Центр Microsoft кибербезопасности оборон Operations CenterMicrosoft Cybersecurity Defense Operations Center

Совместное использование рекомендаций Майкрософт для защиты, обнаружения угроз кибербезопасности и реагирования на них

Кибербезопасности — это коллективная ответственность, которая влияет на нас.Cybersecurity is a shared responsibility, which impacts us all. Сегодня одно нарушение, физическое или виртуальное, может привести к тому, что миллионы долларов ущерба для Организации и потенциально миллиарды в финансовых убытках от глобальной экономике.Today, a single breach, physical or virtual, can cause millions of dollars of damage to an organization and potentially billions in financial losses to the global economy. Каждый день мы видим отчеты о киберпреступностьюах, предназначенных для предприятий и частных лиц, для финансовой прибыли или основе социотехники.Every day, we see reports of cybercriminals targeting businesses and individuals for financial gain or socially-motivated purposes. Добавьте к этим угрозам эти угрозы, которые могут потребоваться для нарушения операций, проведения шпионажем или, как правило, нарушение доверия.Add to these threats those by nation-state actors seeking to disrupt operations, conduct espionage, or generally undermine trust.

В этом кратком руководстве мы будем обмениваться состоянием Интернет-безопасности, субъектами угроз и сложными тактиками, которые они используют для продвижения своих целей, а также о том, как центр Майкрософт по защите от кибератак защищает эти угрозы и помогает клиентам защищать свои конфиденциальные данные. приложения и данные.In this brief, we share the state of online security, threat actors and the sophisticated tactics they employ to advance their goals, and how Microsoft’s Cyber Defense Operations Center combats these threats and helps customers protect their sensitive applications and data.



Microsoft Cyber Defense Operations Center

Центр Microsoft кибератак оборон Operations CenterThe Microsoft Cyber Defense Operations Center

Корпорация Майкрософт глубоко зафиксирована, чтобы сделать Интернет-мир безопасным для всех пользователей.Microsoft is deeply committed to making the online world safer for everyone. Стратегии кибербезопасности нашей компании развиваются от уникальной видимости, которую мы добавили в киберзащитыную альбомную ориентацию.Our company’s cybersecurity strategies have evolved from the unique visibility we have into the rapidly evolving cyberthreat landscape.

Инновации в области атаки между людьми, местами и процессами являются обязательными и непрерывными инвестициями, которые все необходимо сделать, так как злоумышленников продолжает развиваться как в определении, так и в развитой.Innovation in the attack space across people, places, and processes is a necessary and continual investment we all need to make, as adversaries continue to evolve in both determination and sophistication. В ответ на повышенные инвестиции в стратегии защиты во многих организациях злоумышленники адаптируются и улучшают тактику на скорости бреакнекк.In response to increased investments in defense strategies by many organizations, attackers are adapting and improving tactics at breakneck speed. К счастью, цибердефендерс, такие как группы глобальной информационной безопасности корпорации Майкрософт, также представляют собой инновации и нарушают долгосрочные методы атак с использованием текущих, расширенных обучающих и современных технологий безопасности, средств и процессов.Fortunately, cyberdefenders like Microsoft’s global information security teams are also innovating and disrupting long-reliable attack methods with ongoing, advanced training and modern security technologies, tools, and processes.

Центр Microsoft кибератак оборон Operations Center (КДОК) — это один из примеров более чем $1 000 000 000. Мы инвестирован каждый год по безопасности, защите данных и управлению рисками.The Microsoft Cyber Defense Operations Center (CDOC) is one example of the more than $1 billion we invest each year on security, data protection, and risk management. КДОК объединяет специалистов по кибербезопасности и специалисты по обработке и анализу данных в течение Круглосуточная, чтобы бороться с угрозами в реальном времени.The CDOC brings together cybersecurity specialists and data scientists in a 24x7 facility to combat threats in real-time. Корпорация Майкрософт подключена к более чем 3 500 специалистам по обеспечению безопасности по всему миру групп разработки продуктов, группам информационной безопасности и юридическим группам для защиты облачной инфраструктуры и служб, продуктов и устройств и внутренних ресурсов.We are connected to more than 3,500 security professionals globally across our product development teams, information security groups, and legal teams to protect our cloud infrastructure and services, products and devices, and internal resources.

Корпорация Майкрософт разработала более $15 000 000 000 в нашей облачной инфраструктуре с более чем 90 процентами компаний из списка Fortune 500, использующих Microsoft Cloud.Microsoft has invested more than $15 billion in our cloud infrastructure, with over 90 percent of Fortune 500 companies using the Microsoft cloud. Сегодня мы работаем над одним из крупнейших облачных ресурсов в мире с более чем 100 географически распределенными центрами обработки данных, 200 облачными службами, миллионами устройств и миллиардами клиентов по всему миру.Today, we own and operate one of the world’s largest cloud footprints with more than 100 geo-distributed datacenters, 200 cloud services, millions of devices, and a billion customers around the globe.

Субъекты и мотивации угроз кибербезопасностиCybersecurity threat actors and motivations

Первым шагом в защите пользователей, устройств, данных и критических инфраструктур является понимание различных типов субъектов угроз и их причин.The first step to protecting people, devices, data, and critical infrastructure is to understand the different types of threat actors and their motivations.
  • Киберпреступностью охватывает несколько подкатегорий, хотя они часто используют общие мотивации — финансовые, аналитические и (или) социальные или нестандартные выгоды.Cybercriminals span several subcategories though they often share common motivations—financial, intelligence, and/or social or political gain. Их подход обычно является прямым – благодаря проникновения системе финансовых данных скимминг микросуммы слишком малы для обнаружения и выхода перед обнаружением.Their approach is usually direct—by infiltrating a financial-data system, skimming micro-amounts too small to detect and exiting before being discovered. Поддержание постоянного кландестиненого присутствия очень важно для удовлетворения своей цели.Maintaining a persistent, clandestine presence is critical to meeting their objective.

    Их подход может быть вторжением, который перенаправляют большую финансовую выдача с помощью лабиринс учетных записей для избегать обнаружения отслеживания и вмешательства.Their approach may be an intrusion that diverts a large financial payout through a labyrinth of accounts to evade tracking and intervention. В некоторых случаях цель заключается в краже интеллектуальной собственности, которой владеет целевой объект, чтобы циберкриминал выступает в качестве посредника для предоставления проекта продукта, исходного кода программного обеспечения или другой конфиденциальной информации, имеющей значение для конкретной сущности.At times, the goal is to steal intellectual property that the target possesses so the cybercriminal acts as an intermediary to deliver a product design, software source code, or other proprietary information that has value to a specific entity. Более половины этих действий осуществленося упорядоченными уголовными группами.More than half of these activities are perpetrated by organized criminal groups.

  • Субъекты штата страны работают для государственных организаций, чтобы нарушить или ослабить целевые государственные учреждения, организации или отдельные лица, чтобы получить доступ к ценным данным или аналитике.Nation-state actors work for a government to disrupt or compromise targeted governments, organizations, or individuals to gain access to valuable data or intelligence. Они вовлечены в международную работу, чтобы повлиять на результат, который может выиграть в стране или странах.They are engaged in international affairs to influence and drive an outcome that may benefit a country or countries. Цель субъекта штата страны заключается в нарушении работы, проведении шпионажем в отношении корпораций, краже секретов из других правительственных учреждений или иным образом в случае нарушения доверия в учебных заведениях.A nation-state actor’s objective is to disrupt operations, conduct espionage against corporations, steal secrets from other governments, or otherwise undermine trust in institutions. Они работают с большими ресурсами при их утилизации, не опасаясь легального распространения, с набором средств, охватывающим простые и сложные.They work with large resources at their disposal and without fear of legal retribution, with a toolkit that spans from simple to highly complex.

    Актеры по регионам могут привлекать некоторые из самых сложных циберхаккингных специалистов, а также могут передвинуть свои средства на точки веапонизатион.Nation-state actors can attract some of the most sophisticated cyberhacking talent and may advance their tools to the point of weaponization. Подход к взлому часто включает в себя расширенную постоянную угрозу, используя возможности суперкомпьютеров для пересчета учетных данных с помощью миллионов попыток, поступающих по правильному паролю.Their intrusion approach often involves an advanced persistent threat using supercomputing power to brute-force break credentials through millions of attempts at arriving at the correct password. Они также могут использовать вызывающие phishing-атаки, чтобы привлечь вас к раскрытию своих учетных данных.They may also use hyper-targeted phishing attacks to attract an insider into revealing their credentials.

  • Угрозы для предварительной оценки особенно трудны из-за непредсказуемости работы человека.Insider threats are particularly challenging due to the unpredictability of human behavior. Мотивация для предварительной оценки может быть оппортунистической и для финансового дохода.The motivation for an insider maybe opportunistic and for financial gain. Однако существует несколько причин потенциальных угроз для предварительной оценки, охватывающих простые карелесснесс и сложные схемы.However, there are multiple causes for potential insider threats, spanning from simple carelessness to sophisticated schemes. Многие нарушения данных, вызванные угрозами предварительной оценки, полностью непреднамеренно связаны с случайными или небрежногоными действиями, которые приводят к риску Организации, не заботясь об уязвимости.Many data breaches resulting from insider threats are completely unintentional due to accidental or negligent activity that puts an organization at risk without being aware of the vulnerability.

  • Хакктивистс внимание на атаках, направленных на незаконные и основе социотехникиные атаки.Hacktivists focus on political and/or socially-motivated attacks. Они должны быть видимыми и распознаваемыми в новостях, чтобы привлечь внимание к себе и их причине.They strive to be visible and recognized in the news to draw attention to themselves and their cause. К их тактике относятся распределенные атаки типа "отказ в обслуживании" (от атак DDoS), эксплойты уязвимостей или возможность выхода из Интернета.Their tactics include distributed denial-of-service (DDoS) attacks, vulnerability exploits or defacing an online presence. Подключение к социальному или неограниченному вопросу может сделать любую компанию или организацию целью.A connection to a social or political issue can make any company or organization a target. Социальные сети позволяют хакктивистс быстро пропаганды свою причину и принять участие в участии других сотрудников.Social media enables hacktivists to quickly evangelize their cause and recruit others to participate.


$4 million is the average cost of data breach in 2017

Методики субъекта угрозThreat actor techniques

Злоумышленников — это опыт в поиске способов проникнуть сети организации, несмотря на защиту на месте с помощью различных сложных методов.Adversaries are skilled at finding ways to penetrate an organization’s network despite the protections in place using various sophisticated techniques. Существует несколько приемов, связанных с ранними днями Интернета, хотя другие отражая творческие способности и увеличивают сложность современных злоумышленников.Several tactics have been around since the early days of the Internet, though others reflect the creativity and increasing sophistication of today’s adversaries.

  • Социальные сети — это широкое понятие атаки, которая дает пользователям возможность действовать или сообщать о том, что в противном случае это не сделано.Social engineering is a broad term for an attack that tricks users into acting or divulging information they would otherwise not do. Социальные сети играют важную роль в большинстве людей и их готовность к работе, чтобы избежать проблем, доверять знакомым источникам или потенциально получить вознаграждение.Social engineering plays on the good intentions of most people and their willingness to be helpful, to avoid problems, to trust familiar sources, or to potentially gain a reward. Другие векторы атак могут попадать в тег "социальные отделы", но ниже перечислены некоторые атрибуты, упрощающие распознавание и защиту тактик социальных сетей:Other attack vectors can fall under the umbrella of social engineering, but the following are some of the attributes that make social engineering tactics easier to recognize and defend against:
    • Phishing-сообщения электронной почты являются эффективным средством, так как они играют слабую связь в цепочке безопасности — повседневных пользователей, которые не думают о безопасности сети.Phishing emails are an effective tool because they play against the weakest link in the security chain—everyday users who don’t think about network security as top-of-mind. Phishing-кампания может пригласить или фригхтен пользователя на непреднамеренное совместное использование своих учетных данных, нажимая на ссылку, которую они считают надежным узлом, или загружая файл, содержащий вредоносный код.A phishing campaign may invite or frighten a user to inadvertently share their credentials by tricking them into clicking a link they believe is a legitimate site or downloading a file that contains malicious code. Фишинговые сообщения, используемые для плохо написания и легкого распознавания.Phishing emails used to be poorly written and easy to recognize. Сегодня злоумышленников умелыми на копируя допустимые сообщения электронной почты и целевые сайты, которые трудно найти как мошеннические.Today, adversaries have become adept at mimicking legitimate emails and landing sites that are difficult to identify as fraudulent.
    • Подмена идентификаторов включает в себя переимитацию другого законного пользователя, фалсифинг сведения, представленные в приложении или сетевом ресурсе.Identity spoofing involves an adversary masquerading as another legitimate user by falsifying the information presented to an application or network resource. Примером может служить сообщение электронной почты, которое поступает на адрес коллеги, запрашивающего действие, но адрес скрывает реальный источник отправителя электронной почты.An example is an email that arrives seemingly bearing the address of a colleague requesting action, but the address is hiding the real source of the email sender. Аналогичным образом URL-адрес может быть подменен для отображения в качестве допустимого сайта, но фактический IP-адрес на самом деле указывает на сайт циберкриминал.Similarly, a URL can be spoofed to appear as a legitimate site, but the actual IP address is actually pointing to a cybercriminal’s site.

  • Вредоносная программа была с нами с появление вычислений.Malware has been with us since the dawn of computing. Сегодня мы видим, что в программе-шантажистом и вредоносном коде, специально предназначенном для шифрования устройств и данных, используется очень серьезный такт.Today, we’re seeing a strong up-tick in ransomware and malicious code specifically intended to encrypt devices and data. Затем киберпреступностью спрос на оплату в криптовалюты, чтобы получить ключи для разблокировки и возврата управления жертве.Cybercriminals then demand payment in cryptocurrency for the keys to unlock and return control to the victim. Это может происходить на отдельном уровне для компьютера и файлов данных или, как правило, для всего предприятия.This can happen at an individual level to your computer and data files, or now more frequently, to an entire enterprise. Использование атаки программой-шантажистом особенно проявляется в сфере здравоохранения, так как это позволяет организациям обеспечить высокую степень чувствительности к простою сети.The use of ransomware is particularly pronounced in the healthcare field, as the life-or-death consequences these organizations face make them highly sensitive to network downtime.

  • Вставка цепочки поставок — это пример творческого подхода к внедрению вредоносных программ в сеть.Supply chain insertion is an example of a creative approach to injecting malware into a network. Например, перехват процесса обновления приложения, злоумышленник обходит средства защиты от вредоносных программ и защиту.For example, by hijacking an application update process, an adversary circumvents anti-malware tools and protections. Мы видим, что этот метод стал более распространенным, и эта угроза будет продолжать расти до тех пор, пока не будут включены более полные средства защиты, предоставляемые разработчиками приложений.We are seeing this technique become more common and this threat will continue to grow until more comprehensive security protections are infused into software by application developers.

  • Атаки "злоумышленник в середине"подразумевают злоумышленнику самостоятельную вставку между пользователем и ресурсом, к которому они обращаются, тем самым перехватываются важные сведения, такие как учетные данные входа пользователя.Man-in-the-middleattacks involve an adversary inserting themselves between a user and a resource they are accessing, thereby intercepting critical information such as a user’s login credentials. Например, циберкриминал в кафе может использовать программное обеспечение ведения журнала ключей для записи учетных данных домена пользователей при подключении к сети Wi-Fi.For example, a cybercriminal in a coffee shop may employ key-logging software to capture a users’ domain credentials as they join the wifi network. Затем субъект угрозы может получить доступ к конфиденциальной информации пользователя, например к банковским и личным сведениям, которые они могут использовать или продавать на темном веб-сайте.The threat actor can then gain access to the user’s sensitive information, such as banking and personal information that they can use or sell on the dark web.

  • Распределенные атаки типа "отказ в обслуживании" (от атак DDoS)были более десяти лет, а большие атаки становятся более распространенными благодаря быстрому росту "Интернет вещей" (IOT).Distributed Denial of Service (DDoS)attacks have been around more than a decade and are massive attacks are becoming more common with the rapid growth of the Internet of Things (IoT). При использовании этой методики злоумышленник может перегрузить сайт, бомбардинг его вредоносным трафиком, который перемещает подлинные запросы.When using this technique, an adversary overwhelms a site by bombarding it with malicious traffic that displaces legitimate queries. Ранее размещенные вредоносные программы часто используются для захвата устройства IoT, например веб-камеры или Smart термостата.Previously planted malware is often used to hijack an IoT device such as a webcam or smart thermostat. При от атак DDoS атаке входящий трафик из разных источников перегружает сеть с множеством запросов.In a DDoS attack, incoming traffic from different sources flood a network with numerous requests. Это перегружает серверы и запрещает доступ из надежных запросов.This overwhelms servers and denies access from legitimate requests. Многие атаки подразумевают подделку IP-адресов отправителя (подмена IP-адресов), что позволяет легко идентифицировать и отменять расположение компьютеров, на которых создаются атаки.Many attacks involve forging of IP sender addresses (IP address spoofing) also, so that the location of the attacking machines cannot easily be identified and defeated.

    Часто атака типа «отказ в обслуживании» используется для того, чтобы охватить или отвлекаться от более мошеннических усилий по проникнуть Организации.Often a denial of service attack is used to cover or distract from a more deceptive effort to penetrate an organization. В большинстве случаев целью злоумышленника является получение доступа к сети с использованием скомпрометированных учетных данных, а затем перемещается по сети, чтобы получить доступ к более мощным учетным данным, которые являются ключами к наиболее важным и ценным сведениям в разделения.In most cases, the objective of the adversary is to gain access to a network using compromised credentials, then move laterally across the network to gain access to more “powerful” credentials that are the keys to the most sensitive and valuable information within the organization.



90% of all cyberattacks start with a phishing email

Милитаризатион киберпростнствеThe militarization of cyberspace

Растущее вероятность циберварфаре — одна из ведущих проблем между правительственными учреждениями и гражданами сегодня.The growing possibility of cyberwarfare is one of the leading concerns among governments and citizens today. Она включает в себя страны, использующие и нацеливание компьютеров и сетей в войны.It involves nation-states using and targeting computers and networks in warfare.

Как оскорбительные, так и защитные операции используются для проведения кибератакам, шпионажем и засорявшие.Both offensive and defensive operations are used to conduct cyberattacks, espionage and sabotage. Страны настроили свои возможности и циберварфаре как аггрессорс, дефендантс или оба в течение многих лет.Nation-states have been developing their capabilities and engaged in cyberwarfare either as aggressors, defendants, or both for many years.

Новые средства и тактика угроз, разработанные с помощью сложных воинских инвестиций, также могут быть нарушены, и киберугроз может быть совместно использоваться в Интернете и веапонизед киберпреступностью для дальнейшего использования.New threat tools and tactics developed through advanced military investments may also be breached and cyberthreats can be shared online and weaponized by cybercriminals for further use.

Кибербезопасности МайкрософтThe Microsoft cybersecurity posture

Хотя безопасность всегда была приоритетом корпорации Майкрософт, мы понимаем, что для цифрового мира требуется постоянное продвижение в отношении угроз защиты, обнаружения и реагирования на угрозы кибербезопасности.While security has always been a priority for Microsoft, we recognize that the digital world requires continuous advances in our commitment in how we protect, detect, and respond to cybersecurity threats. Эти три обязательства определяют наш подход к кибератак обороне и служат полезной платформой для нашего обсуждения стратегий и возможностей защиты кибератак Майкрософт.These three commitments define our approach to cyber defense and serve as a useful framework for our discussion of Microsoft’s cyber defense strategies and capabilities.

ПОВЫСИТЬPROTECT

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

ЗащитаProtect

Первое обязательство корпорации Майкрософт заключается в защите вычислительной среды, используемой нашими клиентами и сотрудниками, чтобы обеспечить устойчивость облачной инфраструктуры и служб, продуктов, устройств и внутренних корпоративных ресурсов компании от определенных злоумышленников.Microsoft’s first commitment is to protect the computing environment used by our customers and employees to ensure the resiliency of our cloud infrastructure and services, products, devices, and the company’s internal corporate resources from determined adversaries.

Меры защиты команды КДОК охватывают все конечные точки, от датчиков и центров обработки данных до удостоверений и приложений SaaS.The CDOC teams’ protection measures span across all endpoints, from sensors and datacenters to identities and software-as-a-service (SaaS) applications. Глубокая защита. применение элементов управления на нескольких уровнях с перекрывающимися мерами безопасности и стратегиями устранения рисков — это оптимальная практика в отрасли, и мы принимаем подход к защите наших ценных клиентов и корпоративных активов.Defense-indepth—applying controls at multiple layers with overlapping safeguards and risk mitigation strategies—is a best-practice across the industry and it’s the approach we take to protect our valuable customer and corporate assets.

Тактика защиты корпорации Майкрософт включает в себя следующее:Microsoft’s protection tactics include:

  • Обширный мониторинг и Управление физической средой глобальных центров обработки данных, включая камеры, отбор персонала, ограждения и барьеры, а также несколько методов идентификации для физического доступа.Extensive monitoring and controls over the physical environment of our global datacenters including cameras, personnel screening, fences and barriers, and multiple identification methods for physical access.

  • Программно-определяемые сети, защищающие нашу облачную инфраструктуру от вторжений и от атак DDoS атак.Software-defined networks that protect our cloud infrastructure from intrusions and DDoS attacks.

  • Многофакторная идентификация используется в нашей инфраструктуре для управления удостоверениями и доступом.Multi-factor authentication is employed across our infrastructure to control identity and access management. Это гарантирует, что критические ресурсы и данные защищены по крайней мере двумя из следующих источников:It ensures that critical resources and data are protected by at least two of the following:
    • Что известно (пароль или ПИН-код)Something you know (password or PIN)
    • Ваши биологические признаки (биометрические данные)Something you are (biometrics)
    • Что-то у вас (смартфон)Something you have (smartphone)
  • Непостоянное администрирование использует JIT-доступ и достаточно прав администратора (JEA) для инженерных специалистов, которые управляют инфраструктурой и службами.Non-persistent administration employs just-in-time (JIT) and just-enough administrator (JEA) privileges to engineering staff who manage infrastructure and services. Это предоставляет уникальный набор учетных данных для доступа с повышенными правами, срок действия которых истекает автоматически по истечении заранее заданного времени.This provides a unique set of credentials for elevated access that automatically expires after a pre-designated duration.

  • Правильная санации обеспечивает строгое обслуживание с помощью обновленного программного обеспечения для борьбы с вредоносными программами и соблюдением строгого управления исправлениями и конфигурацией.Proper hygiene is rigorously maintained through up-to-date, anti-malware software and adherence to strict patching and configuration management.

  • Группа исследователей центра Майкрософт по защите от вредоносных программ выявляет, реконструировать и разрабатывает подписи вредоносных программ, а затем развертывает их в нашей инфраструктуре для расширенного обнаружения и защиты.Microsoft Malware Protection Center’s team of researchers identify, reverse engineer, and develop malware signatures and then deploy them across our infrastructure for advanced detection and defense. Эти подписи распространяются на наших ответчиков, клиентов и отраслей через обновления Windows и уведомления для защиты устройств.These signatures are distributed to our responders, customers and the industry through Windows Updates and notifications to protect their devices.

  • Жизненный цикл разработки защищенных приложений (Майкрософт) (SDL) — это процесс разработки программного обеспечения, который помогает разработчикам создавать более безопасное программное обеспечение и устранять требования к соответствию безопасности при снижении затрат на разработку.Microsoft Security Development Lifecycle (SDL) is a software development process that helps developers build more secure software and address security compliance requirements while reducing development cost. SDL используется для защиты всех приложений, веб-службы и продуктов, а также для обычной проверки эффективности благодаря тестированию уязвимости и проверке уязвимостей.The SDL is used to harden all applications, online services and products, and to routinely validate its effectiveness through penetration testing and vulnerability scanning.

  • Моделирование угроз и анализ уязвимой зоны гарантирует, что потенциальные угрозы оцениваются, вычисляются аспекты службы, а зона, подверженная атакам, сокращается за счет ограниченных служб или удаления ненужных функций.Threat modeling and attack surface analysis ensures that potential threats are assessed, exposed aspects of the service are evaluated, and the attack surface is minimized by restricting services or eliminating unnecessary functions.

  • Классификация данных в соответствии с их чувствительностью и получение соответствующих мер для защиты, включая шифрование при передаче и хранении, а также применение принципа доступа с минимальными привилегиями обеспечивает дополнительную защиту.Classifying data according to its sensitivity and taking the appropriate measures to protect it, including encryption in transit and at rest, and enforcing the principle of least-privilege access provides additional protection. • Обучение по осведомленности, которое способствует обеспечению отношений доверия между пользователем и группой безопасности для разработки среды, в которой пользователи будут сообщать о происшествиях и аномалиях, не опасаясь отклонения от последствий.• Awareness training that fosters a trust relationship between the user and the security team to develop an environment where users will report incidents and anomalies without fear of repercussion.

Наличие обширного набора элементов управления и стратегия глубокой защиты помогает гарантировать, что в случае сбоя одной области существуют компенсирующие элементы управления в других областях, помогающие обеспечить безопасность и конфиденциальность наших клиентов, облачных служб и нашей собственной инфраструктуры.Having a rich set of controls and a defense-in-depth strategy helps ensure that should any one area fail, there are compensating controls in other areas to help maintain the security and privacy of our customers, cloud services, and our own infrastructure. Тем не менее, ни одна из сред не Импенетрабле, так как пользователи будут делать ошибки и определить злоумышленников будет продолжать искать уязвимости и использовать их.However, no environment is truly impenetrable, as people will make errors and determined adversaries will continue to look for vulnerabilities and exploit them. Значительные инвестиции, которые мы продолжаем вносить в эти уровни защиты и анализ базовых показателей, позволяют быстро обнаруживать нормальные действия.The significant investments we continue to make in these protection layers and baseline analysis enables us to rapidly detect when abnormal activity is present.

АвтоматическоеDETECT

57+ days is the industry's median number of days between infiltration and detection

ОпределениеDetect

Команды КДОК используют автоматизированное программное обеспечение, машинное обучение, анализ поведения и приемы судебного анализа для создания интеллектуального графа безопасности нашей среды.The CDOC teams employ automated software, machine learning, behavioral analysis, and forensic techniques to create an intelligent security graph of our environment. Этот сигнал дополняется контекстуальными метаданными и моделями поведения, созданными на основе таких источников, как Active Directory, системы управления ресурсами и конфигурацией, а также журналы событий.This signal is enriched with contextual metadata and behavioral models generated from sources such as Active Directory, asset and configuration management systems, and event logs.

Наши обширные инвестиции в аналитике безопасности создают мощные профили поведения и прогнозные модели, позволяющие «подключаться к точкам» и выявлять сложные угрозы, которые в противном случае могли быть незамеченными, а затем со строгим включением и согласованные действия по исправлению.Our extensive investments in security analytics build rich behavioral profiles and predictive models that allow us to “connect the dots” and identify advanced threats that might otherwise have gone undetected, then counter with strong containment and coordinated remediation activities.

Корпорация Майкрософт также использует специально разработанное программное обеспечение для обеспечения безопасности вместе с инструментами индустрилеадинг и машинным обучением.Microsoft also employs custom-developed security software, along with industryleading tools and machine learning. Наша аналитика угроз постоянно развивается, благодаря автоматизированному расширению данных для более быстрого обнаружения вредоносных действий и составления отчетов с высокой точностью.Our threat intelligence is continually evolving, with automated data-enrichment to more rapidly detect malicious activity and report with high fidelity. Проверка уязвимостей выполняется регулярно для тестирования и уточнения эффективности защиты мер.Vulnerability scans are performed regularly to test and refine the effectiveness of protective measures. Охват корпорации Майкрософт в своей экосистеме безопасности и множество сигналов, отслеживаемых группами КДОК, предоставляют более широкие возможности представления угроз, чем могут быть достигнуты большинством поставщиков услуг.The breadth of Microsoft’s investment in its security ecosystem and the variety of signals monitored by the CDOC teams provide a more comprehensive threat view than can be achieved by most service providers.

Тактика обнаружения Майкрософт включает следующие действия.Microsoft’s detection tactics include:

  • Мониторинг сети и физических сред круглосуточной для потенциальных событий кибербезопасности.Monitoring network and physical environments 24x7x365 for potential cybersecurity events. Профилирование поведения основано на шаблонах использования и понимании уникальных угроз для наших служб.Behavior profiling is based on usage patterns and an understanding of unique threats to our services.

  • Анализ удостоверений и поведения разрабатывается для выделения аномальных действий.Identity and behavioral analytics are developed to highlight abnormal activity.

  • Программные средства и методики машинного обучения используются для обнаружения и пометки нерегулярности.Machine learning software tools and techniques are routinely used to discover and flag irregularities.

  • Расширенные аналитические средства и процессы развертываются для дальнейшего обнаружения аномальных действий и инновационных возможностей корреляции.Advanced analytical tools and processes are deployed to further identify anomalous activity and innovative correlation capabilities. Это позволяет создавать хигхликонтекстуализедные обнаружения из огромных объемов данных практически в реальном времени.This enables highlycontextualized detections to be created from the enormous volumes of data in near real-time.

  • Автоматизированные программные процессы, которые постоянно подлежат аудиту и развиваются для повышения эффективности.Automated software-based processes that are continuously audited and evolved for increased effectiveness.

  • Специалисты по обработке и анализу данных, как правило, работают параллельно, чтобы устранить проблемы, которые могут привести к нетипичным характеристикам, требующим дальнейшего анализа целевых объектов.Data scientists and security experts routinely work side-by-side to address escalated events that exhibit unusual characteristics requiring further analysis of targets. Затем они могут определить потенциальные действия по отклику и исправлению.They can then determine potential response and remediation efforts.

НАЖАТRESPOND

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

ОтветитьRespond

Когда корпорация Майкрософт обнаруживает аномальные действия в наших системах, она запускает наши команды реагирования, чтобы привлечь и быстро реагировать с точной силы.When Microsoft detects abnormal activity in our systems, it triggers our response teams to engage and quickly respond with precise force. Уведомления от систем обнаружения на основе программного обеспечения проходят через автоматизированные системы реагирования, используя алгоритмы на основе рисков для пометки событий, требующих вмешательства от нашей группы реагирования.Notifications from software-based detection systems flow through our automated response systems using risk-based algorithms to flag events requiring intervention from our response team. Средн-Time-to-смягчение имеет первостепенное значение, и наша система автоматизации предоставляет ответчики с релевантными сведениями, которые позволяют ускорить рассмотрение, устранение рисков и восстановление.Mean-Time-to-Mitigate is paramount and our automation system provides responders with relevant, actionable information that accelerates triage, mitigation, and recovery.

Для управления инцидентами безопасности в таком большом масштабе развертывание многоуровневой системы позволяет эффективно назначать задачи ответа нужному ресурсу и упростить рациональный путь эскалации.To manage security incidents at such a massive scale, we deploy a tiered system to efficiently assign response tasks to the right resource and facilitate a rational escalation path.

Тактика реагирования корпорации Майкрософт включает в себя следующее:Microsoft’s response tactics include:

  • Системы автоматизированных ответов используют алгоритмы на основе рисков для отметки событий, требующих вмешательства человека.Automated response systems use risk-based algorithms to flag events requiring human intervention.

  • Системы автоматизированных ответов используют алгоритмы на основе рисков для отметки событий, требующих вмешательства человека.Automated response systems use risk-based algorithms to flag events requiring human intervention.

  • Четко определенные, документированные и масштабируемые процессы реагирования на инциденты в рамках модели непрерывного совершенствования помогают нам злоумышленников, делая их доступными для всех респондентов.Well-defined, documented, and scalable incident response processes within a continuous improvement model helps to keep us ahead of adversaries by making these available to all responders.

  • Опыт работы наших групп в нескольких областях безопасности предоставляет широкий набор навыков для адресации инцидентов.Subject matter expertise across our teams, in multiple security areas, provides a diverse skill set for addressing incidents. Опыт обеспечения безопасности при реагировании на инциденты, судебных расследованиях и анализе вторжений; а также глубокое понимание платформ, служб и приложений, работающих в наших облачных центрах обработки данных.Security expertise in incident response, forensics, and intrusion analysis; and a deep understanding of the platforms, services, and applications operating in our cloud datacenters.

  • Широкие корпоративные поиски по облачным, гибридным и локальным данным и системам для определения области инцидента.Wide enterprise searching across cloud, hybrid and on-premises data and systems to determine the scope of an incident.

  • Анализ глубокого судебного анализа для основных угроз выполняется специалистами, чтобы понимать инциденты и помогать в их вложениях и удаление.Deep forensic analysis for major threats are performed by specialists to understand incidents and to aid in their containment and eradication. • Программные средства Майкрософт для обеспечения безопасности, Автоматизация и облачная инфраструктура Hyper-Scale позволяют нашим специалистам по обеспечению безопасности сократить время на обнаружение, исследование, анализ, реагирование и восстановление с кибератакам.• Microsoft’s security software tools, automation and hyper-scale cloud infrastructure enable our security experts to reduce the time to detect, investigate, analyze, respond, and recover from cyberattacks.

  • Тестирование уязвимости применяется ко всем продуктам и службам корпорации Майкрософт с помощью повседневных команд, направленных на появление уязвимостей, прежде чем реальный злоумышленник сможет воспользоваться слабыми точками для атаки.Penetration testing is employed across all Microsoft products and services through ongoing Red Team/Blue Team exercises to unearth vulnerabilities before a real adversary can leverage those weak points for an attack.

Цибердефенсе для наших клиентовCyberdefense for our customers

Мы часто запросили, какие инструменты и процессы клиенты могут применять для своей среды, и как корпорация Майкрософт может помочь в их реализации.We are often asked what tools and processes our customers can adopt for their own environment and how Microsoft might help in their implementation. Корпорация Майкрософт объединила многие продукты и службы цибердефенсе, которые мы используем в КДОК, в различные продукты и службы.Microsoft has consolidated many of the cyberdefense products and services we use in the CDOC into a range of products and services. Группы Microsoft Enterprise кибербезопасности и службы консультационных услуг Майкрософт Взаимодействуйте с клиентами, чтобы обеспечить наиболее подходящие решения для конкретных потребностей и требований.The Microsoft Enterprise Cybersecurity Group and Microsoft Consulting Services teams engage with our customers to deliver the solutions most appropriate for their specific needs and requirements.

Одним из первых шагов, с помощью которых корпорация Майкрософт настоятельно рекомендует установить систему безопасности.One of the first steps that Microsoft highly recommends is to establish a security foundation. Наши службы основаны на критически важных атаках и службах поддержки идентификации, которые помогают обеспечить защиту ресурсов.Our foundation services provide critical attack defenses and core identity-enablement services that help you to ensure assets are protected. С помощью этой основы можно ускорить процесс цифрового преобразования, чтобы перейти к более безопасной современной корпоративной среде.The foundation helps you to accelerate your digital transformation journey to move towards a more secure modern enterprise.

Основываясь на этом фундаменте, клиенты могут использовать решения, проверенные с помощью других клиентов корпорации Майкрософт и развернутые в собственных средах ИТ и облачных служб Майкрософт.Building on this foundation, customers can then leverage solutions proven successful with other Microsoft customers and deployed in Microsoft’s own IT and cloud services environments. Дополнительные сведения о средствах, возможностях и предложениях служб Enterprise кибербезопасности см. на сайте Microsoft.com/security и обратитесь к нашим командам по адресу cyberservices@microsoft.com.For more information on our enterprise cybersecurity tools, capabilities and service offerings, please visit Microsoft.com/security and contact our teams at cyberservices@microsoft.com.

Рекомендации по защите средыBest practices to protect your environment

Вложения в платформуInvest in your platform Вложения в инструментированиеInvest in your instrumentation Вложения в ваши людиInvest in your people
Гибкость и масштабируемость требует поддержки платформы для планирования и созданияAgility and scalability require planning and building enabling platform Убедитесь в полном измерении элементов на платформе.Ensure you are exhaustively measuring the elements in your platform Опытные аналитики и специалисты по обработке и анализу данных являются основой защиты, а пользователи — новый периметр безопасности.Skilled analysts and data scientists are the foundation of defense, while users are the new security perimeter
Ведение хорошо документированной инвентаризации активовMaintain a well-documented inventory of your assets Получение и (или) создание средств, необходимых для полного мониторинга сети, узлов и журналовAcquire and/or build the tools needed to fully monitor your network, hosts, and logs Естаблсих связи и линии связи между группой реагирования на инциденты и другими группамиEstablsih relationships and lines of communication between the incident response team and other groups
Иметь четко определенную политику безопасности с четкими стандартами и рекомендациями для вашей организацииHave a well-defined security policy with clear standards and guidance for your organization Заблаговременно поддерживать элементы управления и меры и регулярно проверять их точность и эффективностьProactively maintain controls and measures, and regularly test them for accuracy and effectiveness Внедрение принципов минимальных привилегий администратора; Удаление прав постоянного администратораAdopt least privilege administrator principles; eliminate persistent administrator rights
Поддержание надлежащего санацииа. Большинство атак можно предотвратить с помощью своевременных исправлений и антивирусных программMaintain proper hygiene—most attacks could be prevented with timely patches and antivirus Поддержание тесного контроля над политиками управления изменениямиMaintain tight control over change management policies Используйте процесс, изученный в уроке, чтобы получить ценность от каждого крупного инцидента.Use the lessons-learned process to gain value from every major incident
Использовать многофакторную проверку подлинности для усиления защиты учетных записей и устройствEmploy multi-factor authentication to strengthen protection of accounts and device Наблюдение за аномальными действиями учетных записей и учетных данных для обнаружения нарушенияMonitor for abnormal account and credential activity to detect abuse Прикрепление, обучение и предоставление пользователям возможности распознавать вероятные угрозы и их собственную роль в защите бизнес-данныхEnlist, educate, and empower users to recognize likely threats and their own role in protecting business data