将威胁映射到 IT 环境

本文概述了如何绘制组织的核心 IT 环境图并创建威胁映射。 这些图表是规划和构建强大的防御安全层的有价值的工具。 了解 IT 环境及其体系结构对于确定提供充分保护所需的安全服务至关重要。

计算机系统保存的信息不仅对生成信息的组织有价值，而且对恶意行为者也有价值。 这些行为者，无论是个人还是团体，都从事旨在危害或破坏公司计算机、设备、系统和网络的有害活动。 他们的目标通常是使用恶意软件或暴力攻击等威胁窃取或损坏敏感数据。

在本文中，我们将探讨一种将威胁映射到 IT 环境的方法，使你能够将 Microsoft 安全服务的实施作为安全策略的一部分进行规划。 这是前一期中介绍的五篇系列文章中的第二篇。 使用 Azure 监视集成安全组件。

好消息是无需从头开始创建威胁映射。 MITRE ATT&CK 矩阵提供了一种出色的资源来帮助你开发一个矩阵。 MITRE ATT&CK 是一个全球知识库，它根据观察到的策略和技术绘制真实世界的威胁。 MITRE Corporation 详细记录了每一个已知威胁，并为这些威胁的运作方式以及如何防御提供了宝贵的见解。 此可公开访问的资源可在 MITRE ATT&CK® 在线获取。

在本文中，我们将使用这些威胁的子集来说明如何将威胁映射到 IT 环境。

可能的用例

某些威胁在所有行业都很常见，例如勒索软件、DDoS 攻击、跨站点脚本编写和 SQL 注入。 然而，许多组织面临着其行业特有的或基于他们过去遇到的网络攻击的特定威胁。 本文中的图表可以通过识别最有可能成为恶意行为者目标的区域来帮助你为组织绘制这些威胁。 创建威胁图使你能够为更安全的环境规划必要的防御层。

你可以调整此图来模拟不同的攻击组合，并更好地了解如何预防和缓解它们。 虽然 MITRE ATT&CK 框架是一个有用的参考，但这不是必需的。 Microsoft Sentinel 和其他 Microsoft 安全服务还与 MITRE 协作，针对各种威胁提供有价值的见解。

一些组织使用 Cyber Kill Chain®（Lockheed Martin 公司提供的一种方法）来映射和了解某个攻击或一系列攻击是如何针对 IT 环境执行的。 网络杀伤链通过考虑使用比 MITRE ATT&CK 框架更少的技巧和方法来组织威胁和攻击。 但是，它仍可有效地帮助你了解威胁和执行方法。 有关此方法的详细信息，请参阅网络杀伤链。

体系结构

下载此体系结构的 Visio 文件。

©2021 The MITRE Corporation。 本作品经 MITRE 公司许可复制和分发。

对于组织的 IT 环境，我们仅为 Azure 和 Microsoft 365 指定组件。 特定 IT 环境可能包括来自不同技术提供商的设备和技术。

对于 Azure 环境，该图显示下表中列出的组件。

该图通过下表中列出的组件来表示 Microsoft 365。

工作流

为了帮助你了解这些威胁可能会攻击 IT 环境的哪一部分，本文中的体系结构图基于具有本地系统、Microsoft 365 订阅和 Azure 订阅的组织的典型 IT 环境。 其中每一层中的资源都是许多公司所共有的服务。 在图中根据 Microsoft 零信任的核心对其进行分类：网络、基础结构、终结点、应用程序、数据和标识。 有关零信任的详细信息，请参阅通过零信任实现主动安全性。

体系结构图包括以下层：

1. 本地

   该图包括一些基本服务，例如服务器 (VM)、网络设备和 DNS。 其中包括在大多数 IT 环境中找到并在虚拟机或物理服务器上运行的常见应用程序。 它还包括各种类型的数据库，包括 SQL 和非 SQL 数据库。 组织通常具有在整个公司内共享文件的文件服务器。 最后，Active Directory 域服务（一种广泛使用的基础结构组件）会处理用户凭据。 该图包括本地环境中的所有这些组件。

2. Office 365 环境

   此示例环境包含传统的 Office 应用程序，例如 Word、Excel、PowerPoint、Outlook 和 OneNote。 根据许可证的类型不同，它可能还包括其他应用程序，例如 OneDrive、Exchange、Sharepoint 和 Teams。 在该图中，这些组件由 Microsoft 365（前 Office 365）应用的图标和 Microsoft Entra ID 的图标表示。 用户必须经过身份验证才能获得对 Microsoft 365 应用程序的访问权限，Microsoft Entra ID 则充当标识提供者。 Microsoft 365 针对 Azure 使用的同一类型的 Microsoft Entra ID 对用户进行身份验证。 在大多数组织中，Microsoft Entra ID 租户对于 Azure 和 Microsoft 365 都是相同的。

3. Azure 环境

   该层表示 Azure 公有云服务，包括虚拟机、虚拟网络、平台即服务、Web 应用程序、数据库、存储、标识服务等。 有关 Azure 的详细信息，请参阅 Azure 文档。

4. MITRE ATT&CK 技巧和方法

   该图根据由 MITRE 公司发布的技巧和方法显示排名前 16 位的威胁。 在红线范围中，可以看到一个混合攻击的示例，这意味着恶意参与者可能同时协调多个攻击。

如何使用 MITRE ATT&CK 框架

可以从在主网页 (MITRE ATT&CK®) 上简单地搜索威胁名称或攻击代码开始。

还可以浏览策略或技术页面上的威胁：

• 企业策略
• 企业技术

仍可使用 MITRE ATT&CK® Navigator，它是由 MITRE 提供的直观工具，可帮助你发现有关威胁的策略、技术和详细信息。

组件

本文中的示例体系结构使用以下 Azure 组件：

• Microsoft Entra ID 是 Microsoft 推出的基于云的标识和访问管理服务。 Microsoft Entra ID 可帮助用户访问外部资源，例如 Microsoft 365、Azure 门户和数以千计的其他 SaaS 应用程序。 该服务还可以帮助用户访问内部资源，例如公司 Intranet 网络上的应用。

• Azure 虚拟网络是 Azure 中专用网络的基本构建基块。 借助虚拟网络，多种类型的 Azure 资源可相互之间、与 Internet 以及与本地网络安全通信。 虚拟网络提供了从 Azure 的基础结构受益（如缩放、可用性和隔离）的虚拟网络。

• Azure 负载均衡器是一项适用于所有 UDP 和 TCP 协议的高性能、低延迟第 4 层负载均衡服务（入站和出站）。 该服务旨在处理每秒数百万个请求，同时确保解决方案高度可用。 Azure 负载均衡器是区域冗余的，可确保整个可用性区域的高可用性。

• 虚拟机是 Azure 提供的按需分配可缩放的计算资源之一。 使用 Azure 虚拟机 (VM) 可以灵活进行虚拟化，而无需购买和维护运行 VM 的物理硬件。

• Azure Kubernetes 服务 (AKS) 是一项完全托管的 Kubernetes 服务，用于部署和管理容器化应用程序。 AKS 提供无服务器 Kubernetes、持续集成/持续交付 (CI/CD) 以及企业级安全性和治理。

• Azure 虚拟桌面，它是在云中运行的一项桌面和应用虚拟化服务，可面向远程用户提供桌面。

• Web 应用是一项基于 HTTP 的服务，用于托管 Web 应用程序、REST API 和移动后端。 可以使用自己喜欢的语言进行开发，应用程序可在基于 Windows 或 Linux 的环境中轻松地运行和缩放。

• Azure 存储是云中各种数据对象（包括对象、Blob、文件、磁盘、队列和表存储）的高度可用、可大规模缩放、持久且安全的存储。 该服务会对写入到 Azure 存储帐户的所有数据进行加密。 Azure 存储可以精细地控制谁可以访问你的数据。

• Azure SQL 数据库是一个完全托管的 PaaS 数据库引擎，可处理绝大部分数据库管理功能，如升级、修补、备份和监视。 该引擎在提供这些功能时无需用户参与。 SQL 数据库提供一系列内置安全性和合规性功能，可帮助应用程序满足安全性和合规性要求。

作者

本文由 Microsoft 维护， 它最初是由以下贡献者撰写的。

主要作者：

• Rudnei Oliveira | 高级 Azure 安全工程师

其他参与者：

• Gary Moore | 程序员/作家
• Andrew Nathan | 高级客户工程经理

后续步骤

本文档涉及一些服务、技术和术语。 可在以下资源中找到有关它们的详细信息：

• MITRE ATT&CK®
• ATT&CK® Navigator)
• 公共预览版：Microsoft Sentinel 中的 MITRE ATT&CK 框架边栏选项卡（来自 Azure 云和 AI 域博客的帖子）
• Cyber Kill Chain®
• 通过零信任实现主动安全性
• 维基百科上的混合威胁
• 根据新的 Microsoft 数字防御报告，网络攻击正在发生怎样的变化（来自 Microsoft 安全博客）

相关资源

有关此参考体系结构的更多详细信息，请参阅本系列的其他文章：

• 第 1 部分：使用 Azure 监视集成安全组件
• 第 3 部分：使用 Azure 安全服务构建第一层防御
• 第 4 部分：使用 Microsoft Defender XDR 安全服务生成第二层防御
• 第 5 部分：集成 Azure 和 Microsoft Defender XDR 安全服务