共用方式為

Microsoft網路安全防禦作業中心

共用Microsoft的最佳做法,以保護、偵測及響應網路安全威脅

網路安全是共同的責任,這會影響我們所有人。 如今,單一缺口,實體或虛擬,可能會對組織造成數百萬美元的損害,並可能給全球經濟帶來數十億美元的財務損失。 我們每天都看到針對企業和個人的網路犯罪報告,以取得財務收益或出於社會動機的目的。 加上來自那些尋求破壞運作、進行間諜活動或普遍破壞信任的國家行動者的威脅。

在此簡短的簡報中,我們會分享在線安全性、威脅執行者和他們用來推進其目標的複雜策略,以及Microsoft網路防禦作業中心如何打擊這些威脅,並協助客戶保護其敏感數據和數據。



Microsoft網路防禦作業中心

Microsoft網路防禦作業中心

Microsoft致力於讓每個人都能更安全的在線世界。 我們公司的網路安全策略已從我們獨特的可見度演變為快速演變的網路威脅格局。

在跨人員、地點和流程的攻擊領域中創新,是我們需要進行的必要且持續的投資,因為對手在決心和技術複雜性上持續進化。 為了應對許多組織增加對防禦策略的投資,攻擊者正以驚人的速度調整和改善策略。 幸運的是,Microsoft全球資訊安全小組等網路技術人員也正在創新並中斷長期可靠的攻擊方法,包括持續、進階的訓練和現代化安全性技術、工具和程式。

Microsoft網路防禦運營中心(CDOC)是我們每年投資超過10億美元的安全性、數據保護和風險管理的一個例子。 CDOC 將網路安全專家和數據科學家聚集在一個 24x7 設施中,實時打擊威脅。 我們已透過我們的產品開發小組、資訊安全組和法律小組,與全球超過 3,500 名安全性專業人員連線,以保護我們的雲端基礎結構和服務、產品和裝置,以及內部資源。

Microsoft已投資超過 150 億美元的雲端基礎結構,超過 90% 的財富 500 家公司使用 Microsoft 雲端。 如今,我們擁有並運營世界上最大的雲端使用量之一,擁有超過100個地理位置分散的數據中心、200個雲端服務、數百萬部裝置,以及全球10億個客戶。

網路安全威脅執行者和動機

保護人員、裝置、數據和關鍵基礎結構的第一個步驟是瞭解不同類型的威脅執行者及其動機。
  • 網路犯罪分子 跨越數個子類別,儘管他們經常共用共同動機,包括財務、情報和/或社交或政治利益。 其方法通常是直接的,即滲透到金融數據系統中,攫取微小到無法偵測的金額,並在被發現之前退出。 保持持續、秘密的存在對於達到其目標至關重要。

    他們的方法可能是一種入侵,通過錯綜複雜的帳戶網絡轉移巨額資金支付,以逃避跟蹤和干預。 有時,目標是竊取目標擁有的智慧財產權,使網路犯罪充當媒介,以提供產品開發、軟體原始程式碼或其他具有特定實體價值的專屬資訊。 超過半數的活動是由有組織的犯罪集團實施的。

  • 國家級行為者 為政府工作,旨在破壞或入侵目標政府、組織或個人,以獲取重要的數據或情報。 他們從事國際事務,以影響和推動一個可能有利於國家或地區的結果。 一個民族國家演員的目標是破壞行動、對公司進行間諜活動、從其他政府竊取秘密,或者破壞對機構的信任。 他們可處理大型資源,不怕法律報復,其工具組範圍從簡單到高度複雜。

    國家級行動者可以吸引一些最先進的網路攻擊人才,並可能將其工具發展至武器化的地步。 其進階持續性威脅的入侵方法通常涉及使用超級計算能力,利用暴力破解法來破解認證,從數百萬次嘗試中找出正確的密碼。 他們也可以使用高精準的網路釣魚攻擊來吸引內部人員洩露其憑證。

  • 由於人類行為的不可預測性,內部 威脅特別具有挑戰性。 一個內部人士的動機也許機會主義和財務利益。 不過,潛在的內部威脅有許多原因,從簡單的粗心到精密的計畫。 由於意外或疏忽活動,導致內部威脅造成的許多數據外泄完全無意中,而使組織處於危險之中,而不會察覺到弱點。

  • 哈克蒂夫主義者 專注於政治和/或社會動機的攻擊。 他們努力在新聞中可見和承認,以引起人們對自己及其事業的關注。 其策略包括分散式阻斷服務 (DDoS) 攻擊、弱點入侵或損毀在線存在。 與社交或政治問題的聯繫可以讓任何公司或組織成為目標。 社交媒體可讓駭客分子迅速宣傳他們的事業,並招募其他人參與。


400 萬美元是 2017 年數據外洩的平均成本

威脅執行者技術

儘管使用各種複雜的技術來保護到位,但敵人還是善於尋找滲透組織網路的方法。 自互聯網初期以來一些手法一直存在,而另一些則反映了當今對手的創造力和日益複雜。

  • 社交工程 是一種廣泛的攻擊手法,透過欺騙手段誘使使用者採取行動或洩露他們通常不會透露的資訊。 社會工程發揮大多數人的良好意圖和他們願意提供説明,避免問題,信任熟悉的來源,或可能獲得獎勵。 其他攻擊媒介可以落在社會工程的傘下,但以下是一些屬性,可讓社會工程策略更容易辨識和防禦:
    • 網路釣魚電子郵件 是一種有效的工具,因為它們利用了安全鏈中最薄弱的一環—那些不會優先考慮網路安全性的日常使用者。 網路釣魚活動可能會誘使或恐嚇使用者不小心分享其認證,方法是誘騙他們點擊他們認為是合法網站的鏈接,或下載可能包含惡意代碼的檔案。 網路釣魚電子郵件過去寫得很差,而且容易辨識。 如今,敵人已經善於模仿難以識別為詐騙的合法電子郵件和登陸網站。
    • 身分識別詐騙 牽涉到敵人偽裝為另一個合法使用者,方法是偽造向應用程式或網路資源呈現的資訊。 例如,抵達的電子郵件似乎包含同事要求動作的位址,但該位址會隱藏電子郵件發件人的真實來源。 同樣地,URL 可能會詐騙為合法網站,但實際的IP位址實際上是指向網路犯罪的網站。

  • 自運算開始以來,惡意代碼一直與我們同在。 今天,我們看到勒索軟體和惡意代碼的顯著增長,這些程式專門用來加密裝置和資料。 然後,網路犯罪分子要求以加密貨幣付款,讓鑰匙解除鎖定並返回受害者的控制。 這可能發生在計算機和數據檔的個別層級,或現在更頻繁地發生在整個企業。 勒索軟體的使用在醫療保健領域特別明顯,因為這些組織面臨的生命或死亡後果使他們對網路停機非常敏感。

  • 供應鏈插入 是將惡意代碼插入網路的創意方法範例。 例如,藉由劫持應用程式更新程序,敵人會規避反惡意代碼工具和保護。 我們看到這項技術變得更加常見,而且這種威脅會持續成長,直到應用程式開發人員將更全面的安全性保護注入軟體為止。

  • 中間人攻擊牽涉到攻擊者在使用者與其存取的資源之間插入自己,進而攔截使用者登入認證等重要資訊。 例如,咖啡店中的網路犯罪分子可能會使用密鑰記錄軟體,在使用者加入 wifi 網路時擷取使用者的網域認證。 然後,威脅執行者可以存取使用者的敏感性資訊,例如銀行和個人資訊,他們可以在深色網路上使用或銷售。

  • 分散式阻斷服務(DDoS)攻擊已經持續了十多年,而且大規模攻擊正隨著物聯網(IoT)的快速增長而變得更加常見。 使用這項技術時,敵人會以惡意流量轟炸網站,將合法查詢排擠出去。 先前植入的惡意代碼通常用來劫持IoT裝置,例如網路攝影機或智慧控溫器。 在 DDoS 攻擊中,來自不同來源的連入流量會大量湧入網路,併發出許多要求。 這會讓伺服器不堪重負,並拒絕合法要求的存取。 許多攻擊也涉及偽造IP發件者位址(IP 位址詐騙),以便無法輕易識別和擊敗攻擊機器的位置。

    通常,阻斷服務攻擊被用來掩蓋或分散注意力,以隱藏針對組織的更具欺騙性的滲透行動。 在大部分情況下,敵人的目標是使用遭入侵的認證來存取網路,然後橫向跨網路移動,以取得更「強大」認證的存取權,這些認證是組織內最機密且有價值的資訊密鑰。


90% 所有網路攻擊的開頭為網路釣魚電子郵件

網路空間的軍事化

網路戰的可能性日益增強,是政府和公民今天的主要擔憂之一。 它涉及民族國家在戰爭中使用和瞄準計算機和網路。

進攻和防禦行動都被用來進行網路攻擊、間諜和破壞。 民族國家多年來一直在發展自己的能力,從事網路戰爭,無論是作為侵略者、防禦者,還是兩者兼而有之。

透過先進軍事投資開發的新威脅工具和戰術也可能被入侵,網路威脅可以在網上共享,並被網路犯罪分子武器化以進一步使用。

Microsoft網路安全狀態

雖然安全性一直是Microsoft的首要任務,但我們認識到,數位世界在保護、偵測和應對網路安全性威脅方面需要持續推進的承諾。 這三項承諾將定義我們對網路防禦的方法,並作為我們討論Microsoft網路防禦策略和功能的實用架構。

保護

針對網路釣魚活動的攻擊仍然是與間諜有關的入侵事件的鋒頭

保護

Microsoft的第一項承諾是保護我們的客戶和員工所使用的運算環境,以確保雲端基礎結構和服務、產品、裝置及公司內部企業資源能在面對有意圖的對手時保持穩定性和復原能力。

CDOC 小組的保護措施橫跨所有端點,從感測器和數據中心到身分識別和軟體即服務 (SaaS) 應用程式。 縱深防禦——在多層次應用具備重疊保護和風險降低策略的控制措施——是行業的最佳實踐,也是我們用來保護寶貴客戶和公司資產的方法。

Microsoft的保護策略包括:

  • 全球數據中心實體環境的廣泛監視和控制,包括相機、人員檢測、柵欄和障礙,以及多種實體存取的識別方法。

  • 可保護雲端基礎結構免於入侵和 DDoS 攻擊的軟體定義網路。

  • 我們的基礎結構採用多重要素驗證來控制身分識別和存取管理。 它可確保關鍵資源和數據至少受到下列兩項保護:
    • 您知道的內容(密碼或 PIN)
    • 你自身的特徵(生物辨識)
    • 你有的東西(智能手機)
  • 非持續性系統管理會僱用 Just-In-Time (JIT) 和 Just-enough administrator (JEA) 許可權給管理基礎結構和服務的員工。 這會為提高許可權的存取提供唯一的認證集,這些認證會在預先指定的持續時間之後自動到期。

  • 透過 up-to-date、反惡意軟體,以及遵循嚴格的修補和組態管理,嚴格維護系統安全。

  • Microsoft惡意軟體防護中心的研究人員小組負責識別、進行反向工程及開發惡意軟體簽名,然後將其部署於我們的基礎架構中,以進行進階偵測和防禦。 這些簽章會透過 Windows 更新和通知散發給我們的回應者、客戶和業界,以保護其裝置。

  • Microsoft安全性開發生命週期 (SDL) 是一種軟體開發程式,可協助開發人員建置更安全的軟體,並解決安全性合規性需求,同時降低開發成本。 SDL 可用來強化所有應用程式、在線服務和產品,並透過滲透測試和弱點掃描定期驗證其有效性。

  • 威脅模型化和受攻擊面分析可確保評估潛在威脅、評估服務公開層面,而且受攻擊面會透過限制服務或消除不必要的功能來最小化。

  • 根據數據的敏感度分類數據,並採取適當措施來保護數據,包括傳輸和待用加密,並強制執行最低許可權存取原則可提供額外的保護。 • 認知訓練可增強使用者與安全性團隊之間的信任關係,從而營造一個環境,使使用者能無懼於報告事件和異常狀況。

擁有一組豐富的控件和深度防禦策略有助於確保任何一個區域失敗時,其他領域都有補償控件,以協助維護客戶、雲端服務和我們自己的基礎結構的安全性和隱私權。 不過,沒有任何環境真正是無懈可擊的,因為人們會犯錯,而意志堅定的對手會繼續尋找弱點並加以利用。 我們繼續在這些保護層和基準分析中進行的重大投資,可讓我們快速偵測到異常活動何時出現。

偵測

57 天以上是業界滲透和偵測 之間的平均天數

偵測

CDOC 小組採用自動化軟體、機器學習、行為分析和鑑識技術,以建立我們環境的智慧型安全圖表。 此訊號會使用從Active Directory、資產和組態管理系統和事件記錄檔等來源產生的內容元數據和行為模型來擴充。

我們對安全性分析的大量投資建立豐富的行為資料檔案和預測模型,使我們能夠串聯資訊識別可能未察覺的進階威脅,並使用強而有力的遏制措施和協調的補救活動來對抗。

Microsoft還採用自定義開發的安全性軟體,以及領先業界的工具和機器學習。 我們的威脅情報持續演進,自動化數據擴充可更快速地偵測惡意活動,並以高精確度報告。 弱點掃描會定期執行,以測試和精簡保護措施的有效性。 Microsoft對其安全性生態系統的投資範圍和 CDOC 小組所監視的各種訊號,可提供比大多數服務提供者更全面的威脅檢視。

Microsoft的偵測策略包括:

  • 監控網路和實體環境全天候以偵測潛在的資安事件。 行為分析是以使用模式為基礎,以及了解我們服務的獨特威脅。

  • 身分識別和行為分析的開發是為了強調異常活動。

  • 機器學習軟體工具和技術經常用來探索和標幟違規行為。

  • 進階分析工具和程式會部署,以進一步識別異常活動和創新的相互關聯功能。 這可讓從大量數據中近乎即時地建立高度情境化的偵測。

  • 自動化的以軟體為基礎的程序,持續進行稽核和演變,以提高其有效性。

  • 數據科學家和安全性專家會並肩工作,以解決需要進一步分析目標之異常特性的升級事件。 然後,他們可以判斷潛在的回應和補救工作。

回應

90% 所有資訊安全事件都是阻斷服務、Web 應用程式攻擊和犯罪軟體

回應

當Microsoft在我們的系統中偵測到異常活動時,它會觸發我們的回應小組,以精確的力量參與並快速回應。 軟體型偵測系統的通知會透過我們的自動化響應系統,使用風險型演算法來標幟需要回應小組介入的事件。 平均緩解時間極其重要,我們的自動化系統為回應者提供相關且可採取行動的資訊,以加速排序、緩解和復原。

為了大規模管理安全性事件,我們會部署分層式系統,以有效率地將回應任務指派給正確的資源,並協助合理的升級路徑。

Microsoft的回應策略包括:

  • 自動化響應系統會使用風險型演算法來標幟需要人為介入的事件。

  • 自動化響應系統會使用風險型演算法來標幟需要人為介入的事件。

  • 在持續改進模型中妥善定義、記載且可調整的事件回應程式,藉由讓所有回應者都能使用這些回應程式,協助我們領先對手。

  • 我們的團隊在多個安全領域具備專業知識,提供多樣化的技能組合來應對事件。 事件回應、鑑識和入侵分析的安全性專業知識;以及深入瞭解在我們的雲端數據中心運作的平臺、服務和應用程式。

  • 跨雲端、混合式和內部部署數據和系統進行廣泛的企業搜尋,以判斷事件的範圍。

  • 主要威脅的深入鑑識分析是由專家執行,以瞭解事件並協助其遏制和根除。 • Microsoft的安全性軟體工具、自動化和超大規模雲端基礎結構,可讓我們的安全性專家減少偵測、調查、分析、回應及從網路攻擊復原的時間。

  • 滲透測試會透過持續進行的紅隊/藍隊練習,在所有Microsoft產品和服務中運用滲透測試來發掘弱點,然後真正的對手才能利用這些弱點進行攻擊。

為客戶的網路安全防護

我們經常被問及客戶可以針對自己的環境採用哪些工具和程式,以及Microsoft如何協助其實作。 Microsoft已將我們在 CDOC 中使用的許多網路防禦產品和服務整合成一個產品和服務系列。 Microsoft Enterprise Cybersecurity Group 和 Microsoft 諮詢服務小組與客戶互動,以提供最適合其特定需求和需求的解決方案。

Microsoft強烈建議的初步步驟之一是建立安全性基礎。 我們的基礎服務提供重要的攻擊防禦和核心身分識別啟用服務,可協助您確保資產受到保護。 此基礎可協助您加速數字轉型旅程,以邁向更安全的新式企業。

根據此基礎,客戶就可以利用已證明與其他Microsoft客戶成功的解決方案,並部署在Microsoft自己的IT和雲端服務環境中。 如需企業網路安全工具、功能和服務供應專案的詳細資訊,請造訪 Microsoft.com/security,並在 cyberservices@microsoft.com連絡我們的小組。

保護環境的最佳做法

投資您的平臺 投資您的儀器設備 投資你的人才
靈活度和延展性需要規劃和建置支援平台 請確定您在平台中全面測量各個元素 熟練的分析師和數據科學家是防禦的基礎,而用戶則是新的安全邊界
維護詳盡記錄的資產清單 取得和/或建置完全監視網路、主機和記錄所需的工具 建立事件回應小組與其他群組之間的關係與溝通管道。
擁有定義完善的安全策略,為您的組織提供明確的標準和指引 主動維護控件和量值,並定期測試其精確度和有效性 採用最低許可權系統管理員原則;排除持續性系統管理員許可權
維護適當的衛生 — 大部分的攻擊都可以及時修補和防毒來防止 維持對變更管理原則的嚴格控制 使用經驗教訓程序,從每個重大事件中汲取價值
採用多重要素驗證來加強帳戶和裝置的保護 監視異常帳戶和認證活動以偵測濫用 登記、教育及授權用戶辨識可能的威脅及其在保護商務數據方面的角色