通过

Microsoft网络安全防御运营中心

共享Microsoft的最佳做法,以保护、检测和响应网络安全威胁

网络安全是一个共同的责任,影响我们所有人。 如今,单一违规(物理或虚拟)可能会给组织造成数百万美元的损害,并可能给全球经济造成数十亿美元的财政损失。 我们每天都看到针对企业和个人的网络犯罪报告,以获得财务收益或出于社会动机的目的。 将同样来自于寻求破坏运营、进行间谍活动或普遍削弱信任的国家行为者的威胁添加到这些威胁中。

在此简短中,我们分享了在线安全、威胁参与者和他们用来推进其目标的复杂策略,以及Microsoft的网络防御运营中心如何应对这些威胁,并帮助客户保护其敏感数据和数据。



Microsoft网络防御运营中心

Microsoft网络防御运营中心

Microsoft致力于使网上世界更加安全。 我们公司的网络安全策略已经从我们的独特可见性演变为快速发展的网络威胁格局。

跨人员、地点和流程的攻击空间创新是我们都需要进行的必要和持续的投资,因为对手在决心和复杂化方面不断发展。 为了应对许多组织加大对防御策略的投资,攻击者正在以惊人的速度调整和改进策略。 幸运的是,Microsoft全球信息安全团队等网络保护者也通过持续、高级培训和现代安全技术、工具和流程来创新并中断长期可靠的攻击方法。

Microsoft网络防御运营中心(CDOC)是我们每年投资10多亿美元用于安全、数据保护和风险管理的一个例子。 CDOC 将网络安全专家和数据科学家聚集在一个 24x7 设施中,实时应对威胁。 我们与全球超过 3,500 名安全专业人员联系在一起,包括产品开发团队、信息安全组和法律团队,以保护我们的云基础结构和服务、产品和服务以及内部资源。

Microsoft在我们的云基础结构中投资了超过 150 亿美元,超过 90% 的财富 500 强公司使用 Microsoft 云。 如今,我们拥有并运营世界上最大的云足迹之一,拥有 100 多个地理分布式数据中心、200 个云服务、数百万台设备以及全球 10 亿个客户。

网络安全威胁参与者和动机

保护人员、设备、数据和关键基础结构的第一步是了解不同类型的威胁参与者及其动机。
  • 网络犯罪分子 跨越了几个子类别,尽管他们经常分享共同的动机——金融、情报和/或社会或政治利益。 他们的方法通常是直接的——通过渗透金融数据系统,盗取过于微小而无法被检测的微额资金,并在被发现之前离开。 保持持久、秘密的存在对于实现其目标至关重要。

    他们的方法可能是一种入侵,通过一系列账户转移巨额财务支出,以逃避跟踪和干预。 有时,目标是窃取目标拥有的知识产权,使网络犯罪分子充当中介,以提供对特定实体有价值的产品设计、软件源代码或其他专有信息。 超过一半的活动是由有组织的犯罪组织进行的。

  • 国家参与者 为政府努力破坏或破坏目标政府、组织或个人,以获取有价值的数据或情报。 他们参与国际事务,以影响和推动可能有利于国家或地区的结果。 一个民族国家演员的目标是破坏行动,对公司进行间谍活动,从其他政府窃取秘密,或者破坏对机构的信任。 他们掌握大量资源,勇敢前进,不惧法律报复,并拥有一个从简单到高度复杂的工具包。

    国家级行为体可以吸引一些最复杂的网络黑客人才,并可能将其工具发展到武器化的程度。 他们的入侵方法常常涉及高级持续性威胁,利用超级计算能力通过数百万次的尝试来暴力破解密码。 他们还可能使用超目标网络钓鱼攻击来吸引内部人员透露其凭据。

  • 由于 人类行为的不可预测性,内部威胁尤其具有挑战性。 内部人士的动机可能是机会主义和财务收益。 但是,潜在的内部威胁有多种原因,从简单的粗心到复杂的方案。 由于意外或疏忽活动,导致内部威胁造成的许多数据泄露是完全无意的,这些活动使组织处于危险之中,而不会意识到漏洞。

  • 黑客攻击者 专注于政治和/或社会动机的攻击。 他们努力在新闻中可见和认可,以引起人们对自己和事业的注意。 他们的策略包括分布式拒绝服务(DDoS)攻击、漏洞利用或篡改在线内容。 与社会或政治问题的联系可以使任何公司或组织成为目标。 社交媒体使黑客分子能够迅速传福音他们的事业,并招募其他人参与。


2017 年数据泄露的平均成本为 400 万美元

威胁行为者技术

尽管使用各种复杂的技术进行了保护,但对手擅长寻找渗透组织网络的方法。 自互联网早期以来,一些策略一直在进行,但另一些策略反映了当今对手的创造力和日益成熟。

  • 社会工程 是一个广义的术语,指的是通过欺骗手段使用户采取行动或泄露他们本来不会泄露的信息的攻击。 社会工程利用大多数人的良好意图,以及他们愿意提供帮助、避免问题、信任熟悉来源或期望获得报酬的特点。 其他攻击途径可以属于社会工程的伞下,但以下是一些使社会工程策略更容易识别和防御的属性:
    • 网络钓鱼电子邮件 是一种有效的工具,因为它们与安全链中最薄弱的链接(不认为网络安全是头等大事的普通用户)进行游戏。 网络钓鱼活动可能会邀请或恐吓用户无意中共享其凭据,方法是欺骗用户单击他们认为是合法网站或下载包含恶意代码的文件的链接。 网络钓鱼电子邮件过去写得很差,易于识别。 如今,攻击者已经擅长模仿难以识别为欺诈的合法电子邮件和登陆网站。
    • 身份欺骗 涉及攻击者伪装为另一个合法用户,通过伪造提供给应用程序或网络资源的信息。 例如,有些电子邮件看似来自同事,请求采取行动,但实际上该地址隐藏了电子邮件发件人的真实来源。 同样,URL 可以欺骗为显示为合法网站,但实际的 IP 地址实际上指向网络犯罪分子的网站。

  • 自计算开始以来,恶意软件一直在我们身边。 如今,我们看到勒索软件和恶意代码的强劲上升,专用于加密设备和数据。 然后,网络犯罪分子要求以加密货币支付密钥,以解锁并返回对受害者的控制。 这可以在计算机和数据文件的单个级别发生,或者现在更频繁地发生在整个企业。 勒索软件的使用在医疗保健领域特别明显,因为这些组织面临的生命或死亡后果使他们对网络停机非常敏感。

  • 供应链插入 是将恶意软件注入网络的创新方法的一个示例。 例如,通过劫持应用程序更新过程,攻击者会规避反恶意软件工具和保护。 我们看到这种技术变得更加常见,这种威胁将继续增长,直到应用程序开发人员将更全面的安全保护注入到软件中。

  • 中间人攻击涉及攻击者在用户和他们正在访问的资源之间插入自己,从而截获关键信息,例如用户的登录凭据。 例如,咖啡店中的网络犯罪分子可能会使用密钥日志记录软件在用户加入 wifi 网络时捕获用户的域凭据。 然后,威胁参与者可以访问用户的敏感信息,例如银行和个人信息,他们可以在深色网络上使用或销售。

  • 分布式拒绝服务(DDoS)攻击已经持续了十多年,大规模攻击正随着物联网(IoT)的快速增长而越来越常见。 使用此方法时,攻击者通过用恶意流量轰炸网站,使网站不堪负荷,导致合法查询无法正常进行。 以前种植的恶意软件通常用于劫持 IoT 设备,例如网络摄像头或智能恒温器。 在 DDoS 攻击中,来自不同来源的大量请求通过传入流量淹没了网络。 这会使服务器不知所措,并拒绝来自合法请求的访问。 许多攻击也涉及伪造 IP 发送者地址(IP 地址欺骗),以便攻击计算机的位置无法轻易识别和击败。

    通常,拒绝服务攻击用于掩盖或分散对渗透组织更欺骗性的努力的注意力。 在大多数情况下,攻击者的目标是使用泄露的凭据获取对网络的访问权限,然后在网络中横向移动,以访问更“强大的”凭据,这些凭据是组织中最敏感和最有价值的信息的密钥。


所有网络攻击的 90% 从网络钓鱼电子邮件开始

网络空间的军事化

网络战争的可能性越来越大,是政府和公民今天的主要担忧之一。 它涉及民族国家在战争中使用和瞄准计算机和网络。

进攻和防御行动都用于进行网络攻击、间谍和破坏。 国家一直在发展自己的能力,并以侵略者、防御者或两者兼具的身份参与网络战争。

通过高级军事投资开发的新威胁工具和策略也可能遭到破坏,网络威胁可以在线共享,网络犯罪分子可以进行武器化,以供进一步使用。

Microsoft网络安全状况

虽然安全一直是Microsoft的重中之重,但我们认识到,数字世界需要我们承诺如何保护、检测和应对网络安全威胁方面不断向前发展。 这三项承诺定义了我们对网络防御的方法,并作为我们讨论Microsoft网络防御策略和能力的有用框架。

保护

网络钓鱼活动持续成为间谍相关漏洞的先锋

保护

Microsoft的第一个承诺是保护客户和员工使用的计算环境,以确保云基础结构和服务、产品、设备和公司内部企业资源的复原能力免受确定对手的冲击。

CDOC 团队的保护措施涵盖所有终结点,从传感器和数据中心到标识和软件即服务(SaaS)应用程序。 防御-深入(在多个层应用具有重叠的安全措施和风险缓解策略)是整个行业的最佳做法,也是我们保护有价值的客户和企业资产的方法。

Microsoft的保护策略包括:

  • 广泛监视和控制全球数据中心的物理环境,包括相机、人员筛选、围栏和屏障,以及多种物理访问识别方法。

  • 保护云基础结构免受入侵和 DDoS 攻击的软件定义网络。

  • 在基础结构中使用多重身份验证来控制标识和访问管理。 它确保关键资源和数据至少受以下两项的保护:
    • 你知道的知识(密码或个人识别码)
    • 自身的特征(生物辨识系统)
    • 你拥有的东西 (智能手机)
  • 非持久性管理使用实时(JIT)和足够的管理员(JEA)特权,用于管理基础结构和服务的工程人员。 这为提升的访问权限提供了一组唯一的凭据,该凭据会在预先指定的持续时间后自动过期。

  • 通过 up-to日期、反恶意软件和遵守严格的修补和配置管理,严格维护适当的卫生。

  • Microsoft恶意软件防护中心的研究人员团队识别、反向工程和开发恶意软件签名,然后将其部署到我们的基础结构中,以便进行高级检测和防御。 这些签名通过 Windows 更新和通知分发给响应者、客户和行业,以保护其设备。

  • Microsoft安全开发生命周期(SDL)是一个软件开发过程,可帮助开发人员构建更安全的软件,并解决安全合规性要求,同时降低开发成本。 SDL 用于强化所有应用程序、联机服务和产品,并通过渗透测试和漏洞扫描定期验证其有效性。

  • 威胁建模和攻击面分析可确保评估潜在威胁、评估服务的公开方面,并通过限制服务或消除不必要的功能来最小化攻击面。

  • 根据数据的敏感度对数据进行分类,并采取适当的措施来保护数据,包括传输中的加密和静态加密,并强制实施最低特权访问原则可提供额外的保护。 • 培养用户与安全团队之间的信任关系的意识培训,以开发一个环境,用户将报告事件和异常,而不必担心产生反响。

拥有一组丰富的控件和深层防御策略有助于确保任何一个区域发生故障时,其他领域都有补偿控制,以帮助维护客户、云服务和我们自己的基础结构的安全和隐私。 然而,没有环境真正不可逾越,因为人们会犯错误,确定对手将继续寻找漏洞并利用它们。 我们在这些保护层和基线分析上的持续重大投资使我们能够快速检测异常活动的存在。

检测

57 天以上是行业渗透和检测之间的中间天数

检测

CDOC 团队采用自动化软件、机器学习、行为分析和取证技术来创建环境的智能安全图。 此信号使用从 Active Directory、资产和配置管理系统和事件日志等源生成的上下文元数据和行为模型进行扩充。

我们对安全分析的广泛投资构建了丰富的行为配置文件和预测模型,使我们能够发现关联并识别原本可能未检测到的高级威胁,然后采取强力遏制措施并进行协调修复行动抵御这些威胁。

Microsoft还采用自定义开发的安全软件,以及行业领先的工具和机器学习。 我们的威胁情报不断发展,通过自动化数据扩充来更快检测恶意活动并报告高保真度。 定期执行漏洞扫描,以测试和优化保护措施的有效性。 Microsoft对其安全生态系统的投资范围和 CDOC 团队监视的各种信号提供了比大多数服务提供商更全面的威胁视图。

Microsoft的检测策略包括:

  • 监视网络和物理环境 24x7x365,了解潜在的网络安全事件。 行为分析基于使用模式,并了解对服务的独特威胁。

  • 标识和行为分析是为了突出显示异常活动而开发的。

  • 机器学习软件工具和技术通常用于发现和标记违规行为。

  • 部署了高级分析工具和流程,以进一步识别异常活动和创新的关联功能。 这样,就可以从大量数据中近乎实时创建高度情境化检测。

  • 持续审核和演变的基于软件的自动化流程以提高有效性。

  • 数据科学家和安全专家经常并行工作,以解决出现异常特征的事件,这些事件需要进一步分析目标。 然后,他们可以确定潜在的响应和修正工作。

响应

所有信息安全事件的 90% 是拒绝服务、Web 应用程序攻击和犯罪软件

响应

当Microsoft检测系统中的异常活动时,它会触发响应团队以精确力量参与和快速响应。 基于软件的检测系统的通知流经自动化响应系统,使用基于风险的算法标记需要响应团队干预的事件。 平均缓解时间至关重要,我们的自动化系统为响应者提供了相关的、可操作的信息,加速了分类、缓解和恢复过程。

为了大规模管理安全事件,我们部署了分层系统,以有效地将响应任务分配给正确的资源,并促进合理的升级路径。

Microsoft的响应策略包括:

  • 自动化响应系统使用基于风险的算法来标记需要人工干预的事件。

  • 自动化响应系统使用基于风险的算法来标记需要人工干预的事件。

  • 持续改进模型中定义明确、有记录且可缩放的事件响应流程有助于通过向所有响应者提供这些流程,使我们领先于对手。

  • 在我们的团队中,在多个安全领域,主题专业知识为解决事件提供了不同的技能集。 事件响应、取证和入侵分析的安全专业知识;并深入了解在我们的云数据中心中运行的平台、服务和应用程序。

  • 跨云、混合和本地数据和系统进行广泛的企业搜索,以确定事件的范围。

  • 专家对重大威胁进行深入法医分析,以了解事件,并协助其遏制和根除。 • Microsoft的安全软件工具、自动化和超大规模云基础结构使安全专家能够减少检测、调查、分析、响应和从网络攻击中恢复的时间。

  • 渗透测试通过持续的红队/蓝队演习在所有微软产品和服务中进行,以在真正的对手利用这些弱点发起攻击之前发掘漏洞。

面向客户的网络防御

我们经常被问及客户可以为自己的环境采用哪些工具和流程,以及Microsoft如何帮助他们实现。 Microsoft将我们在 CDOC 中使用的许多网络防御产品和服务合并为一系列产品和服务。 Microsoft企业网络安全组和Microsoft咨询服务团队与客户合作,为客户提供最适合其特定需求和要求的解决方案。

Microsoft强烈建议的第一步是建立安全基础。 我们的基础服务提供关键的攻击防御和核心标识启用服务,可帮助你确保资产受到保护。 该基础可帮助你加速数字化转型之旅,以走向更安全的新式企业。

在此基础上,客户可以利用已被其他 Microsoft 客户证明成功的解决方案,并将这些解决方案部署在 Microsoft 自身的 IT 和云服务环境中。 有关我们的企业网络安全工具、功能和服务方案的详细信息,请访问 Microsoft.com/security,并联系我们的团队cyberservices@microsoft.com。

保护环境的最佳做法

投资您的平台 投资仪器设备 投资于您的员工
敏捷性和可伸缩性需要规划和构建支持平台 确保详尽地测量平台中的元素 熟练的分析师和数据科学家是防御的基础,而用户是新的安全外围
维护详细记录的资产清单 获取和/或生成完全监视网络、主机和日志所需的工具 建立事件响应团队和其他组之间的关系和沟通渠道。
具有明确定义的安全策略,为组织制定明确的标准和指南 主动维护控制措施和措施,并定期测试它们的准确性和有效性 采用最低特权管理员原则;消除永久性管理员权限
保持适当的卫生 - 大多数攻击都可以通过及时的修补程序和防病毒来防止 保持对变更管理策略的严格控制 使用经验教训总结的方法从每个重大事件中获得价值
使用多重身份验证加强帐户和设备保护 监视异常帐户和凭据活动以检测滥用行为 登记、教育和授权用户识别可能的威胁及其在保护业务数据方面的角色