Microsoft Cybersecurity Defense Operations Center

The Microsoft Cyber Defense Operations Center

Inovace v prostoru útoku napříč lidmi, místy a procesy jsou nezbytnou a nepřetržitou investicí, které všichni musíme investovat, protože protivné se dál vyvíjejí při určování i propracovanosti. V reakci na zvýšené investice do obranných strategií mnoha organizací se útočníci přizpůsobují a zlepšují taktiku v kritické rychlosti. Kyberdefinci, jako jsou týmy globální informační bezpečnosti Microsoftu, naštěstí také inovují a narušují dlouho spolehlivé metody útoku s průběžnými, pokročilými školeními a moderními bezpečnostními technologiemi, nástroji a procesy.

Microsoft Cyber Defense Operations Center (CDOC) je jedním z příkladů více než 1 miliardy usd, které každý rok investujeme do zabezpečení, ochrany dat a řízení rizik. CDOC sdružuje specialisty na kybernetickou bezpečnost a specialisty na data v 24× 7 zařízení pro boj s hrozbami v reálném čase. Jsme připojení k více než 3 500 profesionálům v oblasti zabezpečení globálně napříč našimi týmy pro vývoj produktů, skupinami zabezpečení informací a právními týmy, aby chránili naši cloudovou infrastrukturu a služby, produkty a zařízení a interní zdroje.

Microsoft investoval do naší cloudové infrastruktury více než 15 miliard usd a přes 90 % společností z žebříčku Fortune 500 používá cloud Microsoft. V současné době vlastníme a provozujeme jedno z největších cloudových stop na světě s více než 100 geograficky distribuovaných datacentrem, 200 cloudovými službami, miliony zařízení a miliardou zákazníků po celém světě.

Aktéři a motivace k kybernetické bezpečnosti

• Kyberzločinci pokrývají několik podkategorií, i když často sdílejí společné motivace – finanční, inteligentní a/nebo sociální nebo politický zisk. Jejich přístup je obvykle přímý – infiltrací do finančního datového systému a odstředím mikropodniky, které jsou příliš malé na to, aby bylo možné před objevením zjistit a opustit. Udržování trvalé, tajné přítomnosti je pro splnění jejich cíle velmi důležité.
  
  Jejich přístup může být vniknutí, které přesměruje velkou finanční platbu přes bludiště účtů, aby se vyhnout sledování a intervenci. Cílem je občas krást duševní vlastnictví, které cíl vlastní, aby kyberzločinci vystupují jako zprostředkovatel při poskytování návrhu produktu, zdrojového kódu softwaru nebo jiných vlastnických informací, které mají hodnotu pro určitou entitu. Více než polovinu těchto aktivit páchají organizované zločinecké skupiny.
  
  
• Celostátní aktéři pracují na tom, aby vláda narušila nebo narušila cílené vlády, organizace nebo jednotlivce, aby získala přístup k cenným datům nebo inteligentním informacím. Zapojují se do mezinárodních záležitostí, aby ovlivnili a vybídnou k výsledku, který může být přínosný pro zemi nebo země. Cílem národního aktéra je narušit operace, vést špionáž proti korporacím, krást tajemství od jiných vlád nebo jinak narušit důvěru v instituce. Pracují s velkými zdroji, které mají k dispozici, a bez obav z právní odplaty, s sadou nástrojů, která zahrnuje jednoduché až velmi složité nástroje.
  
  Celostátní herci lákají některé z nejsoudřenějších talentů kyberchyberzingu a mohou své nástroje posouváním do bodu zbrani. Jejich přístup k narušení často zahrnuje pokročilou trvalou hrozbu, která používá superpočítačové síly k hrubému prolomení přihlašovacích údajů miliony pokusů o doručení správného hesla. Mohou také použít hyper-targeted phishingové útoky, aby přilákaly insider do odhalení svých přihlašovacích údajů.
  
  
• Hrozby insider jsou obzvlášť náročné kvůli nepředvídatelnosti lidského chování. Motivace pro insider může být oportunistická a pro finanční zisk. Existuje ale několik příčin potenciálních vnitřních hrozeb, které se od jednoduché bezstarostnosti až po sofistikovaná schémata. Mnoho narušení dat způsobených hrozbami insider je zcela neúmyslné kvůli náhodné nebo nedbalé aktivitě, která organizaci ohrožuje, aniž by o této chybě byla informována.
  
  
• Hacktivisté se zaměřují na politické a/nebo sociálně motivované útoky. Snaží se být vidět a rozpoznat ve zprávách, aby upoutat pozornost na sebe a jejich příčinu. Mezi jejich taktiky patří distribuované útoky DDoS (Denial-of-Service), zneužití zranitelnosti nebo zneužití online stavu. Spojení se sociálním nebo politickým problémem může vytvořit cíl jakékoli společnosti nebo organizace. Sociální média umožňují hacktivistům rychle evangelizovat jejich příčinu a přijímat další, aby se mohli účastnit.

Techniky herce hrozeb

Adversaries are skilled at finding ways to průnik an organization's network despite the protections in place using various sophisticated techniques. Od prvních dnů na internetu je kolem několik taktik, i když jiné odrážejí kreativitu a zvyšující se propracovanost dnešních protivných.

• Sociální inženýrství je široce pojem útoku, který uživatele triky k jednání nebo vyzrazení informací, které by jinak neučinil. Sociální inženýrství hraje na dobré úmysly většiny lidí a jejich vůli být užitečný, vyhnout se problémům, důvěřovat známým zdrojům nebo získat odměnu. Další útočné vektory mohou spadat pod záštitu sociálního inženýrství, ale následující jsou některé z atributů, které usnadňují rozpoznání a obranu taktik sociální techniky:
• Phishingové e-maily jsou efektivní nástroj, protože se hrajou proti nejslabšímu odkazu v bezpečnostním řetězci – každodenním uživatelům, kteří na zabezpečení sítě nepomyslí jako na špičku. Phishingová kampaň může uživatele přizvat nebo vyděsit, aby neúmyslně sdílel svoje přihlašovací údaje tím, že je zklame tím, že klikne na odkaz, který je podle nich legitimním webem, nebo stáhne soubor, který obsahuje škodlivý kód. Phishingové e-maily bývaly špatně napsané a snadno rozpoznat. V současné době se pronásledovately adeptem napodobování legitimních e-mailů a přistávacích webů, které se obtížně identifikují jako podvodné.
• Falšování identity zahrnuje maskování jako jiného legitimního uživatele tím, že falšuje informace předkládané aplikaci nebo síťovému prostředku. Příkladem je e-mail, který přijde zdánlivě s adresou kolegy, který žádá o akci, ale adresa skrývá skutečný zdroj odesílatele e-mailu. Podobně se adresa URL může zobrazit jako legitimní web, ale skutečná IP adresa ve skutečnosti nasměruje na web kyberzločince.
  
  
• Malware je s námi už od počátku práce s počítačem. V současné době vidíme silné up-tick v ransomwaru a škodlivém kódu speciálně určeném k šifrování zařízení a dat. Kyberzločinci pak požadují platbu v kryptoměně, aby klíče odemkly a vrátily kontrolu nad obětí. K tomu může dojít na individuální úrovni počítače a datových souborů nebo teď častěji v celém podniku. Použití ransomwaru je zvlášť výrazné v oblasti zdravotní péče, protože důsledky života nebo smrti, které tyto organizace čelí, jsou velmi citlivé na výpadky sítě.
  
  
• Vkládání dodavatelských řetězců je příkladem kreativního přístupu k vkládání malwaru do sítě. Například tím, že přepadl proces aktualizace aplikací, obchází adverzní nástroj a ochranu proti malwaru. Vidíme, že tato technika se stává častější a tato hrozba poroste, dokud nebudou vývojáři aplikací do softwaru dosáhnou komplexnější ochrany zabezpečení.
  
  
• Útoky typu man-in-the-middlezahrnují, že se mezi uživatele a prostředek, ke které přistupují, vkládá do sebe adversary, což zachycuje důležité informace, jako jsou přihlašovací údaje uživatele. Například kyberzločince v kavárně může při připojování k síti Wi-Fi používat software pro protokolování klíčů k zachycení přihlašovacích údajů domény uživatelů. Herec hrozeb pak může získat přístup k citlivým informacím uživatele, jako jsou bankovní a osobní údaje, které mohou používat nebo prodávat na tmavém webu.
  
  
• Útoky DDoS (Distributed Denial of Service)jsou zhruba deset let a s rychlým růstem internetu věcí (IoT) jsou rozsáhlé útoky stále častěji. Při použití této techniky zahltí adversary web tak, že ho bombarduje škodlivým provozem, který vysídí legitimní dotazy. Dříve zasazený malware se často používá k přepadení zařízení IoT, jako je webová kamera nebo inteligentní termostat. Při útoku DDoS zahlcením příchozího provozu z různých zdrojů síť mnoha žádostmi. To zahlcuje servery a zamítá přístup z legitimních požadavků. K mnoha útokům patří také falšování IP adres odesílatelů (falšování IP adres), aby se umístění napadajících počítačů nesnáz identifikovalo a přemohou.
  
  Útok odmítnutí služby se často používá k pokrytí nebo odvrácení od klamavých snah o proniknutí do organizace. Ve většině případů je cílem protivníka získat přístup k síti pomocí ohrožených přihlašovacích údajů a pak se pohybovat po straně po síti, abyste získali přístup k výkonnějším přihlašovacím údajům, které jsou klíčem k nejcitlivějším a nejcennějším informacím v organizaci.
  
  

Militarizace kyberprostoru

Rostoucí možnost kybernetické bezpečnosti je jednou z hlavních obav mezi dnešními vládami a občany. Zahrnuje národní státy, které používají počítače a sítě ve válčení a zacílení na počítače a sítě.

Útočné i defenzivní operace slouží k provádění kybernetických útoků, špionáže a sabotáže. Národní státy rozvíjejí své schopnosti a zabývají se kybernetickou vábenou buď jako agresoři, žalovaní, nebo obojí už mnoho let.

Může dojít také k porušení nových nástrojů a taktik hrozeb vyvinutých prostřednictvím pokročilých vojenských investic a kyberzločinci je možné sdílet online a zzbrojeni kyberzločinci k dalšímu použití.

Postoj kyberbezpečnosti Microsoftu

I když je zabezpečení pro Microsoft vždy prioritou, uvědomujeme si, že digitální svět vyžaduje neustálé pokroky v našem závazku chránit, zjišťovat a reagovat na hrozby kybernetické bezpečnosti. Tyto tři závazky definují náš přístup k kybernetické obraně a slouží jako užitečný rámec pro naši diskusi o strategiích a možnostech kybernetické obrany Microsoftu.

PROTECT (CHRÁNIT)

Zamknout

Prvním závazkem Microsoftu je chránit výpočetní prostředí používané našimi zákazníky a zaměstnanci k zajištění odolnosti naší cloudové infrastruktury a služeb, produktů, zařízení a interních podnikových zdrojů společnosti před určenými proporcemi.

Ochranná opatření týmů CDOC jsou rozložená napříč všemi koncovými body, od senzorů a datových center až po identity a aplikace saas (software-as-a-service). Ochrana před riziky – použití ovládacích prvků ve více vrstvách s překrývajícími se zárukami a strategiemi ke zmírnění rizik – je osvědčeným postupem v celém odvětví a je to přístup, který používáme k ochraně cenných zákaznických a firemních aktiv.

Mezi taktiky ochrany společnosti Microsoft patří:

• Rozsáhlé monitorování a kontrola fyzického prostředí našich globálních datacentre, včetně kamer, prověrky personálu, plotů a bariér a více metod identifikace pro fyzický přístup.
  
  
• Softwarově definované sítě, které chrání naši cloudovou infrastrukturu před vniknutím a útoky DDoS.
  
  
• Vícefaktorové ověřování se používá v naší infrastruktuře pro řízení identity a správy přístupu. Zajišťuje ochranu důležitých zdrojů a dat nejméně dvěma z těchto způsobů:
• Něco, co znáte (heslo nebo PIN kód)
• Něco, co jste (biometrické)
• Něco, co máte (smartphone)
• Non-persistent administration employs just-in-time (JIT) and just-enough administrator (JEA) privileges to engineering staff who manage infrastructure and services. To poskytuje jedinečnou sadu přihlašovacích údajů pro zvýšený přístup, která automaticky vyprší po předem určené době trvání.
  
  
• Správná hygiena je důsledně udržována prostřednictvím aktuálního softwaru pro ochranu proti malwaru a dodržování přísných oprav a správy konfigurace.
  
  
• Centrum společnosti Microsoft pro ochranu před škodlivým softwarem výzkumníků identifikovat, zpětnou analýzu a vyvíjet podpisy malwaru a pak je nasadit v naší infrastruktuře pro pokročilou detekci a obranu. Tyto podpisy jsou distribuovány našim respondentům, zákazníkům a odvětví prostřednictvím Windows aktualizací a oznámení na ochranu svých zařízení.
  
  
• Microsoft Security Development Lifecycle (SDL) je proces vývoje softwaru, který pomáhá vývojářům vytvářet bezpečnější software a řešit požadavky na dodržování předpisů v oblasti zabezpečení a zároveň snížit náklady na vývoj. SDL se používá k ztvrdnutí všech aplikací, online služeb a produktů a k pravidelnému ověřování jeho účinnosti prostřednictvím testování průniku a kontroly zranitelnosti.
  
  
• Modelování hrozeb a analýza povrchu útoku zajišťují posouzení potenciálních hrozeb, vyhodnocení exponovaných aspektů služby a minimalizaci útoku omezením služeb nebo odstraněním zbytečných funkcí.
  
  
• Klasifikovat data podle citlivosti a přijmout příslušná opatření k jejich ochraně, včetně šifrování při přepravě a v klidu, a prosazování zásady přístupu s nejmenším oprávněním poskytuje další ochranu. • Školení o informovanosti, které podporuje vztah důvěryhodnosti mezi uživatelem a bezpečnostním týmem, aby se vytvořilo prostředí, ve kterém budou uživatelé hlásit incidenty a anomálie bez obav z následků.
  
  

Díky bohaté sadě ovládacích prvků a důkladné strategii ochrany zajistíte, že v případě selhání jedné oblasti existují kompenzační kontroly v jiných oblastech, které pomáhají udržovat zabezpečení a ochranu osobních údajů našich zákazníků, cloudových služeb a vlastní infrastruktury. Žádné prostředí ale není skutečně neproniknutelné, protože lidé budou dělat chyby a odhodlaní protiváci budou dál hledat chyby a využívat je. Významné investice, které do těchto ochranných vrstev a základní analýzy dál investuje, nám umožňují rychle zjistit, kdy je přítomná neobvyklá aktivita.

ROZPOZNAT

Rozpoznat

Týmy CDOC používají automatizovaný software, strojové učení, analýzu chování a forenzní techniky k vytvoření inteligentního diagramu zabezpečení našeho prostředí. Tento signál je obohacený o kontextová metadata a modely chování vygenerované ze zdrojů, jako je služba Active Directory, systémy správy majetku a konfigurace a protokoly událostí.

Naše rozsáhlé investice do analýzy zabezpečení vytvářely bohaté profily chování a prediktivní modely, které nám umožňují "propojit tečky" a identifikovat pokročilé hrozby, které se jinak nezjistly, a pak čelit silným omezením a koordinovaným nápravným činnostem.

Microsoft také používá software pro zabezpečení vyvinutý na zakázku, společně s nástroji pro průmyslové použití a strojové učení. Naše inteligence hrozeb se neustále vyvíjí, díky automatizovanému obohacení dat rychleji rozpoznává škodlivé aktivity a hlásí se s vysokou věrností. Kontroly zranitelnosti se provádějí pravidelně, aby se testoval a upřesní účinnost ochranných opatření. Šířka investic Microsoftu do jeho bezpečnostního ekosystému a různé signály sledované týmy CDOC poskytují komplexnější zobrazení hrozeb, než může dosáhnout většina poskytovatelů služeb.

Mezi taktiky detekce od Microsoftu patří:

• Monitorování síťových a fyzických prostředí 24x7x365 pro potenciální události kybernetické bezpečnosti. Profilování chování je založené na vzorcích používání a pochopení jedinečných hrozeb pro naše služby.
  
  
• Analýza identity a chování se vyvíjí tak, aby zvýrazňala neobvyklou aktivitu.
  
  
• Softwarové nástroje a techniky strojového učení se běžně používají k zjišťování a označení nesrovnalostí.
  
  
• Pro další identifikaci neobvyklé aktivity a inovativních korelací jsou nasazené pokročilé analytické nástroje a procesy. To umožňuje vytváření vysoce kontextových zjišťování z ohromných objemů dat v blízké reálném čase.
  
  
• Automatizované softwarové procesy, které se průběžně audituje a vyvíjejí, aby se zvýšila efektivita.
  
  
• Odborníci na data a odborníci na zabezpečení běžně pracují vedle sebe na řešení eskalovaných událostí, které mají neobvyklé vlastnosti vyžadující další analýzu cílů. Pak mohou určit potenciální úsilí o reakci a nápravu.
  
  

ODPOVĚDĚT

Odpovědět

Když Microsoft zjistí neobvyklou aktivitu v našich systémech, spustí naše týmy odpovědí, aby se zapojily a rychle reagovaly přesnou silou. Oznámení ze softwarových detekčních systémů prochází naše automatizované systémy odpovědí pomocí algoritmů založených na rizicích k označení událostí vyžadujících zásah od našeho týmu pro odpověď. Mean-Time-to-Mitigate je prvořadá a náš automatizační systém poskytuje respondentům relevantní a použitelné informace, které urychlují triage, zmírňování a obnovení.

Pokud chcete incidenty zabezpečení spravovat v tak rozsáhlém měřítku, nasadíme vrstvené systémy, které efektivně přiřaďte úkoly odpovědí správnému zdroji a usnadníme racionální eskalaci.

Mezi taktiky reakce Microsoftu patří:

• Automatizované systémy odpovědí používají algoritmy založené na riziku k označení událostí vyžadujících zásah člověka.
  
  
• Automatizované systémy odpovědí používají algoritmy založené na riziku k označení událostí vyžadujících zásah člověka.
  
  
• Dobře definované, zdokumentované a škálovatelné procesy reakce na incidenty v rámci modelu neustálého zlepšování nám pomáhají udržet nás před protivníky tím, že je zdokonalíte všem respondentům.
  
  
• Odborné znalosti v oblasti předmětu v našich týmech, ve více oblastech zabezpečení, poskytují různé dovednosti pro řešení incidentů. Odborné znalosti zabezpečení v oblasti reakce na incidenty, forenzní analýzy a analýzy vniknutí; a hluboké porozumění platformám, službám a aplikacím, které působí v našich cloudových datacentrech.
  
  
• Široké podnikové vyhledávání napříč cloudovými, hybridními a místními daty a systémy za účelem určení rozsahu incidentu.
  
  
• Hloubková forenzní analýza hlavních hrozeb provádí specialisté, aby porozuměli incidentům a na pomoc při jejich zadržování a vymýcení. • Softwarové nástroje microsoftu pro zabezpečení, automatizace a cloudová infrastruktura s hyperšimem umožňují našim odborníkům z oblasti zabezpečení zkrátit čas na zjišťování, zkoumání, analýzu, reakci a obnovení z kybernetických útoků.
  
  
• Testování průniku se používá ve všech produktech a službách Microsoftu prostřednictvím probíhajících cvičení Červeného týmu/Modrého týmu k odvrácení chyb zabezpečení, než skutečný protivný může tyto slabiny využít k útoku.
  
  

Cyberdefense pro naše zákazníky

Často se nás ptá, jaké nástroje a procesy můžou naši zákazníci přijmout pro své vlastní prostředí a jak může Microsoft pomoct s jejich implementací. Microsoft sjednocoval mnoho produktů a služeb kybernetické obrany, které v CDOC používáme, do řady produktů a služeb. Týmy Microsoft Enterprise Cybersecurity Group a Microsoft Consulting Services se účastní našich zákazníků a poskytují řešení, která jsou nejvhodnější pro jejich konkrétní potřeby a požadavky.

Jedním z prvních kroků, které Microsoft důrazně doporučuje, je vytvoření základu zabezpečení. Naše služby pro základy poskytují kritickou ochranu před útoky a základní služby umožňující identitu, které vám pomůžou zajistit ochranu prostředků. Základ vám pomůže urychlit vaši digitální transformační cestu k bezpečnějšímu modernímu podniku.

Na základě tohoto základu pak mohou zákazníci využít řešení, která se osvědčila u ostatních zákazníků Microsoftu a nasazená v prostředích IT a cloudových služeb microsoftu. Další informace o našich podnikových nástrojích, možnostech a nabídkách služeb pro kybernetickou bezpečnost najdete v Microsoft.com/security a kontaktujte naše týmy na adrese cyberservices@microsoft.com .

Doporučené postupy pro ochranu vašeho prostředí