Delen via

Eindpuntbeveiliging

Endpoint Security zorgt voor uitgebreide beveiliging van cloudresources voor rekeneindpunten. Effectieve eindpuntbeveiliging voorkomt onbevoegde toegang, detecteert en reageert op bedreigingen en onderhoudt beveiligingsnaleving voor gevirtualiseerde infrastructuur die wordt uitgevoerd in cloudomgevingen.

Zonder uitgebreide mogelijkheden voor eindpuntbeveiliging:

  • Malware en ransomware infecties: Niet-beveiligde virtuele machines in de cloud maken uitvoering van malware, ransomware-versleuteling en permanente bedreigingen mogelijk die de integriteit van de workload en zakelijke activiteiten in gevaar brengen.
  • Referentiediefstal en laterale verplaatsing: Met aangetaste cloudeindpunten kunnen aanvallers referenties verzamelen, bevoegdheden escaleren en lateraal verplaatsen tussen cloudomgevingen en virtuele netwerken.
  • Gegevensexfiltratie: Onbeheerde cloudworkloads ontbreken besturingselementen voor gegevensbeveiliging, waardoor niet-geautoriseerde gegevensoverdracht vanuit cloudopslag en -databases mogelijk is.
  • Nalevingsschendingen: Het niet kunnen aantonen van beveiligingsmaatregelen voor eindpuntbeveiliging bij cloudinfrastructuur kan leiden tot tekortkomingen bij regelgevingsaudits en mogelijke sancties.
  • Onbeheerde cloudresources: Ingerichte virtuele machines zonder beveiligingsagenten omzeilen beveiligingsmaatregelen waardoor beveiligingsproblemen en zichtbaarheid blinde vlekken ontstaan.
  • Configuratiedrift: Virtuele cloudmachines die werken met inconsistente beveiligingsconfiguraties maken beveiligingsproblemen en verminderen de algehele beveiligingspostuur.

Hier volgen de twee kernpijlers van het eindpuntbeveiligingsdomein.

Bedreigingsbeveiliging voor cloudeindpunten: Implementeer uitgebreide mogelijkheden voor detectie en reactie van bedreigingen voor virtuele cloudmachines, waaronder antimalware, gedragsanalyse en geautomatiseerd herstel. Implementeer realtime correlatie van bedreigingsinformatie en geïntegreerde XDR (Extended Detection and Response) om bedreigingen te identificeren en te neutraliseren die gericht zijn op cloudworkloads voordat ze schade veroorzaken.

Gerelateerde besturingselementen:

Configuratie van cloudeindpuntbeveiliging: Beveiligingsbasislijnen en beveiligingsstandaarden afdwingen voor alle virtuele cloudmachines, waaronder configuraties van besturingssystemen, toepassingsbeheer en activering van beveiligingsfuncties. Behoud een consistente beveiligingspostuur via geautomatiseerd configuratiebeheer en driftdetectie voor in de cloud gehoste rekenresources.

Gerelateerde besturingselementen:

ES-1: Eindpuntdetectie en -respons gebruiken (EDR)

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: ES-1.

Beveiligingsprincipe

Implementeer uitgebreide mogelijkheden voor eindpuntdetectie en -respons die realtime inzicht bieden in eindpuntactiviteiten, gedragsanalyses en geautomatiseerde reactie op bedreigingen. Stel beveiligingsorganisaties in staat om geavanceerde bedreigingen te detecteren, incidenten te onderzoeken en snel te reageren op inbreuk op eindpunten in de hele omgeving.

Risico om te beperken

Organisaties die werken zonder uitgebreide mogelijkheden voor eindpuntdetectie en -respons, hebben aanzienlijke risico's van geavanceerde bedreigingen die traditionele preventieve controles omzeilen. Zonder EDR:

  • Niet-gedetecteerde geavanceerde bedreigingen: Geavanceerde aanvallen, waaronder bestandsloze malware, living off the land-technieken en zero-day exploits, ontwijken op handtekeningen gebaseerde detectie en blijven lange tijd onopgemerkt.
  • Vertraagde reactie op incidenten: Gebrek aan realtime zichtbaarheid van eindpuntactiviteiten voorkomt snelle detectie en reactie van bedreigingen, zodat aanvallers tijd hebben om persistentie en exfiltratie van gegevens tot stand te brengen.
  • Beperkte zichtbaarheid van bedreigingen: Beveiligingsteams kunnen geen aanvalspatronen, zijwaartse verplaatsingen of communicatie tussen opdrachten en controle identificeren zonder uitgebreide eindpunttelemetrie en gedragsanalyse.
  • Ineffectieve bedreigingsbeheersing: Handmatige onderzoeks- en herstelprocessen maken het mogelijk om bedreigingen te verspreiden over eindpunten tijdens reactieactiviteiten, waardoor de impact van de organisatie breder wordt.
  • Ontbrekende forensische mogelijkheden: Het ontbreken van historische eindpuntactiviteitsgegevens voorkomt hoofdoorzaakanalyse, aanvalsreconstructie en lessen die zijn geleerd van beveiligingsincidenten.
  • Blinde vlekken in beveiligingspostuur: Niet-bewaakte eindpuntactiviteiten zorgen voor zichtbaarheidsgaten die detectie van insiderbedreigingen, escalatie van bevoegdheden en exfiltratiepogingen van gegevens verhinderen.

Zonder EDR-mogelijkheden detecteren organisaties alleen bedreigingen nadat er aanzienlijke schade is opgetreden in plaats van tijdens de uitvoeringsfasen van aanvallen.

MITRE ATT&CK

  • Eerste toegang (TA0001): de phishing (T1566) en daarbij exploit van publiek toegankelijke toepassing (T1190) om eerste toegang tot eindpunten te verkrijgen zonder dat het wordt gedetecteerd.
  • Uitvoering (TA0002):opdracht- en scripting-interpreter (T1059) die schadelijke code uitvoert op eindpunten die preventieve controles omzeilen.
  • Persistentie (TA0003): systeemproces (T1543) maken of wijzigen om permanente toegangsmechanismen tot stand te brengen die niet worden gedetecteerd door traditionele antimalware.
  • Defense Evasion (TA0005): verdedigingsmechanismen verzwakken (T1562), beveiligingshulpprogramma's uitschakelen en bestanden of informatie verhullen (T1027) om detectiemogelijkheden te omzeilen.
  • Toegang tot referenties (TA0006): OS-referentiedump (T1003) oogsten van referenties uit endpoint-geheugen voor escalatie van bevoegdheden en laterale beweging.

ES-1.1: Oplossing voor eindpuntdetectie en -respons implementeren

Traditionele detectie van antivirushandtekeningen mist moderne bedreigingen die gebruikmaken van bestandsloze technieken, binaire bestanden buiten het land en geavanceerde verdoezeling om statische analyse te omzeilen, waardoor eindpunten kwetsbaar blijven voor aanvallen van nul dagen en geavanceerde permanente bedreigingen. Eindpuntdetectie en -respons biedt gedragsbewaking en machine learning waarmee schadelijke activiteiten worden geïdentificeerd, ongeacht de beschikbaarheid van handtekeningen, het detecteren van afwijkende procesuitvoeringen, pogingen tot referentietoegang en laterale verplaatsingspatronen. Uitgebreide telemetrieverzameling maakt forensisch onderzoek en opsporing van bedreigingen mogelijk die tijdlijnen voor aanvallen reconstrueert en inbreukindicatoren identificeert die tijdens de eerste detectie zijn gemist.

Detectie van gedragsrisico's vaststellen via deze EDR-mogelijkheden:

Aanbevolen procedures voor EDR-configuratie:

  • Gedragsdetectie inschakelen: Configureer gedragsanalyse voor het bewaken van procesuitvoeringspatronen, wijzigingen in het bestandssysteem, netwerkverbindingen en registerwijzigingen die gericht zijn op hoogwaardige Azure-VM's die gevoelige workloads hosten.
  • Detectiegevoeligheid afstemmen: Pas de gevoeligheid voor bedreigingsdetectie aan op basis van de kriticiteit van workloads, waarbij de balans tussen fout-positieven en detectiedekking voor malware zonder bestanden, LOLBins (living-off-the-land binaries - legitieme systeemhulpprogramma's die kwaadwillig worden gebruikt), en pogingen tot toegang tot inloggegevens wordt afgestemd.
  • Geautomatiseerd antwoord configureren: Definieer geautomatiseerde reactieacties die geschikt zijn voor workloadtypen, waaronder procesbeëindiging voor niet-kritieke VM's en waarschuwingen alleen voor productiesystemen waarvoor handmatige controle is vereist.
  • Onderzoeksprocedures vaststellen: Werkstromen voor documentonderzoek met behulp van processtructuuranalyse, tijdlijnreconstructie en tracering van netwerkverbindingen, zodat beveiligingsteams snel het bereik van incidenten kunnen beoordelen.
  • Escalatie van waarschuwingen definiëren: Configureer drempelwaarden voor ernst van waarschuwingen en escalatiepaden voor het routeren van kritieke bedreigingen voor beveiligingspersoneel op oproep binnen gedefinieerde doelstellingen voor reactietijd.

Implementatiestrategie voor EDR:

  • Dekking van universele cloudeindpunten: Implementeer Microsoft Defender voor Eindpunt-agents op alle Virtuele Azure Windows-machines, Linux-VM's, Azure Virtual Desktop-sessiehosts en virtuele-machineschaalsets die zorgen voor uitgebreide zichtbaarheid zonder dekkingsgaten.
  • Automatische inrichting: Automatische inrichting van agents inschakelen via Microsoft Defender for Cloud voor nieuwe virtuele machines, waardoor directe beveiliging wordt gegarandeerd bij het maken van resources.
  • Sensorstatusbewaking: Continue bewaking van de EDR-sensorstatus, versienaleving en telemetriestroom met geautomatiseerde waarschuwingen voor offline of onjuist geconfigureerde virtuele cloudmachines.
  • Cloudeigen architectuur: Door de cloud geleverd EDR-platform met systeemeigen Azure-integratie biedt automatische updates en schaalbaarheid voor cloudworkloads.
  • Optimalisatie van prestaties: Lichtgewicht sensorontwerp minimaliseert het resourceverbruik van virtuele machines en onderhoudt uitgebreide bewakingsmogelijkheden voor cloudworkloads.

ES-1.2: EDR integreren met uitgebreide detectie en respons (XDR)

Geïsoleerde eindpuntdetectie genereert niet-verbonden waarschuwingen die geavanceerde aanvalsketens missen die identiteitscompromittatie, laterale verplaatsing en gegevensexfiltratie over meerdere systemen en services omvatten. Uitgebreide detectie en reactie correleert telemetrie van eindpunten, id-providers, cloudinfrastructuur en netwerkverkeer om volledige aanvalsverhalen te onthullen die detectie met één signaal niet kan identificeren. Met geïntegreerde incidentcontext kunnen beveiligingsteams het volledige aanvalsbereik begrijpen en gecoördineerde insluiting implementeren in alle betrokken systemen tegelijk in plaats van onafhankelijk van elke waarschuwing te reageren.

Correleren van platformoverschrijdende bedreigingen via deze XDR-integratiemogelijkheden:

  • Integreer eindpuntdetectie en -respons met Microsoft Defender XDR om beveiligingstelemetrie te correleren tussen identiteit, e-mail, toepassingen en cloudinfrastructuur, waardoor geïntegreerde detectie van bedreigingen en gecoördineerde reacties in de omgeving mogelijk zijn.

Best practices voor XDR-integratie:

  • Schakel correlatie tussen signaalen in: Activeer Microsoft Defender XDR-integratie om cloud-VM-gebeurtenissen te correleren met Azure-activiteitenlogboeken, Microsoft Entra ID-verificatiesignalen en Azure Network Watcher-verkeersanalyse om uniforme incidentcontext te maken.
  • Incidentgroepering configureren: Definieer correlatieregels voor het groeperen van gerelateerde waarschuwingen van cloud-VM's, identiteitssystemen en infrastructuurwijzigingen in enkele incidenten die de onderzoeksoverhead verminderen en de gemiddelde tijd verbeteren om te detecteren (MTTD).
  • Antwoordplaybooks ontwerpen: Maak gecoördineerde reactiewerkstromen voor het automatiseren van VM-isolatie via updates voor netwerkbeveiligingsgroepen, het opschorten van het serviceaccount via Microsoft Entra-id en het maken van momentopnamen voor forensische gegevens.
  • Prioriteit scoren: Configureer de ernstscore van incidenten met tags voor VM-kritiek, gegevensclassificatie en de voortgangsfase van aanvallen om prioriteit te geven aan reactie van het beveiligingsteam.
  • Visualisatie van aanvalspad controleren: Analyseer regelmatig door XDR gegenereerde aanvalspaden om laterale verplaatsingsmogelijkheden en bevoegde toegangsrisico's te identificeren waarvoor architectuurherstel is vereist.

XDR-architectuuronderdelen:

  • Identiteitssignalen: Integratie met Microsoft Entra ID Protection die cloud-VM-activiteiten correleert met verificatieafwijkingen, onmogelijk reizen en indicatoren voor inbreuk op referenties voor cloudidentiteiten.
  • Integratie van cloudinfrastructuur: Correlatie van malwaredetectie van virtuele machines met Azure-activiteitenlogboeken, resource-implementatiegebeurtenissen en infrastructuurwijzigingen die de supply chain en op configuratie gebaseerde aanvallen identificeren.
  • Beveiliging van cloudworkloads: Geïntegreerde zichtbaarheid over virtuele Azure-machines, containerinstanties en de door Microsoft Defender for Cloud beschermde resources die bedreigingen detecteren die zich uitstrekken over cloudabonnementen en regio's.
  • Integratie van netwerkdetectie: Correlatie van VM-communicatie met Azure Network Watcher en analyse van virtueel netwerkverkeer, waarmee opdracht- en controleverkeer en zijdelingse verplaatsing tussen cloudnetwerken wordt geïdentificeerd.

ES-1.3: EDR-automatisering en -integratie inschakelen

Handmatig onderzoek en reactie op beveiligingswaarschuwingen met een hoog volume creëert een onhoudbare analistworkload terwijl reactievertragingen worden ingevoerd waarmee bedreigingen van initiële inbreuk naar gegevensexfiltratie kunnen worden uitgevoerd. Geautomatiseerd onderzoek analyseert waarschuwingscontext, voert forensische analyse uit en bepaalt herstelacties binnen enkele seconden in plaats van uren handmatige analyse. Beveiligingsindeling integreert EDR-telemetrie met besturingselementen voor cloudinfrastructuur en identiteitsbeheer, waardoor gecoördineerde geautomatiseerde reacties mogelijk zijn die gecompromitteerde systemen isoleren, referenties intrekken en forensisch bewijs tegelijkertijd behouden.

Versnel het antwoord op bedreigingen via deze automatiseringsmogelijkheden:

  • Implementeer geautomatiseerd onderzoek, herstel en integratie van beveiligingsbewerkingen die de gemiddelde tijd verminderen om te reageren (MTTR) en geïntegreerde detectie van bedreigingen mogelijk te maken op verschillende beveiligingsplatforms.

Geautomatiseerd onderzoek en herstel:

  • Geautomatiseerde onderzoeken inschakelen: Activeer automatisch onderzoek voor waarschuwingen met gemiddelde en hoge urgentie op niet-productie-VM's om een onderzoeksbasislijn te bouwen, terwijl handmatige goedkeuring voor productieworkloads is vereist.
  • Goedkeuringswerkstromen definiëren: Stel goedkeuringspoorten in voor geautomatiseerde herstelacties op productie-VM's waarvoor beveiligingsarchitectbeoordeling is vereist voor wijzigingen die van invloed zijn op bedrijfsactiviteiten.
  • Automatische herstel configureren: Schakel automatische verwijdering van malware, persistentieverwijdering, VM-netwerkisolatie in via updates voor Azure-netwerkbeveiligingsgroepen en herstel van de beveiligingsconfiguratie.
  • Escalatiecriteria documenteren: Definieer criteria voor het escaleren van geautomatiseerd onderzoek naar menselijke analisten wanneer overeenkomstenanalyse gecoördineerde campagnes of geavanceerde permanente bedreigingen identificeert.

Integratie van beveiligingsbewerkingen:

  • Integreren met SIEM: Stream EDR-telemetrie naar Microsoft Sentinel om geïntegreerde beveiligingsbewaking mogelijk te maken en correlatieregels te ontwikkelen die EDR-waarschuwingen combineren met Azure-activiteitenlogboeken, resourcewijzigingen en identiteitssignalen.
  • SOAR-automatisering inschakelen: Configureer geautomatiseerde antwoordplaybooks die EDR-insluiting coördineren met azure-resourceisolatie, identiteitsbeheer en beveiligingsupdates voor virtuele netwerken.
  • Historische gegevens behouden: Behoud historische EDR-gegevens voor nalevingsvereisten, opsporing van bedreigingen en retrospectiefanalyse, waardoor het onderzoek naar geavanceerde bedreigingen mogelijk is.
  • Bedreigingsinformatie verrijken: Implementeer geautomatiseerde zoekacties voor bedreigingsinformatie, bestandshashanalyse en metagegevens van Azure-resources om onderzoek- en reactiebeslissingen te versnellen.

Voorbeeld van implementatie

Een organisatie voor financiële dienstverlening die gebruikmaakt van door de cloud gehoste handelsplatforms ontdekte geavanceerde permanente bedreigingen tijdens forensisch onderzoek dat gedurende weken onopgemerkt was uitgevoerd, waardoor klantaccountgegevens in gevaar worden gebracht.

Uitdaging: Traditionele antivirussoftware op cloud-VM's biedt alleen detectie op basis van handtekeningen, ontbrekende bestandsloze aanvallen en laterale verplaatsing. Beveiligingsteam miste inzicht in de tijdlijnen van aanvallen en worstelde met handmatig onderzoek in gedistribueerde cloudinfrastructuur.

Oplossingsbenadering:

  • Uitgebreide EDR-implementatie: Microsoft Defender voor Eindpunt ingeschakeld via Microsoft Defender voor Cloud-integratie met automatische inrichting op virtuele Windows-/Linux-machines en Azure Virtual Desktop-sessiehosts met behulp van Azure Policy.
  • Automatische reactie op bedreigingen: Geautomatiseerd herstel geconfigureerd voor cryptovaluta miners, webshells en niet-geautoriseerde software. Geïmplementeerde respons-playbooks die gecompromitteerde VM's isoleren via updates van Network Security Groups en forensische momentopnamen activeren.
  • XDR-integratie:Microsoft Defender XDR geïmplementeerd die vm-telemetrie correleert met Microsoft Entra ID-verificatiesignalen en wijzigingen in de Azure-infrastructuur, waardoor een uniforme incidentcontext wordt gemaakt.
  • Proactieve opsporing van bedreigingen: Er is een programma voor het opsporen van bedreigingen tot stand gebracht met behulp van geavanceerde opsporingsquery's die zijn gericht op laterale verplaatsingspatronen in virtuele Azure-netwerken.

Resultaat: Aanzienlijk gereduceerde tijd voor bedreigingsdetectie van weken tot uren. Geautomatiseerde respons bevatte de meeste bedreigingen zonder handmatige tussenkomst. Eenduidige incidentweergave verkleinde de onderzoekstijd aanzienlijk.

Kritieksniveau

Moet hebben.

Controletoewijzing

  • NIST SP 800-53 Rev.5: SI-4(1), SI-4(2), SI-4(5), SI-4(12), SI-4(16), IR-4(1), IR-4(4)
  • PCI-DSS v4: 5.3.2, 5.3.4, 10.2.1, 11.5.1
  • CIS-controles v8.1: 8.5, 8.11, 13.2, 13.10
  • NIST CSF v2.0: DE. CM-1, DE. CM-4, DE. CM-7, RS. AN-1
  • ISO 27001:2022: A.8.16, A.5.24, A.5.26
  • SOC 2: CC7.2, CC7.3

ES-2: Moderne antimalwaresoftware gebruiken

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: ES-2.

Beveiligingsprincipe

Implementeer moderne antimalwareoplossingen waarbij detectie op basis van handtekeningen wordt gecombineerd met gedragsanalyse, machine learning, cloudintelligentie en misbruikpreventie om te beschermen tegen bekende en onbekende bedreigingen. Zorg voor uitgebreide malwarebeveiliging op alle eindpuntplatformen met minimale invloed op de prestaties en gecentraliseerd beheer.

Risico om te beperken

Organisaties die afhankelijk zijn van verouderde of alleen-handtekening-antimalwareoplossingen, lopen het risico op moderne bedreigingen die traditionele detectiemethoden omzeilen. Zonder moderne antimalwaremogelijkheden:

  • Beveiligingsprobleem met zero-day-aanvallen: Detectie op basis van handtekeningen kan geen nieuwe malwarevarianten en zero-day-aanvallen identificeren voordat handtekeningen worden gemaakt en gedistribueerd.
  • Polymorfe malware-ontduiking: Geavanceerde malware met polymorfe code, versleuteling en verdoofingstechnieken omzeilen handtekeningkoppeling en statische analyse.
  • Uitvoering van bestandsloze aanvallen: Geheugen-residente aanvallen die volledig in RAM worden uitgevoerd zonder de schijf aan te raken, ontwijken traditionele op bestanden gebaseerde scanmechanismen.
  • Ransomware-versleuteling: Moderne ransomwarevarianten voeren versleuteling snel uit voordat detectie op basis van handtekeningen schadelijke processen kan identificeren en blokkeren.
  • Levering van aanvallen op basis van scripts: PowerShell-, JavaScript- en andere scriptaanvallen maken gebruik van vertrouwde systeemhulpprogramma's die antimalwarebesturingselementen op basis van toepassingen omzeilen.
  • Prestatievermindering: Verouderde antimalwareoplossingen die overmatige systeembronnen verbruiken, hebben invloed op de prestaties van het eindpunt en de productiviteit van gebruikers.

Traditionele antimalware op basis van handtekeningen biedt onvoldoende bescherming tegen modern bedreigingslandschap waarvoor geavanceerde gedragsdetectie en machine learning-mogelijkheden vereist zijn.

MITRE ATT&CK

  • Uitvoering (TA0002): schadelijk bestand (T1204.002) waarbij malware-nettoladingen worden uitgevoerd die worden geleverd via phishing, downloads of verwisselbare media.
  • Defense Evasion (TA0005): verborgen bestanden of informatie (T1027) en virtualisatie/sandbox-ontduiking (T1497) waarbij detectie op basis van handtekeningen wordt overgeslagen.
  • Impact (TA0040): gegevens die zijn versleuteld voor impact (T1486) implementeren ransomware die organisatiegegevens versleutelt voordat detectie plaatsvindt.

ES-2.1: De volgende generatie antimalwareoplossing implementeren

Op handtekeningen gebaseerde antimalware biedt essentiële basisbescherming tegen bekende bedreigingen, maar moderne malware maakt gebruik van polymorfisme, verpakking en versleuteling om traditionele detectie te omzeilen waarvoor gedragsanalyse en machine learning-classificatie is vereist. Beveiliging met meerdere lagen combineert statische handtekeningen voor bekende bedreigingen met dynamische gedragscontrole en cloudgebaseerde intelligentie om opkomende malwarevarianten en zero-day exploits te detecteren. Gecentraliseerd beheer zorgt voor consistente beveiligingsbasislijnen voor alle eindpunten, terwijl manipulatiebeveiliging voorkomt dat kwaadwillende gebruikers beveiligingscontroles uitschakelen nadat ze de eerste toegang hebben verkregen.

Implementeer uitgebreide malwarebeveiliging via deze verdedigingslagen:

  • Implementeer Microsoft Defender Antivirus op Azure Virtual Machines met meerdere lagen, waaronder detectie op basis van handtekeningen, gedragsanalyse, machine learning-classificatie en mogelijkheden voor misbruikpreventie voor cloudworkloads.

Best practices voor antimalwareconfiguratie:

  • Beveiligingslagen configureren: Schakel alle beveiligingslagen in (op handtekeningen gebaseerde, heuristiek, gedrags- en cloud-ML) zodat selectief uitschakelen alleen mogelijk is wanneer specifieke workloadvereisten worden gedocumenteerd en goedgekeurd door het beveiligingsteam.
  • Cloudbeveiliging inschakelen: Activeer cloudbeveiliging met automatische voorbeeldverzending voor onbekende bestanden, met uitzondering van VM's die zeer gevoelige gegevens verwerken waarvoor air-gapped-beveiligingsmodellen zijn vereist.
  • Uitsluitingsbeheer configureren: Stel een formeel uitzonderingsproces in waarvoor zakelijke redenen, beveiligingsbeoordeling en tijdgebonden goedkeuringen zijn vereist voor uitsluitingen tegen malware, waardoor kwetsbaarheid voor aanvallen wordt geminimaliseerd.
  • Manipulatiebeveiliging testen: Schakel manipulatiebeveiliging in op alle productie-VM's en valideer de effectiviteit door middel van gecontroleerde tests om ervoor te zorgen dat antimalware operationeel blijft tijdens gesimuleerde aanvallen.
  • Gecentraliseerd beheer tot stand brengen: Gecentraliseerd antimalwarebeheer implementeren via Microsoft Defender voor Cloud en Azure Policy waarmee configuratie- en governancewerkstromen voor de basislijn van de organisatie worden gedefinieerd voor configuratiewijzigingen.

ES-2.2: Geavanceerde functies voor bedreigingsbeveiliging inschakelen

Malwaredetectie alleen biedt onvoldoende bescherming wanneer tegenstanders misbruik maken van geheugenbeheerkwetsbaarheden, legitieme systeemfuncties misbruiken en gegevens versleutelen voordat signaturen hun aanwezigheid detecteren. Misbruikbeveiligingsmaatregelen (DEP, ASLR, Control Flow Guard) blokkeren geheugen-gebaseerde aanvallen, ongeacht malwaresignaturen, waardoor misbruik van toepassingskwetsbaarheden wordt voorkomen. Regels voor het verminderen van het aanvalsoppervlak beperken technieken van tegenstanders door scriptuitvoering van niet-vertrouwde bronnen te blokkeren, toegang tot aanmeldgegevens te beperken en kritieke gegevensmappen te beveiligen voordat ransomware-encryptie plaatsvindt.

Voorkom exploitatietechnieken via deze geavanceerde beveiligingen:

  • Configureer geavanceerde beveiligingsfuncties, waaronder misbruikbeveiliging, kwetsbaarheid voor aanvallen verminderen, gecontroleerde toegang tot mappen en netwerkbeveiliging om misbruiktechnieken te voorkomen en het kwetsbaarheid voor aanvallen te verminderen.

Configuratie van exploit-beveiliging:

  • Geheugenbeveiligingen inschakelen: Activeer Preventie van gegevensuitvoering (DEP),randomisatie van adresruimte-indeling (ASLR) en Controlestroombeveiliging (CFG) op alle Azure-VM's die toepassingscompatibiliteit testen in ontwikkelomgevingen vóór de productie-implementatie.
  • Toepassingsspecifieke beveiligingen configureren: Pas gerichte exploitbeveiligingen toe op toepassingen met een hoog risico (browsers, Office-apps, PDF-lezers) met uitzonderingen die elk kwartaal worden gedocumenteerd en beoordeeld.
  • Test de effectiviteit van risicobeperking: Voer gecontroleerde exploitsimulatietests uit om de bescherming tegen algemene technieken (heapspraying, ROP, SEH-overschrijvingen) te valideren, en pas configuraties aan op basis van de resultaten.
  • Uitzonderingsproces tot stand brengen: Definieer een formele goedkeuringsstroom voor uitzonderingen op misbruikpreventie die beoordeling door een beveiligingsarchitect vereisen, met zakelijke rechtvaardiging en compenserende maatregelen.

Configuratie voor het verminderen van kwetsbaarheid voor aanvallen:

  • ASR-regels geleidelijk implementeren: Schakel regels voor het verminderen van het aanvalsoppervlak in auditmodus in en analyseer de impact gedurende 30 dagen voordat u overschakelt naar blokmodus, te beginnen met regels met een lage impact.
  • Besturingselementen voor scriptuitvoering configureren: Voorkomen dat javaScript/VBScript/PowerShell wordt uitgevoerd vanuit niet-vertrouwde bronnen, terwijl gedocumenteerde uitzonderingen voor legitieme automatiseringsscripts behouden blijven.
  • Ransomwarebeveiliging inschakelen: Configureer gecontroleerde maptoegang voor het beveiligen van kritieke gegevensmappen met een goedgekeurde toepassingslijst die maandelijks wordt gecontroleerd.
  • Referentiebescherming implementeren: Schakel LSASS-bescherming in om het stelen van referenties te blokkeren door het Windows Local Security Authority Subsystem te monitoren op vals-positieven die legitieme beveiligingshulpprogramma's beïnvloeden.
  • De effectiviteit van de ASR-regel bewaken: Controleer wekelijks de ASR-regelblokkeringsgebeurtenissen om aanvalspatronen te identificeren en ASR-regelconfiguraties aan te passen voor een optimale beveiligingsdekking.

Netwerkbeveiliging:

  • Beveiliging tegen webrisico's: Verbindingen met schadelijke IP-adressen, domeinen en URL's blokkeren die communicatie tussen opdrachten en besturingselementen en schadelijke downloads verhinderen.
  • SmartScreen-integratie: De reputatie van Microsoft Defender SmartScreen wordt in realtime gecontroleerd op gedownloade bestanden en bezochte websites die de toegang tot bekende phishing- en malwaredistributiesites verhinderen.
  • Preventie van netwerkinbraak: Detectie en blokkering van aanvalspogingen op netwerkbasis en laterale verplaatsingsactiviteiten op eindpuntniveau.

Voorbeeld van implementatie

Een gezondheidszorgorganisatie heeft last gehad van ransomware-aanvallen die patiëntenrecords versleutelen in de Infrastructuur van Azure Virtual Desktop. Traditionele antivirus is er niet in geslaagd om in het geheugen verblijvende malware te detecteren die wordt verspreid via gemanipuleerde medische imaging-bestanden.

Uitdaging: Verouderde beveiliging op basis van handtekeningen kan geen aanvallen zonder bestanden of op scripts gebaseerde ransomware detecteren. Artsen hebben ononderbroken toegang tot medische toepassingen nodig en tegelijkertijd HIPAA-beveiligingscontroles onderhouden. Ransomware versleutelde patiëntendossiers vóór detectie.

Oplossingsbenadering:

  • Gedragsdetectie:Microsoft Defender Antivirus geïmplementeerd met door de cloud geleverde beveiliging en gedragsanalyse voor het detecteren van bestandsloze malware en scriptgebaseerde aanvallen op vm's van medische toepassingen.
  • Aanvalsoppervlak verminderen: Geconfigureerde ASR-regels blokkeren PowerShell-uitvoering van niet-vertrouwde bronnen en voorkomen dat referenties worden gedumpt op toepassingsservers die elektronische gezondheidsdossiers hosten.
  • Ransomwarebeveiliging: Gecontroleerde maptoegang geïmplementeerd in Azure Virtual Desktop om patiëntengegevensmappen te beschermen tegen onbevoegde wijziging, waardoor ransomware-versleutelingspogingen worden geblokkeerd.
  • Misbruikpreventie: Misbruikbescherming ingeschakeld voor webbrowsers en medische beeldweergaveprogramma’s die initiële inbreukvectoren voorkomen.

Resultaat: Gedetecteerde en geblokkeerde volgende ransomwarepogingen binnen enkele seconden voor versleuteling. Aanzienlijk minder vals-positieven via gedragsanalyse. HIPAA-naleving met uitgebreide beschermingsdekking gehandhaafd.

Kritieksniveau

Moet hebben.

Controletoewijzing

  • NIST SP 800-53 Rev.5: SI-3(1), SI-3(2), SI-3(4), SI-3(7), SI-3(8)
  • PCI-DSS v4: 5.1.1, 5.2.1, 5.2.2, 5.2.3, 5.3.1, 5.3.2
  • CIS-controles v8.1: 10.1, 10.2, 10.5, 10.7
  • NIST CSF v2.0: DE. CM-4, PR. DS-6
  • ISO 27001:2022: A.8.7
  • SOC 2: CC6.1, CC7.2

ES-3: Controleren of antimalwaresoftware en handtekeningen worden bijgewerkt

Beveiligingsprincipe

Houd de huidige bescherming tegen malware bij via geautomatiseerde handtekeningupdates, softwareversiebeheer en nalevingscontrole van updates. Zorg ervoor dat alle eindpunten tijdig beveiligingsupdates ontvangen die vensters voor beveiligingsproblemen minimaliseren en effectieve mogelijkheden voor detectie van bedreigingen onderhouden.

Risico om te beperken

Verouderde antimalwarehandtekeningen en softwareversies laten eindpunten kwetsbaar voor bekende bedreigingen die kunnen worden voorkomen met de huidige beveiliging. Zonder tijdige updates:

  • Bekende malwaredetectiefout: Verouderde handtekeningen kunnen geen nieuwe malwarevarianten, aanvallen en bedreigingscampagnes detecteren die na de laatste update zijn geïdentificeerd.
  • Overslaan van beveiliging: Aanvallers richten zich specifiek op eindpunten met verouderde beveiliging, wetende dat handtekeningen hiaten bevatten, waardoor malware kan worden uitgevoerd.
  • Kwetsbaarheid misbruiken: Niet-gepatchte antimalwaresoftware bevat kwetsbaarheden die aanvallers misbruiken om beveiliging uit te schakelen of bevoegdheden te verhogen.
  • Nalevingsschendingen: Voor regelgevingsframeworks is huidige bescherming tegen malware vereist met controlefouten als gevolg van verouderde handtekeningen of softwareversies.
  • Hiaten in reactie op incidenten: Verouderde beveiliging voorkomt detectie tijdens de eerste aanvalsfasen, waardoor bedreigingen persistentie kunnen vaststellen voordat updates detectie inschakelen.

Organisaties die de huidige antimalware-updates onderhouden, verminderen de malware-infectiepercentages aanzienlijk en verbeteren de algehele beveiligingspostuur.

MITRE ATT&CK

  • Defense-ontduiking (TA0005): verdediging verzwakken (T1562) door verouderde antimalware te exploiteren om detectie te voorkomen.
  • Uitvoering (TA0002): misbruik voor uitvoering op de client (T1203) waarbij gebruik wordt gemaakt van bekende exploits die door huidige signaturen worden gedetecteerd.

ES-3.1: Automatische updates configureren en afdwingen

Antimalwarebeveiliging verslechtert snel naarmate bedreigingshandtekeningen ouder worden en detectie-engines verouderd raken, met nieuwe malwarevarianten die voortdurend oudere detectiemogelijkheden ontwijken. Geautomatiseerde updatemechanismen zorgen ervoor dat eindpunten actuele bedreigingsinformatie- en detectiealgoritmen onderhouden zonder te vertrouwen op handmatige processen die vertragingen en hiaten in de dekking veroorzaken. Nalevingsbewaking identificeert eindpunten met verouderde beveiliging die beveiligingsproblemen met een hoog risico in de beveiligingsperimeter vertegenwoordigen, waardoor gerichte herstel mogelijk wordt voordat kwaadwillende aanvallers misbruik maken van beveiligingsproblemen.

Houd de huidige effectiviteit van antimalware bij via deze updateprocessen:

  • Implementeer geautomatiseerde antimalwarehandtekening- en software-updateprocessen met nalevingsbewaking en -afdwinging, zodat eindpunten de huidige beveiliging behouden zonder handmatige tussenkomst.

Automatische updateconfiguratie:

  • Automatische handtekeningupdates inschakelen: Configureer automatische handtekeningupdatecontroles meerdere keren per dag om snelle implementatie van nieuwe bedreigingsinformatie mogelijk te maken en opkomende bedreigingen aan te pakken.
  • Automatische engine-updates inschakelen: Configureer automatische detectie-engine en platformupdates om ervoor te zorgen dat eindpunten verbeterde detectiemogelijkheden en kritieke beveiligingsverbeteringen ontvangen.
  • Betrouwbare updatebronnen configureren: Stel primaire cloudupdates in met failovermechanismen om consistente updatelevering te garanderen tegen updateserviceonderbrekingen.
  • Integriteit van update valideren: Schakel automatische validatie van handtekening- en software-updates in voordat implementatie verhindert dat beschadigde of schadelijke updatepakketten de eindpuntbeveiliging in gevaar brengen.
  • Essentiële updates testen: Valideer belangrijke updates van softwareversies in niet-productieomgevingen die de compatibiliteit en effectiviteit bevestigen voordat de productie-implementatie operationele onderbrekingen verhindert.

Toezicht op naleving en handhaving:

  • Updatecompatibiliteit bewaken: Houd de leeftijd van handtekeningen en softwareversies bij voor eindpunten die apparaten identificeren met verouderde beveiliging die de drempelwaarden voor het beveiligingsbeleid overschrijden.
  • Automatisch herstel afdwingen: Configureer automatische afdwinging van updates voor niet-compatibele eindpunten die ervoor zorgen dat updates tijdig worden beveiligd zonder handmatige tussenkomst.
  • Niet-compatibele toegang beperken: Integreer met netwerktoegangsbeheer waardoor de toegang voor eindpunten wordt beperkt met kritiek verouderde beveiliging totdat het herstel is voltooid.
  • Beveiligingsonderzondering beheren: Stel een formeel uitzonderingsproces in voor eindpunten waarvoor vertraagde updates nodig zijn met gedocumenteerde compenserende controles en tijdgebonden goedkeuringen.

Voorbeeld van implementatie

Een organisatie met wereldwijde activiteiten heeft malware-uitbraak geleden die van invloed is op kritieke bedrijfssystemen wanneer verouderde antivirushandtekeningen bekende malwarevarianten niet konden detecteren, gevoelige gegevens blootstellen en bewerkingen verstoren.

Uitdaging: Globale bewerkingen in meerdere tijdzones hebben gecoördineerde updates moeilijk gemaakt. Regionale bandbreedtebeperkingen vertraagde distributie van handtekeningen. Handmatige updateprocessen hebben hiaten gemaakt waarbij eindpunten verouderde beveiliging hebben uitgevoerd tijdens piek operationele perioden.

Oplossingsbenadering:

  • Automatische updatefrequentie: Geconfigureerde cloudupdates controleren elke 2 uur en zorgen voor snelle implementatie van bedreigingsinformatie. Afhankelijkheid van handmatige updateprocessen verwijderd.
  • Naleving afdwingen: Azure Policy-bewakingswaarschuwingen geïmplementeerd wanneer handtekeningen langer zijn dan 7 dagen. Geïntegreerd met netwerktoegangsbeheer voor het weigeren van toegang tot niet-compatibele eindpunten.
  • Gefaseerde implementatiestrategie: Geconfigureerde gefaseerde implementatietests van primaire versies met een kleine testgroep vóór de volledige implementatie, waardoor operationele onderbreking wordt voorkomen terwijl de beveiligingsvaluta behouden blijft.

Resultaat: Aanzienlijk lagere gemiddelde handtekeningduur van weken tot uren. Bereikte hoge naleving zonder malware-incidenten met betrekking tot verouderde handtekeningen in de volgende periode.

Kritieksniveau

Moet hebben.

Controletoewijzing

  • NIST SP 800-53 Rev.5: SI-3(2), SI-2(2), SI-2(5)
  • PCI-DSS v4: 5.3.3, 6.3.3
  • CIS-controles v8.1: 10.3, 7.2
  • NIST CSF v2.0: DE. CM-4, PR. IP-1
  • ISO 27001:2022: A.8.7, A.8.8
  • SOC 2: CC8.1
  • Last updated on