Microsoft, a dokładnie zespół Cyber Defense Operations Center opublikował ostatnio najnowsze zalecenie odnośnie cyber zagrożeń. Strategia obronna Microsoftu opiera się na trzech filarach: protect (ochrona), detect (wykrywanie), respond (reagowanie). Chodzi tutaj o podział, co zrobić aby nie dopuścić do włamania, co zrobić aby wykryć istniejące już zagrożenie, oraz co zrobić po wykryciu zagrożenia. Jeśli każdy z tych obszarów będzie w stu procentach pokryty, żadne złośliwe działanie nie dotknie naszych systemów od Microsoft’u – przynajmniej w teorii. Poniżej przedstawiamy wyszczególnione „dobre rady” w każdym z 3 obszarów.
Protect
Wieloetapowe uwierzytelnianie, takie jak Windows Hello for Business (H4B), powinno być stosowane w całej naszej infrastrukturze do kontroli zarządzania tożsamością i dostępem.
Nietrwałe administrowanie przy użyciu just-in-time (JIT) oraz just-enough administrator (JEA), aby inżynierowie mogli zarządzać infrastrukturą i swoimi usługami. Zapewnia to unikalny zestaw podwyższonych uprawnień, który wygasa automatycznie po upływie określonego czasu.
Właściwa higiena powinna być rygorystycznie utrzymywana poprzez stałe aktualizowanie systemów anty-malware oraz przestrzeganie ścisłego zarządzania poprawkami i konfiguracją.
Microsoft Security Development Lifecycle, czyli program służący do hardeningu wszystkich aplikacji, usług i produktów online oraz do rutynowego sprawdzania ich podatności poprzez testy penetracyjne i skanowania.
Modelowanie zagrożeń i analiza powierzchni ataków, która zapewnia że możliwe wektory ataków są znane oraz minimalizuje powierzchnie ataku poprzez ograniczenie usług lub wyeliminowanie niepotrzebnych funkcji.
Klasyfikowanie danych według ich wrażliwości – wysokiego, średniego lub niskiego wpływu na biznes – i podejmowanie odpowiednich środków w celu jego ochrony, w tym szyfrowania podczas przesyłania i przechowywania, oraz egzekwowanie zasady najmniejszego wymaganego dostępu.
Trening świadomości, który buduje relacje zaufania między użytkownikiem a zespołem bezpieczeństwa w celu stworzenia środowiska, w którym użytkownicy będą sami zgłaszać incydenty i anomalie bez obawy o konsekwencje.
Kompleksowe monitorowanie i kontrola fizycznego dostępu do globalnych centrów danych. Przeglądanie kamer, kontrola personelu, odpowiednie bariery i bramki oraz uwierzytelnianie wieloskładnikowe w celu fizycznego dostępu.
Sieci programowalne, które chronią naszą infrastrukturę chmurową przed włamaniami i rozproszonymi atakami typu DoS i Ddos.
Zabezpieczone stacje robocze administratorów, które gotowe są zarówno do zarządzania krytycznymi systemami produkcyjnymi, jak i do codziennych czynności, takich jak wysyłanie maili, edycja dokumentów i prace programistyczne.
Detect
Monitorowanie sieci i lokalizacji fizycznych 24x7x365, czyli w skrócie – bez przerwy. Warto tworzyć wzorce zachowań na podstawie aktywności użytkowników i urządzeń i starać się zrozumieć unikalne zagrożenia dla naszej sieci.
Analiza behawioralna powinna być wdrożona w celu określenia działań, które wskazują na anomalie w naszej sieci.
Narzędzia i oprogramowanie wykorzystujące machine learning są rutynowo wykorzystywane do wykrywania i sygnalizowania nieprawidłowości.
Zaawansowane narzędzia analityczne są stosowane w celu dalszej identyfikacji anormalnej aktywności i innowacyjnych możliwości korelacji. Umożliwia to analizę wysoce kontekstowych detekcji z ogromnych ilości danych w czasie zbliżonym do rzeczywistego.
Specjaliści ds. Danych i eksperci ds. Bezpieczeństwa rutynowo pracują ramię w ramię, aby zająć się eskalowanymi zdarzeniami, które wykazują cechy wymagające ludzkiej analizy. Następnie mogą określić potencjalne reakcje i działania naprawcze.
Respond
Zautomatyzowane systemy reagowania wykorzystujące algorytmy oparte na analizie ryzyka do zgłaszania zdarzeń wymagających interwencji ludzkiej.
Rozwiązania Endpoint Detection and Reponse (EDR) do granularnej izolacji maszyn oraz inicjowania aktualizacji i skanów AV.
Dobrze zdefiniowany, udokumentowany i skalowalny proces reagowania na incydenty w ramach modelu ciągłego doskonalenia pomaga nam wyprzedzić atakujących, udostępniając zasady reagowania dla wszystkich osób w organizacji.
Wiedza specjalistyczna w naszych zespołach, w wielu obszarach bezpieczeństwa, w tym w zarządzaniu kryzysowym, kryminalistyce i analizie włamań, oraz dogłębne zrozumienie platform, usług i aplikacji działających w naszych centrach danych.
Szerokie przeszukiwanie w przedsiębiorstwie, zarówno w chmurze, danych hybrydowych i lokalnych, jak i w systemach w celu określenia zakresu incydentu.
Dogłębna analiza sądowa, w przypadku poważnych zagrożeń, przeprowadzana jest przez specjalistów w celu zrozumienia incydentów i pomocy w ich ograniczaniu i zwalczaniu.
Podsumowanie
Posiadanie rozbudowanej i świadomej strategii kontrolowania i ochrony z pewnością daje większe szanse, że w przypadku włamania do jednego zasobu bądź usługi, kolejne zabezpieczenie nie zawiedzie. Dzięki temu będziemy w stanie utrzymać dostępność naszych usług oraz stabilność naszej infrastruktury wewnętrznej.
Widać, że Microsoft działa zgodnie z założeniem Assume Breach. Oznacza to, że pomimo zaufania, jakie mamy do naszych zabezpieczeń, zakładamy, że atakujący mogą i znajdą sposób na ich obejście. Ważne jest, aby szybko wykryć przeciwnika, znaleźć przyczynę i lukę w zabezpieczeniach oraz szybko ją załatać.