Lösungsmöglichkeiten
Dieser Artikel ist ein Lösungsvorschlag. Wenn Sie möchten, dass wir diesen Artikel um weitere Informationen ergänzen, z. B. potenzielle Anwendungsfälle, alternative Dienste, Überlegungen zur Implementierung oder Preisempfehlungen, lassen Sie es uns über Feedback auf GitHub wissen.
In diesem Artikel wird erläutert, wie Sie ein Diagramm der wesentlichen IT-Umgebung Ihrer Organisation erstellen und eine Karte der Bedrohungen entwickeln. Diese Diagramme können Ihnen helfen, Ihre verteidigungsrelevante Sicherheitsebene zu planen und zu erstellen. Grundlegendes zu Ihrer IT-Umgebung und ihrer Architektur ist wichtig, um die Sicherheitsdienste zu definieren, die die Umgebung für die erforderlichen Schutzstufen benötigt.
Computersysteme enthalten Informationen, die für die Organisationen nützlich sind, die sie produzieren – und böswilligen Akteuren. Ein böswilliger Akteur kann eine Einzelperson oder eine Gruppe von Personen sein, die böswillige Handlungen gegen eine Person oder Organisation ausführen. Ihre Bemühungen können Schäden an den Computern, Geräten, Systemen und Netzwerken von Unternehmen verursachen. Ihre Ziele sind es, wertvolle Informationen zu kompromittieren oder zu stehlen, indem Bedrohungen wie Schadsoftware oder Brute-Force-Angriffe verwendet werden.
In diesem Artikel sehen wir uns eine Möglichkeit zur Zuordnung der Bedrohungen gegen Ihre IT-Umgebung an, damit Sie planen können, wie Sie Microsoft-Sicherheitsdienste verwenden können, um Ihre Sicherheitsstrategie zu implementieren. Dies ist der zweite Artikel in einer Reihe von fünf Artikeln, die in Verwendung der Azure-Überwachung zur Integration von Sicherheitskomponenten vorgestellt werden.
Die gute Nachricht ist, dass Sie keine Bedrohungszuordnung von Grund auf erstellen müssen. Die MITRE ATT&CK-Matrix ist eine großartige Lösung, um Ihnen bei der Entwicklung einer Karte der Bedrohungen zu helfen. MITRE ATT&CK ist eine globale Wissensdatenbank, die Bedrohungen zugeordnet, die auf den Taktiken und Techniken basieren, die in der realen Welt beobachtet werden. Die MITRE Corporation katalogisiert alle verfügbaren Bedrohungen und entdeckt viele Details darüber, wie diese Bedrohungen funktionieren und wie Sie sich gegen sie verteidigen können. Es ist ein öffentlicher Dienst, auf den Sie online bei MITRE ATT&CK® zugreifen können.
In diesem Artikel wird eine Teilmenge dieser Bedrohungen verwendet, um ein Beispiel für die Zuordnung von Bedrohungen gegen Ihre IT-Umgebung darzustellen.
Mögliche Anwendungsfälle
Einige Bedrohungen sind unabhängig vom Branchensegment weit verbreitet, wie Ransomware, DDoS-Angriffe, Cross-Site Scripting, SQL Injektion usw. Einige Organisationen haben jedoch Bedenken über bestimmte Arten von Bedrohungen, die speziell für ihre Branche sind oder die Grundlage von Cyberangriffen waren, die sie erlebt haben. Das in diesem Artikel vorgestellte Diagramm kann Ihnen dabei helfen, solche Bedrohungen für Ihr Unternehmen nach den Bereichen zuzuordnen, die böswillige Akteure wahrscheinlich angreifen werden. Durch die Entwicklung einer Karte der Bedrohungen können Sie die Verteidigungsebenen planen, die erforderlich sind, um eine sicherere Umgebung zu haben.
Sie können dieses Diagramm mit unterschiedlichen Kombinationen von Angriffen verwenden, um zu verstehen, wie Sie diese Angriffe vermeiden und verringern. Sie müssen nicht unbedingt das MITRE ATT&CK-Framework verwenden. Das Framework ist nur ein Beispiel. Microsoft Sentinel und andere Microsoft-Sicherheitsdienste haben mit MITRE gearbeitet, um aufschlussreiche Informationen zu Bedrohungen bereitzustellen.
Einige Organisationen verwenden Cyber Kill Chain®, eine Methodik von Lockheed Martin, um zu erkennen und zu verstehen, wie ein Angriff oder eine Reihe von Angriffen gegen eine IT-Umgebung ausgeführt werden. Cyber Kill Chain organisiert Bedrohungen und Angriffe, indem weniger Taktiken und Techniken als das MITRE ATT&CK-Framework berücksichtigt werden. Dennoch ist es wirksam, Ihnen dabei zu helfen, Bedrohungen zu verstehen und wie sie ausgeführt werden können. Weitere Informationen zu dieser Methodik finden Sie unter Cyber Kill Chain.
Aufbau
Laden Sie eine Visio-Datei dieser Architektur herunter.
©2021 The MITRE Corporation. Diese Arbeit wird reproduziert und mit der Erlaubnis der MITRE Corporation verteilt.
Für die IT-Umgebung von Organisationen geben wir die Komponenten nur für Azure und Microsoft 365 an. Ihre spezifische IT-Umgebung kann Geräte, Appliances und Technologien aus verschiedenen Technologieanbietern umfassen.
Für die Azure-Umgebung zeigt das Diagramm die Komponenten an, die in der folgenden Tabelle aufgeführt sind.
| Bezeichnung | Dokumentation |
|---|---|
| VNET | Was ist Azure Virtual Network? |
| LBS | Was versteht man unter Azure Load Balancer? |
| PIPS | Öffentliche IP-Adressen |
| SERVER | Virtuelle Computer |
| K8S | Azure Kubernetes Service |
| VDI | Was ist Azure Virtual Desktop? |
| WEB-APPS | App Service-Übersicht |
| AZURE STORAGE | Einführung in Azure Storage |
| DB | Was ist Azure SQL-Datenbank? |
| Microsoft Entra ID | Was ist Microsoft Entra ID? |
Das Diagramm stellt Microsoft 365 über die Komponenten dar, die in der folgenden Tabelle aufgeführt sind.
| Bezeichnung | BESCHREIBUNG | Dokumentation |
|---|---|---|
| OFFICE 365 | Microsoft 365-Dienste (früher Office 365). Die Anwendungen, die Microsoft 365 verfügbar macht, hängen von der Art der Lizenz ab. | Microsoft 365 – Abonnement für Office-Apps |
| Microsoft Entra ID | Microsoft Entra ID, dieselbe Instanz, die von Azure verwendet wird. Viele Unternehmen verwenden denselben Microsoft Entra-Dienst für Azure und Microsoft 365. | Was ist Microsoft Entra ID? |
Workflow
Um zu verstehen, welcher Teil Ihrer IT-Umgebung von diesen Bedrohungen wahrscheinlich angegriffen wird, basiert das Architekturdiagramm in diesem Artikel auf einer typischen IT-Umgebung für ein Unternehmen, das über lokale Systeme, ein Microsoft 365-Abonnement und ein Azure-Abonnement verfügt. Die Ressourcen in jeder dieser Ebenen sind Dienste, die für viele Unternehmen gemeinsam sind. Sie sind im Diagramm gemäß den Säulen von Microsoft Zero Trust klassifiziert: Netzwerk, Infrastruktur, Endpunkt, Anwendung, Daten und Identität. Weitere Informationen zu Zero Trust finden Sie unter Proaktive Sicherheit mit Zero Trust umsetzen.
Das Architekturdiagramm enthält die folgenden Ebenen:
Lokal
Das Diagramm enthält einige wesentliche Dienste wie Server (VMs), Netzwerkgeräte und DNS. Es enthält allgemeine Anwendungen, die in den meisten IT-Umgebungen gefunden werden und auf virtuellen Computern oder physischen Servern ausgeführt werden. Es umfasst auch verschiedene Typen von Datenbanken, sowohl SQL als auch Nicht-SQL. Organisationen verfügen in der Regel über einen Dateiserver, auf dem Dateien im gesamten Unternehmen freigegeben werden. Schließlich behandelt der Active Directory Domain Service, eine weit verbreitete Infrastrukturkomponente, Benutzeranmeldeinformationen. Das Diagramm enthält alle diese Komponenten in der lokalen Umgebung.
Office 365-Umgebung
In dieser Beispielumgebung sind herkömmliche Office-Anwendungen wie Word, Excel, PowerPoint, Outlook und OneNote enthalten. Je nach Lizenztyp kann es auch andere Anwendungen enthalten, z. B. OneDrive, Exchange, Sharepoint und Teams. Im Diagramm werden diese durch ein Symbol für Microsoft 365-Apps (ehemals Office 365) und ein Symbol für Microsoft Entra ID dargestellt. Benutzer*innen müssen authentifiziert werden, um Zugriff auf Microsoft 365-Anwendungen zu erhalten, und Microsoft Entra ID fungiert als Identitätsanbieter. Microsoft 365 authentifiziert Benutzer*innen mit derselben Microsoft Entra ID-Instanz, die Azure verwendet. In den meisten Organisationen ist der Microsoft Entra ID-Mandant für Azure und für Microsoft 365 identisch.
Azure-Umgebung
Diese Ebene stellt öffentliche Azure-Clouddienste dar, einschließlich virtueller Computer, virtueller Netzwerke, Plattformen als Dienste, Webanwendungen, Datenbanken, Speicher, Identitätsdienste und vieles mehr. Weitere Informationen zu Azure finden Sie in der Azure-Dokumentation.
MITRE ATT&CK-Taktiken und -Techniken
Dieses Diagramm zeigt die 16 größten Bedrohungen nach den von The MITRE Corporation veröffentlichten Taktiken und Techniken. In roten Linien können Sie ein Beispiel für einen gemischten Angriff sehen, was bedeutet, dass ein böswilliger Akteur mehrere Angriffe gleichzeitig koordiniert.
Verwenden des MITRE ATT&CK-Frameworks
Sie können mit einer einfachen Suche nach dem Namen der Bedrohung oder des Angriffscodes auf der Hauptwebseite beginnen, MITRE ATT&CK®.
Sie können auch Bedrohungen auf den Seiten der Taktiken oder Techniken durchsuchen:
Sie können weiterhin MITRE ATT&CK® Navigator verwenden, ein intuitives Tool, das Ihnen hilft, Taktiken, Techniken und Details zu Bedrohungen zu entdecken.
Komponenten
Die Beispielarchitektur in diesem Artikel verwendet die folgenden Azure-Komponenten:
Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst. Mit Microsoft Entra ID können Benutzer*innen auf externe Ressourcen wie Microsoft 365, das Azure-Portal oder Tausende andere SaaS-Anwendungen zugreifen. Es hilft ihnen auch, auf interne Ressourcen zuzugreifen, z. B. auf Anwendungen im Intranet Ihres Unternehmens.
Azure Virtual Network ist der Grundbaustein für Ihr privates Netzwerk in Azure. Virtual Network ermöglicht zahlreichen Azure-Ressourcen die sichere Kommunikation mit dem Internet und lokalen Netzwerken sowie eine sichere Kommunikation der Ressourcen untereinander. Virtual Network bietet ein virtuelles Netzwerk, das von der Infrastruktur von Azure profitiert, z. B. Skalierung, Verfügbarkeit und Isolation.
Azure Load Balancer ist ein äußerst leistungsfähiger Lastenausgleichsdienst(eingehend und ausgehend) der Ebene 4 mit niedriger Latenz für alle UDP- und TCP-Protokolle. Er ist für die Verarbeitung von Millionen von Anforderungen pro Sekunde konzipiert und stellt sicher, dass Ihre Lösung hochverfügbar ist. Azure Load Balancer ist zonenredundant und gewährleistet Hochverfügbarkeit über mehrere Verfügbarkeitszonen hinweg.
Virtuelle Computer sind eine von mehreren bedarfsgesteuerten, skalierbaren Computerressourcen, die von Azure angeboten werden. Mit einem virtuellen Azure-Computer (VM) erhalten Sie eine flexible Virtualisierung, ohne Zeit und Mittel für den Kauf und die Verwaltung der physischen Hardware aufwenden zu müssen, auf der der virtuelle Computer ausgeführt wird.
Azure Kubernetes Service (AKS) ist ein vollständig verwalteter Kubernetes-Dienst für die Bereitstellung und Verwaltung von containerisierten Anwendungen. AKS bietet serverloses Kubernetes, CI/CD-Funktionen (Continuous Integration/Continuous Delivery) sowie Sicherheit und Governance auf Unternehmensniveau.
Azure Virtual Desktop ist ein der Cloud ausgeführter Dienst für die Desktop- und App-Virtualisierung.
Web-Apps ist ein HTTP-basierter Dienst zum Hosten von Webanwendungen, REST-APIs und mobilen Back-Ends. Sie können in Ihrer bevorzugten Sprache entwickeln und Anwendungen ausführen und skalieren, um sowohl Windows- als auch Linux-basierte Umgebungen zu vereinfachen.
Azure Storage ist hoch verfügbar, massiv skalierbare, dauerhafte und sichere Speicherung für verschiedene Datenobjekte in der Cloud, einschließlich Objekt, Blob, Datei, Datenträger, Warteschlange und Tabellenspeicher. Alle Daten, die in ein Azure-Speicherkonto geschrieben werden, werden vom Dienst verschlüsselt. Bei Azure Storage können Sie genau steuern, wer Zugriff auf Ihre Daten hat.
Azure SQL-Datenbank ist eine vollständig verwaltete PaaS-Datenbank-Engine, bei der die meisten Funktionen für die Datenbankverwaltung ohne Benutzereingriff erfolgen, z. B. Upgrades, Patches, Sicherungen und Überwachung. Sie bietet diese Funktionen ohne Benutzerbeteiligung. SQL-Datenbank bietet eine Reihe von integrierten Sicherheits- und Konformitätsfeatures, mit der Sie Ihre Anwendung an Sicherheits- und Konformitätsanforderungen anpassen können.
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautor:
- Rudnei Oliveira | Senior Customer Engineer
Andere Mitwirkende:
- Gary Moore | Programmierer/Autor
- Andrew Nathan | Senior Customer Engineering Manager
Nächste Schritte
Dieses Dokument bezieht sich auf einige Dienste, Technologien und Terminologie. Weitere Informationen hierzu finden Sie in den folgenden Ressourcen:
- MITRE ATT&CK®
- ATT&CK® Navigator)
- Öffentliche Vorschau: Das MITRE ATT&CK Framework Blade in Microsoft Sentinel, ein Beitrag aus dem Azure Cloud & AI Domain Blog
- Die Cyber Kill Chain®
- Sicherheit mit Zero Trust proaktiv umsetzen
- Gemischte Bedrohungen auf Wikipedia
- Wie Cyberangriffe sich nach dem neuen Microsoft Digital Defense Report ändern aus dem Microsoft Security Blog
Zugehörige Ressourcen
Weitere Informationen zu dieser Referenzarchitektur finden Sie in den anderen Artikeln in dieser Serie:
- Teil 1: Verwenden der Azure-Überwachung zum Integrieren von Sicherheitskomponenten
- Teil 3: Erstellen der ersten Verteidigungsebene mit Azure Security Services
- Teil 4: Erstellen der zweiten Verteidigungsebene mit Microsoft Defender XDR-Sicherheitsdiensten
- Teil 5: Integrieren von Azure und Microsoft Defender XDR-Sicherheitsdiensten