Funkcje i zasoby platformy Azure, które ułatwiają ochronę, wykrywanie i reagowanie na ataki wymuszające okup

Firma Microsoft zainwestowała w natywne funkcje zabezpieczeń platformy Azure, które organizacje mogą wykorzystać do pokonania technik ataków ransomware spotykanych zarówno w atakach na dużą skalę, codziennych atakach, jak i zaawansowanych atakach ukierunkowanych.

Kluczowe możliwości to:

• Wykrywanie zagrożeń natywnych: usługa Microsoft Defender for Cloud zapewnia wysokiej jakości funkcje wykrywania zagrożeń i reagowania, nazywane również rozszerzonymi wykrywaniem i reagowaniem (XDR). Ułatwia to:
  • Unikaj marnowania czasu i talentów ograniczonych zasobów bezpieczeństwa, aby tworzyć niestandardowe alerty przy użyciu nieprzetworzonych dzienników aktywności.
  • Zapewnij skuteczne monitorowanie zabezpieczeń, które często umożliwia zespołom ds. zabezpieczeń szybkie zatwierdzanie korzystania z usług platformy Azure.
• Uwierzytelnianie bez hasła i uwierzytelnianie wieloskładnikowe: uwierzytelnianie wieloskładnikowe firmy Microsoft, aplikacja Microsoft Entra Authenticator i usługa Windows Hello zapewniają te możliwości. Pomaga to chronić konta przed często spotykanych ataków hasłem (które stanowią 99,9% liczby ataków tożsamości widocznych w identyfikatorze Entra firmy Microsoft). Chociaż żadne zabezpieczenia nie są doskonałe, wyeliminowanie wektorów ataków tylko na hasła znacznie obniża ryzyko ataku wymuszającego okup do zasobów platformy Azure.
• Natywna zapora i zabezpieczenia sieci: firma Microsoft utworzyła natywne środki zaradcze ataków DDoS, zaporę, zaporę aplikacji internetowej i wiele innych kontrolek na platformie Azure. Te zabezpieczenia "jako usługa" ułatwiają konfigurację i implementację mechanizmów kontroli zabezpieczeń. Zapewniają one organizacjom możliwość korzystania z usług natywnych lub urządzeń wirtualnych wersji znanych możliwości dostawcy w celu uproszczenia zabezpieczeń platformy Azure.

Microsoft Defender dla Chmury

Microsoft Defender dla Chmury to wbudowane narzędzie, które zapewnia ochronę przed zagrożeniami dla obciążeń działających na platformie Azure, lokalnie i w innych chmurach. Chroni dane hybrydowe, usługi natywne dla chmury i serwery przed oprogramowaniem wymuszającym okup i innymi zagrożeniami; i integruje się z istniejącymi przepływami pracy zabezpieczeń, takimi jak rozwiązanie SIEM i ogromna analiza zagrożeń firmy Microsoft w celu usprawnienia ograniczania ryzyka zagrożeń.

Microsoft Defender dla Chmury zapewnia ochronę wszystkich zasobów bezpośrednio w środowisku platformy Azure i rozszerza ochronę lokalnych i wielochmurowych maszyn wirtualnych oraz baz danych SQL przy użyciu usługi Azure Arc:

• Chroni usługi platformy Azure
• Chroni obciążenia hybrydowe
• Usprawnianie zabezpieczeń dzięki sztucznej inteligencji i automatyzacji
• Wykrywa i blokuje zaawansowane złośliwe oprogramowanie i zagrożenia dla serwerów z systemami Linux i Windows w dowolnej chmurze
• Chroni usługi natywne dla chmury przed zagrożeniami
• Chroni usługi danych przed atakami wymuszającym okup
• Chroni zarządzane i niezarządzane urządzenia IoT i OT przy użyciu ciągłego odnajdywania zasobów, zarządzanie lukami w zabezpieczeniach i monitorowania zagrożeń

Microsoft Defender dla Chmury udostępnia narzędzia do wykrywania i blokowania oprogramowania wymuszającego okup, zaawansowanego złośliwego oprogramowania i zagrożeń dla zasobów

Utrzymywanie bezpieczeństwa zasobów to wspólna odpowiedzialność dostawcy usług w chmurze, platformy Azure i klienta. Podczas przechodzenia do chmury trzeba upewnić się, że obciążenia będą bezpieczne. Trzeba też pamiętać, że przejście na model IaaS (infrastruktura jako usługa) to większa odpowiedzialność po stronie klienta niż w przypadku korzystania z modeli PaaS (platforma jako usługa) i SaaS (oprogramowanie jako usługa). Microsoft Defender dla Chmury udostępnia narzędzia potrzebne do uodparniania swojej sieci, zabezpieczania usług i upewnienia się, że masz kontrolę nad swoją pozycją bezpieczeństwa.

Microsoft Defender dla Chmury to ujednolicony system zarządzania zabezpieczeniami infrastruktury, który wzmacnia stan zabezpieczeń centrów danych i zapewnia zaawansowaną ochronę przed zagrożeniami w ramach obciążeń hybrydowych w chmurze niezależnie od tego, czy znajdują się na platformie Azure, czy nie — a także lokalnie.

Ochrona przed zagrożeniami w Defenderze dla Chmury umożliwia wykrywanie i zapobieganie zagrożeniom w warstwie Infrastruktura jako usługa (IaaS), na serwerach spoza platformy Azure oraz w platformach jako usługa (PaaS) na platformie Azure.

Defender dla Chmury ochrona przed zagrożeniami obejmuje analizę łączenia łańcuchów zagrożeń, która automatycznie koreluje alerty w środowisku na podstawie analizy łańcucha zagrożeń cybernetycznych, aby lepiej zrozumieć pełną historię kampanii ataku, w której rozpoczęła się i jaki wpływ miała na zasoby.

Najważniejsze funkcje:

• Ciągła ocena zabezpieczeń: zidentyfikuj maszyny z systemami Windows i Linux z brakującymi aktualizacjami zabezpieczeń lub niezabezpieczonymi ustawieniami systemu operacyjnego i podatnymi na zagrożenia konfiguracjami platformy Azure. Dodaj opcjonalne listy kontrolne lub zdarzenia, które chcesz monitorować.
• Zalecenia z możliwością działania: Szybkie korygowanie luk w zabezpieczeniach dzięki priorytetowych rekomendacjom zabezpieczeń z możliwością działania.
• Scentralizowane zarządzanie zasadami: zapewnianie zgodności z wymaganiami firmy lub zabezpieczeń regulacyjnych przez centralne zarządzanie zasadami zabezpieczeń we wszystkich obciążeniach chmury hybrydowej.
• Najbardziej obszerna analiza zagrożeń w branży: wciągnij się do programu Microsoft Intelligent Security Graph, który używa bilionów sygnałów z usługi firmy Microsoft i systemów na całym świecie, aby zidentyfikować nowe i zmieniające się zagrożenia.
• Zaawansowana analiza i uczenie maszynowe: użyj wbudowanej analizy behawioralnej i uczenia maszynowego, aby zidentyfikować znane wzorce ataków i aktywność po naruszeniu zabezpieczeń.
• Adaptacyjna kontrola aplikacji: blokuj złośliwe oprogramowanie i inne niepożądane aplikacje, stosując zalecenia listy dozwolonych dostosowane do określonych obciążeń i obsługiwane przez uczenie maszynowe.
• Priorytetowe alerty i harmonogramy ataków: najpierw skoncentruj się na najbardziej krytycznych zagrożeniach poprzez alerty o wysokim priorytecie oraz incydenty, które są przyporządkowane jako część jednej kampanii ataku.
• Uproszczone badanie: szybkie badanie zakresu i wpływu ataku za pomocą wizualnego, interaktywnego środowiska. Użyj zapytań ad hoc w celu dokładniejszej eksploracji danych zabezpieczeń.
• Automatyzacja i aranżacja: Automatyzowanie typowych przepływów pracy zabezpieczeń w celu szybkiego reagowania na zagrożenia przy użyciu wbudowanej integracji z usługą Azure Logic Apps. Utwórz podręczniki zabezpieczeń, które mogą kierować alerty do istniejącego systemu zgłoszeń lub uruchamiać działania reagowania na incydenty.

Microsoft Sentinel

Usługa Microsoft Sentinel pomaga utworzyć pełny widok łańcucha zabić

Dzięki usłudze Sentinel możesz nawiązać połączenie z dowolnym źródłem zabezpieczeń przy użyciu wbudowanych łączników i standardów branżowych, a następnie skorzystać z sztucznej inteligencji, aby skorelować wiele sygnałów o niskiej wierności obejmujących wiele źródeł, aby utworzyć pełny widok łańcucha zabić oprogramowania wymuszającego okup i priorytetowych alertów, aby obrońcy mogli przyspieszyć czas eksmisji przeciwników.

Microsoft Sentinel to twój widok z lotu ptaka na całe przedsiębiorstwo, co łagodzi stres spowodowany coraz bardziej zaawansowanymi atakami, rosnącą liczbą alertów oraz wydłużonymi ramami czasowymi ich rozwiązywania.

Zbieraj dane na poziomie chmury we wszystkich obszarach: użytkownikach, urządzeniach, aplikacjach i infrastrukturze, zarówno lokalnie, jak i w wielu chmurach.

Wykrywaj wcześniej niewykryte zagrożenia i minimalizuj fałszywe alarmy, wykorzystując analitykę firmy Microsoft i jej niezrównaną wiedzę o zagrożeniach.

Badanie zagrożeń za pomocą sztucznej inteligencji i wyszukiwanie podejrzanych działań na dużą skalę, wykorzystując lata pracy w zakresie bezpieczeństwa cybernetycznego w firmie Microsoft.

Reaguj błyskawicznie na incydenty, korzystając z funkcji aranżowania i automatyzowania typowych zadań.

Natywna ochrona przed zagrożeniami za pomocą Microsoft Defender dla Chmury

Microsoft Defender dla Chmury skanuje maszyny wirtualne w ramach subskrypcji platformy Azure i zaleca wdrożenie programu Endpoint Protection, w którym nie wykryto istniejącego rozwiązania. Dostęp do tej rekomendacji można uzyskać za pośrednictwem sekcji Zalecenia:

Microsoft Defender dla Chmury zapewnia alerty zabezpieczeń i zaawansowaną ochronę przed zagrożeniami dla maszyn wirtualnych, baz danych SQL, kontenerów, aplikacji internetowych, sieci i innych. Gdy Microsoft Defender dla Chmury wykryje zagrożenie w dowolnym obszarze środowiska, generuje alert zabezpieczeń. Powiadomienia opisują szczegóły dotyczące zasobów, których dotyczy problem, sugerowane kroki naprawcze, a w niektórych przypadkach opcję wyzwalania aplikacji logicznej jako reakcję.

Ten alert jest przykładem wykrycia ransomware Petya.

Natywne rozwiązanie do tworzenia kopii zapasowych platformy Azure chroni Dane

Jednym z ważnych sposobów ochrony organizacji przed stratami w ataku wymuszającym okup jest utworzenie kopii zapasowej informacji o krytycznym znaczeniu dla działania firmy w przypadku awarii innych obrony. Ze względu na to, że atakujący ransomware zainwestowali mocno w neutralizację aplikacji kopii zapasowych i funkcji systemu operacyjnego, takich jak kopiowanie woluminów w tle, ważne jest posiadanie kopii zapasowych, które są niedostępne dla złośliwego atakującego. Chmura platformy Azure oferuje bezpieczne usługi w celu ochrony danych dzięki wiodącym w branży narzędziom do ochrony danych i zabezpieczeń oraz elastycznemu rozwiązaniu zapewniającemu ciągłość działania i odzyskiwanie po awarii.

• Azure Backup: usługa Azure Backup zapewnia proste, bezpieczne i ekonomiczne rozwiązanie do tworzenia kopii zapasowych maszyny wirtualnej platformy Azure. Obecnie usługa Azure Backup obsługuje tworzenie kopii zapasowych wszystkich dysków (dysków systemu operacyjnego i danych) na maszynie wirtualnej przy użyciu rozwiązania do tworzenia kopii zapasowych dla maszyny wirtualnej platformy Azure.
• Odzyskiwanie po awarii platformy Azure: w przypadku odzyskiwania po awarii ze środowiska lokalnego do chmury lub z jednej chmury do innej można uniknąć przestojów i utrzymać działanie aplikacji.
• Wbudowane zabezpieczenia i zarządzanie na platformie Azure: aby odnieść sukces w erze chmury, przedsiębiorstwa muszą mieć wgląd/metryki i mechanizmy kontroli na każdym składniku, aby efektywnie określać problemy, optymalizować i skalować, jednocześnie zapewniając bezpieczeństwo, zgodność i zasady w celu zapewnienia szybkości.

Gwarantowany i chroniony dostęp do danych

Platforma Azure ma długi okres doświadczenia w zarządzaniu globalnymi centrami danych, które są wspierane przez 15 miliardów dolarów inwestycji w infrastrukturę firmy Microsoft, która jest w ramach ciągłej oceny i poprawy — z ciągłymi inwestycjami i ulepszeniami, oczywiście.

Najważniejsze funkcje:

• Platforma Azure jest dostarczana z magazynem lokalnie nadmiarowym (LRS), gdzie dane są przechowywane lokalnie, a także magazyn geograficznie nadmiarowy (GRS) w drugim regionie
• Wszystkie dane przechowywane na platformie Azure są chronione przez zaawansowany proces szyfrowania, a wszystkie centra danych firmy Microsoft mają uwierzytelnianie dwuwarstwowe, czytniki dostępu do kart proxy, skanery biometryczne
• Platforma Azure ma więcej certyfikatów niż jakikolwiek inny dostawca chmury publicznej na rynku, w tym ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 i wiele specyfikacji międzynarodowych

Dodatkowe zasoby

• Microsoft Cloud Adoption Framework dla platformy Azure
• Tworzenie wspaniałych rozwiązań za pomocą platformy Microsoft Azure Well-Architected Framework
• Najlepsze rozwiązania dotyczące zabezpieczeń platformy Azure
• Podstawy zabezpieczeń
• Centrum zasobów platformy Microsoft Azure
• Przewodnik po migracji platformy Azure
• Zarządzanie zgodnością z zabezpieczeniami
• Azure Security Control — reagowanie na zdarzenia
• Centrum wskazówek dotyczących zerowego zaufania
• Zapora aplikacji internetowej platformy Azure
• Brama sieci VPN platformy Azure
• Microsoft Entra MultiFactor Authentication (MFA)
• Ochrona Microsoft Entra ID
• Microsoft Entra — dostęp warunkowy
• Dokumentacja usługi Microsoft Defender for Cloud

Podsumowanie

Firma Microsoft koncentruje się głównie na zabezpieczeniach chmury i zapewnianiu mechanizmów kontroli zabezpieczeń potrzebnych do ochrony obciążeń w chmurze. Jako lider w dziedzinie cyberbezpieczeństwa przyjmujemy naszą odpowiedzialność za uczynienie świata bezpieczniejszym miejscem. Jest to odzwierciedlone w naszym kompleksowym podejściu do zapobiegania i wykrywaniu oprogramowania wymuszającego okup w naszej strukturze zabezpieczeń, projektach, produktach, wysiłkach prawnych, partnerstwach branżowych i usługach.

Czekamy na współpracowanie z Tobą w zakresie ochrony oprogramowania wymuszającego okup, wykrywania i zapobiegania w całości.

Połącz się z nami:

• AskAzureSecurity@microsoft.com
• www.microsoft.com/services

Aby uzyskać szczegółowe informacje na temat zabezpieczania chmury przez firmę Microsoft, odwiedź portal zaufania usług.

Co dalej?

Aby uzyskać kompleksowe wskazówki dotyczące ochrony przed oprogramowaniem wymuszającym okup we wszystkich platformach i usługach firmy Microsoft, zobacz Ochrona organizacji przed oprogramowaniem wymuszającym okup i wymuszeniem.

Inne artykuły dotyczące ransomware Azure:

• Ochrona przed oprogramowaniem wymuszającym okup na platformie Azure
• Przygotowanie do ataku wymuszającego okup
• Wykrywanie ataku wymuszającego okup i reagowanie na nie
• Ulepszanie ochrony przed atakami wymuszającym okup dzięki usłudze Azure Firewall — wersja Premium