Udostępnij przez

Zabezpieczenia punktu końcowego

Zabezpieczenia punktu końcowego zapewniają kompleksową ochronę zasobów punktu końcowego obliczeniowego hostowanego w chmurze. Skuteczne zabezpieczenia punktu końcowego uniemożliwiają nieautoryzowany dostęp, wykrywa i reaguje na zagrożenia oraz utrzymuje zgodność z zabezpieczeniami dla zwirtualizowanej infrastruktury działającej w środowiskach chmury.

Bez kompleksowych możliwości zabezpieczeń punktu końcowego:

  • Infekcje złośliwego oprogramowania i oprogramowania wymuszającego okup: Niechronione maszyny wirtualne w chmurze umożliwiają wykonywanie złośliwego oprogramowania, szyfrowanie oprogramowania wymuszającego okup i trwałe zagrożenia zagrażające integralności obciążeń i operacji biznesowych.
  • Kradzież poświadczeń i ruch lateralny: Naruszone punkty końcowe w chmurze umożliwiają osobom atakującym zbieranie poświadczeń, eskalację uprawnień i poruszanie się lateralnie w środowiskach chmurowych i sieciach wirtualnych.
  • Eksfiltracja danych: Niezarządzane obciążenia w chmurze nie mają mechanizmów kontroli ochrony danych umożliwiających nieautoryzowany transfer danych z magazynu i baz danych w chmurze.
  • Naruszenia zgodności: Brak możliwości zademonstrowania mechanizmów kontroli zabezpieczeń punktów końcowych dla infrastruktury w chmurze tworzy błędy inspekcji regulacyjnej i potencjalne sankcje.
  • Niezarządzane zasoby w chmurze: Aprowizowane maszyny wirtualne bez agentów zabezpieczeń pomijają mechanizmy kontroli ochrony, tworząc luki w zabezpieczeniach i niewidoczne martwe miejsca.
  • Dryf konfiguracji: Maszyny wirtualne w chmurze działające z niespójnymi konfiguracjami zabezpieczeń tworzą luki w zabezpieczeniach i zmniejszają ogólny stan zabezpieczeń.

Oto dwa podstawowe filary domeny zabezpieczeń punktu końcowego.

Ochrona punktu końcowego przed zagrożeniami w chmurze: Wdrażanie kompleksowych funkcji wykrywania zagrożeń i reagowania na nie dla maszyn wirtualnych w chmurze, w tym ochrony przed złośliwym oprogramowaniem, analizy behawioralnej i zautomatyzowanego korygowania. Zaimplementuj korelację inteligencji zagrożeń w czasie rzeczywistym i zintegrowane rozszerzone wykrywanie i reagowanie (XDR), aby identyfikować i neutralizować zagrożenia celujące w obciążenia robocze w chmurze, zanim spowodują szkody.

Powiązane kontrolki:

Konfiguracja zabezpieczeń punktu końcowego w chmurze: Wymuszanie standardów punktów odniesienia zabezpieczeń i wzmacniania zabezpieczeń na wszystkich maszynach wirtualnych w chmurze, w tym konfiguracji systemu operacyjnego, mechanizmów kontroli aplikacji i włączania funkcji zabezpieczeń. Zachowaj spójny stan zabezpieczeń dzięki zautomatyzowanemu zarządzaniu konfiguracją i wykrywaniu dryfu dla zasobów obliczeniowych hostowanych w chmurze.

Powiązane kontrolki:

ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: ES-1.

Zasada zabezpieczeń

Zaimplementuj kompleksowe funkcje wykrywania punktów końcowych i reagowania na nie, zapewniając wgląd w działania punktu końcowego, analizę behawioralną i automatyczną reakcję na zagrożenia. Umożliwiaj organizacjom zabezpieczeń wykrywanie zaawansowanych zagrożeń, badanie zdarzeń i szybkie reagowanie na naruszenia zabezpieczeń punktu końcowego i korygowanie ich w całym środowisku.

Ryzyko w celu ograniczenia ryzyka

Organizacje działające bez kompleksowego wykrywania punktów końcowych i możliwości reagowania napotykają znaczne ryzyko związane z zaawansowanymi zagrożeniami, które pomijają tradycyjne mechanizmy kontroli prewencyjnej. Bez EDR:

  • Niewykryte zaawansowane zagrożenia: Zaawansowane ataki, w tym złośliwe oprogramowanie bez plików, techniki wykorzystywania zasobów systemu i luki zero-dniowe omijają wykrywanie oparte na sygnaturach, działając niezauważone przez dłuższy czas.
  • Opóźniona odpowiedź na zdarzenia: Brak wglądu w działania punktu końcowego w czasie rzeczywistym zapobiega szybkiemu wykrywaniu zagrożeń i reagowaniu na nie, umożliwiając osobom atakującym ustalenie trwałości i eksfiltracji danych.
  • Ograniczona widoczność zagrożeń: Zespoły ds. zabezpieczeń nie mogą identyfikować wzorców ataków, przenoszenia bocznego lub komunikacji poleceń i kontroli bez kompleksowej telemetrii punktu końcowego i analizy behawioralnej.
  • Nieskuteczne ograniczanie zagrożeń: Ręczne badanie i procesy korygowania umożliwiają rozprzestrzenianie się zagrożeń między punktami końcowymi podczas działań reagowania, co stwarza szerszy wpływ organizacji.
  • Brakujące możliwości śledcze: Brak historycznych danych dotyczących aktywności punktu końcowego uniemożliwia analizę głównych przyczyn, rekonstrukcję ataków i wnioski wyciągnięte z zdarzeń zabezpieczeń.
  • Ślepe punkty w poziomie zabezpieczeń: Niemonitorowane działania punktów końcowych tworzą luki widoczności uniemożliwiające wykrywanie zagrożeń wewnętrznych, eskalacji uprawnień i prób eksfiltracji danych.

Bez możliwości EDR organizacje wykrywają zagrożenia dopiero po wystąpieniu poważnych szkód, a nie w fazie wykonywania ataku.

MITRE ATT&CK

  • Dostęp początkowy (TA0001): phishing (T1566) i wykorzystanie podatności aplikacji publicznie dostępnej (T1190) zdobywające początkowy przyczółek na punktach końcowych bez wykrycia.
  • Wykonanie (TA0002): interpreter poleceń i skryptów (T1059) wykonując złośliwy kod na punktach końcowych, pomijając kontrole prewencyjne.
  • Trwałość (TA0003): tworzenie lub modyfikowanie procesu systemowego (T1543) ustanawiania trwałych mechanizmów dostępu niezakrytych przez tradycyjne oprogramowanie chroniące przed złośliwym oprogramowaniem.
  • Uchylanie się od obrony (TA0005): osłabianie obrony (T1562) poprzez wyłączanie narzędzi zabezpieczeń i zaciemnianie plików lub informacji (T1027) w celu uniknięcia wykrycia.
  • Dostęp do poświadczeń (TA0006): zrzucanie poświadczeń systemu operacyjnego (T1003) poprzez pobieranie ich z pamięci punktu końcowego w celu podwyższenia uprawnień i ruchu lateralnego.

ES-1.1: Wdrażanie rozwiązania do wykrywania punktów końcowych i reagowania

Tradycyjne wykrywanie sygnatur antywirusowych pomija nowoczesne zagrożenia, które używają technik bezplikowych, żywych plików binarnych poza ziemią i zaawansowanych zaciemniania w celu uniknięcia analizy statycznej, pozostawiając punkty końcowe narażone na luki zero-dniowe i zaawansowane trwałe zagrożenia. Wykrywanie i reagowanie na punkty końcowe zapewnia monitorowanie zachowań i uczenie maszynowe, które identyfikuje złośliwe działania niezależnie od dostępności sygnatur, wykrywając anomalie w wykonaniach procesów, próby dostępu do danych uwierzytelniających i wzorce ruchu lateralnego. Kompleksowa kolekcja danych telemetrycznych umożliwia badanie śledcze i wyszukiwanie zagrożeń, które rekonstruuje osie czasu ataków i identyfikuje wskaźniki naruszenia bezpieczeństwa pominięte podczas początkowego wykrywania.

Ustanów wykrywanie zagrożeń behawioralnych za pomocą tych funkcji EDR:

Najlepsze rozwiązania dotyczące konfiguracji EDR:

  • Włącz wykrywanie zachowań: Skonfiguruj analizę behawioralną, aby monitorować wzorce wykonywania procesów, zmiany systemu plików, połączenia sieciowe i modyfikacje rejestru koncentrujące się na wysokowartych maszynach wirtualnych platformy Azure hostujące poufne obciążenia.
  • Dostrajanie czułości wykrywania: Dostosuj czułość wykrywania zagrożeń, uwzględniając równoważenie fałszywie dodatnich wskaźników z krytycznością obciążenia oraz zasięgiem wykrywania złośliwego oprogramowania bezplikowego, LOLBins (binaria wykorzystywane legalnie przez system, ale złośliwie), i prób dostępu do poświadczeń.
  • Konfigurowanie automatycznej odpowiedzi: Zdefiniuj zautomatyzowane akcje odpowiedzi odpowiednie dla typów obciążeń, w tym zakończenie procesu dla maszyn wirtualnych niekrytycznych i alerty tylko dla systemów produkcyjnych wymagających ręcznego przeglądu.
  • Ustanów procedury badania: Udokumentuj przepływy pracy dochodzenia, korzystając z analizy drzewa procesów, rekonstrukcji osi czasu i śledzenia połączeń sieciowych, aby zespoły ds. zabezpieczeń mogły szybko ocenić zakres incydentu.
  • Zdefiniuj eskalację alertu: Skonfiguruj progi ważności alertu i ścieżki eskalacji, kierując alerty krytyczne zagrożenia do osób odpowiedzialnych za bezpieczeństwo dostępnych 24/7 w ramach określonych czasowych celów reakcji.

Strategia wdrażania EDR:

  • Pokrycie punktów końcowych chmury uniwersalnej: Wdróż agentów usługi Microsoft Defender for Endpoint na wszystkich maszynach wirtualnych z systemem Windows platformy Azure, maszynach wirtualnych z systemem Linux, hostach sesji usługi Azure Virtual Desktop i zestawach skalowania maszyn wirtualnych zapewniających kompleksową widoczność bez przerw w zakresie pokrycia.
  • Automatyczna aprowizacja: Włącz automatyczną aprowizację agenta za pośrednictwem usługi Microsoft Defender for Cloud dla nowych maszyn wirtualnych zapewniających natychmiastową ochronę podczas tworzenia zasobów.
  • Monitorowanie kondycji czujnika: Ciągłe monitorowanie kondycji czujnika EDR, zgodności wersji i przepływu telemetrii z automatycznym alertem dla maszyn wirtualnych w chmurze w trybie offline lub nieprawidłowo skonfigurowanym.
  • Architektura natywna dla chmury: Platforma EDR dostarczana przez chmurę z natywną integracją platformy Azure zapewniającą automatyczne aktualizacje i skalowalność obciążeń w chmurze.
  • Optymalizacja wydajności: Lekki projekt czujnika minimalizujący zużycie zasobów maszyny wirtualnej przy zachowaniu kompleksowych możliwości monitorowania obciążeń w chmurze.

ES-1.2: Integracja EDR z rozszerzonym wykrywaniem i reagowaniem (XDR)

Wykrywanie izolowanych punktów końcowych generuje odłączone alerty, które przegapiają zaawansowane łańcuchy ataków obejmujące naruszenie tożsamości, ruch lateralny i eksfiltrację danych w wielu systemach i usługach. Rozszerzone wykrywanie i reagowanie koreluje dane telemetryczne z punktów końcowych, dostawców tożsamości, infrastruktury chmury i ruchu sieciowego w celu ujawnienia pełnych narracji dotyczących ataków, których wykrywanie pojedynczego sygnału nie może zidentyfikować. Ujednolicony kontekst zdarzeń umożliwia zespołom ds. zabezpieczeń zrozumienie pełnego zakresu ataków i zaimplementowanie skoordynowanego powstrzymania wszystkich systemów, których to dotyczy, zamiast odpowiadać na każdy alert niezależnie.

Korelowanie zagrożeń międzyplatformowych za pomocą tych funkcji integracji XDR:

  • Integrowanie wykrywania i reagowania punktów końcowych z usługą Microsoft Defender XDR w celu skorelowania danych telemetrycznych zabezpieczeń między tożsamościami, pocztą e-mail, aplikacjami i infrastrukturą chmury umożliwiającą ujednolicone wykrywanie zagrożeń i koordynowane reagowanie w całym środowisku.

Najlepsze rozwiązania dotyczące integracji XDR:

  • Włącz korelację między sygnałami: Aktywuj integrację usługi Microsoft Defender XDR, aby skorelować zdarzenia maszyn wirtualnych w chmurze z dziennikami aktywności platformy Azure, sygnałami uwierzytelniania identyfikatora Entra firmy Microsoft i analizą ruchu usługi Azure Network Watcher , tworząc ujednolicony kontekst zdarzenia.
  • Konfigurowanie grupowania zdarzeń: Definiowanie reguł korelacji grupowania powiązanych alertów z maszyn wirtualnych w chmurze, systemów tożsamości i zmian infrastruktury w pojedyncze zdarzenia, co zmniejsza obciążenie badania i skraca średni czas wykrywania (MTTD).
  • Projektowanie podręczników reakcji: Twórz skoordynowane przepływy pracy reakcji, automatyzując izolację maszyn wirtualnych poprzez aktualizacje Grup zabezpieczeń sieci, zawieszanie kont usługi za pomocą Microsoft Entra ID oraz tworzenie migawek do analizy kryminalistycznej.
  • Ustanów ocenianie priorytetów: Skonfiguruj ocenianie ważności zdarzenia obejmujące tagi krytycznej maszyny wirtualnej, klasyfikację danych i etap postępu ataku w celu nadania priorytetów odpowiedzi zespołowi ds. operacji zabezpieczeń.
  • Przejrzyj wizualizację ścieżki ataku: Regularnie analizuj generowane przez XDR ścieżki ataków, identyfikując możliwości przesunięć lateralnych i ryzyka związanego z uprzywilejowanym dostępem, wymagające dostosowania architektury.

Składniki architektury XDR:

  • Sygnały tożsamości: Integracja z usługą Microsoft Entra ID Protection koreluje działania maszyn wirtualnych w chmurze z anomaliami uwierzytelniania, niemożliwymi podróżami i wskaźnikami naruszenia bezpieczeństwa poświadczeń dla tożsamości opartych na chmurze.
  • Integracja infrastruktury chmurowej: Korelacja wykrywania złośliwego oprogramowania maszyny wirtualnej z dziennikami aktywności platformy Azure, zdarzeniami wdrażania zasobów i zmianami infrastruktury identyfikującymi łańcuch dostaw i ataki oparte na konfiguracji.
  • Ochrona obciążeń w chmurze: Ujednolicona widoczność w maszynach wirtualnych Azure, instancjach kontenerów oraz zasobach chronionych przez Microsoft Defender for Cloud, wykrywająca zagrożenia w obrębie subskrypcji i regionów w chmurze.
  • Integracja wykrywania sieci: Korelacja komunikacji maszyn wirtualnych z usługą Azure Network Watcher oraz analiza ruchu w sieci wirtualnej, która identyfikuje ruch sterujący i poziomy ruch sieciowy w sieciach chmurowych.

ES-1.3: Włącz automatyzację i integrację EDR

Ręczne badanie i reagowanie na alerty zabezpieczeń o dużej ilości powoduje utworzenie niezrównanego obciążenia analityka przy jednoczesnym wprowadzeniu opóźnień odpowiedzi, które umożliwiają postęp zagrożeń z początkowego naruszenia zabezpieczeń do eksfiltracji danych. Automatyczne badanie analizuje kontekst alertu, wykonuje analizę kryminalistyczną i określa akcje korygowania w ciągu kilku sekund, a nie godzin ręcznej analizy. Orkiestracja zabezpieczeń integruje telemetrię EDR z mechanizmami kontroli infrastruktury chmury i zarządzaniem tożsamościami, umożliwiając skoordynowaną automatyczną odpowiedź, która izoluje naruszone systemy, odwołuje poświadczenia i zachowuje dowody śledcze jednocześnie.

Przyspieszanie reagowania na zagrożenia dzięki tym funkcjom automatyzacji:

  • Zaimplementuj zautomatyzowane badanie, korygowanie i integrację operacji zabezpieczeń, skracając średni czas reagowania (MTTR) i umożliwiając ujednolicone wykrywanie zagrożeń na różnych platformach zabezpieczeń.

Zautomatyzowane badanie i korygowanie:

  • Włącz zautomatyzowane badania: Aktywuj automatyczne badanie dla alertów o średniej i wysokiej ważności na maszynach wirtualnych nieprodukcyjnych w celu utworzenia punktu odniesienia badania przy jednoczesnym wymaganiu ręcznego zatwierdzania obciążeń produkcyjnych.
  • Definiowanie przepływów pracy zatwierdzania: Ustal punkty kontrolne zatwierdzania dla automatycznych działań naprawczych na produkcyjnych maszynach wirtualnych wymagających przeglądu architekta zabezpieczeń pod kątem zmian wpływających na operacje biznesowe.
  • Konfigurowanie zautomatyzowanego korygowania: Włącz automatyczne usuwanie złośliwego oprogramowania, eliminację trwałości, izolację sieci maszyn wirtualnych za pomocą aktualizacji sieciowej grupy zabezpieczeń platformy Azure i przywracanie konfiguracji zabezpieczeń.
  • Kryteria eskalacji dokumentu: Zdefiniuj kryteria eskalacji zautomatyzowanych badań do analityków ludzkich, gdy analiza podobieństwa identyfikuje skoordynowane kampanie lub zaawansowane trwałe zagrożenia.

Integracja operacji zabezpieczeń:

  • Integracja z rozwiązaniem SIEM: Przesyłanie strumieniowe danych telemetrycznych EDR do usługi Microsoft Sentinel umożliwiające ujednolicone monitorowanie zabezpieczeń i opracowywanie reguł korelacji łączących alerty EDR z dziennikami aktywności platformy Azure, zmianami zasobów i sygnałami tożsamości.
  • Włącz automatyzację SOAR: Skonfiguruj podręczniki automatycznego reagowania koordynujące powstrzymywanie EDR przy użyciu izolacji zasobów platformy Azure, zarządzania tożsamością oraz aktualizacji zabezpieczeń sieci wirtualnej.
  • Zachowaj dane historyczne: Zachowaj historyczne dane EDR pod kątem wymagań dotyczących zgodności, wyszukiwania zagrożeń i analizy retrospektywnej umożliwiającej badanie zaawansowanych zagrożeń.
  • Wzbogacanie analizy zagrożeń: Zaimplementuj automatyczne wyszukiwanie analizy zagrożeń, analizę skrótów plików i metadane zasobów platformy Azure, które przyspieszają podejmowanie decyzji dotyczących badania i reagowania.

Przykład implementacji

Organizacja usług finansowych obsługująca platformy handlowe hostowane w chmurze odkryła zaawansowane trwałe zagrożenia podczas badania kryminalistycznego, które działały niewykryte przez kilka tygodni, co narusza dane konta klienta.

Wyzwanie: Tradycyjne oprogramowanie antywirusowe na maszynach wirtualnych w chmurze zapewniało tylko wykrywanie oparte na sygnaturach, co skutkowało pominięciem ataków bezplikowych i ruchu lateralnego. Zespół ds. zabezpieczeń nie miał wglądu w osie czasu ataków i zmagał się z ręcznym badaniem w rozproszonej infrastrukturze chmury.

Podejście do rozwiązania:

  • Kompleksowe wdrożenie EDR: Włączono usługę Microsoft Defender dla punktu końcowego za pośrednictwem integracji usługi Microsoft Defender for Cloud z automatyczną aprowizacją na maszynach wirtualnych z systemem Windows/Linux i hostach sesji usługi Azure Virtual Desktop przy użyciu usługi Azure Policy.
  • Automatyczna odpowiedź na zagrożenia: Skonfigurowano zautomatyzowane korygowanie dla górników kryptowalut, powłok internetowych i nieautoryzowanego oprogramowania. Podręczniki reagowania zostały wdrożone, izolując naruszone maszyny wirtualne za pośrednictwem aktualizacji Grupy zabezpieczeń sieciowych i wyzwalania migawek kryminalistycznych.
  • Integracja XDR: Wdrożono usługę Microsoft Defender XDR korelując dane telemetryczne maszyny wirtualnej za pomocą sygnałów uwierzytelniania identyfikatora Entra firmy Microsoft i zmian infrastruktury platformy Azure, tworząc ujednolicony kontekst zdarzenia.
  • Proaktywne wyszukiwanie zagrożeń: Ustanowiony program do wyszukiwania zagrożeń przy użyciu zaawansowanych zapytań wyszukiwania zagrożeń skoncentrowanych na wzorcach przenoszenia poprzecznego w sieciach wirtualnych platformy Azure.

Wynik: Znacznie zmniejszono czas wykrywania zagrożeń od tygodni do godzin. Automatyczna odpowiedź zawierała większość zagrożeń bez ręcznej interwencji. Ujednolicony widok zdarzeń znacznie skrócił czas badania.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: SI-4(1), SI-4(2), SI-4(5), SI-4(12), SI-4(16), IR-4(1), IR-4(4)
  • PCI-DSS 4: 5.3.2, 5.3.4, 10.2.1, 11.5.1
  • Kontrolki CIS w wersji 8.1: 8.5, 8.11, 13.2, 13.10
  • NIST CSF v2.0: DE. CM-1, DE. CM-4, DE. CM-7, RS. AN-1
  • ISO 27001:2022: A.8.16, A.5.24, A.5.26
  • SOC 2: CC7.2, CC7.3

ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: ES-2.

Zasada zabezpieczeń

Wdrażanie nowoczesnych rozwiązań chroniących przed złośliwym oprogramowaniem łączących wykrywanie oparte na podpisach za pomocą analizy behawioralnej, uczenia maszynowego, analizy dostarczanej przez chmurę i zapobieganie atakom wykorzystującym luki w zabezpieczeniach w celu ochrony przed znanymi i nieznanymi zagrożeniami. Zapewnij kompleksową ochronę przed złośliwym oprogramowaniem na wszystkich platformach punktów końcowych z minimalnym wpływem na wydajność i scentralizowanym zarządzaniem.

Ryzyko w celu ograniczenia ryzyka

Organizacje korzystające z nieaktualnych lub tylko podpisów rozwiązań chroniących przed złośliwym oprogramowaniem napotykają rosnące ryzyko ze strony nowoczesnych zagrożeń, które unikają tradycyjnych metod wykrywania. Bez nowoczesnych możliwości ochrony przed złośliwym oprogramowaniem:

  • Luka zero-day: Wykrywanie oparte na podpisach nie może zidentyfikować nowych wariantów złośliwego oprogramowania i exploitów zero-day przed utworzeniem i dystrybucją podpisów.
  • Uchylanie się od złośliwego oprogramowania polimorficznego: Zaawansowane złośliwe oprogramowanie przy użyciu kodu polimorficznego, szyfrowania i technik zaciemniania pomija dopasowywanie podpisów i analizę statyczną.
  • Wykonywanie ataków bez plików: Ataki rezydujące w pamięci, wykonywane całkowicie w pamięci RAM, nie zostawiają śladów na dysku i unikają tradycyjnych mechanizmów skanowania opartych na plikach.
  • Szyfrowanie oprogramowania wymuszającego okup: Nowoczesne warianty oprogramowania wymuszającego okup szybko wykonują szyfrowanie, zanim wykrywanie oparte na podpisie może identyfikować i blokować złośliwe procesy.
  • Dostarczanie ataków opartych na skryptach: Ataki programu PowerShell, języka JavaScript i innych skryptów korzystają z zaufanych narzędzi systemowych unikających kontroli ochrony przed złośliwym oprogramowaniem opartych na aplikacjach.
  • Obniżenie wydajności: Starsze rozwiązania chroniące przed złośliwym oprogramowaniem zużywające nadmierne zasoby systemowe wpływają na wydajność punktu końcowego i produktywność użytkowników.

Tradycyjna ochrona przed złośliwym oprogramowaniem oparta na podpisach zapewnia niewystarczającą ochronę przed nowoczesnym krajobrazem zagrożeń wymagającym zaawansowanego wykrywania zachowań i możliwości uczenia maszynowego.

MITRE ATT&CK

  • Wykonanie (TA0002): złośliwy plik (T1204.002) uruchamiający ładunki złośliwego oprogramowania dostarczane za pośrednictwem wyłudzania informacji, pobranych plików lub nośników wymiennych.
  • Kamuflaż przed wykrywaniem (TA0005): zatajanie plików lub informacji (T1027) i unikanie wirtualizacji/piaskownicy (T1497) obejście wykrywania opartego na sygnaturach.
  • Wpływ (TA0040): dane zaszyfrowane pod kątem wpływu (T1486) wdrożenie oprogramowania ransomware szyfrującego dane organizacji, zanim zostanie wykryty.

ES-2.1: Wdrażanie rozwiązania chroniącego przed złośliwym oprogramowaniem nowej generacji

Oparta na podpisach ochrona przed złośliwym oprogramowaniem zapewnia podstawową ochronę przed znanymi zagrożeniami, ale nowoczesne złośliwe oprogramowanie wykorzystuje polimorfizm, pakowanie i szyfrowanie w celu uniknięcia tradycyjnego wykrywania wymagającego analizy behawioralnej i klasyfikacji uczenia maszynowego. Ochrona wielowarstwowa łączy sygnatury statyczne dla znanych zagrożeń z dynamicznym monitorowaniem zachowania i inteligencją opartą na chmurze, w celu wykrywania pojawiających się wariantów złośliwego oprogramowania i zero-day exploitów. Scentralizowane zarządzanie zapewnia spójne punkty odniesienia ochrony we wszystkich punktach końcowych, podczas gdy ochrona przed naruszeniami uniemożliwia przeciwnikom wyłączenie mechanizmów kontroli zabezpieczeń po uzyskaniu dostępu początkowego.

Wdróż kompleksową ochronę przed złośliwym oprogramowaniem za pomocą tych warstw obrony:

  • Zaimplementuj program antywirusowy Microsoft Defender na maszynach wirtualnych platformy Azure zapewniający wielowarstwową ochronę, w tym wykrywanie oparte na podpisach, analizę behawioralną, klasyfikację uczenia maszynowego i możliwości zapobiegania wykorzystaniu w przypadku obciążeń w chmurze.

Najlepsze rozwiązania dotyczące konfiguracji ochrony przed złośliwym oprogramowaniem:

  • Konfigurowanie warstw ochrony: Włącz wszystkie warstwy ochrony (oparte na podpisach, heurystyczne, behawioralne, oparte na chmurze i uczeniu maszynowym) domyślnie, co umożliwia selektywne wyłączanie tylko w przypadku, gdy określone wymagania dotyczące obciążenia są udokumentowane i zatwierdzone przez zespół ds. zabezpieczeń.
  • Włącz ochronę dostarczaną przez chmurę: Aktywuj ochronę w chmurze z automatycznym przesyłaniem próbek dla nieznanych plików, z wyjątkiem maszyn wirtualnych, które przetwarzają wysoce poufne dane wymagające modeli ochrony przed przerwami w powietrzu.
  • Konfigurowanie zarządzania wykluczeniami: Ustanów formalny proces wyjątku wymagający uzasadnienia biznesowego, przeglądu zabezpieczeń i ograniczonych czasowo zatwierdzeń w przypadku wykluczeń chroniących przed złośliwym oprogramowaniem minimalizujących narażenie na ataki.
  • Przetestuj ochronę przed naruszeniami: Włącz ochronę przed naruszeniami na wszystkich produkcyjnych maszynach wirtualnych i zweryfikuj skuteczność poprzez kontrolowane testowanie, dzięki czemu oprogramowanie chroniące przed złośliwym oprogramowaniem pozostaje operacyjne podczas symulowanych ataków.
  • Ustanów scentralizowane zarządzanie: Zaimplementuj scentralizowane zarządzanie ochroną przed złośliwym oprogramowaniem za pośrednictwem usługi Microsoft Defender for Cloud i usługi Azure Policy, które definiują konfigurację linii bazowej organizacji i przepływy pracy w zakresie ładu na potrzeby zmian w konfiguracji.

ES-2.2: Włączanie zaawansowanych funkcji ochrony przed zagrożeniami

Samo wykrywanie złośliwego oprogramowania zapewnia niewystarczającą ochronę, gdy przeciwnicy wykorzystują luki w zabezpieczeniach dotyczące uszkodzenia pamięci, nadużywają wiarygodnych funkcji systemowych i szyfrują dane przed wykryciem obecności tradycyjnych podpisów. Środki zaradcze ochrony przed programami wykorzystującymi luki w zabezpieczeniach (DEP, ASLR, Control Flow Guard) blokują ataki oparte na pamięci niezależnie od sygnatur złośliwego oprogramowania, zapobiegając wykorzystywaniu luk w zabezpieczeniach aplikacji. Reguły zmniejszania obszaru podatnego na ataki ograniczają techniki przeciwników, blokując wykonywanie skryptów z niezaufanych źródeł, ograniczanie dostępu do poświadczeń i ochronę krytycznych folderów danych przed wystąpieniem szyfrowania oprogramowania wymuszającego okup.

Zapobiegaj wykorzystaniu technik za pomocą tych zaawansowanych zabezpieczeń:

  • Skonfiguruj zaawansowane funkcje ochrony, w tym ochronę przed programami wykorzystującymi luki w zabezpieczeniach, zmniejszenie obszaru ataków, kontrolowany dostęp do folderów i ochronę sieci, aby zapobiec technikom wykorzystującym luki w zabezpieczeniach i zmniejszyć obszar ataków.

Konfiguracja ochrony przed atakami wykorzystującymi luki w zabezpieczeniach:

  • Włącz ochronę pamięci: Włącz ochronę przed wykonywaniem danych (DEP):, losowanie układu przestrzeni adresowej (ASLR) i funkcję Control Flow Guard (CFG) na wszystkich maszynach wirtualnych platformy Azure, testując zgodność aplikacji w środowiskach deweloperskich przed wdrożeniem produkcyjnym.
  • Konfigurowanie ochrony specyficznych dla aplikacji: Stosowanie ukierunkowanych ochrony przed programami wykorzystującymi luki w zabezpieczeniach do aplikacji wysokiego ryzyka (przeglądarek, aplikacji pakietu Office, czytników plików PDF) z wyjątkami udokumentowanymi i przeglądanymi kwartalnie.
  • Skuteczność ograniczania ryzyka: Przeprowadź kontrolowane testowanie symulacji wykorzystania luk w zabezpieczeniach sprawdzające ochronę przed typowymi technikami (rozpylanie sterty, ROP, zastąpienie SEH) dostosowując konfiguracje na podstawie wyników.
  • Ustanów proces wyjątków: Zdefiniuj formalny przepływ pracy zatwierdzania dla wyjątków w ochronie przed exploitami, które wymagają przeglądu architekta zabezpieczeń, uzasadnienia biznesowego i mechanizmów kompensacyjnych.

Konfiguracja zmniejszania obszaru ataków:

  • Stopniowo wdrażaj reguły ASR: Włącz reguły zmniejszania powierzchni ataku w trybie inspekcji, najpierw analizując wpływ przez 30 dni, przed przełączeniem do trybu blokowania, zaczynając od reguł o niskim wpływie.
  • Konfigurowanie kontrolek wykonywania skryptu: Blokuj zaciemnione wykonywanie skryptów JavaScript/VBScript/PowerShell z niezaufanych źródeł przy zachowaniu udokumentowanych wyjątków dla wiarygodnych skryptów automatyzacji.
  • Włącz ochronę przed oprogramowaniem wymuszającym okup: Skonfiguruj kontrolowany dostęp do folderów chronionych krytycznymi folderami danych za pomocą listy zatwierdzonych aplikacji przeglądanych co miesiąc.
  • Implementowanie ochrony poświadczeń: Włącz ochronę LSASS blokującą kradzież poświadczeń z monitorowania podsystemu Lokalnego urzędu zabezpieczeń systemu Windows pod kątem wyników fałszywie dodatnich wpływających na wiarygodne narzędzia zabezpieczeń.
  • Monitorowanie skuteczności reguł usługi ASR: Przejrzyj zdarzenia blokowania reguł usługi ASR co tydzień identyfikujące wzorce ataków i dostosowując konfiguracje reguł optymalizujące pokrycie zabezpieczeń.

Ochrona sieci:

  • Ochrona przed zagrożeniami internetowymi: Blokowanie połączeń ze złośliwymi adresami IP, domenami i adresami URL uniemożliwiającymi komunikację poleceń i kontrolę oraz złośliwe pobieranie.
  • Integracja SmartScreen:Microsoft Defender SmartScreen sprawdza w czasie rzeczywistym reputację pobranych plików i odwiedzanych stron internetowych, co zapobiega dostępowi do znanych witryn phishingowych i stron dystrybucji złośliwego oprogramowania.
  • Zapobieganie włamaniom do sieci: Wykrywanie i blokowanie prób wykorzystania opartego na sieci oraz działań przenoszenia bocznego na poziomie punktu końcowego.

Przykład implementacji

Organizacja opieki zdrowotnej doznała ataku ransomware, który zaszyfrował rekordy pacjentów w infrastrukturze Azure Virtual Desktop. Tradycyjne oprogramowanie antywirusowe nie wykryło złośliwego oprogramowania rezydującego w pamięci dostarczonego za pomocą spreparowanych plików obrazowania medycznego.

Wyzwanie: Starsza ochrona oparta na sygnaturach nie może wykrywać ataków bez plików ani oprogramowania wymuszającego okup opartego na skryptach. Lekarze potrzebowali nieprzerwanego dostępu do aplikacji medycznych przy zachowaniu mechanizmów kontroli bezpieczeństwa HIPAA. Ransomware zaszyfrowało dane pacjentów przed wykryciem.

Podejście do rozwiązania:

  • Wykrywanie zachowań: Wdrożono program antywirusowy Microsoft Defender z ochroną dostarczaną w chmurze i analizą behawioralną wykrywającą złośliwe oprogramowanie bez plików i ataki oparte na skryptach na maszynach wirtualnych aplikacji medycznych.
  • Zmniejszenie obszaru podatnego na ataki: Skonfigurowane reguły usługi ASR blokujące wykonywanie programu PowerShell z niezaufanych źródeł i uniemożliwianie wycieku poświadczeń na serwerach aplikacji hostujących elektroniczne dokumentacje medyczne.
  • Ochrona przed oprogramowaniem wymuszającym okup: Zaimplementowano kontrolowany dostęp do folderów w usłudze Azure Virtual Desktop, chroniąc katalogi danych pacjentów przed nieautoryzowanymi modyfikacjami, blokując próby szyfrowania oprogramowania wymuszającego okup.
  • Zapobieganie exploitom: Włączono ochronę przed programami wykorzystującymi luki w zabezpieczeniach dla przeglądarek internetowych i przeglądarek obrazów medycznych, zapobiegając początkowym wektorom kompromitacji.

Wynik: Wykryto i zablokowano kolejne próby wymuszania oprogramowania wymuszającego okup w ciągu kilku sekund przed szyfrowaniem. Znacznie zmniejszono wyniki fałszywie dodatnie za pośrednictwem analizy behawioralnej. Zachowano zgodność ze standardem HIPAA z kompleksowym pokryciem ochrony.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: SI-3(1), SI-3(2), SI-3(4), SI-3(7), SI-3(8)
  • PCI-DSS 4: 5.1.1, 5.2.1, 5.2.2, 5.2.3, 5.3.1, 5.3.2
  • Kontrolki CIS w wersji 8.1: 10.1, 10.2, 10.5, 10.7
  • NIST CSF v2.0: DE.CM-4, PR.DS-6
  • ISO 27001:2022: A.8.7
  • SOC 2: CC6.1, CC7.2

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Zasada zabezpieczeń

Zachowaj bieżącą ochronę przed złośliwym oprogramowaniem za pomocą automatycznych aktualizacji sygnatur, zarządzania wersjami oprogramowania i monitorowania zgodności aktualizacji. Upewnij się, że wszystkie punkty końcowe otrzymają aktualizacje ochrony w odpowiednim czasie, minimalizując okna luk w zabezpieczeniach i utrzymując efektywne możliwości wykrywania zagrożeń.

Ryzyko w celu ograniczenia ryzyka

Nieaktualne sygnatury ochrony przed złośliwym oprogramowaniem i wersje oprogramowania pozostawiają punkty końcowe podatne na znane zagrożenia, których można zapobiec bieżącej ochronie. Bez terminowych aktualizacji:

  • Znany błąd wykrywania złośliwego oprogramowania: Nieaktualne sygnatury nie mogą wykrywać nowych wariantów złośliwego oprogramowania, luk w zabezpieczeniach i kampanii zagrożeń zidentyfikowanych po ostatniej aktualizacji.
  • Obejście ochrony: Osoby atakujące celują w punkty końcowe z przestarzałą ochroną, wiedząc, że luki w sygnaturach zezwalają na wykonywanie złośliwego oprogramowania.
  • Wykorzystanie luk w zabezpieczeniach: Niezaktualizowane oprogramowanie chroniące przed złośliwym oprogramowaniem zawiera luki w zabezpieczeniach, które osoby atakujące wykorzystują w celu wyłączenia ochrony lub eskalacji uprawnień.
  • Naruszenia zgodności: Struktury regulacyjne wymagają bieżącej ochrony przed złośliwym oprogramowaniem z powodu błędów inspekcji wynikających z nieaktualnych podpisów lub wersji oprogramowania.
  • Luki w reagowaniu na zdarzenia: Nieaktualna ochrona uniemożliwia wykrycie podczas początkowych faz ataku, pozwalając zagrożeniom na ustanowienie trwałości, zanim aktualizacje umożliwią wykrycie.

Organizacje utrzymujące bieżące aktualizacje chroniące przed złośliwym oprogramowaniem znacznie zmniejszają współczynniki infekcji złośliwym oprogramowaniem i zwiększają ogólny poziom zabezpieczeń.

MITRE ATT&CK

  • Uchylanie się od obrony (TA0005): upośledzenie obrony (T1562) wykorzystujące nieaktualne oprogramowanie chroniące przed złośliwym oprogramowaniem w celu uniknięcia wykrywania.
  • Wykonanie (TA0002): wykorzystanie do uruchamiania na kliencie (T1203) wykorzystujące znane exploity wykrywane przez bieżące podpisy.

ES-3.1: Konfigurowanie i wymuszanie automatycznych aktualizacji

Ochrona przed złośliwym oprogramowaniem szybko się pogarsza w miarę starzenia się sygnatur zagrożeń i przestarzałości silników wykrywania, podczas gdy nowe warianty złośliwego oprogramowania pojawiają się nieustannie, omijając starsze zdolności wykrywania. Mechanizmy automatycznej aktualizacji zapewniają, że punkty końcowe utrzymują bieżące algorytmy analizy zagrożeń i wykrywania zagrożeń bez konieczności polegania na ręcznych procesach, które powodują opóźnienia i luki w zakresie pokrycia. Monitorowanie zgodności identyfikuje punkty końcowe z nieaktualną ochroną, które reprezentują luki w zabezpieczeniach o wysokim ryzyku w obwodzie zabezpieczeń, umożliwiając ukierunkowane korygowanie przed atakami wykorzystującymi luki w ochronie.

Zachowaj aktualną skuteczność ochrony przed złośliwym oprogramowaniem za pośrednictwem tych procesów aktualizacji:

  • Zaimplementuj zautomatyzowane procesy dotyczące sygnatur antymalware i aktualizacji oprogramowania z monitorowaniem zgodności i egzekwowaniem, zapewniając bieżącą ochronę punktów końcowych bez ręcznej interwencji.

Konfiguracja automatycznej aktualizacji:

  • Włącz aktualizacje podpisów automatycznych: Skonfiguruj automatyczne sprawdzanie aktualizacji podpisów wiele razy dziennie, zapewniając szybkie wdrażanie nowej analizy zagrożeń, które są związane z pojawiającymi się zagrożeniami.
  • Włącz automatyczne aktualizacje modułu: Skonfiguruj automatyczne aktualizacje modułu wykrywania i platformy, aby zapewnić punktom końcowym nowe możliwości wykrywania oraz krytyczne aktualizacje zabezpieczeń.
  • Konfigurowanie niezawodnych źródeł aktualizacji: Skonfiguruj podstawowe aktualizacje dostarczane przez chmurę z mechanizmami przełączania awaryjnego zapewniającymi spójne dostarczanie aktualizacji chroniące przed zakłóceniami w świadczeniu usług aktualizacji.
  • Zweryfikuj integralność aktualizacji: Włącz automatyczną walidację sygnatur i aktualizacji oprogramowania przed wdrożeniem uniemożliwiającym uszkodzenie lub złośliwe pakiety aktualizacji przed naruszeniem ochrony punktu końcowego.
  • Przetestuj aktualizacje krytyczne: Zweryfikuj główne aktualizacje wersji oprogramowania w środowiskach nieprodukcyjnych, potwierdzając zgodność i skuteczność przed wdrożeniem produkcyjnym uniemożliwiającym zakłócenia operacyjne.

Monitorowanie i wymuszanie zgodności:

  • Monitorowanie zgodności aktualizacji: Śledzenie wieku podpisów i wersji oprogramowania w punktach końcowych identyfikujących urządzenia z nieaktualną ochroną przekraczającą progi zasad zabezpieczeń.
  • Wymuszanie automatycznego korygowania: Skonfiguruj automatyczne wymuszanie aktualizacji dla niezgodnych punktów końcowych, zapewniając aktualizacje ochrony w odpowiednim czasie bez ręcznej interwencji.
  • Ogranicz niezgodny dostęp: Zintegruj z kontrolą dostępu do sieci, ograniczającą dostęp do punktów końcowych, które mają krytycznie przestarzałą ochronę, do momentu ukończenia procesu naprawczego.
  • Zarządzanie wyjątkami zabezpieczeń: Ustanów formalny proces wyjątku dla punktów końcowych wymagających opóźnionych aktualizacji przy użyciu udokumentowanych mechanizmów kontroli wyrównujących i zatwierdzeń ograniczonych czasowo.

Przykład implementacji

Organizacja z globalnymi operacjami doznała wybuchu złośliwego oprogramowania wpływającego na krytyczne systemy biznesowe, gdy nieaktualne sygnatury antywirusowe nie wykryły znanego wariantu złośliwego oprogramowania, ujawniając poufne dane i zakłócając operacje.

Wyzwanie: Operacje globalne w wielu strefach czasowych utrudniały skoordynowane aktualizacje. Ograniczenia przepustowości regionalnej spowodowały opóźnienie dystrybucji podpisów. Ręczne procesy aktualizacji spowodowały luki, w których punkty końcowe uruchamiały nieaktualną ochronę w okresach szczytowych operacji.

Podejście do rozwiązania:

  • Zautomatyzowane cykle aktualizacji: Skonfigurowano sprawdzanie aktualizacji dostarczanych w chmurze co 2 godziny, zapewniając szybkie wdrożenie analizy zagrożeń. Usunięto zależność od ręcznych procesów aktualizacji.
  • Wymuszanie zgodności: Zaimplementowano alerty monitorowania usługi Azure Policy, gdy sygnatury przekraczają 7 dni. Zintegrowano z kontrolą dostępu do sieci odmawiającą dostępu do niezgodnych punktów końcowych.
  • Strategia wdrażania etapowego: Skonfigurowano etapowe testowanie wdrożenia wersji głównych z małą grupą pilotażową przed pełnym wdrożeniem, uniemożliwiając zakłócenia operacyjne przy zachowaniu waluty ochrony.

Wynik: Znacznie zmniejszono średni wiek podpisu od tygodni do godzin. Osiągnęliśmy wysoką zgodność z wymogami, bez incydentów związanych ze złośliwym oprogramowaniem wynikających z nieaktualnych baz sygnatur w kolejnym okresie.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: SI-3(2), SI-2(2), SI-2(5)
  • PCI-DSS 4: 5.3.3, 6.3.3
  • Kontrole CIS w wersji 8.1: 10.3, 7.2
  • NIST CSF v2.0: DE.CM-4, PR.IP-1
  • ISO 27001:2022: A.8.7, A.8.8
  • SOC 2: CC8.1
  • Last updated on