Microsoft Cybersecurity Defense Operations Center

Sharing Microsoft's best practices to protect, detect, and respond to cybersecurity threats

Кибербезопасность — это общая ответственность, которая влияет на всех нас. В настоящее время одно нарушение, физическое или виртуальное, может привести к ущербу организации на миллионы долларов и, возможно, к финансовым убыткам глобальной экономии. Каждый день мы видим отчеты о киберпреступителях, нацеленных на предприятия и частных лиц, для получения финансовых или социально-мотивированных целей. Добавьте к этим угрозам субъекты, которые пытаются нарушить операции, провести espionage или, как правило, помешать доверию.

В этом кратком руководстве мы поделимся состоянием сетевой безопасности, субъектами угроз и изощренными тактиками, которые они используют для достижения своих целей, а также о том, как Центр кибербезопасности Майкрософт защищает эти угрозы и помогает клиентам защитить свои конфиденциальные приложения и данные.



Microsoft Cyber Defense Operations Center

The Microsoft Cyber Defense Operations Center

Корпорация Майкрософт глубоко стремится сделать интернет-мир более безопасным для всех. Стратегии кибербезопасности нашей компании изменились с уникальной видимости на быстро развивающийся ландшафт киберугроз.

Инновации в пространстве атак между людьми, местами и процессами — это необходимые и непрерывные инвестиции, которые нам всем необходимо внести, так как злоумышленники продолжают развиваться как в определении, так и в сложности. В ответ на увеличение инвестиций в стратегии защиты многих организаций злоумышленники адаптируются и улучшают тактику с критической скоростью. К счастью, киберопределители, такие как глобальные команды по информационной безопасности Корпорации Майкрософт, также создают и нарушают надежные методы атак с помощью текущих, расширенных методов обучения и современных технологий безопасности, средств и процессов.

Microsoft Cyber Defense Operations Center (CDOC) — это один из примеров более 1 миллиарда долларов США, которые мы каждый год вкладыем в безопасность, защиту данных и управление рисками. CDOC объединяет специалистов по кибербезопасности и специалистов по обработке и анализу данных в 24x7 для защиты от угроз в режиме реального времени. Мы подключены к более чем 3500 специалистам по безопасности по всему интернету в группах разработки продуктов, группах информационной безопасности и юридических группах для защиты нашей облачной инфраструктуры и служб, продуктов и устройств, а также внутренних ресурсов.

Корпорация Майкрософт вкладывает более 15 миллиардов долларов США в облачную инфраструктуру, при этом более 90 процентов компаний, использующих облако Майкрософт, используют более 500 компаний. В настоящее время мы владеет одним из самых крупных облачных решений в мире и используем его с более чем 100 географически распределенными центрами обработки данных, 200 облачными службами, миллионами устройств и миллионами клиентов по всему миру.

Субъекты угроз кибербезопасности и мотивы

Первым шагом к защите людей, устройств, данных и критической инфраструктуры является понимание различных типов субъектов угроз и их целей.
  • Киберпреступицы охватывают несколько подкатегорий, хотя они часто используют общие цели— финансовые, аналитические и (или) социальные или социальные или социальные выгоды. Их подход обычно прямой — путем внедрения системы финансовых данных, слишком малых микросхем для обнаружения и выхода из системы перед обнаружением. Поддержание постоянного, подластивного присутствия крайне важно для достижения их цели.

    Их подход может быть вторжением, которое перенаправит крупные финансовые выплаты через несколько счетов, чтобы избежать отслеживания и вмешательства. Иногда целью является кража интеллектуальной собственности, которой обладает целевой объект, чтобы злоумышленник выступает в качестве посредника для предоставления разработки продукта, исходного кода программного обеспечения или другой конфиденциальной информации, которая имеет значение для конкретной сущности. Более половины этих действий организованы группами злоумышленников.

  • Субъекты государственных организаций работают в государственных организациях, чтобы нарушить или скомпрометировать целевые правительственные учреждения, организации или частные лица, чтобы получить доступ к ценным данным или аналитическим данным. Они задействованы в международных организациях, чтобы влиять на результат, который может быть выгодным для страны или страны. Целью субъекта для государственных организаций является прерывание операций, выполнение шпионской атаки на корпорации, кража секретов от других государственных организаций или иное нарушение доверия в учреждениях. Они работают с большими ресурсами в своем распоряжении и не боятся юридических действий, используя набор средств, охватывающий от простого до очень сложного.

    Субъекты штата Могут привлечь некоторых из самых сложных специалистов по киберугрозе и могут оказаться на этапе глобализации своих средств. Подход к вторжению часто включает в себя расширенную постоянную угрозу с использованием суперкомпьютерной мощности для принудительного подбора учетных данных с помощью миллионов попыток получить правильный пароль. Они также могут использовать атаки с гиперцелевой фишинговой атакой, чтобы привлечь участников программы предварительной оценки к раскрытию своих учетных данных.

  • Внутренние угрозы особенно сложны из-за непредсказуемости поведения человека. Мотивация для участников программы предварительной оценки может быть оппортуной и финансовой выгодой. Однако существует несколько причин потенциальных внутренних угроз, охватывающих от простой осторожностью до сложных схем. Многие бреши в данных, вызванные внутренними угрозами, совершенно непреднамеренного из-за случайной или неосторожной активности, которая ставит организацию под угрозу без уведомления об уязвимости.

  • Злоумышленники фокусируются на политиках и (или) социально-мотивированных атаках. Они стремятся быть видимыми и распознаваться в новости, чтобы привлечь внимание к себе и своей причине. К их тактике относятся распределенные атаки типа "отказ в обслуживании" (DDoS), эксплойты уязвимостей или отключение присутствия в Сети. Соединение с социальной или политикой может сделать любую компанию или организацию целевым объектом. Социальные сети позволяют взломщикам быстро проанализировать свои причины и привлечь других пользователей к работе.


$4 million is the average cost of data breach in 2017

Методы субъектов угроз

Злоумышленники имеют навыки поиска способов понизить сеть организации, несмотря на существующие средства защиты с помощью различных сложных методов. С ранних дней Интернета было несколько тактик, хотя другие отражают творческий потенциал и повышение сложности современных злоумышленников.

  • Социальные инженеры — это широко распространенный термин для атаки, которая позволяет пользователям действовать или разделять информацию, которую они в противном случае не могли бы делать. Социальные инженеры используют хорошие намерения большинства людей и их готовность быть полезными, избегать проблем, доверять знакомым источникам или потенциально получать вознаграждение. Другие векторы атак могут быть под угрозой социальной инженерии, но ниже приведены некоторые из атрибутов, которые упрощают распознавание и защиту тактики социальной инженерии:
    • Фишинговые сообщения электронной почты — это эффективное средство, так как они играют на слабом канале в цепочке безопасности — обычных пользователей, которые не думаете о сетевой безопасности как о самых важных. Фишинговая кампания может пригласить или поосторожить пользователя на непреднамеренное предоставление доступа к учетным данным, выдав ему команду щелкнуть ссылку, которая, по его мнению, является допустимым сайтом, или скачать файл, содержащий вредоносный код. Фишинговые сообщения электронной почты использовались для плохой записи и легко распознавались. В настоящее время злоумышленники могут имитировать допустимые сообщения электронной почты и целевые сайты, которые трудно идентифицировать как мошеннические.
    • Спуфинг удостоверений подразумевает маскировку злоумышленника в качестве другого допустимого пользователя путем подделки сведений, представленных в приложении или сетевом ресурсе. Примером является сообщение электронной почты, которое, похоже, содержит адрес коллеги, запрашивающее действие, но адрес скрывает реальный источник отправителя электронной почты. Аналогичным образом URL-адрес можно подделать, чтобы он отображался как допустимый сайт, но фактический IP-адрес фактически указывал на сайт киберпреступителя.

  • Вредоносная программа была с нами с момента создания вычислительных ресурсов. В настоящее время мы видим сильное расширение программ-шантажистов и вредоносного кода, специально предназначенного для шифрования устройств и данных. Затем киберпреступицы требуют оплату в валюте за ключи, чтобы разблокировать и вернуть управление потерпевшей. Это может произойти на отдельном уровне для компьютера и файлов данных, а теперь чаще — для всего предприятия. Использование программ-шантажистов особенно заметно в сфере здравоохранения, так как последствия жизни или жизни, с которыми сталкиваются эти организации, делают их очень чувствительными к простоям в сети.

  • Вставка цепочки поставок — это пример творческий подход к внедрению вредоносных программ в сеть. Например, путем перехвата процесса обновления приложения злоумышленник обходит средства и средства защиты от вредоносных программ. Мы видим, что этот метод становится все более распространенным, и эта угроза будет расти до тех пор, пока разработчики приложений не будут использовать более комплексные средства защиты.

  • Атаки типа "злоумышленник в середине" включают в себя вставку злоумышленника между пользователем и ресурсом, к котором он имеет доступ, тем самым перехватывая важные сведения, такие как учетные данные пользователя для входа. Например, злоумышленник в кафе может использовать программное обеспечение для ведения журнала ключей для записи учетных данных домена пользователей при присоединении к сети Wi-Fi. Затем субъект угрозы может получить доступ к конфиденциальным сведениям пользователя, таким как банковские и персональные данные, которые он может использовать или продавать в темном Интернете.

  • Распределенные атаки типа "отказ в обслуживании" (DDoS) выполняются уже более десяти лет и являются массовыми атаками, которые становятся все более распространенными благодаря быстрому росту Интернета вещей (IoT). При использовании этого метода злоумышленник перегружает сайт, перегружая его вредоносным трафиком, который перегружает допустимые запросы. Ранее вредоносные программы часто использовались для перехвата устройства Интернета вещей, например веб-камеры или интеллектуального термостата. При атаке DDoS входящий трафик из разных источников переполохет сеть множеством запросов. Это перегружает серверы и запрещает доступ к допустимым запросам. Многие атаки также включают в себя подмену IP-адресов отправителей (спуфинг IP-адресов), чтобы расположение компьютеров, на которых выполняется атака, было невозможно легко определить и побеждено.

    Часто атака типа "отказ в обслуживании" используется для того, чтобы охватить или отвлечься от более неописательных усилий по предотвращению атаки на организацию. В большинстве случаев целью злоумышленника является получение доступа к сети с помощью скомпрометированных учетных данных, а затем боковое перемещение по сети для получения доступа к более "мощным" учетным данным, которые являются ключами к наиболее конфиденциальной и ценной информации в организации.



90% of all cyberattacks start with a phishing email

Взаимная кибер-пространство

Расширяемая вероятность киберугроз является одной из главных проблем, возникающих в настоящее время у государственных организаций и граждан. Она включает в себя использование компьютеров и сетей в стране и нацелив их на них.

Оскорбительные и защитные операции используются для кибератак, шпионства и погромов. Эти страны разрабатывают свои возможности и в течение многих лет участвовали в кибервойнах как в виде санкционированного доступа, так и в качестве ветвей.

Новые инструменты и тактика угроз, разработанные с помощью расширенных вложений в ветвь, также могут быть нарушены, а киберугрозы могут совместно использоваться в Интернете и быть развернуты киберпреступными для дальнейшего использования.

Уровень кибербезопасности Майкрософт

Хотя безопасность всегда была приоритетом для Корпорации Майкрософт, мы понимаем, что цифровой мир требует непрерывного выполнения наших обязательств по защите, обнаружению угроз кибербезопасности и реагированию на них. Эти три обязательства определяют наш подход к кибербезопасности и служат полезной платформой для обсуждения стратегий и возможностей корпорации Майкрософт по кибербезопасности.

ЗАЩИТИТЬ

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

Защитить

Первое обязательство корпорации Майкрософт — защитить вычислительную среду, используемую нашими клиентами и сотрудниками для обеспечения устойчивости облачной инфраструктуры и служб, продуктов, устройств и внутренних корпоративных ресурсов компании от определенных злоумышленников.

Меры защиты команд CDOC охватывают все конечные точки, от датчиков и центров обработки данных до удостоверений и приложений SaaS (программное обеспечение как услуга). Защита — применение элементов управления на нескольких уровнях с перекрывающимися средствами защиты и стратегиями устранения рисков — это рекомендация в отрасли и подход, который мы используем для защиты ценных клиентов и корпоративных активов.

Тактика защиты корпорации Майкрософт включает в себя:

  • Обширный мониторинг и контроль над физической средой наших глобальных центров обработки данных, включая камеры, проверку персонала, ограждения и барьеры, а также несколько методов идентификации для физического доступа.

  • Программно-определяемые сети, которые защищают нашу облачную инфраструктуру от вторжений и атак DDoS.

  • Многофакторная проверка подлинности используется в нашей инфраструктуре для управления удостоверениями и доступом. Это гарантирует, что критически важные ресурсы и данные защищены по крайней мере двумя из следующих элементов:
    • Что-то, что вы знаете (пароль или ПИН-код)
    • Что-то, что вы есть (биометрия)
    • Что-то, что у вас есть (смартфон)
  • Постоянное администрирование использует JIT-права и права администратора (JEA) для инженеров, которые управляют инфраструктурой и службами. Это предоставляет уникальный набор учетных данных для доступа с повышенными привилегиями, срок действия которых автоматически истекает по истечении заданного срока.

  • Правильная санация строго поддерживается посредством актуального и антивредоносного программного обеспечения и соблюдения строгих требований к установке исправлений и управлению конфигурацией.

  • Центр Майкрософт по защите от вредоносных программ исследователей выявляет, реконструирует и разрабатывает сигнатуры вредоносных программ, а затем развертывает их в нашей инфраструктуре для расширенного обнаружения и защиты. Эти подписи распространяются среди наших клиентов, клиентов и отрасли с помощью Windows обновлений и уведомлений для защиты своих устройств.

  • Жизненный цикл разработки microsoft Security Development (SDL) — это процесс разработки программного обеспечения, который помогает разработчикам создавать более безопасное программное обеспечение и обеспечить соответствие требованиям безопасности, снижая затраты на разработку. SDL используется для усиления защиты всех приложений, веб-службы и продуктов, а также для регулярной проверки его эффективности с помощью тестирования на проникновение и сканирования уязвимостей.

  • Моделирование угроз и анализ направлений атак обеспечивает оценку потенциальных угроз, оценку открытых аспектов службы и минимизацию направлений атак, ограничивая службы или устраняя ненужные функции.

  • Классификация данных в соответствии с их конфиденциальности и принятие соответствующих мер для их защиты, включая шифрование при передаче и хранении, а также применение принципа доступа с минимальными привилегиями обеспечивает дополнительную защиту. • Обучение осведомленности, которое способствует доверию между пользователем и командой безопасности, для разработки среды, в которой пользователи будут сообщать об инцидентах и аномалиях, не страся страстей.

Наличие расширенного набора элементов управления и глубокой стратегии защиты помогает гарантировать, что в случае сбоя любой из областей существуют компенсирующие элементы управления в других областях, чтобы обеспечить безопасность и конфиденциальность наших клиентов, облачных служб и нашей собственной инфраструктуры. Однако ни один из окружений по-настоящему неуявим, так как люди будут делать ошибки, и злоумышленники по-прежнему будут искать уязвимости и использовать их. Значительные инвестиции, которые мы по-прежнему вкладываем в эти уровни защиты и базовый анализ, позволяют нам быстро обнаруживать аномальные действия.

ОБНАРУЖИТЬ

57+ days is the industry's median number of days between infiltration and detection

Обнаружить

Команды CDOC используют автоматизированное программное обеспечение, машинное обучение, анализ поведения и методы экспертизы для создания интеллектуального графа безопасности нашей среды. Этот сигнал обогащен контекстными метаданными и моделями поведения, созданными из таких источников, как Active Directory, системы управления активами и конфигурацией, а также журналы событий.

Наши значительные инвестиции в аналитику безопасности создают многофункциональные профили поведения и прогнозные модели, которые позволяют нам "подключать точки" и выявлять сложные угрозы, которые в противном случае могли бы быть непреднамеренной, а затем против них с помощью строгой автономности и скоординированных действий по исправлению.

Корпорация Майкрософт также использует специально разработанное программное обеспечение для обеспечения безопасности, а также отраслевые средства и машинное обучение. Наша аналитика угроз постоянно развивается благодаря автоматическому обогащению данных для более быстрого обнаружения вредоносных действий и создания отчетов с высокой точностью. Сканирование уязвимостей регулярно выполняется для тестирования и уточнения эффективности защитных мер. Широкий спектр инвестиций корпорации Майкрософт в экосистему безопасности и разнообразные сигналы, отслеживаемые командами CDOC, обеспечивают более полное представление об угрозах, чем может быть достигнуто большинством поставщиков услуг.

Тактика обнаружения корпорации Майкрософт включает в себя:

  • Мониторинг сети и физических сред 24x7x365 на наличие потенциальных событий кибербезопасности. Профилирование поведения основано на шаблонах использования и понимании уникальных угроз для наших служб.

  • Аналитика удостоверений и поведения разработана для выделения аномальных действий.

  • Программные средства и методы машинного обучения обычно используются для обнаружения и пометки нарушений.

  • Расширенные аналитические средства и процессы развертываются для дальнейшего выявления аномальных действий и инновационных возможностей корреляции. Это позволяет создавать высококонтекстуализированные обнаружения на основе огромных объемов данных практически в реальном времени.

  • Автоматизированные программные процессы, которые постоянно проверяются и развиваются для повышения эффективности.

  • Специалисты по обработке и анализу данных и специалисты по безопасности обычно работают параллельно для устранения эскалации событий, которые имеют необычные характеристики, требующие дальнейшего анализа целевых объектов. Затем они могут определить потенциальные действия по реагированию и исправлению.

ОТВЕЧАТЬ

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

Отвечать

Когда корпорация Майкрософт обнаруживает аномальные действия в наших системах, она активирует наши группы реагирования для привлечения и быстрого реагирования с помощью точной команды. Уведомления от программных систем обнаружения проходит через наши автоматизированные системы реагирования с использованием алгоритмов на основе рисков для пометки событий, требующих вмешательства нашей группы реагирования. Среднее время до устранения рисков имеет огромное значение, и наша система автоматизации предоставляет отвечающим отвечающим соответствующие практические сведения, ускоряющие рассмотрение, устранение рисков и восстановление.

Чтобы управлять инцидентами безопасности в таком большом масштабе, мы развертываем многоуровневую систему, чтобы эффективно назначать задачи реагирования правильному ресурсу и упростить путь рационализации эскалации.

Тактика реагирования Корпорации Майкрософт включает в себя:

  • Автоматизированные системы реагирования используют алгоритмы на основе рисков для пометки событий, требующих вмешательства человека.

  • Автоматизированные системы реагирования используют алгоритмы на основе рисков для пометки событий, требующих вмешательства человека.

  • Четко определенные, задокументированные и масштабируемые процессы реагирования на инциденты в рамках модели непрерывного улучшения помогают защитить нас от злоумышленников, делая их доступными для всех отвечающих.

  • Предметный опыт в наших командах в нескольких областях безопасности предоставляет разнообразный набор навыков для устранения инцидентов. Опыт безопасности в реагировании на инциденты, экспертизе и анализе вторжений; и глубокое понимание платформ, служб и приложений, операционных в облачных центрах обработки данных.

  • Широкий корпоративный поиск по облачным, гибридным и локальным данным и системам для определения области инцидента.

  • Специалисты выполняют глубокий аналитический анализ основных угроз, чтобы понять инциденты и помочь в их включении и устранении. • Средства программного обеспечения для обеспечения безопасности корпорации Майкрософт, автоматизация и гипермасштабируемая облачная инфраструктура позволяют нашим специалистам по безопасности сократить время обнаружения, исследования, анализа, реагирования и восстановления после кибератак.

  • Тестирование на проникновение используется во всех продуктах и службах Майкрософт с помощью текущих упражнений red Team/Blue Team для обнаружения уязвимостей, прежде чем реальный злоумышленник сможет использовать эти слабые точки для атаки.

Cyberdefense для наших клиентов

Мы часто задаваем вопрос о том, какие средства и процессы наши клиенты могут внедрить для своей среды и как корпорация Майкрософт может помочь в их реализации. Корпорация Майкрософт объединяет многие продукты и службы cyberdefense, которые мы используем в CDOC, в ряд продуктов и служб. Группы кибербезопасности Enterprise Майкрософт и консультационные услуги Майкрософт взаимодействуют с нашими клиентами, чтобы предоставлять решения, наиболее подходящие для конкретных потребностей и требований.

Одним из первых шагов, настоятельно рекомендуемых корпорацией Майкрософт, является создание основы безопасности. Наши базовые службы обеспечивают критически важные средства защиты от атак и основные службы по включению удостоверений, которые помогают обеспечить защиту ресурсов. Основа помогает ускорить переход к цифровой трансформации, чтобы перейти к более безопасному современному предприятию.

Основываясь на этой платформе, клиенты могут использовать решения, проверенные успешно с другими клиентами Майкрософт и развернутые в собственных ИТ-средах и облачных службах Майкрософт. Дополнительные сведения о наших корпоративных средствах кибербезопасности, возможностях и предложениях услуг см. Microsoft.com/security и обратитесь к нашим командам cyberservices@microsoft.comпо адресу .

Рекомендации по защите среды

Инвестиции в платформу Инвестиции в инструментирование Инвестиции в сотрудников
Гибкость и масштабируемость требуют планирования и создания платформы включения Убедитесь, что вы тщательно измеряете элементы на платформе. Опытные аналитики и специалисты по обработке и анализу данных являются основой защиты, а пользователи — новым периметром безопасности.
Ведение хорошо задокументированной инвентаризации ресурсов Получите и (или) создайте средства, необходимые для полного мониторинга сети, узлов и журналов. Отношения establsih и линии связи между группой реагирования на инциденты и другими группами
Иметь четко определенную политику безопасности с четкими стандартами и рекомендациями для вашей организации Упреждающее обслуживание элементов управления и мер, а также регулярное тестирование их точности и эффективности Внедрение принципов администратора с минимальными привилегиями; удаление постоянных прав администратора
Поддержание надлежащей санитарии — большинство атак можно предотвратить с помощью исправлений и антивирусной программы. Обеспечение строгого контроля над политиками управления изменениями Используйте извлеченный из уроков процесс, чтобы получить выгоду от каждого крупного инцидента
Использование многофакторной проверки подлинности для усиления защиты учетных записей и устройств Мониторинг аномальных действий учетной записи и учетных данных для обнаружения нарушений Прикрепление, обучение и предоставление пользователям возможности распознавать вероятные угрозы и их собственную роль в защите бизнес-данных