Microsoft 網路安全性防禦作業中心
本文內容
網路安全是共同的責任,這會影響我們所有人。 如今,單一缺口,實體或虛擬,可能會對組織造成數百萬美元的損害,並可能給全球經濟帶來數十億美元的財務損失。 我們每天都看到針對企業和個人的網路犯罪報告,以取得財務收益或出於社會動機的目的。 增加那些被尋求破壞行動、進行間諜活動或普遍破壞信任的國家國家執行者的威脅。
在此簡短的簡報中,我們會分享在線安全性、威脅執行者和他們用來推進其目標的複雜策略,以及 Microsoft 網路防禦作業中心如何應對這些威脅,並協助客戶保護其機密應用程式和數據。
Microsoft 網路防禦作業中心
Microsoft 致力於讓每個人都能更安全的在線世界。 我們公司的網路安全策略已從我們獨特的可見度演變為快速演變的網路威脅格局。
跨人員、地點和流程的攻擊空間創新是我們需要進行的必要和持續投資,因為敵人在決心和複雜度方面繼續發展。 為了應對許多組織增加對防禦策略的投資,攻擊者正以驚人的速度調整和改善策略。
幸運的是,Microsoft 全球資訊安全小組等網路技術人員也透過持續、進階的訓練和現代化安全性技術、工具和程式來創新並中斷長期可靠的攻擊方法。
Microsoft Cyber Defense Operations Center (CDOC) 是我們每年投資超過 10 億美元的安全性、數據保護和風險管理的一個例子。 CDOC 將網路安全專家和數據科學家聚集在一個 24x7 設施中,實時打擊威脅。 我們已透過我們的產品開發小組、資訊安全組和法律小組,與全球超過 3,500 名安全性專業人員連線,以保護我們的雲端基礎結構和服務、產品和裝置,以及內部資源。
Microsoft 在我們的雲端基礎結構投資超過 150 億美元,超過 90% 的財富 500 家公司使用 Microsoft 雲端。 如今,我們擁有並運營世界上最大的雲端使用量之一,擁有超過100個地理位置分散的數據中心、200個雲端服務、數百萬部裝置,以及全球10億個客戶。
網路安全威脅執行者和動機
保護人員、裝置、數據和關鍵基礎結構的第一個步驟是瞭解不同類型的威脅執行者及其動機。
網路犯罪跨越 數個子類別,雖然它們通常共用共同動機,包括財務、情報和/或社會或政治利益。 其方法通常是直接的,方法是滲透到金融數據系統,在發現之前,略過微金額太小,無法偵測和退出。 保持持續、秘密的存在對於達到其目標至關重要。國家執行者 為政府工作,以擾亂或入侵目標政府、組織或個人,以取得寶貴的數據或情報。 他們從事國際事務,以影響和推動一個可能有利於國家或國家的結果。 一個民族國家演員的目標是破壞行動、對公司進行間諜活動、從其他政府竊取秘密,或者破壞對機構的信任。 他們可處理大型資源,不怕法律報復,其工具組範圍從簡單到高度複雜。由於人類行為的不可預測性,內部 威脅尤其具有挑戰性。 一個內部人士的動機也許機會主義和財務利益。 不過,潛在的內部威脅有許多原因,從簡單粗心到複雜的配置。 由於意外或疏忽活動,導致內部威脅造成的許多數據外泄完全無意中,而使組織處於危險之中,而不會察覺到弱點。駭客攻擊者 專注於政治和/或社會動機的攻擊。 他們努力在新聞中可見和承認,以引起人們對自己及其事業的關注。 其策略包括分散式阻斷服務 (DDoS) 攻擊、弱點入侵或損毀在線存在。 與社交或政治問題的聯繫可以讓任何公司或組織成為目標。 社交媒體可讓駭客分子迅速宣傳他們的事業,並招募其他人參與。
威脅執行者技術
儘管使用各種複雜的技術來保護到位,但敵人還是善於尋找滲透組織網路的方法。 自互聯網初期以來,一些策略一直在進行,但其他人反映了當今對手的創造力和日益複雜。
社交工程 是一個廣泛的術語,攻擊欺騙使用者採取行動或洩露他們不會做的資訊。 社會工程發揮大多數人的良好意圖和他們願意提供説明,避免問題,信任熟悉的來源,或可能獲得獎勵。 其他攻擊媒介可以落在社會工程的傘下,但以下是一些屬性,可讓社會工程策略更容易辨識和防禦:
網路釣魚電子郵件 是一個有效的工具,因為它們會與安全性鏈結中最弱的鏈接進行遊戲—不認為網路安全性是首要考慮的日常使用者。 網路釣魚活動可能會邀請或嚇倒使用者不小心分享其認證,方法是誘騙他們按兩下他們認為是合法網站的連結,或下載包含惡意代碼的檔案。 網路釣魚電子郵件過去寫得很差,而且容易辨識。 如今,敵人已經善於模仿難以識別為詐騙的合法電子郵件和登陸網站。身分識別詐騙 牽涉到敵人偽裝為另一個合法使用者,方法是偽造提供給應用程式或網路資源的資訊。 例如,抵達的電子郵件似乎包含同事要求動作的位址,但該位址會隱藏電子郵件發件人的真實來源。 同樣地,URL 可能會詐騙為合法網站,但實際的IP位址實際上是指向網路犯罪的網站。
自運算開始以來,惡意代碼一直與我們同在。 今天,我們看到勒索軟體和惡意代碼的強烈向上滴答聲,專門用來加密裝置和數據。 然後,網路犯罪分子要求以加密貨幣付款,讓鑰匙解除鎖定並返回受害者的控制。 這可能發生在計算機和數據檔的個別層級,或現在更頻繁地發生在整個企業。 勒索軟體的使用在醫療保健領域特別明顯,因為這些組織面臨的生命或死亡後果使他們對網路停機非常敏感。
供應鏈插入 是將惡意代碼插入網路的創意方法範例。 例如,藉由劫持應用程式更新程序,敵人會規避反惡意代碼工具和保護。 我們看到這項技術變得更加常見,而且這種威脅會持續成長,直到應用程式開發人員將更全面的安全性保護注入軟體為止。分散式阻斷服務(DDoS)攻擊已經持續了十多年,而且大規模攻擊正隨著物聯網(IoT) 的快速增長而變得更加常見。 使用這項技術時,敵人用惡意流量轟炸網站,以取代合法查詢,使網站不知所措。 先前植入的惡意代碼通常用來劫持IoT裝置,例如網路攝影機或智慧控溫器。 在 DDoS 攻擊中,來自不同來源的連入流量會大量湧入網路,併發出許多要求。 這會讓伺服器不堪重負,並拒絕合法要求的存取。 許多攻擊也涉及偽造IP發件者位址(IP 位址詐騙),以便無法輕易識別和擊敗攻擊機器的位置。
網路空間的軍事化
網路戰的可能性日益增強,是政府和公民今天的主要擔憂之一。 它涉及民族國家在戰爭中使用和瞄準計算機和網路。
進攻和防禦行動都被用來進行網路攻擊、間諜和破壞。 民族國家一直在發展自己的能力,從事網路戰爭,無論是侵略者、被告,還是兩者都多年來。
透過進階軍事投資開發的新威脅工具和策略也可能遭到入侵,網路威脅可以在網上共用,並受到網路犯罪分子的武器進行進一步使用。
Microsoft 網路安全性狀態
雖然安全性一直是 Microsoft 的重中之重,但我們認識到數位世界在保護、偵測及響應網路安全性威脅方面的承諾需要持續進展。 這三項承諾會定義我們對網路防禦的方法,並作為我們討論 Microsoft 網路防禦策略和功能的實用架構。
保護
保護
Microsoft 的第一個承諾是保護客戶和員工所使用的運算環境,以確保雲端基礎結構和服務、產品、裝置和公司內部公司資源從確定的敵人的復原能力。
CDOC 小組的保護措施橫跨所有端點,從感測器和數據中心到身分識別和軟體即服務 (SaaS) 應用程式。 防禦功能—在多層套用具有重疊保護措施和風險風險降低策略的控件—是整個行業的最佳做法,也是我們保護寶貴客戶和公司資產所採取的方法。
Microsoft 的保護策略包括:
全球數據中心實體環境的廣泛監視和控制,包括相機、人員檢測、柵欄和障礙,以及多種實體存取的識別方法。
可保護雲端基礎結構免於入侵和 DDoS 攻擊的軟體定義網路。
我們的基礎結構採用多重要素驗證來控制身分識別和存取管理。 它可確保關鍵資源和數據至少受到下列兩項保護:
您知道的內容(密碼或 PIN)
代表您身分的事物 (生物識別技術)
你有的東西(智能手機)
非持續性系統管理會僱用 Just-In-Time (JIT) 和 Just-enough administrator (JEA) 許可權給管理基礎結構和服務的員工。 這會為提高許可權的存取提供唯一的認證集,這些認證會在預先指定的持續時間之後自動到期。
透過最新的反惡意代碼軟體,並遵循嚴格的修補和組態管理,嚴格維護適當的衛生。
Microsoft 惡意程式碼防護中心 的研究人員小組會識別、反向工程師及開發惡意代碼簽章,然後在我們的基礎結構中部署惡意代碼簽章,以進行進階偵測和防禦。 這些簽章會透過 Windows 更新 和通知散發給回應者、客戶和業界,以保護其裝置。
Microsoft 安全性開發生命週期 (SDL) 是一種軟體開發程式,可協助開發人員建置更安全的軟體,並解決安全性合規性需求,同時降低開發成本。 SDL 可用來強化所有應用程式、線上服務 和產品,並透過滲透測試和弱點掃描定期驗證其有效性。
威脅模型化和受攻擊面分析可確保評估潛在威脅、評估服務公開層面,而且受攻擊面會透過限制服務或消除不必要的功能來最小化。
根據數據的敏感度分類數據,並採取適當措施來保護數據,包括傳輸和待用加密,並強制執行最低許可權存取原則可提供額外的保護。 • 認知訓練可促進使用者與安全性小組之間的信任關係,以開發一個環境,讓使用者不會擔心事件和異常狀況。
擁有一組豐富的控件和深度防禦策略有助於確保任何一個區域失敗時,其他領域都有補償控件,以協助維護客戶、雲端服務和我們自己的基礎結構的安全性和隱私權。 不過,沒有任何環境確實難以置之不理,因為人們會犯錯誤,並判斷對手會繼續尋找弱點並加以利用。 我們繼續在這些保護層和基準分析中進行的重大投資,可讓我們快速偵測到異常活動何時出現。
檢測
偵測
CDOC 小組採用自動化軟體、機器學習、行為分析和鑑識技術,以建立我們環境的智慧型手機的智慧型安全性圖表。 此訊號會使用從Active Directory、資產和組態管理系統和事件記錄檔等來源產生的內容元數據和行為模型來擴充。
我們對安全性分析的廣泛投資會建置豐富的行為配置檔和預測模型,以允許我們「連接點」,並識別可能未察覺的進階威脅,然後使用強式內含和協調的補救活動來對抗。
Microsoft 也採用自定義開發的安全性軟體,以及領先業界的工具和機器學習服務。 我們的威脅情報持續演進,自動化數據擴充可更快速地偵測惡意活動,並以高精確度報告。 弱點掃描會定期執行,以測試和精簡保護措施的有效性。 Microsoft 對其安全性生態系統的投資廣度,以及 CDOC 小組所監視的各種訊號,可提供比大多數服務提供者更全面的威脅檢視。
Microsoft 的偵測策略包括:
監視網路和實體環境 24x7x365 以取得潛在的網路安全性事件。 行為分析是以使用模式為基礎,以及了解我們服務的獨特威脅。
身分識別和行為分析是開發來強調異常活動。
機器學習軟體工具和技術經常用來探索和標幟違規行為。
進階分析工具和程式會部署,以進一步識別異常活動和創新的相互關聯功能。 這可讓高度內容化偵測從近乎即時的大量數據建立。
持續稽核和進化的自動化軟體型程式,以提高有效性。
數據科學家和安全性專家會並肩工作,以解決需要進一步分析目標之異常特性的升級事件。 然後,他們可以判斷潛在的回應和補救工作。
回應
回應
當 Microsoft 在我們的系統中偵測到異常活動時,它會觸發我們的回應小組,以精確的力量參與並快速回應。 軟體型偵測系統的通知會透過我們的自動化響應系統,使用風險型演算法來標幟需要回應小組介入的事件。 平均時間緩解是最重要的,我們的自動化系統為回應者提供相關且可採取動作的資訊,以加速分級、緩和復原。
為了大規模管理安全性事件,我們會部署分層系統,以有效率地將回應工作指派給正確的資源,並協助合理呈報路徑。
Microsoft 的回應策略包括:
自動化響應系統會使用風險型演算法來標幟需要人為介入的事件。
自動化響應系統會使用風險型演算法來標幟需要人為介入的事件。
在持續改進模型中妥善定義、記載且可調整的事件回應程式,藉由讓所有回應者都能使用這些回應程式,協助我們領先對手。
我們小組在多個安全性領域的主題專業知識,提供各種技能集來處理事件。 事件回應、鑑識和入侵分析的安全性專業知識;以及深入瞭解在我們的雲端數據中心運作的平臺、服務和應用程式。
跨雲端、混合式和內部部署數據和系統進行廣泛的企業搜尋,以判斷事件的範圍。
主要威脅的深入鑑識分析是由專家執行,以瞭解事件並協助其遏制和根除。 • Microsoft 的安全性軟體工具、自動化和超大規模雲端基礎結構可讓我們的安全性專家減少偵測、調查、分析、回應及從網路攻擊復原的時間。
滲透測試會透過持續進行的 Red Team/Blue Team 練習在所有 Microsoft 產品和服務中採用,以發掘弱點,然後真正的敵人才能利用這些弱點進行攻擊。
為客戶的網路定義
我們經常被問及客戶可以針對自己的環境採用哪些工具和程式,以及 Microsoft 如何協助其實作。 Microsoft 已將我們在 CDOC 中使用的許多網路定義產品和服務合併為一系列產品和服務。 Microsoft 企業網路安全性群組和 Microsoft 諮詢服務小組與客戶互動,以提供最適合其特定需求和需求的解決方案。
Microsoft 強烈建議的第一個步驟是建立安全性基礎。 我們的基礎服務提供重要的攻擊防禦和核心身分識別啟用服務,可協助您確保資產受到保護。 此基礎可協助您加速數字轉型旅程,以邁向更安全的新式企業。
以這個基礎為基礎,客戶接著可以利用其他 Microsoft 客戶成功證明的解決方案,並部署在 Microsoft 自己的 IT 和雲端服務環境中。 如需企業網路安全工具、功能和服務供應專案的詳細資訊,請造訪 Microsoft.com/security,並連絡我們的小組。cyberservices@microsoft.com
保護環境的最佳做法
投資您的平臺
投資您的檢測
投資您的人員
靈活度和延展性需要規劃和建置啟用平臺 請確定您已詳盡地測量平臺中的元素 熟練的分析師和數據科學家是防禦的基礎,而使用者則是新的安全性周邊
維護資產記錄良好的清查
取得和/或建置完全監視網路、主機和記錄所需的工具
事件回應小組與其他群組之間的 Establsih 關聯性與通訊線
擁有定義完善的安全策略,為您的組織提供明確的標準和指引
主動維護控件和量值,並定期測試其精確度和有效性
採用最低許可權系統管理員原則;排除持續性系統管理員許可權
維護適當的衛生 — 大部分的攻擊都可以及時修補和防毒來防止
維持對變更管理原則的嚴格控制
使用吸取教訓的程式,從每個重大事件中獲得價值
採用多重要素驗證來加強帳戶和裝置的保護
監視異常帳戶和認證活動以偵測濫用
登記、教育及授權用戶辨識可能的威脅及其在保護商務數據方面的角色
