Microsoft Cybersecurity Defense Operations Center

  • Artykuł

Sharing Microsoft's best practices to protect, detect, and respond to cybersecurity threats

Cyberbezpieczeństwo jest wspólną odpowiedzialnością, która wpływa na nas wszystkich. Obecnie pojedyncze naruszenie, fizyczne lub wirtualne, może spowodować miliony dolarów szkód w organizacji i potencjalnie miliardy strat finansowych dla globalnej gospodarki. Codziennie widzimy doniesienia o cyberprzestępcach skierowanych do firm i osób fizycznych na cele finansowe lub motywowane społecznie. Dodaj do tych zagrożeń przez podmioty państwowe dążące do zakłócania operacji, prowadzenia szpiegostwa lub ogólnie podważają zaufanie.

W tym krótkim briefie dzielimy się stanem bezpieczeństwa online, podmiotów zagrożeń i wyrafinowanej taktyki, którą stosują w celu osiągnięcia swoich celów, oraz sposobu, w jaki centrum operacji cyberobrony firmy Microsoft zwalcza te zagrożenia i pomaga klientom chronić poufne aplikacje i dane.



Microsoft Cyber Defense Operations Center

The Microsoft Cyber Defense Operations Center

Firma Microsoft jest głęboko zaangażowana w uczynienie świata online bezpieczniejszym dla wszystkich. Nasze strategie cyberbezpieczeństwa firmy ewoluowały od wyjątkowej widoczności, która jest w szybko zmieniającym się krajobrazie cyberataków.

Innowacje w przestrzeni ataków między ludźmi, miejscami i procesami są niezbędne i ciągłe inwestycje, które musimy zrobić, ponieważ przeciwnicy nadal ewoluują zarówno w determinacji, jak i wyrafinowaniu. W odpowiedzi na zwiększone inwestycje w strategie obrony przez wiele organizacji osoby atakujące dostosowują się i ulepszają taktykę z krępą prędkością. Na szczęście cyberdefenders, tacy jak globalne zespoły ds. zabezpieczeń informacji firmy Microsoft, również wprowadzają innowacje i zakłócają długotrwałe, niezawodne metody ataków z ciągłymi, zaawansowanymi szkoleniami i nowoczesnymi technologiami zabezpieczeń, narzędziami i procesami.

Microsoft Cyber Defense Operations Center (CDOC) jest jednym z przykładów ponad 1 miliardów dolarów, które inwestujemy każdego roku w zabezpieczenia, ochronę danych i zarządzanie ryzykiem. CDOC łączy specjalistów ds. cyberbezpieczeństwa i analityków danych w obiekcie 24x7 w celu zwalczania zagrożeń w czasie rzeczywistym. Jesteśmy połączeni z ponad 3500 specjalistami ds. zabezpieczeń na całym świecie w naszych zespołach programistycznych produktów, grupach zabezpieczeń informacji i zespołach prawnych w celu ochrony naszej infrastruktury i usług w chmurze, produktów i urządzeń oraz zasobów wewnętrznych.

Firma Microsoft zainwestowała ponad 15 miliardów dolarów w naszą infrastrukturę chmury, a ponad 90 procent firm z listy Fortune 500 korzysta z chmury firmy Microsoft. Obecnie posiadamy i obsługujemy jedną z największych na świecie chmury z ponad 100 rozproszonych geograficznie centrów danych, 200 usług w chmurze, milionów urządzeń i miliardów klientów na całym świecie.

Podmioty zagrożeń dla cyberbezpieczeństwa i motywacje

Pierwszym krokiem do ochrony osób, urządzeń, danych i infrastruktury krytycznej jest zrozumienie różnych typów podmiotów zagrożeń i ich motywacji.
  • Cyberprzestępcy obejmują kilka podkategorii, choć często mają wspólne motywacje — korzyści finansowe, wywiadowcze i/lub społeczne lub polityczne. Ich podejście jest zwykle bezpośrednie — poprzez infiltrację systemu danych finansowych, pomijanie zbyt małych mikro ilości do wykrywania i zamykania przed odnalezieniem. Utrzymanie trwałej, tajnej obecności ma kluczowe znaczenie dla osiągnięcia ich celu.

    Ich podejście może być ingerencją, która przekieruje dużą wypłatę finansową przez labirynt kont, aby uniknąć śledzenia i interwencji. Czasami celem jest kradzież własności intelektualnej, którą cel posiada, tak aby cyberprzestępcy działali jako pośrednik w dostarczaniu projektu produktu, kodu źródłowego oprogramowania lub innych zastrzeżonych informacji, które mają wartość dla określonej jednostki. Ponad połowa z tych działań jest popełniana przez zorganizowane grupy przestępcze.

  • Aktorzy państwowi państwowi pracują dla rządu, aby zakłócić lub naruszyć ukierunkowane rządy, organizacje lub osoby, aby uzyskać dostęp do cennych danych lub inteligencji. Są one zaangażowane w sprawy międzynarodowe, aby wpływać i prowadzić do wyniku, który może przynieść korzyści krajowi lub krajom. Celem aktora narodu jest zakłócanie operacji, prowadzenie szpiegostwa przeciwko korporacjom, kradzież tajemnic z innych rządów lub w inny sposób podważa zaufanie do instytucji. Pracują z dużymi zasobami i bez obawy przed odwetem prawnym, z zestawem narzędzi, który rozciąga się od prostych do wysoce złożonych.

    Aktorzy państwowi mogą przyciągnąć niektóre z najbardziej wyrafinowanych talentów cyberhackingu i mogą rozwijać swoje narzędzia do punktu broni. Ich podejście nieautoryzowane często wiąże się z zaawansowanym trwałym zagrożeniem przy użyciu superkomputingu mocy w celu złamania poświadczeń siłowych przez miliony prób dotarcia do poprawnego hasła. Mogą również korzystać z hiperkierunkowych ataków wyłudzających informacje w celu przyciągnięcia niejawnego testera do ujawnienia swoich poświadczeń.

  • Zagrożenia wewnętrzne są szczególnie trudne ze względu na nieprzewidywalność zachowań człowieka. Motywacja dla insider może oportunistyczne i dla zysku finansowego. Istnieje jednak wiele przyczyn potencjalnych zagrożeń wewnętrznych, które wynikają z prostej nieostrożności po zaawansowane schematy. Wiele naruszeń danych wynikających z zagrożeń wewnętrznych jest całkowicie niezamierzonych z powodu przypadkowego lub niedbalsowego działania, które naraża organizację na ryzyko bez świadomości luki w zabezpieczeniach.

  • Hacktivists koncentrują się na atakach politycznych i/ lub społecznych motywowanych. Starają się być widoczne i uznane w wiadomościach, aby zwrócić uwagę na siebie i ich przyczynę. Ich taktyka obejmuje ataki typu "rozproszona odmowa usługi" (DDoS), luki w zabezpieczeniach lub wyczyszczanie obecności online. Połączenie z kwestią społeczną lub polityczną może sprawić, że każda firma lub organizacja stanie się celem. Media społecznościowe umożliwiają hacktivists szybko ewangelizować swoją sprawę i rekrutować innych do udziału.


$4 million is the average cost of data breach in 2017

Techniki aktora zagrożeń

Przeciwnicy są wykwalifikowani do znajdowania sposobów penetracji sieci organizacji pomimo ochrony w miejscu przy użyciu różnych zaawansowanych technik. Kilka taktyk było wokół od wczesnych dni Internetu, choć inni odzwierciedlają kreatywność i rosnące wyrafinowanie dzisiejszych przeciwników.

  • Inżynieria społeczna to szeroki termin ataku, który uniemożliwia użytkownikom działanie lub ujawnianie informacji, których w przeciwnym razie nie zrobią. Inżynieria społeczna odgrywa na dobrych intencjach większości ludzi i ich gotowość do bycia pomocnym, aby uniknąć problemów, zaufać znanym źródłom lub potencjalnie zdobyć nagrodę. Inne wektory ataków mogą znajdować się pod parasolem inżynierii społecznej, ale poniżej przedstawiono niektóre atrybuty, które ułatwiają rozpoznawanie i obronę taktyki inżynierii społecznej:
    • Wyłudzanie informacji e-mail jest skutecznym narzędziem, ponieważ grają przeciwko najsłabszemu linkowi w łańcuchu zabezpieczeń — codziennym użytkownikom, którzy nie myślą o zabezpieczeniach sieci jako najwygodniejszych. Kampania wyłudzająca informacje może zaprosić lub przestraszyć użytkownika przypadkowo udostępnić swoje poświadczenia, klikając link, który uważa za legalną witrynę lub pobierając plik zawierający złośliwy kod. Wiadomości e-mail wyłudzania informacji były źle napisane i łatwe do rozpoznania. Dzisiaj przeciwnicy stali się biegłi w naśladowaniu legalnych e-maili i witryn docelowych, które są trudne do zidentyfikowania jako fałszywe.
    • Fałszowanie tożsamości obejmuje przeciwnika podszywającego się pod innego uprawnionego użytkownika, fałszując informacje przedstawione aplikacji lub zasobu sieciowego. Przykładem jest wiadomość e-mail, która pojawia się pozornie z adresem współpracownika żądającego akcji, ale adres ukrywa rzeczywiste źródło nadawcy wiadomości e-mail. Podobnie adres URL może być fałszowany, aby był wyświetlany jako legalna witryna, ale rzeczywisty adres IP w rzeczywistości wskazuje witrynę cyberprzestępcy.

  • Złośliwe oprogramowanie jest z nami od początku przetwarzania. Obecnie widzimy silny znacznik w wymuszaniu oprogramowania wymuszającego okup i złośliwego kodu przeznaczonego specjalnie do szyfrowania urządzeń i danych. Cyberprzestępcy następnie domagają się płatności w kryptowalutie za klucze, aby odblokować i zwrócić kontrolę nad ofiarą. Może się to zdarzyć na poziomie indywidualnym na komputerze i plikach danych, a teraz częściej w całym przedsiębiorstwie. Stosowanie oprogramowania wymuszającego okup jest szczególnie widoczne w dziedzinie opieki zdrowotnej, ponieważ konsekwencje życia lub śmierci, z jakimi borykają się organizacje, sprawiają, że są bardzo wrażliwe na przestoje w sieci.

  • Wstawienie łańcucha dostaw to przykład kreatywnego podejścia do wstrzykiwania złośliwego oprogramowania do sieci. Na przykład przez przejęcie procesu aktualizacji aplikacji, atakujący omija narzędzia i zabezpieczenia chroniące przed złośliwym oprogramowaniem. Widzimy, że ta technika staje się bardziej powszechna, a to zagrożenie będzie nadal rosnąć, dopóki nie zostaną wprowadzone bardziej kompleksowe zabezpieczenia oprogramowania przez deweloperów aplikacji.

  • Ataki typu man-in-the-middleobejmują przeciwnika wstawiającego się między użytkownikiem a zasobem, do którego uzyskuje dostęp, przechwytując w ten sposób krytyczne informacje, takie jak poświadczenia logowania użytkownika. Na przykład cyberprzestępca w kawiarni może stosować oprogramowanie do rejestrowania kluczy w celu przechwycenia poświadczeń domeny użytkowników podczas dołączania do sieci Wi-Fi. Aktor zagrożenia może następnie uzyskać dostęp do poufnych informacji użytkownika, takich jak bankowość i dane osobowe, których mogą używać lub sprzedawać w ciemnej sieci.

  • Ataki typu "rozproszona odmowa usługi" (DDoS) były już od ponad dekady i są coraz bardziej powszechne w przypadku szybkiego wzrostu Internetu rzeczy (IoT). W przypadku korzystania z tej techniki przeciwnik przytłocza witrynę, bombardując ją złośliwym ruchem, który wypiera uzasadnione zapytania. Wcześniej posadzone złośliwe oprogramowanie jest często używane do porwania urządzenia IoT, takiego jak kamera internetowa lub inteligentny termostat. W ataku DDoS ruch przychodzący z różnych źródeł zalewa sieć wieloma żądaniami. Powoduje to przeciążenie serwerów i odmowa dostępu z uzasadnionych żądań. Wiele ataków wiąże się również z sfałszowaniem adresów IP (fałszowaniem adresów IP), dzięki czemu lokalizacja atakowanych maszyn nie może być łatwo zidentyfikowana i pokonana.

    Często atak typu "odmowa usługi" jest używany do pokrycia lub odwrócenia uwagi od bardziej zwodniczych wysiłków w celu penetracji organizacji. W większości przypadków celem przeciwnika jest uzyskanie dostępu do sieci przy użyciu poświadczeń, których bezpieczeństwo zostało naruszone, a następnie przejście w sieci w celu uzyskania dostępu do bardziej "zaawansowanych" poświadczeń, które są kluczami do najbardziej poufnych i cennych informacji w organizacji.


90% of all cyberattacks start with a phishing email

Militaryzacja cyberprzestrzeni

Rosnąca możliwość cyberwarfary jest obecnie jedną z głównych obaw wśród rządów i obywateli. Obejmuje to państwa narodu używające i skierowane do komputerów i sieci w wojnie.

Zarówno ofensywne, jak i defensywne operacje służą do prowadzenia cyberataków, szpiegostwa i sabotażu. Państwa narodu rozwijają swoje możliwości i angażują się w cyberwarfary albo jako agresorów, oskarżonych, lub obu od wielu lat.

Nowe narzędzia i taktyka zagrożeń opracowane dzięki zaawansowanym inwestycjom wojskowym mogą być również naruszone, a cyberataki mogą być udostępniane online i bronione przez cyberprzestępców do dalszego wykorzystania.

Postawa cyberbezpieczeństwa firmy Microsoft

Chociaż bezpieczeństwo zawsze było priorytetem dla firmy Microsoft, uznajemy, że świat cyfrowy wymaga ciągłego rozwoju naszego zobowiązania w zakresie ochrony, wykrywania i reagowania na zagrożenia cyberbezpieczeństwa. Te trzy zobowiązania definiują nasze podejście do cyberobrony i służą jako przydatne ramy do dyskusji na temat strategii i możliwości cyberobrony firmy Microsoft.

CHRONIĆ

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

Ochrona

Pierwszym zobowiązaniem firmy Microsoft jest ochrona środowiska obliczeniowego używanego przez naszych klientów i pracowników w celu zapewnienia odporności naszej infrastruktury i usług w chmurze, produktów, urządzeń i wewnętrznych zasobów firmy przed określonymi przeciwnikami.

Środki ochrony zespołów CDOC obejmują wszystkie punkty końcowe, od czujników i centrów danych do tożsamości i aplikacji SaaS (software-as-a-service). Ochrona — stosowanie mechanizmów kontroli w wielu warstwach z nakładającymi się zabezpieczeniami i strategiami ograniczania ryzyka — jest najlepszym rozwiązaniem w całej branży i podejściem, które podejmujemy w celu ochrony cennych zasobów klientów i firm.

Taktyka ochrony firmy Microsoft obejmuje:

  • Obszerne monitorowanie i kontrola nad środowiskiem fizycznym naszych globalnych centrów danych, w tym kamer, kontroli personelu, ogrodzeń i barier oraz wielu metod identyfikacji w celu uzyskania dostępu fizycznego.

  • Sieci zdefiniowane programowo, które chronią naszą infrastrukturę chmury przed włamaniami i atakami DDoS.

  • Uwierzytelnianie wieloskładnikowe jest stosowane w całej infrastrukturze w celu kontrolowania zarządzania tożsamościami i dostępem. Gwarantuje to, że krytyczne zasoby i dane są chronione przez co najmniej dwa z następujących elementów:
    • Coś, co znasz (hasło lub numer PIN)
    • Coś, co jesteś (biometryczne)
    • Coś, co masz (smartfon)
  • Administracja nietrwała zatrudnia uprawnienia just in time (JIT) i wystarczy uprawnień administratora (JEA) do personelu inżynieryjnego, który zarządza infrastrukturą i usługami. Zapewnia to unikatowy zestaw poświadczeń dla podwyższonego poziomu dostępu, który automatycznie wygasa po wstępnie wyznaczonym czasie trwania.

  • Właściwa higiena jest rygorystycznie utrzymywana przez aktualne oprogramowanie chroniące przed złośliwym oprogramowaniem i przestrzeganie ścisłego zarządzania poprawkami i konfiguracją.

  • Centrum firmy Microsoft ds. ochrony przed złośliwym oprogramowaniem zespół badaczy identyfikują, inżynierów odwrotnych i opracowują podpisy złośliwego oprogramowania, a następnie wdrażają je w naszej infrastrukturze na potrzeby zaawansowanej ochrony i wykrywania. Te podpisy są dystrybuowane do naszych osób odpowiadających, klientów i branży za pośrednictwem systemu Windows Aktualizacje i powiadomień w celu ochrony swoich urządzeń.

  • Microsoft Security Development Lifecycle (SDL) to proces tworzenia oprogramowania, który ułatwia deweloperom tworzenie bezpieczniejszego oprogramowania i spełnianie wymagań dotyczących zgodności z zabezpieczeniami przy jednoczesnym zmniejszeniu kosztów programowania. SDL służy do wzmacniania zabezpieczeń wszystkich aplikacji, Usługi online i produktów oraz rutynowego weryfikowania jego skuteczności poprzez testowanie penetracyjne i skanowanie luk w zabezpieczeniach.

  • Modelowanie zagrożeń i analiza powierzchni ataków gwarantuje, że potencjalne zagrożenia są oceniane, narażone aspekty usługi są oceniane, a powierzchnia ataków jest zminimalizowana przez ograniczenie usług lub wyeliminowanie niepotrzebnych funkcji.

  • Klasyfikowanie danych zgodnie z ich poufnością i podejmowanie odpowiednich środków w celu ich ochrony, w tym szyfrowania podczas przesyłania i magazynowania oraz wymuszanie zasady dostępu z najniższymi uprawnieniami zapewnia dodatkową ochronę. • Szkolenie świadomości, które wspiera relację zaufania między użytkownikiem a zespołem ds. zabezpieczeń w celu opracowania środowiska, w którym użytkownicy będą zgłaszać zdarzenia i anomalie bez obawy przed reperkusją.

Posiadanie bogatego zestawu mechanizmów kontroli i strategii ochrony w głębi systemu pomaga zapewnić, że każdy obszar nie powiedzie się, istnieją mechanizmy kontroli wyrównujące w innych obszarach, aby pomóc w utrzymaniu bezpieczeństwa i prywatności naszych klientów, usług w chmurze i naszej własnej infrastruktury. Jednak żadne środowisko nie jest naprawdę nieprzeniknione, ponieważ ludzie popełniają błędy i zdeterminowani przeciwnicy będą nadal szukać luk w zabezpieczeniach i wykorzystywać je. Znaczące inwestycje, które nadal wprowadzamy w tych warstwach ochrony i analizie linii bazowej, pozwalają nam szybko wykrywać, kiedy występują nietypowe działania.

WYKRYĆ

57+ days is the industry's median number of days between infiltration and detection

Wykryj

Zespoły CDOC wykorzystują zautomatyzowane oprogramowanie, uczenie maszynowe, analizę behawioralną i techniki śledcze w celu utworzenia inteligentnego grafu zabezpieczeń naszego środowiska. Ten sygnał jest wzbogacony o kontekstowe metadane i modele behawioralne generowane ze źródeł, takich jak usługi Active Directory, systemy zarządzania zasobami i konfiguracją oraz dzienniki zdarzeń.

Nasze obszerne inwestycje w analizę zabezpieczeń tworzą zaawansowane profile behawioralne i modele predykcyjne, które pozwalają nam "połączyć kropki" i zidentyfikować zaawansowane zagrożenia, które w przeciwnym razie mogły nie zostać wykryte, a następnie przeciwdziałać silnemu powstrzymaniu i skoordynowanym działaniom korygujących.

Firma Microsoft stosuje również niestandardowe oprogramowanie zabezpieczające wraz z narzędziami branżowymi i uczeniem maszynowym. Nasza analiza zagrożeń stale ewoluuje, a automatyczne wzbogacanie danych w celu szybszego wykrywania złośliwych działań i zgłaszania wysokiej wierności. Skanowanie luk w zabezpieczeniach jest wykonywane regularnie w celu przetestowania i uściślenia skuteczności środków ochronnych. Zakres inwestycji firmy Microsoft w ekosystem zabezpieczeń i różnorodność sygnałów monitorowanych przez zespoły CDOC zapewniają bardziej kompleksowy widok zagrożeń, niż można osiągnąć przez większości dostawców usług.

Taktyka wykrywania firmy Microsoft obejmuje:

  • Monitorowanie sieci i środowisk fizycznych 24x7x365 pod kątem potencjalnych zdarzeń cyberbezpieczeństwa. Profilowanie zachowania opiera się na wzorcach użycia i zrozumieniu unikatowych zagrożeń dla naszych usług.

  • Analiza tożsamości i zachowań jest opracowywana w celu wyróżnienia nietypowych działań.

  • Narzędzia i techniki uczenia maszynowego są rutynowo używane do wykrywania i oznaczania nieprawidłowości.

  • Zaawansowane narzędzia analityczne i procesy są wdrażane w celu dalszego identyfikowania nietypowych działań i innowacyjnych możliwości korelacji. Dzięki temu można tworzyć wysoce nietekstualizowane wykrycia na podstawie ogromnych ilości danych niemal w czasie rzeczywistym.

  • Zautomatyzowane procesy oparte na oprogramowaniu, które są stale poddawane inspekcji i ewoluowały w celu zwiększenia skuteczności.

  • Analitycy danych i eksperci ds. zabezpieczeń rutynowo pracują obok siebie, aby rozwiązać eskalowane zdarzenia, które wykazują nietypowe cechy wymagające dalszej analizy celów. Następnie mogą określić potencjalne działania w zakresie reagowania i korygowania.

ODPOWIADAĆ

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

Reakcja

Gdy firma Microsoft wykryje nietypowe działania w naszych systemach, wyzwala nasze zespoły reagowania, aby angażować się i szybko reagować z dokładną siłą. Powiadomienia z systemów wykrywania opartego na oprogramowaniu przepływają przez nasze zautomatyzowane systemy reagowania przy użyciu algorytmów opartych na ryzyku w celu flagowania zdarzeń wymagających interwencji naszego zespołu reagowania. Ograniczenie czasu średniego jest najważniejsze, a nasz system automatyzacji udostępnia odpowiednie informacje umożliwiające podejmowanie działań, które przyspieszają klasyfikację, środki zaradcze i odzyskiwanie.

Aby zarządzać zdarzeniami zabezpieczeń na taką ogromną skalę, wdrażamy system warstwowy, aby efektywnie przypisywać zadania odpowiedzi do odpowiedniego zasobu i ułatwiać racjonalną ścieżkę eskalacji.

Taktyka odpowiedzi firmy Microsoft obejmuje:

  • Zautomatyzowane systemy reagowania używają algorytmów opartych na ryzyku w celu flagowania zdarzeń wymagających interwencji człowieka.

  • Zautomatyzowane systemy reagowania używają algorytmów opartych na ryzyku w celu flagowania zdarzeń wymagających interwencji człowieka.

  • Dobrze zdefiniowane, udokumentowane i skalowalne procesy reagowania na zdarzenia w ramach modelu ciągłego ulepszania pomagają nam wyprzedzać przeciwników, udostępniając je wszystkim obiektom reagującym.

  • Znajomość dziedziny w naszych zespołach, w wielu obszarach zabezpieczeń, zapewnia zróżnicowany zestaw umiejętności do rozwiązywania zdarzeń. Wiedza na temat bezpieczeństwa w zakresie reagowania na zdarzenia, analizy kryminalistyczne i analizy nieautoryzowanego dostępu; oraz dogłębne zrozumienie platform, usług i aplikacji działających w naszych centrach danych w chmurze.

  • Szerokie wyszukiwanie w przedsiębiorstwie w chmurze, hybrydowych i lokalnych danych i systemach w celu określenia zakresu zdarzenia.

  • Głęboka analiza kryminalistyczna dla poważnych zagrożeń jest wykonywana przez specjalistów w celu zrozumienia incydentów i pomocy w ich powstrzymaniu i wyeliminowaniu. • Narzędzia do zabezpieczeń firmy Microsoft, automatyzacja i infrastruktura chmury w hiperskalie umożliwiają naszym ekspertom ds. zabezpieczeń skrócenie czasu wykrywania, analizowania, reagowania i odzyskiwania po cyberatakach.

  • Testy penetracyjne są stosowane we wszystkich produktach i usługach firmy Microsoft za pośrednictwem trwających ćwiczeń Red Team/Blue Team w celu odkrycia luk w zabezpieczeniach, zanim prawdziwy przeciwnik może wykorzystać te słabe punkty ataku.

Cyberobrona dla naszych klientów

Często pytamy, jakie narzędzia i procesy mogą wdrażać nasi klienci dla własnego środowiska oraz jak firma Microsoft może pomóc w ich implementacji. Firma Microsoft skonsolidowała wiele produktów i usług, których używamy w CDOC w wielu produktach i usługach. Zespoły microsoft Enterprise Cybersecurity Group i Microsoft Consulting Services kontaktują się z naszymi klientami, aby dostarczać rozwiązania najbardziej odpowiednie dla ich konkretnych potrzeb i wymagań.

Jednym z pierwszych kroków, które firma Microsoft zdecydowanie zaleca, jest ustanowienie podstaw zabezpieczeń. Nasze usługi podstawowe zapewniają krytyczne zabezpieczenia ataków i podstawowe usługi z obsługą tożsamości, które ułatwiają zapewnienie ochrony zasobów. Fundacja pomaga przyspieszyć proces transformacji cyfrowej, aby przejść w kierunku bezpieczniejszego nowoczesnego przedsiębiorstwa.

Korzystając z tej podstawy, klienci mogą następnie korzystać z rozwiązań, które okazały się skuteczne z innymi klientami firmy Microsoft i wdrażane we własnych środowiskach IT i usług w chmurze firmy Microsoft. Aby uzyskać więcej informacji na temat naszych narzędzi do cyberbezpieczeństwa w przedsiębiorstwie, możliwości i ofert usług, odwiedź Microsoft.com/security i skontaktuj się z naszymi zespołami pod adresem cyberservices@microsoft.com.

Najlepsze rozwiązania dotyczące ochrony środowiska

Zainwestuj w platformę Zainwestuj w instrumentację Zainwestuj w swoich ludzi
Elastyczność i skalowalność wymagają planowania i tworzenia platformy umożliwiającej korzystanie z platformy Upewnij się, że dokładnie mierzysz elementy na platformie Wykwalifikowani analitycy i analitycy danych są podstawą obrony, podczas gdy użytkownicy są nowym obwodem zabezpieczeń
Zachowaj dobrze udokumentowany spis zasobów Uzyskiwanie i/lub tworzenie narzędzi potrzebnych do pełnego monitorowania sieci, hostów i dzienników Relacje establsih i linie komunikacji między zespołem reagowania na zdarzenia i innymi grupami
Posiadanie dobrze zdefiniowanych zasad zabezpieczeń z jasnymi standardami i wskazówkami dla organizacji Proaktywne utrzymywanie kontroli i miar oraz regularne testowanie ich pod kątem dokładności i skuteczności Przyjęcie zasad administratora najniższych uprawnień; eliminowanie trwałych praw administratora
Zachowaj właściwą higienę — większość ataków może być zapobiegana odpowiednim poprawkom i oprogramowaniu antywirusowemu Utrzymywanie ścisłej kontroli nad zasadami zarządzania zmianami Skorzystaj z procesu wyciągania wniosków, aby uzyskać wartość z każdego poważnego incydentu
Stosowanie uwierzytelniania wieloskładnikowego w celu wzmocnienia ochrony kont i urządzeń Monitorowanie nietypowych działań związanych z kontem i poświadczeniami w celu wykrywania nadużyć Rejestrowanie, edukowanie i zwiększanie możliwości użytkowników do rozpoznawania prawdopodobnych zagrożeń i ich własnej roli w ochronie danych biznesowych