Microsoft Cybersecurity Defense Operations Center

  • Artikel

Sharing Microsoft's best practices to protect, detect, and respond to cybersecurity threats

Cybersäkerhet är ett delat ansvar som påverkar oss alla. Idag kan en enda överträdelse, fysisk eller virtuell, orsaka miljontals dollar skada på en organisation och potentiellt miljarder i ekonomiska förluster för den globala ekonomin. Varje dag ser vi rapporter om cyberbrottslingar som riktar sig till företag och individer för ekonomisk vinning eller socialt motiverade ändamål. Lägg till dessa hot de av nationalstatsaktörer som försöker störa operationer, bedriva spionage eller i allmänhet undergräva förtroendet.

I den här sammanfattningen delar vi tillståndet för onlinesäkerhet, hotaktörer och de sofistikerade taktiker de använder för att främja sina mål, och hur Microsofts Cyber Defense Operations Center bekämpar dessa hot och hjälper kunder att skydda sina känsliga program och data.



Microsoft Cyber Defense Operations Center

The Microsoft Cyber Defense Operations Center

Microsoft är djupt engagerat i att göra onlinevärlden säkrare för alla. Vårt företags cybersäkerhetsstrategier har utvecklats från den unika synlighet vi har till det snabbt växande cyberhotet.

Innovation i attackområdet mellan människor, platser och processer är en nödvändig och kontinuerlig investering som vi alla behöver göra, eftersom angripare fortsätter att utvecklas i både beslutsamhet och sofistikering. Som svar på ökade investeringar i försvarsstrategier från många organisationer anpassar sig angripare och förbättrar taktiken i rasande hastighet. Lyckligtvis innoverar och stör cyberdefenders som Microsofts globala informationssäkerhetsteam också långvariga angreppsmetoder med pågående, avancerad utbildning och modern säkerhetsteknik, verktyg och processer.

Microsoft Cyber Defense Operations Center (CDOC) är ett exempel på de mer än 1 miljard dollar som vi investerar varje år i säkerhet, dataskydd och riskhantering. CDOC samlar cybersäkerhetsspecialister och dataforskare i en 24x7-anläggning för att bekämpa hot i realtid. Vi är anslutna till mer än 3 500 säkerhetspersonal globalt i våra produktutvecklingsteam, informationssäkerhetsgrupper och juridiska team för att skydda vår molninfrastruktur och våra tjänster, produkter och enheter samt interna resurser.

Microsoft har investerat mer än 15 miljarder dollar i vår molninfrastruktur, där över 90 procent av Fortune 500-företagen använder Microsoft-molnet. Idag äger och driver vi ett av världens största molnfotavtryck med mer än 100 geo-distribuerade datacenter, 200 molntjänster, miljontals enheter och en miljard kunder runt om i världen.

Aktörer och motivationer för cybersäkerhetshot

Det första steget för att skydda personer, enheter, data och kritisk infrastruktur är att förstå de olika typerna av hotaktörer och deras motiv.
  • Cyberbrottslingar sträcker sig över flera underkategorier, men de delar ofta gemensamma motivationer – ekonomisk, intelligens och/eller social eller politisk vinning. Deras tillvägagångssätt är vanligtvis direkt – genom att infiltrera ett finansiellt datasystem, skumma mikromängder som är för små för att upptäcka och avsluta innan de upptäcks. Att upprätthålla en ihållande, hemlig närvaro är avgörande för att uppfylla deras mål.

    Deras tillvägagångssätt kan vara ett intrång som avleder en stor ekonomisk utbetalning genom en labyrint av konton för att undvika spårning och ingripande. Ibland är målet att stjäla immateriell egendom som målet har så att cyberbrottslighet fungerar som en mellanhand för att leverera en produktdesign, källkod för programvara eller annan upphovsrättsskyddad information som har värde för en specifik enhet. Mer än hälften av dessa aktiviteter utförs av organiserade kriminella grupper.

  • Nationalstatsaktörer arbetar för att en regering ska störa eller kompromettera riktade regeringar, organisationer eller individer för att få tillgång till värdefulla data eller underrättelser. De är engagerade i internationella frågor för att påverka och driva ett resultat som kan gynna ett land eller länder. En nationalstatsskådespelares mål är att störa verksamheten, bedriva spionage mot företag, stjäla hemligheter från andra regeringar eller på annat sätt undergräva förtroendet för institutioner. De arbetar med stora resurser till sitt förfogande och utan rädsla för rättslig vedergällning, med en verktygslåda som sträcker sig från enkel till mycket komplex.

    Nationalstatsaktörer kan locka några av de mest sofistikerade cyberhacking-talangerna och kan avancera sina verktyg till vapen. Deras intrångsmetod innebär ofta ett avancerat beständigt hot med superdatorkraft för att råstyra brytautentiseringsuppgifter genom miljontals försök att komma fram till rätt lösenord. De kan också använda hyperriktade nätfiskeattacker för att locka en insider att avslöja sina autentiseringsuppgifter.

  • Insiderhot är särskilt utmanande på grund av oförutsägbarheten hos mänskligt beteende. Motivationen för en insider kanske opportunistisk och för ekonomisk vinning. Det finns dock flera orsaker till potentiella insiderhot, som sträcker sig från enkel slarv till sofistikerade system. Många dataintrång till följd av insiderhot är helt oavsiktliga på grund av oavsiktlig eller försumlig aktivitet som utsätter en organisation för risk utan att känna till sårbarheten.

  • Hacktivister fokuserar på politiska och/eller socialt motiverade attacker. De strävar efter att vara synliga och erkända i nyheterna för att uppmärksamma sig själva och sin sak. Deras taktik omfattar DDoS-attacker (Distributed Denial-of-Service), sårbarhetsexploateringar eller att förstöra en onlinenärvaro. En koppling till en social eller politisk fråga kan göra alla företag eller organisationer till mål. Sociala medier gör det möjligt för hacktivister att snabbt evangelisera sin sak och rekrytera andra att delta.


$4 million is the average cost of data breach in 2017

Tekniker för hotskådespelare

Angripare är skickliga på att hitta sätt att penetrera en organisations nätverk trots de skydd som finns på plats med hjälp av olika sofistikerade tekniker. Flera taktiker har funnits sedan Internets första dagar, även om andra återspeglar kreativiteten och den ökande sofistikeringen hos dagens motståndare.

  • Social ingenjörskonst är en bred term för en attack som lurar användare att agera eller avslöja information som de annars inte skulle göra. Social ingenjörskonst spelar på de flesta människors goda avsikter och deras vilja att vara till hjälp, att undvika problem, att lita på välbekanta källor eller att potentiellt få en belöning. Andra attackvektorer kan falla under paraplyet för social ingenjörskonst, men följande är några av de attribut som gör sociala tekniska taktiker lättare att känna igen och försvara sig mot:
    • Nätfiskemeddelanden är ett effektivt verktyg eftersom de spelar mot den svagaste länken i säkerhetskedjan – dagliga användare som inte tänker på nätverkssäkerhet som top-of-mind. En nätfiskekampanj kan bjuda in eller skrämma en användare att oavsiktligt dela sina autentiseringsuppgifter genom att lura dem att klicka på en länk som de tror är en legitim webbplats eller ladda ned en fil som innehåller skadlig kod. Nätfiskemeddelanden brukade vara dåligt skrivna och lätta att känna igen. Idag har angripare blivit skickliga på att efterlikna legitima e-postmeddelanden och landningsplatser som är svåra att identifiera som bedrägliga.
    • Identitetsförfalskning innebär att en angripare maskerar sig som en annan legitim användare genom att förfalska den information som presenteras för ett program eller en nätverksresurs. Ett exempel är ett e-postmeddelande som kommer till synes med adressen till en kollega som begär åtgärd, men adressen döljer den verkliga källan för e-postsändaren. På samma sätt kan en URL förfalskas för att visas som en legitim webbplats, men den faktiska IP-adressen pekar faktiskt på en cyberkriminals webbplats.

  • Skadlig kod har funnits hos oss sedan databehandlingens gryning. Idag ser vi en stark uppgång i utpressningstrojaner och skadlig kod som är specifikt avsedd att kryptera enheter och data. Cyberbrottslingar kräver sedan betalning i kryptovaluta för nycklarna för att låsa upp och returnera kontroll till offret. Detta kan inträffa på en enskild nivå för din dator och dina datafiler, eller nu oftare, till ett helt företag. Användningen av utpressningstrojaner är särskilt uttalad inom sjukvårdsområdet, eftersom konsekvenserna av liv eller död som dessa organisationer står inför gör dem mycket känsliga för nätverksavbrott.

  • Infogning av leveranskedjan är ett exempel på en kreativ metod för att mata in skadlig kod i ett nätverk. Genom att till exempel kapa en programuppdateringsprocess kringgår en angripare verktyg och skydd mot skadlig kod. Vi ser att den här tekniken blir vanligare och det här hotet fortsätter att växa tills mer omfattande säkerhetsskydd infunderas i programvara av programutvecklare.

  • Man-in-the-middle-attackerinnebär att en angripare infogar sig mellan en användare och en resurs som de kommer åt, vilket fångar upp viktig information, till exempel en användares inloggningsuppgifter. En cyberkriminal på ett kafé kan till exempel använda programvara för nyckelloggning för att samla in användarnas domänautentiseringsuppgifter när de ansluter sig till Wifi-nätverket. Hotskådespelaren kan sedan få åtkomst till användarens känsliga information, till exempel banktjänster och personlig information som de kan använda eller sälja på dark web.

  • DDoS-attacker (Distributed Denial of Service) har funnits i mer än ett decennium och är massiva attacker som blir allt vanligare med den snabba tillväxten av Sakernas Internet (IoT). När du använder den här tekniken överbelastar en angripare en webbplats genom att bombardera den med skadlig trafik som tränger undan legitima frågor. Tidigare planterad skadlig kod används ofta för att kapa en IoT-enhet, till exempel en webbkamera eller smart termostat. Vid en DDoS-attack översvämmar inkommande trafik från olika källor ett nätverk med många begäranden. Detta överbelastar servrar och nekar åtkomst från legitima begäranden. Många attacker omfattar smidning av IP-avsändaradresser (IP-adressförfalskning) också, så att platsen för de attackerande datorerna inte enkelt kan identifieras och besegras.

    Ofta används en överbelastningsattack för att täcka eller distrahera från en mer bedräglig ansträngning för att penetrera en organisation. I de flesta fall är målet med motståndaren att få åtkomst till ett nätverk med komprometterade autentiseringsuppgifter och sedan flytta i sidled över nätverket för att få åtkomst till mer "kraftfulla" autentiseringsuppgifter som är nycklarna till den mest känsliga och värdefulla informationen i organisationen.


90% of all cyberattacks start with a phishing email

Militariseringen av cyberrymden

Den växande möjligheten till cyberwarfare är en av de ledande problemen bland regeringar och medborgare i dag. Det handlar om att nationalstater använder och riktar in sig på datorer och nätverk i krigföring.

Både offensiva och defensiva operationer används för att utföra cyberattacker, spionage och sabotage. Nationalstater har utvecklat sin förmåga och engagerat sig i cyberkrigföring antingen som angripare, svarande eller båda i många år.

Nya hotverktyg och taktiker som utvecklats genom avancerade militära investeringar kan också brytas och cyberhot kan delas online och vapeniseras av cyberbrottslingar för vidare användning.

Microsofts cybersäkerhetsstatus

Säkerheten har alltid varit en prioritet för Microsoft, men vi inser att den digitala världen kräver kontinuerliga framsteg i vårt engagemang i hur vi skyddar, identifierar och svarar på cybersäkerhetshot. Dessa tre åtaganden definierar vår strategi för cyberförsvar och fungerar som ett användbart ramverk för vår diskussion om Microsofts strategier och funktioner för cyberförsvar.

SKYDDA

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

Skydda

Microsofts första åtagande är att skydda den databehandlingsmiljö som används av våra kunder och anställda för att säkerställa motståndskraften i vår molninfrastruktur och våra tjänster, produkter, enheter och företagets interna företagsresurser från beslutsamma angripare.

CDOC-teamens skyddsåtgärder sträcker sig över alla slutpunkter, från sensorer och datacenter till identiteter och SaaS-program (software-as-a-service). Defense-indepth – att tillämpa kontroller i flera lager med överlappande skydd och riskreduceringsstrategier – är en bra metod i hela branschen och det är den metod vi använder för att skydda våra värdefulla kund- och företagstillgångar.

Microsofts skyddstaktik omfattar:

  • Omfattande övervakning och kontroller över den fysiska miljön i våra globala datacenter, inklusive kameror, personalgallring, staket och barriärer samt flera identifieringsmetoder för fysisk åtkomst.

  • Programvarudefinierade nätverk som skyddar vår molninfrastruktur mot intrång och DDoS-attacker.

  • Multifaktorautentisering används i hela infrastrukturen för att styra identitets- och åtkomsthantering. Det säkerställer att kritiska resurser och data skyddas av minst två av följande:
    • Något du känner till (lösenord eller PIN-kod)
    • Något du är (biometrisk)
    • Något du har (smartphone)
  • Icke-beständig administration använder just-in-time-behörigheter (JIT) och just-enough-administratörsbehörigheter (JEA) till teknisk personal som hanterar infrastruktur och tjänster. Detta ger en unik uppsättning autentiseringsuppgifter för förhöjd åtkomst som automatiskt upphör att gälla efter en förinställd varaktighet.

  • Korrekt hygien upprätthålls noggrant genom uppdaterad programvara mot skadlig kod och efterlevnad av strikt korrigering och konfigurationshantering.

  • Microsoft Malware Protection Centers forskarteam identifierar, omvänt utvecklar och utvecklar signaturer för skadlig kod och distribuerar dem sedan i vår infrastruktur för avancerad identifiering och skydd. Dessa signaturer distribueras till våra responders, kunder och branschen via Windows Uppdateringar och meddelanden för att skydda sina enheter.

  • Microsoft Security Development Lifecycle (SDL) är en programutvecklingsprocess som hjälper utvecklare att skapa säkrare programvara och uppfylla kraven på säkerhetsefterlevnad samtidigt som utvecklingskostnaden minskar. SDL används för att härda alla program, onlinetjänster och produkter, och för att rutinmässigt verifiera dess effektivitet genom intrångstestning och sårbarhetsgenomsökning.

  • Hotmodellering och analys av attackytan säkerställer att potentiella hot utvärderas, att exponerade aspekter av tjänsten utvärderas och att attackytan minimeras genom att tjänster begränsas eller onödiga funktioner elimineras.

  • Att klassificera data enligt dess känslighet och vidta lämpliga åtgärder för att skydda dem, inklusive kryptering under överföring och i vila, och framtvinga principen om åtkomst med minst privilegier ger ytterligare skydd. • Medvetenhetsträning som främjar en förtroenderelation mellan användaren och säkerhetsteamet för att utveckla en miljö där användarna kommer att rapportera incidenter och avvikelser utan rädsla för återverkningar.

Att ha en omfattande uppsättning kontroller och en djupskyddsstrategi hjälper till att säkerställa att om något område misslyckas finns det kompenserande kontroller på andra områden som hjälper till att upprätthålla säkerheten och sekretessen för våra kunder, molntjänster och vår egen infrastruktur. Men ingen miljö är verkligen ogenomtränglig, eftersom människor kommer att göra fel och beslutsamma angripare kommer att fortsätta att leta efter sårbarheter och utnyttja dem. De betydande investeringar vi fortsätter att göra i dessa skyddslager och baslinjeanalys gör det möjligt för oss att snabbt identifiera när onormal aktivitet finns.

UPPTÄCKA

57+ days is the industry's median number of days between infiltration and detection

Identifiera

CDOC-teamen använder automatiserad programvara, maskininlärning, beteendeanalys och kriminaltekniska tekniker för att skapa ett intelligent säkerhetsdiagram över vår miljö. Den här signalen är berikad med kontextuella metadata och beteendemodeller som genereras från källor som Active Directory, tillgångs- och konfigurationshanteringssystem och händelseloggar.

Våra omfattande investeringar i säkerhetsanalys bygger omfattande beteendeprofiler och förutsägelsemodeller som gör att vi kan "ansluta punkterna" och identifiera avancerade hot som annars skulle ha gått oupptäckta och sedan motverka med starka inneslutnings- och samordnade reparationsaktiviteter.

Microsoft använder även specialutvecklad säkerhetsprogramvara, tillsammans med branschläddringsverktyg och maskininlärning. Vår hotinformation utvecklas kontinuerligt, med automatiserad databerikning för att snabbare upptäcka skadlig aktivitet och rapportera med hög återgivning. Sårbarhetsgenomsökningar utförs regelbundet för att testa och förfina effektiviteten hos skyddsåtgärder. Bredden på Microsofts investering i dess säkerhetsekosystem och de olika signaler som övervakas av CDOC-teamen ger en mer omfattande hotvy än vad som kan uppnås av de flesta tjänsteleverantörer.

Microsofts identifieringstaktik omfattar:

  • Övervakning av nätverksmiljöer och fysiska miljöer dygnet innan 365 för potentiella cybersäkerhetshändelser. Beteendeprofilering baseras på användningsmönster och en förståelse för unika hot mot våra tjänster.

  • Identitets- och beteendeanalyser har utvecklats för att markera onormal aktivitet.

  • Maskininlärningsverktyg och -tekniker används rutinmässigt för att upptäcka och flagga oegentligheter.

  • Avancerade analysverktyg och processer distribueras för att ytterligare identifiera avvikande aktivitet och innovativa korrelationsfunktioner. Detta gör det möjligt att skapa mycketkontextualiserade identifieringar från de enorma datavolymerna nästan i realtid.

  • Automatiserade programvarubaserade processer som kontinuerligt granskas och utvecklas för ökad effektivitet.

  • Dataforskare och säkerhetsexperter arbetar rutinmässigt sida vid sida för att hantera eskalerade händelser som uppvisar ovanliga egenskaper som kräver ytterligare analys av mål. De kan sedan fastställa potentiella åtgärder och åtgärder.

SVARA

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

Åtgärda

När Microsoft upptäcker onormal aktivitet i våra system utlöser det våra svarsteam att engagera och snabbt svara med exakt kraft. Meddelanden från programvarubaserade identifieringssystem flödar genom våra automatiserade svarssystem med riskbaserade algoritmer för att flagga händelser som kräver åtgärder från vårt svarsteam. Mean-Time-to-Mitigation är av största vikt och vårt automatiseringssystem ger svarare relevant, användbar information som påskyndar sortering, minskning och återställning.

För att hantera säkerhetsincidenter i så stor skala distribuerar vi ett nivåindelat system för att effektivt tilldela svarsuppgifter till rätt resurs och underlätta en rationell eskaleringsväg.

Microsofts svarstaktik omfattar:

  • Automatiserade svarssystem använder riskbaserade algoritmer för att flagga händelser som kräver mänsklig inblandning.

  • Automatiserade svarssystem använder riskbaserade algoritmer för att flagga händelser som kräver mänsklig inblandning.

  • Väldefinierade, dokumenterade och skalbara incidenthanteringsprocesser i en kontinuerlig förbättringsmodell hjälper oss att hålla oss före angripare genom att göra dessa tillgängliga för alla som svarar.

  • Ämnesexpertis i våra team, inom flera säkerhetsområden, ger en mängd olika kunskaper för att hantera incidenter. Säkerhetsexpertis inom incidenthantering, kriminalteknik och intrångsanalys; och en djup förståelse för de plattformar, tjänster och program som körs i våra molndatacenter.

  • Bred företagssökning i molnet, hybriddata och lokala data och system för att fastställa omfattningen av en incident.

  • Djupgående kriminalteknisk analys för större hot utförs av specialister för att förstå incidenter och för att hjälpa till med inneslutning och utrotning. • Microsofts säkerhetsprogramverktyg, automatisering och hyperskala molninfrastruktur gör det möjligt för våra säkerhetsexperter att minska tiden för att upptäcka, undersöka, analysera, svara och återställa från cyberattacker.

  • Intrångstestning används i alla Microsofts produkter och tjänster genom pågående red team-/blå teamövningar för att avslöja sårbarheter innan en verklig angripare kan utnyttja dessa svaga punkter för en attack.

Cyberdefense för våra kunder

Vi får ofta frågor om vilka verktyg och processer som våra kunder kan använda för sin egen miljö och hur Microsoft kan hjälpa till med implementeringen. Microsoft har konsoliderat många av de cyberdefense-produkter och -tjänster som vi använder i CDOC till en rad produkter och tjänster. Microsoft Enterprise Cybersecurity Group- och Microsoft Consulting Services-teamen samarbetar med våra kunder för att leverera de lösningar som passar bäst för deras specifika behov och krav.

Ett av de första stegen som Microsoft rekommenderar är att upprätta en säkerhetsgrund. Våra grundläggande tjänster tillhandahåller kritiskt angreppsskydd och grundläggande identitetsaktiveringstjänster som hjälper dig att säkerställa att tillgångar skyddas. Grunden hjälper dig att påskynda din digitala omvandlingsresa för att gå mot ett säkrare modernt företag.

Med den här grunden kan kunderna sedan utnyttja lösningar som visat sig vara framgångsrika med andra Microsoft-kunder och distribueras i Microsofts egna IT- och molntjänstmiljöer. Mer information om våra cybersäkerhetsverktyg, funktioner och tjänsterbjudanden för företag finns i Microsoft.com/security och kontakta våra team på cyberservices@microsoft.com.

Metodtips för att skydda din miljö

Investera i din plattform Investera i din instrumentation Investera i ditt folk
Flexibilitet och skalbarhet kräver planering och skapande av aktiveringsplattform Se till att du noggrant mäter elementen i din plattform Skickliga analytiker och dataforskare utgör grunden för försvaret, medan användarna är den nya säkerhetsperimetern
Upprätthålla en väldokumenterad inventering av dina tillgångar Skaffa och/eller skapa de verktyg som behövs för att fullständigt övervaka nätverket, värdarna och loggarna Establsih-relationer och kommunikationslinjer mellan incidenthanteringsteamet och andra grupper
Ha en väldefinierad säkerhetsprincip med tydliga standarder och vägledning för din organisation Underhåll proaktivt kontroller och åtgärder och testa dem regelbundet för noggrannhet och effektivitet Anta principer för lägsta behörighetsadministratör; eliminera beständiga administratörsrättigheter
Upprätthålla korrekt hygien – de flesta attacker kan förhindras med lämpliga korrigeringar och antivirusprogram Upprätthålla strikt kontroll över principer för ändringshantering Använd den inlärda processen för att få värde från varje större incident
Använda multifaktorautentisering för att stärka skyddet av konton och enheter Övervaka för onormal konto- och autentiseringsuppgifter för att upptäcka missbruk Registrera, utbilda och ge användarna möjlighet att identifiera sannolika hot och sin egen roll i att skydda affärsdata