениям в организации.


90% всех кибератак начинаются с фишинговой электронной почты

Милитаризация киберпространства

Растущая возможность кибервыгры является одной из ведущих проблем среди правительств и граждан сегодня. Это подразумевает использование и нацеливание со стороны государств-наций на компьютеры и сети в ходе военных действий.

Как наступательные, так и оборонительные операции используются для проведения кибератак, шпионажа и саботажа. Страны-государства развивали свои возможности и занимались кибервоенной деятельностью либо в качестве агрессоров, обвиняемых или обоих в течение многих лет.

Новые средства и тактики угроз, разработанные с помощью передовых военных инвестиций, также могут быть скомпрометированы, а киберугрозы могут распространяться в Интернете и использоваться киберпреступниками в качестве оружия для дальнейшего применения.

Состояние кибербезопасности Майкрософт

Хотя безопасность всегда была приоритетом для Корпорации Майкрософт, мы признаем, что цифровой мир требует непрерывного прогресса в том, как мы защищаем, обнаруживаем и реагируем на угрозы кибербезопасности. Эти три обязательства определяют наш подход к кибербезопасности и служат полезной платформой для нашего обсуждения стратегий и возможностей кибербезопасности Майкрософт.

ЗАЩИЩАТЬ

Кампании по фишингу продолжают быть на острие атаки утечек данных, связанных со шпионажем

Защищать

Первое обязательство Корпорации Майкрософт заключается в защите вычислительной среды, используемой нашими клиентами и сотрудниками для обеспечения устойчивости облачной инфраструктуры и служб, продуктов, устройств и внутренних корпоративных ресурсов компании от определенных злоумышленников.

Меры защиты команд CDOC охватывают все конечные точки: от датчиков и центров обработки данных до идентификаторов и приложений SaaS. Защита в глубину — применение средств управления на нескольких уровнях с перекрывающимися мерами предосторожности и стратегиями снижения рисков — это лучшее решение во всей отрасли, и это подход, который мы используем для защиты наших ценных клиентских и корпоративных активов.

К тактике защиты Майкрософт относятся:

  • Обширный мониторинг и контроль за физической средой наших глобальных центров обработки данных, включая камеры, скрининг персонала, ограждения и барьеры, а также несколько методов идентификации для физического доступа.

  • Программные сети, которые защищают нашу облачную инфраструктуру от вторжений и атак DDoS.

  • Многофакторная проверка подлинности используется в нашей инфраструктуре для управления удостоверениями и доступом. Это гарантирует, что критически важные ресурсы и данные защищены по крайней мере двумя из следующих:
    • Что вы знаете (пароль или ПИН-код)
    • То, что вы (биометрия)
    • У вас есть что-то (смартфон)
  • Непостоянное администрирование использует привилегии JIT и достаточные разрешения администратора (JEA) для инженерного персонала, который управляет инфраструктурой и службами. Это предоставляет уникальный набор учетных данных для доступа с повышенными привилегиями, срок действия которого истекает автоматически после предопределенной длительности.

  • Правильная гигиена строго поддерживается с помощью up-to-date, программного обеспечения защиты от вредоносных программ и соблюдения строгого управления исправлениями и конфигурацией.

  • Команда исследователей Центра защиты от вредоносных программ Майкрософт определяет, анализирует и разрабатывает подписи вредоносных программ, а затем внедряет их в нашу инфраструктуру для продвинутого обнаружения и защиты. Эти подписи распределяются нашим респондентам, клиентам и отрасли через обновления и уведомления Windows для защиты своих устройств.

  • Жизненный цикл разработки безопасности Майкрософт (SDL) — это процесс разработки программного обеспечения, который помогает разработчикам создавать более безопасное программное обеспечение и устранять требования к соответствию безопасности при снижении затрат на разработку. SDL используется для защиты всех приложений, веб-служб и продуктов, а также для регулярной проверки его эффективности с помощью тестирования на проникновение и сканирования уязвимостей.

  • Моделирование угроз и анализ поверхности атак обеспечивают оценку потенциальных угроз и анализ подверженных аспектов службы, а также минимизацию поверхности атаки путем ограничения доступных служб или устранения ненужных функций.

  • Классификация данных в соответствии с ее конфиденциальности и принятие соответствующих мер для его защиты, включая шифрование при передаче и хранении, а также применение принципа минимального привилегированного доступа обеспечивает дополнительную защиту. • Обучение осведомленности, которое способствует доверию между пользователем и командой безопасности для разработки среды, в которой пользователи будут сообщать об инцидентах и аномалиях, не опасаясь последствий.

Наличие богатого набора элементов управления и глубокой стратегии защиты помогает гарантировать, что в случае сбоя любой области существуют компенсирующие элементы управления в других областях, которые помогут обеспечить безопасность и конфиденциальность наших клиентов, облачных служб и нашей собственной инфраструктуры. Тем не менее, никакая среда не является по-настоящему непроницаемой, так как люди совершают ошибки, а решительные злоумышленники продолжат искать уязвимости и использовать их. Значительные инвестиции, которые мы продолжаем делать в этих уровнях защиты и базовом анализе, позволяют нам быстро обнаруживать, когда присутствует аномальная активность.

ОБНАРУЖИТЬ

57+ дней — это медианное количество дней в отрасли между проникновением и обнаружением

Обнаруживать

Команды CDOC используют автоматизированное программное обеспечение, машинное обучение, анализ поведения и судебно-медицинские методы для создания интеллектуального графа безопасности нашей среды. Этот сигнал обогащен контекстными метаданными и моделями поведения, созданными из источников, таких как Active Directory, системы управления ресурсами и конфигурацией и журналы событий.

Наши обширные инвестиции в аналитику безопасности создают богатые профили поведения и прогнозные модели, которые позволяют нам "подключать точки" и выявлять сложные угрозы, которые в противном случае могли бы не обнаружиться, а затем противостоять с сильными ограничениями и согласованными действиями по исправлению.

Корпорация Майкрософт также использует специально разработанное программное обеспечение безопасности, а также отраслевые средства и машинное обучение. Наша аналитика угроз постоянно развивается, при этом автоматизированное обогащение данных позволяет быстрее обнаруживать вредоносные действия и сообщать с высокой точностью. Проверки уязвимостей регулярно выполняются для тестирования и уточнения эффективности защитных мер. Широкий спектр инвестиций Майкрософт в свою экосистему безопасности и множество сигналов, отслеживаемых командами CDOC, предоставляют более комплексное представление об угрозах, чем можно достичь большинством поставщиков услуг.

К тактике обнаружения Майкрософт относятся:

  • Мониторинг сетевых и физических сред 24x7x365 для потенциальных событий кибербезопасности. Профилирование поведения основано на шаблонах использования и понимании уникальных угроз для наших служб.

  • Аналитика идентификации и поведения разработана для обнаружения аномальных активностей.

  • Средства и методы программного обеспечения машинного обучения обычно используются для обнаружения и пометки аномалий.

  • Расширенные аналитические инструменты и процессы развертываются для дальнейшего выявления аномальных действий и инновационных возможностей корреляции. Это позволяет создавать высококонтекстуализированные обнаружения из огромных объемов данных практически в режиме реального времени.

  • Автоматизированные процессы на основе программного обеспечения, которые постоянно проверяются и развиваются для повышения эффективности.

  • Специалисты по обработке и анализу данных и эксперты по безопасности обычно работают параллельно с решением расширенных событий, которые демонстрируют необычные характеристики, требующие дальнейшего анализа целевых объектов. Затем они могут определить потенциальные усилия по реагированию и исправлению.

ОТВЕЧАТЬ

90% всех инцидентов информационной безопасности являются атаками отказа в обслуживании, атаками веб-приложений и криминальным ПО

Ответить

Когда корпорация Майкрософт обнаруживает ненормальную активность в наших системах, она запускает наши команды реагирования для оперативного и точного противодействия. Уведомления от систем обнаружения на основе программного обеспечения проходят через наши автоматизированные системы реагирования с помощью алгоритмов на основе рисков, чтобы пометить события, требующие вмешательства от нашей группы реагирования. Среднее время устранения имеет первостепенное значение, и наша система автоматизации предоставляет реагирующим специалистам релевантную и практическую информацию, которая ускоряет приоритизацию, устранение и восстановление.

Чтобы управлять инцидентами безопасности в таком большом масштабе, мы развертываем многоуровневую систему для эффективного назначения задач реагирования на правильный ресурс и упрощаем рациональный путь эскалации.

К тактике реагирования Майкрософт относятся:

  • Автоматизированные системы реагирования используют алгоритмы на основе рисков, чтобы пометить события, требующие вмешательства человека.

  • Автоматизированные системы реагирования используют алгоритмы на основе рисков, чтобы пометить события, требующие вмешательства человека.

  • Хорошо определенные, документированные и масштабируемые процессы реагирования на инциденты в рамках модели непрерывного улучшения помогают нам опережать злоумышленников, делая их доступными для всех респондентов.

  • Предметные знания в наших командах, в нескольких областях безопасности, предоставляют разнообразный набор навыков для решения инцидентов. Опыт в области безопасности, охватывающий реагирование на инциденты, судебную экспертизу и анализ вторжений, а также глубокое понимание платформ, служб и приложений, работающих в наших облачных центрах обработки данных.

  • Широкий корпоративный поиск по облачным, гибридным и локальным данным и системам для определения области инцидента.

  • Глубокий судебно-медицинский анализ основных угроз осуществляется специалистами по пониманию инцидентов и оказанию помощи в их сдерживании и искоренении. • Средства программного обеспечения безопасности Майкрософт, автоматизация и гипермасштабируемая облачная инфраструктура позволяют нашим экспертам по безопасности сократить время для обнаружения, анализа, анализа, реагирования и восстановления от кибератак.

  • Тестирование на проникновение используется во всех продуктах и службах Майкрософт с помощью текущих упражнений Red Team/Blue Team, чтобы раскопать уязвимости, прежде чем реальный злоумышленник может использовать эти слабые точки для атаки.

Кибердефенс для наших клиентов

Мы часто спрашиваем, какие инструменты и процессы могут применять наши клиенты для собственной среды и как корпорация Майкрософт может помочь в их реализации. Корпорация Майкрософт объединила многие из продуктов и служб кибердефенса, которые мы используем в CDOC, в ряде продуктов и услуг. Группы кибербезопасности Microsoft Enterprise и microsoft Consulting Services взаимодействуют с нашими клиентами для предоставления решений, наиболее подходящих для их конкретных потребностей и требований.

Одним из первых шагов, которые корпорация Майкрософт настоятельно рекомендует, является создание основы безопасности. Наши базовые службы предоставляют ключевые средства защиты от атак и основные службы управления удостоверениями, которые помогают обеспечить защиту ресурсов. Фонд помогает ускорить путь цифровой трансформации, чтобы перейти к более безопасному современному предприятию.

На основе этого фундамента клиенты могут использовать решения, проверенные другими клиентами Майкрософт и развернутые в собственных ИТ-средах и облачных службах Майкрософт. Дополнительные сведения о средствах, возможностях и услугах корпоративной кибербезопасности см. в Microsoft.com/security и свяжитесь с нашими командами в cyberservices@microsoft.com.

Рекомендации по защите среды

Инвестируйте в свою платформу Инвестируйте в ваше оборудование Инвестировать в ваших людей
Гибкость и масштабируемость требуют планирования и разработки поддерживающей платформы Убедитесь, что вы всесторонне измеряете элементы в вашей платформе. Квалифицированные аналитики и специалисты по обработке и анализу данных являются основой защиты, а пользователи — новым периметром безопасности.
Поддержание хорошо документированного инвентаризации ваших активов Получение и (или) создание средств, необходимых для полного мониторинга сети, узлов и журналов Установите отношения и линии связи между группой реагирования на инциденты и другими группами.
Четко определенная политика безопасности с четкими стандартами и рекомендациями для вашей организации Упреждающее обслуживание элементов управления и мер, а также регулярное тестирование их на точность и эффективность Внедрение принципов администратора наименьших привилегий; устранение прав постоянного администратора
Поддержание надлежащей гигиены— большинство атак может быть предотвратить с своевременными исправлениями и антивирусной программой Обеспечение жесткого контроля над политиками управления изменениями Используйте процесс извлечения уроков для получения ценности от каждого серьезного инцидента.
Использование многофакторной проверки подлинности для укрепления защиты учетных записей и устройств Мониторинг ненормальных действий учетной записи и учетных данных для обнаружения злоупотреблений Добавление, обучение и предоставление пользователям возможности распознавать вероятные угрозы и свою собственную роль в защите бизнес-данных