Microsoft Cybersecurity Defense Operations Center

The Microsoft Cyber Defense Operations Center

Innovation inom attackutrymmet för personer, platser och processer är en nödvändig och kontinuerlig investering vi alla behöver göra, allt eftersom adversaries fortsätter att utvecklas i både avgörande och uppsläckthet. Som ett svar på ökade investeringar i försvarsstrategier av många organisationer anpassar sig attacker och förbättrar taktiker i avbrottshastigheten. Som tur är är det så att cyberdefenders som Microsofts globala informationssäkerhetsteam också förnyar och avbryter tillförlitliga attackmetoder med pågående, avancerad utbildning och modern säkerhetstekniker, verktyg och processer.

Microsoft Cyber Defense Operations Center (CDOC) är ett exempel på den mer än 1 miljon dollar vi investerar varje år på säkerhet, dataskydd och riskhantering. CDOC samlar cybersäkerhetsspecialister och data en 24x7-funktion för att bekämpa hot i realtid. Vi är anslutna till fler än 3 500 säkerhetsexperter globalt i våra produktgrupper, informationssäkerhetsgrupper och juridiska team för att skydda vår molninfrastruktur och våra tjänster, produkter och enheter samt interna resurser.

Microsoft har investerat mer än 15 miljoner dollar i vår molninfrastruktur, med över 90 procent av Fortune 500-företag som använder Microsoft-molnet. Idag äger och driver vi ett av världens största molnavtryck med fler än 100 geofördelade datacenter, 200 molntjänster, miljontals enheter och en miljon kunder över hela världen.

Cybersecurity threat actors and motivations

• Nätkriminella sträcker sig över flera underkategorier, även om de ofta har vanliga orsaker, finans, intelligens och/eller sociala eller politiska vinster. Deras tillvägagångssätt är vanligtvis direkt – genom att infiltrera ett finansdatasystem, skumma genom mikromängderna för små för att upptäcka och lämna innan de upptäcks. Att underhålla en beständig närvaro är viktigt för att uppfylla målen.
  
  Deras tillvägagångssätt kan vara ett intrång som dirigerar om en stor ekonomisk utbetalning via en deras konton för att undvika spårning och inblandning. Ibland är målet att stjäla immateriell egendom som målgruppen stjäl så att nätkriminella fungerar som mellanled för att tillhandahålla produktdesign, programkällkod eller annan företagsinformation som har värde för en viss enhet. Mer än hälften av dessa aktiviteter av organiseras av organiserade brottslingsgrupper.
  
  
• Organisationsorganisationer arbetar för en myndighet för att störa eller avslöja riktade myndigheter, organisationer eller personer för att få tillgång till värdefulla data eller information. De är engagerade i internationella frågor för att påverka och driva ett resultat som kan vara till förmån för ett eller flera länder. En sådde aktörs målsättning är att störa åtgärder, genomföra e corporations, stjäla hemligheter från andra myndigheter eller på annat sätt underminera förtroende för institutioner. De arbetar med stora resurser som de har tillgång till och utan att behöva behöva omfördela juridiskt, med ett verktyg som spänner över från enkla till mycket komplexa.
  
  Någon av de mest sofistikerade cyberbrottsarna kan locka en del av de mest sofistikerade cyberbrottsarna, och deras verktyg kan behövas för att göra det mer avancerat. Deras intrångsmetod innebär ofta ett avancerat beständigt hot som använder super datorkraft till råstyrt avbrott för flera miljoner försök att nå rätt lösenord. De kan också använda hyper riktad nätfiskeattacker för att locka en insider till att avslöja sina autentiseringsuppgifter.
  
  
• Insider-hot är särskilt svåra på grund av att det inte är svårare att förutse människor. Motivationen för en insider kan opportunistisk och för ekonomisk vinst. Det finns dock flera orsaker till potentiella Insider-hot, allt från enkel vård till avancerade scheman. Många databrott som orsakats av Insider-hot är helt oavsiktliga på grund av oavsiktlig eller negativ aktivitet som innebär att en organisation riskerar utan att vara medveten om problemet.
  
  
• Hacktivists fokuserar på politiska och/eller socialt motiverade attacker. De strävar efter att vara synliga och erkända i nyheterna för att uppmärksamma sig själva och deras orsak. Deras taktiker är bland annat DDoS-attacker (distributed denial-of-service), sårbarheter eller defacing av onlinenärvaro. En koppling till en social eller politiska fråga kan göra ett företag eller organisation till ett mål. Sociala medier gör det möjligt för hacktivists att snabbt sprida sin orsak och rekrytering av andra att delta.

Teknik från hotare

Adversaries are skilled at finding ways to en organization's network despite the protections in place using various sophisticated techniques. Flera taktiker har varit runt sedan Internets tidiga dagar, men andra speglar kreativiteten och den växande kreativiteten i dagens adversaries.

• Social engineering är en vid term för en attack som lurar användare att agera eller dela upp information som de annars inte skulle ha gjort. Social engineering spelas upp på ett bra sätt för de flesta människor och deras viljase vara användbara, för att undvika problem, för att lita på välbekanta källor eller för att potentiellt få en belöning. Andra attackvektorer kan hamna under paraplyet för social engineering, men följande är några av de attribut som gör det lättare att känna igen och försvara social engineering-taktiker:
• Nätfiskemeddelanden är ett effektivt verktyg eftersom de spelar mot den svagaste länken i säkerhetskedja – vanliga användare som inte tänker på nätverkssäkerhet som sin egen. En nätfiskekampanj kan bjuda in eller uppmana en användare att oavsiktligt dela sina autentiseringsuppgifter genom att lura dem att klicka på en länk som de tror är en legitim webbplats eller att hämta en fil som innehåller skadlig kod. Nätfiskemeddelanden kunde tidigare vara dåligt skrivna och lätta att känna igen. I dag har adversaries blivit avd på att imitera legitima e-postmeddelanden och landande webbplatser som är svåra att identifiera som falska.
• Identitetsförfalskning innebär att en adversary masquerading som en annan legitim användare genom att förfalska informationen som presenteras för ett program eller en nätverksresurs. Ett exempel är ett e-postmeddelande som anländer till synes på samma adress som en kollega begär åtgärd för, men adressen döljer den faktiska källan för e-postavsändare. På samma sätt kan en URL-adress kapas för att visas som en legitim webbplats, men den faktiska IP-adressen pekar faktiskt på en nätkriminellas webbplats.
  
  
• Skadlig programvara har funnits med oss sedan skymningen över datoranvändningen. I dag ser vi ett starkt skalstreck i utpressningstrojaner och skadlig kod som är specifikt avsedd att kryptera enheter och data. Nätkriminella begär sedan betalning i kryptovaluta för att låsa upp och få tillbaka kontrollen till offerten. Det här kan inträffa på individuell nivå för din dator och dina datafiler, eller nu oftare för ett helt företag. Användningen av utpressningstrojaner är särskilt markant inom sjukvårdsområdet, eftersom de organisationer kan utge sig för att vara mycket känsliga för nätverksavbrott.
  
  
• Infogning av leveranskedja är ett exempel på ett kreativt sätt att mata in skadlig programvara i ett nätverk. Genom att kapa en programuppdateringsprocess kringgår till exempel ett hot mot skadlig programvara verktyg och skydd. Vi ser att den här tekniken blir vanligare och att hoten växer tills mer omfattande säkerhetsskydd infunderas i programvara av programutvecklare.
  
  
• Man-in-the-middleattacks involve an adversary insert themselves between a user and a resource they are accessing, thereby intercepting critical information such as a user's login credentials. Till exempel kan en nätkriminella på ett café använda nyckelloggningsprogram för att registrera en användares domänautentiseringsuppgifter när de ansluter till Wifi-nätverket. Hot en aktör kan sedan få åtkomst till användarens känsliga information, till exempel banktjänster och personlig information som de kan använda eller sälja på den mörka webben.
  
  
• DDoS-attacker (Distributed Denial of Service)har varit runt mer än en tid och är enorma attacker börjar bli vanligare med den snabba tillväxten för Internet of Things (IoT). När du använder den här tekniken överbelastar ett adversaryt en webbplats genom att bomba den med skadlig trafik som fördräcker legitima frågor. Tidigare använd skadlig programvara för att kapa en IoT-enhet, till exempel en webbkamera eller smart modellering. I en DDoS-attack kommer inkommande trafik från olika källor att överse ett nätverk med många förfrågningar. Detta överbelastar servrar och nekar åtkomst från legitima begäranden. Många attacker innebär att IP-avsändaradresser (IP-adressförfalskning) också används, så att det inte är lätt att identifiera och orsakar förlust av attackerna.
  
  Ofta används en tjänstattack för att täcka över eller distrahera organisationen från ett mer bedrägligt arbete. I de flesta fall är syftet med adversary att få tillgång till ett nätverk med komprometterade autentiseringsuppgifter, och sedan flytta över nätverket för att få tillgång till mer "kraftfulla" autentiseringsuppgifter som är nyckeln till den mest känsliga och värdefulla informationen inom organisationen.
  
  

Så här ser det ut i cyberrymden

Den växande risken för cybervarningar är en av de vanligaste problemen bland myndigheter och människor idag. Det handlar om att använda och rikta datorer och nätverk mot nätverk.

Både stötande och stötande åtgärder används för att utföra cyberattacker, e hörn och mann också. – Usa-delstater har utvecklat sina möjligheter och arbetat i cybervarningar antingen som aggressor, påkälken eller både och under många år.

Nya hotverktyg och taktiker som utvecklats genom avancerade investeringar i cyberbrott kan också brytas och cyberhot kan delas online och användas av nätkriminella för att användas ytterligare.

Microsoft cybersäkerhet

Säkerheten har alltid varit en prioritet för Microsoft, men vi förstår att den digitala världen kräver kontinuerliga framsteg i vårt arbete med att skydda, identifiera och reagera på hot om cybersäkerhet. De här tre åtaganden definierar vår metod för cyberhot och fungerar som ett användbart ramverk för vår diskussion om Microsofts strategi för cyberhot.

PROTECT

Skydda

Microsofts första åtagande är att skydda den datormiljö som används av våra kunder och anställda för att säkerställa motståndskraften hos vår molninfrastruktur och våra tjänster, produkter, enheter och företagets interna företagsresurser från beslutna adversaries.

CDOC-teams skyddsmått sträcker sig över alla slutpunkter, från sensorer och datacenter till identiteter och SaaS-program (programvara som en tjänst). Försvar utan begränsning – att tillämpa kontroller på flera nivåer med överlappande skydd och strategier för att vidta åtgärder för risker – är ett metod bäst för hela branschen och det är den metod vi använder för att skydda våra värdefulla kund- och företagstillgångar.

Microsofts skydd taktiker inkluderar:

• Omfattande övervakning och kontroller över våra globala datacenters fysiska miljö, inklusive kameror, personalkontroll, staket och hinder och flera identifieringsmetoder för fysisk åtkomst.
  
  
• Programvarudefinierade nätverk som skyddar vår molninfrastruktur från intrång och DDoS-attacker.
  
  
• Multifaktorautentisering används i vår infrastruktur för att styra identitet och åtkomsthantering. Det säkerställer att viktiga resurser och data skyddas av minst två av följande:
• Något du känner till (lösenord eller PIN-kod)
• Något du är (biometriska)
• Något du har (smartphone)
• Icke-beständiga administration använder jit-behörighet (just-in-time) och tillräckligt många administratörsbehörigheter (JEA) till tekniker som hanterar infrastruktur och tjänster. Det här ger en unik uppsättning autentiseringsuppgifter för förhöjd åtkomst som automatiskt upphör att gälla efter en förinställt varaktighet.
  
  
• Korrekt underhåll av korrekt programvara underhålls mycket av den senaste programvaran mot skadlig programvara och är en strikt korrigerings- och konfigurationshantering.
  
  
• Microsoft Malware Protection Center en grupp av forskare som identifierar, bakåtkompilerar och utvecklar signaturer för skadlig programvara och sedan distribuerar dem i vår infrastruktur för avancerad identifiering och försvar. De här signaturerna distribueras till svarare, kunder och branschen via Windows Uppdateringar och aviseringar för att skydda deras enheter.
  
  
• Microsoft Security Development Lifecycle (SDL) är en programvaruutvecklingsprocess som hjälper utvecklare att skapa säkrare programvara och uppfylla säkerhetskraven samtidigt som utvecklingkostnaden minskar. SDL används för att hårdna alla program, onlinetjänster och produkter, och för att regelbundet verifiera hur effektivt det är med test av säkerhets- och säkerhetsbrister.
  
  
• Modellering av hot och analys av attackytor säkerställer att potentiella hot bedöms, exponerade aspekter av tjänsten utvärderas och attackytan minimeras genom att begränsa tjänsterna eller ta bort onödiga funktioner.
  
  
• Att klassificera data efter känslighet och vidta lämpliga åtgärder för att skydda dem, inklusive kryptering under överföring och vila, och tillämpning av principen om åtkomst med minst behörighet ger ytterligare skydd. • Informationsutbildning som främjar en förtroenderelation mellan användaren och säkerhetsgruppen i att utveckla en miljö där användarna kan rapportera incidenter och problem utan att behöva vara orolig för att bli på nytt.
  
  

En omfattande uppsättning kontroller och en djupgående strategi för försvar hjälper till att säkerställa att ett område misslyckas, det finns kompenteringskontroller i andra områden för att upprätthålla säkerheten och integriteten för våra kunder, molntjänster och vår egen infrastruktur. Det finns dock ingen miljö som verkligen är ogenomförbar, eftersom människor kommer att göra fel och fastställa adversaries kommer att fortsätta leta efter svagheter och utnyttja dem. De betydande investeringar vi fortsätter att göra i dessa skyddslager och baslinjeanalyser gör att vi snabbt kan upptäcka när onormal aktivitet förekommer.

DETECT

Identifiera

CDOC-teamen använder automatiserad programvara, maskininlärning, funktionsanalys och teknik för en testteknik för att skapa en intelligent säkerhetsdiagram över vår miljö. Den här signalen är bättre än tidigare med sammanhangsbaserade metadata och funktionsmodeller som genereras från källor som Active Directory, system för hantering av tillgångar och konfiguration samt händelseloggar.

Våra omfattande investeringar i säkerhetsanalyser skapar innehållsprofiler och prognosmodeller som gör att vi kan "koppla samman punkterna" och identifiera avancerade hot som annars skulle ha försvunnit oupptäckta, och sedan kontra med stark inneslutning och koordinerade åtgärder.

Microsoft använder även anpassade säkerhetsprogramvara, tillsammans med branschledande verktyg och maskininlärning. Vår hotinformation utvecklas kontinuerligt, med automatiserad databerikande för att snabbare identifiera skadlig aktivitet och rapportera med hög återgivning. Genomsökningar av säkerhetsproblem utförs regelbundet för att testa och förfina skyddsmåttens effektivitet. Bredden på Microsofts investeringar i dess säkerhetse ekosystem och de många olika signaler som övervakas av CDOC-teamen ger en mer omfattande hotvy än vad de flesta tjänsteleverantörer kan åstadkomma.

Microsofts sätt att identifiera taktiker är bland annat:

• Övervaka nätverksmiljöer och fysiska miljöer dygnet runt för potentiella cybersäkerhetshändelser. Beteendeprofilering baseras på användningsmönster och en förståelse av unika hot mot våra tjänster.
  
  
• Identitets- och funktionsanalyser utvecklas för att framhäva onormal aktivitet.
  
  
• Verktyg och tekniker inom maskininlärning används ofta för att upptäcka och flagga avvikelser.
  
  
• Avancerade analysverktyg och -processer används för att ytterligare identifiera avvikande aktivitet och innovativa korrelationsfunktioner. Detta möjliggör att mycketkontextualiserade identifieringar skapas från stora mängder data i närtid.
  
  
• Automatiserade programvarubaserade processer som granskas kontinuerligt och utvecklats av ökad effektivitet.
  
  
• Dataexperter och säkerhetsexperter arbetar regelbundet sida vid sida för att hantera eskalerade händelser med ovanliga egenskaper som kräver ytterligare analys av mål. De kan sedan fastställa potentiella åtgärder och åtgärder.
  
  

SVARA

Svara

När Microsoft upptäcker onormal aktivitet i våra system utlöser det våra svarsteam att kommunicera och snabbt svara med exakt kraft. Meddelanden från programvarubaserade identifieringssystem flödar genom våra automatiska svarssystem med riskbaserade algoritmer för att flagga händelser som kräver åtgärd från vårt svarsteam. Mean-Time-to-Mitigate är mycket viktigt och vårt automatiseringssystem ger svarare relevant och åtgärdsbar information som påskyndar triage, minskningar och återställning.

För att hantera säkerhetstillbud i så stor skala använder vi ett nivåindelat system för att effektivt tilldela svarsuppgifter till rätt resurs och underlätta en rationell eskaleringsväg.

Microsofts svar taktiker inkluderar:

• Automatiserade svarssystem använder riskbaserade algoritmer för att flagga händelser som kräver mänskliga åtgärder.
  
  
• Automatiserade svarssystem använder riskbaserade algoritmer för att flagga händelser som kräver mänskliga åtgärder.
  
  
• Väldefinierade, dokumenterade och skalbara incidentsvarsprocesser i en modell för kontinuerlig förbättring hjälper oss att hålla oss före adversaries genom att göra dem tillgängliga för alla svarare.
  
  
• Expertis inom olika ämnesområden i våra grupper, inom flera säkerhetsområden, ger olika kunskaper om hur vi kan hantera incidenter. Säkerhetskunskaper inom incidentanalys, forensiska fall och intrångsanalys. och en djup förståelse för plattformar, tjänster och program som fungerar i våra molndatacenter.
  
  
• Wide enterprise searching across cloud, hybrid and on-premises data and systems to determine the scope of an incident.
  
  
• Djupgående analys av större hot utförs av specialister för att förstå incidenter och till hjälp i deras inneslutning och undersökning. • Microsofts verktyg för säkerhetsprogramvara, automatisering och molninfrastruktur i hyperskala gör att våra säkerhetsexperter kan minska tiden för att upptäcka, undersöka, analysera, svara och återställa från cyberattacker.
  
  
• Testning av tester används i alla Microsofts produkter och tjänster genom ständiga Red Team-/Blue Team-övningar för att upptäcka säkerhetsproblem innan några verkliga angrepp kan utnyttja dessa svaga punkter för en attack.
  
  

Cyberdefense för våra kunder

Vi får ofta frågan vilka verktyg och processer som våra kunder kan använda i sina egna miljöer och hur Microsoft kan bidra till implementeringen. Microsoft har konsoliderat många av de cyberdefense produkter och tjänster vi använder i CDOC i en mängd olika produkter och tjänster. Microsoft Enterprise Cybersecurity Group och Microsoft Consulting Services-teamen kommunicerar med våra kunder för att leverera de lösningar som är mest lämpliga för deras specifika behov och krav.

Ett av de första steg som Microsoft rekommenderar är att upprätta en säkerhetsgrund. Våra foundation-tjänster tillhandahåller kritiska attackskydd och grundläggande tjänster för identitetsaktivering som hjälper dig att säkerställa att tillgångar skyddas. Grunden hjälper dig att påskynda din digitala omvandlingsresa mot ett säkrare modernt företag.

Genom att bygga på den här grunden kan kunderna sedan använda lösningar som visat sig vara framgångsrika med andra Microsoft-kunder och använda dem i Microsofts egna IT- och molntjänstmiljöer. Mer information om våra verktyg för cybersäkerhet, funktioner och tjänster finns på Microsoft.com/security kontakta våra team på cyberservices@microsoft.com .

Metodtips för att skydda din miljö