Udostępnij przez

Zarządzanie postawą i lukami w zabezpieczeniach

Zarządzanie stanem i lukami w zabezpieczeniach umożliwia organizacjom systematyczne identyfikowanie, ocenianie, ustalanie priorytetów i korygowanie słabych stron zabezpieczeń przed wykorzystaniem. W przeciwieństwie do tradycyjnego okresowego skanowania, nowoczesne środowiska chmurowe wymagają ciągłej oceny, priorytetyzacji opartej na ryzyku i zautomatyzowanego korygowania, w celu radzenia sobie z szybkim aprowizowaniem, dryfem konfiguracji oraz dynamicznymi powierzchniami ataku obejmującymi infrastrukturę jako kod, kontenery i funkcje serverless. Organizacje wdrażające te możliwości utrzymują bezpieczne środowiska domyślnie, jednocześnie szybko korygując krytyczne podatności, podczas gdy organizacje zaniedbujące te zabezpieczenia napotykają niewykryte słabości i długotrwałe okresy podatności.

Oto cztery podstawowe filary domeny zabezpieczeń zarządzania stanem bezpieczeństwa i podatnościami.

Ustanów bezpieczne punkty odniesienia: Definiowanie i implementowanie punktów odniesienia konfiguracji zabezpieczeń we wszystkich zasobach w chmurze, dzięki czemu środowiska są domyślnie bezpieczne za pomocą narzędzi do zarządzania konfiguracją, wymuszania zasad i metod infrastruktury jako kodu, które zapewniają spójne konfiguracje zabezpieczeń zgodne ze standardami branżowymi i wymaganiami organizacyjnymi.

Powiązane kontrolki:

Monitorowanie i wymuszanie zgodności: Stale przeprowadzaj inspekcję i wymuszaj bezpieczne konfiguracje wykrywające i korygujące dryf konfiguracji dzięki automatycznym funkcjom monitorowania i korygowania. Zachowaj kompleksowy wgląd w powierzchnie ataków poprzez ciągłe odnajdywanie zasobów i oceny luk w zabezpieczeniach w całej infrastrukturze, platformach, aplikacjach i systemach operacyjnych identyfikujących słabe punkty zabezpieczeń wymagające uwagi.

Powiązane kontrolki:

Korygowanie przy użyciu priorytetyzacji opartej na ryzyku: Skoncentruj się na działaniach korygujących w zakresie luk w zabezpieczeniach, które stwarzają prawdziwe zagrożenia poprzez priorytetyzację opartą na ryzyku, łącząc ocenę prawdopodobieństwa wykorzystania, aktywne śledzenie wykorzystania, krytyczne znaczenie zasobów i kontekst ekspozycji. Zaimplementuj zautomatyzowane procesy stosowania poprawek i korygowania luk w zabezpieczeniach poprzez nadawanie priorytetu krytycznym zagrożeniom, jednocześnie minimalizując zakłócenia operacyjne i weryfikując skuteczność zabezpieczeń za pomocą zaawansowanych technik testowania.

Powiązane kontrolki:

Integrowanie zabezpieczeń programistycznych: Zapobiegaj lukom w zabezpieczeniach przed wdrożeniem produkcyjnym za pomocą weryfikacji zabezpieczeń zintegrowanej na wczesnym etapie procesów programowania i ochrony łańcucha dostaw oprogramowania. Zaimplementuj skanowanie zabezpieczeń przed wdrożeniem, ocenę podatności zależności oraz zarządzanie ryzykiem w łańcuchu dostaw, które zapobiegną przedostawaniu się słabości zabezpieczeń do środowisk produkcyjnych.

Aby uzyskać kompleksowe wskazówki dotyczące praktyk zabezpieczeń typu shift-left oraz mechanizmów ochrony łańcucha dostaw, takich jak integracja z potokiem CI/CD, zarządzanie SBOM, podpisywanie artefaktów, skanowanie zależności oraz przepływy pracy bezpieczeństwa dla programistów, zapoznaj się z sekcją DevOps Security (DS) tego benchmarketu.

PV-1: Definiowanie i ustanawianie bezpiecznych konfiguracji

Zasada zabezpieczeń

Zdefiniuj punkty odniesienia konfiguracji zabezpieczeń dla różnych typów zasobów w chmurze przy użyciu narzędzi do zarządzania konfiguracją w celu domyślnego ustanowienia zgodnych środowisk. Skorzystaj ze standardów branżowych, zaleceń dostawców i wymagań organizacyjnych, aby utworzyć kompleksowe punkty odniesienia, które mogą być automatycznie stosowane podczas wdrażania zasobów.

Ryzyko w celu ograniczenia ryzyka

Bez ustandaryzowanych punktów odniesienia konfiguracji zabezpieczeń środowiska chmury cierpią z powodu niespójnych poziomów zabezpieczeń, które tworzą luki w zabezpieczeniach. Brak bezpiecznych standardów konfiguracji prowadzi do:

  • Luki w zabezpieczeniach dryfu konfiguracji: Zasoby wdrożone bez bazowych konfiguracji zabezpieczeń wprowadzają błędy konfiguracji, w tym otwarte reguły zapory, słabe ustawienia uwierzytelniania, nadmierne uprawnienia i wyłączone logowanie zdarzeń bezpieczeństwa, tworząc punkty wejścia dla atakujących.
  • Niespójne stany zabezpieczeń: Różne zespoły wdrażające zasoby o różnych konfiguracjach zabezpieczeń tworzą nieprzewidywalną powierzchnię ataków, w której niektóre środowiska mają silną ochronę, podczas gdy inne pozostają narażone.
  • Naruszenia zgodności: Ramy regulacyjne (PCI-DSS, HIPAA, SOC 2) nakazują określone konfiguracje zabezpieczeń — brak punktów odniesienia prowadzi do niezgodnych wdrożeń i niepowodzeń audytu.
  • Eksploatacja domyślnych konfiguracji: Usługi w chmurze często są dostarczane z domyślnymi konfiguracjami, które są zoptymalizowane pod kątem funkcjonalności, a nie zabezpieczeń. Niezmodyfikowane wartości domyślne często zawierają słabe strony zabezpieczeń, które atakujący regularnie wykorzystują.
  • Błędy konfiguracji ręcznej: Zespoły ręcznie konfigurujące ustawienia zabezpieczeń wprowadzają błędy ludzkie, w tym literówki, pominięte ustawienia i błędnie zrozumiałe wymagania, które osłabiają ogólny stan zabezpieczeń.
  • Zwiększanie skali słabych stron: W środowiskach chmurowych słabe punkty konfiguracji są replikowane w setkach lub tysiącach zasobów dzięki automatyzacji — pojedyncza usterka punktu odniesienia ma wpływ na całe środowisko.

Bez bezpiecznych punktów odniesienia konfiguracji, organizacje działają w sposób reaktywny w zakresie zabezpieczeń, w których słabe strony są wykrywane tylko po ich wykorzystaniu przez zagrożenia, a nie zapobiegające im dzięki proaktywnym standardom.

MITRE ATT&CK

  • Dostęp początkowy (TA0001): wykorzystanie aplikacji publicznej (T1190) wykorzystującej błędnie skonfigurowane usługi z domyślnymi poświadczeniami lub nadmierną ekspozycją sieci.
  • Trwałość (TA0003): tworzenie konta (T1136) wykorzystujących słabości w politykach konta lub słabe mechanizmy dostępu administracyjnego w konfiguracjach bazowych.
  • Uchylanie się od obrony (TA0005): obniżenie skuteczności ochrony (T1562) przez wyłączanie mechanizmów kontroli zabezpieczeń, które są nieprawidłowo skonfigurowane lub nieegzekwowane we wdrożeniach bazowych.
  • Odnajdywanie (TA0007): odnajdywanie infrastruktury w chmurze (T1580) wyliczanie nieprawidłowo skonfigurowanych zasobów w celu mapowania ścieżek ataków i identyfikowania celów o wysokiej wartości.

PV-1.1: Ustanawianie konfiguracji zabezpieczeń odniesienia

Organizacje, które nie mają ustandaryzowanych konfiguracji zabezpieczeń, wdrażają zasoby z niespójnymi stanami zabezpieczeń, tworząc luki w zabezpieczeniach w środowiskach, jednocześnie zużywając znaczne nakłady pracy operacyjnej ręcznie konfigurując każde wdrożenie. Punkty odniesienia konfiguracji ustanawiają powtarzalne standardy zabezpieczeń, które uniemożliwiają dryf konfiguracji i zapewniają spójną ochronę we wszystkich zasobach w chmurze. Ustandaryzowane konfiguracje zabezpieczeń przyspieszają bezpieczne wdrażanie przy jednoczesnym zmniejszeniu liczby zdarzeń zabezpieczeń związanych z konfiguracją i naruszeń zgodności.

Ustanów spójne konfiguracje zabezpieczeń za pomocą ustandaryzowanych punktów odniesienia:

  • Zdefiniuj punkty odniesienia konfiguracji zabezpieczeń: Użyj testu porównawczego zabezpieczeń w chmurze firmy Microsoft i zaleceń dotyczących zabezpieczeń specyficznych dla usługi, aby ustanowić standardy konfiguracji dla każdej usługi platformy Azure.
  • Implementowanie stref wdrożeniowych Azure: Strefy wdrożeniowe Azure umożliwiają przyspieszenie wdrażania obciążeń przy użyciu wstępnie skonfigurowanych ustawień zabezpieczeń i mechanizmów zarządzania.
  • Użyj szablonów infrastruktury jako kodu: Zakoduj i wdrażaj spójne konfiguracje bezpieczeństwa przy użyciu szablonów Bicep i specyfikacji szablonów dla powtarzalnych wdrożeń.
  • Wskazówki dotyczące architektury referencyjnej: Postępuj zgodnie z filarem zabezpieczeń platformy Azure Well-Architected Framework , aby uzyskać wskazówki dotyczące konfiguracji architektury i najlepsze rozwiązania.

Przykład implementacji

Organizacja usług finansowych ustanowiła kompleksowe punkty odniesienia konfiguracji zabezpieczeń w całej infrastrukturze chmury obsługującej aplikacje bankowe online i systemy przetwarzania danych klientów obsługujące 2,5 miliona klientów.

Wyzwanie: Organizacja usług finansowych nie ma ustandaryzowanych konfiguracji zabezpieczeń w całej infrastrukturze chmury, co skutkuje niespójnymi stanami zabezpieczeń w ponad 500 zasobach platformy Azure z zdarzeniami zabezpieczeń powiązanymi z konfiguracją i długotrwałymi okresami wdrażania środowiska z powodu ręcznych procesów konfiguracji zabezpieczeń.

Podejście do rozwiązania:

Definiowanie kompleksowych punktów odniesienia zabezpieczeń:

  1. Tworzenie specyfikacji szablonu zawierających standardy konfiguracji zabezpieczeń dla typowych typów zasobów:
    • Sieci wirtualne z sieciowymi grupami zabezpieczeń skonfigurowanymi do uzyskiwania dostępu z najmniejszymi uprawnieniami
    • Konta magazynu z włączonym szyfrowaniem danych w spoczynku, z wyłączonym dostępem publicznym oraz skonfigurowanym rejestrowaniem
    • Magazyny kluczy z zasadami dostępu ograniczającymi dostęp tajny tylko do autoryzowanych aplikacji
    • Usługi App Services z wymuszaniem protokołu HTTPS, integracją tożsamości i skonfigurowanymi nagłówkami zabezpieczeń.
    • Bazy danych SQL z przezroczystym szyfrowaniem danych, włączoną inspekcją i skonfigurowanymi regułami zapory
  2. Ustanów punkty odniesienia zasobów obliczeniowych przy użyciu usługi Azure Machine Configuration:
    • Konfiguracje bazowe systemu Windows Server przy użyciu usługi Azure Machine Configuration na potrzeby zgodności z normami CIS
    • Bazowe wytyczne wzmacniania zabezpieczeń systemu Linux wdrożone zgodnie z najlepszymi praktykami dla maszyn Azure Automanage
    • Skanowanie zabezpieczeń obrazu kontenera zintegrowane z usługą Microsoft Defender for Containers w usłudze Azure Container Registry
    • Podstawy zabezpieczeń usługi Azure Kubernetes Service egzekwujące dodatek Azure Policy z wbudowanymi zasadami zabezpieczeń

Zaimplementuj wdrożenie infrastruktury jako kodu:

  1. Wdrażanie szablonów Bicep za pomocą integracji usługi Azure Policy zapewniającej zgodność podczas wdrażania:
    • Moduły Bicep z wbudowanymi parametrami zabezpieczeń (minimumTlsVersion, obsługują właściwościHttpsTrafficOnly)
    • Usługa Azure Policy deployIfNotExists powoduje automatyczne włączanie ustawień diagnostycznych i szyfrowania
    • Specyfikacje szablonu są wersjonowane i przechowywane na platformie Azure na potrzeby scentralizowanego zarządzania punktami odniesienia
  2. Używanie potoków usługi Azure DevOps z zadaniami wdrażania usługi Azure Resource Manager i sprawdzaniem zgodności zasad
  3. Wdrażanie zasad gałęzi usługi Azure Repos, które wymagają przeglądu kodu zespołu zabezpieczeń przed scaleniem zmian bazowych

Wynik: Organizacja osiągnęła silną zgodność ze standardami konfiguracji zabezpieczeń, ustanawiając spójne stany zabezpieczeń we wszystkich infrastrukturze chmury. Znacznie zmniejszyły się zdarzenia zabezpieczeń związane z konfiguracją, co pokazuje skuteczność ustandaryzowanych konfiguracji zabezpieczeń w zapobieganiu typowym lukom i błędom konfiguracji.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: CM-2, CM-6, CM-6(1)
  • PCI-DSS 4: 2.2.1, 12.3.1
  • Kontrolki CIS w wersji 8.1: 4.1, 4.2
  • NIST CSF v2.0: PR.IP-1, PR.DS-6
  • ISO 27001:2022: A.8.9, A.5.37
  • SOC 2: CC6.1, CC6.6

PV-2: Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: PV-2.

Zasada zabezpieczeń

Ciągłe monitorowanie i alerty dotyczące odchyleń od zdefiniowanych punktów odniesienia konfiguracji. Wymuszanie żądanych konfiguracji za pomocą zautomatyzowanego korygowania, które odrzuca niezgodne konfiguracje lub automatycznie wdraża konfiguracje naprawcze w celu zachowania stanu zabezpieczeń.

Ryzyko w celu ograniczenia ryzyka

Dryf konfiguracji od ustalonych bazowych poziomów bezpieczeństwa wprowadza luki w zabezpieczeniach, które gromadzą się w czasie, powiększając powierzchnię podatną na ataki. Bez ciągłego monitorowania i wymuszania:

  • Dryf konfiguracji dyskretnej: Zmiany ręczne, modyfikacje awaryjne i aktualizacje przyrostowe stopniowo osłabiają konfiguracje zabezpieczeń bez wyzwalania alertów w środowiskach, które wydają się bezpieczne, ale zawierają luki w zabezpieczeniach.
  • Obniżenie zgodności: Systemy początkowo wdrażane ze zgodnymi konfiguracjami odchodzą od wymagań regulacyjnych poprzez normalne zmiany operacyjne, tworząc wyniki inspekcji i ryzyko związane z certyfikacją.
  • Niespójne wymuszanie: Różne zespoły stosujące konfiguracje zabezpieczeń ręcznie wprowadzają odmiany i pominięcie, które tworzą słabe punkty zabezpieczeń w całym środowisku.
  • Wyjątki zmiany awaryjnej: Sytuacje pod dużą presją prowadzą do obejść zabezpieczeń i tymczasowych konfiguracji, które stają się trwałe, osłabiając ogólną postawę bezpieczeństwa.
  • Zwiększanie skali dryfu: W środowiskach w chmurze zmiany konfiguracji są replikowane w wielu zasobach za pomocą automatyzacji — pojedyncze zdarzenie dryfu może osłabić setki zasobów jednocześnie.
  • Niewykryte błędy konfiguracji: Bez zautomatyzowanego monitorowania błędy konfiguracji zabezpieczeń pozostają niewykryte przez dłuższy czas, co zapewnia trwałe możliwości wykorzystania osoby atakującej.

Dryf konfiguracji przekształca początkowo bezpieczne środowiska w infrastrukturę podatną na zagrożenia, która nie spełnia wymagań dotyczących zabezpieczeń i zgodności.

MITRE ATT&CK

  • Uchylanie się od obrony (TA0005): osłabianie obrony (T1562) wykorzystujące dryf konfiguracji w celu wyłączenia lub osłabienia mechanizmów kontroli zabezpieczeń.
  • Trwałość (TA0003): modyfikacja procesu uwierzytelniania (T1556) przy użyciu osłabionych konfiguracji uwierzytelniania, które odbiegły od bezpiecznych norm.
  • Odnajdywanie (TA0007): odnajdywanie infrastruktury w chmurze (T1580) identyfikujące błędnie skonfigurowane zasoby poprzez systematyczne wyliczanie słabych stron konfiguracji.

PV-2.1: Implementowanie ciągłego monitorowania konfiguracji

Dryf konfiguracji występuje stopniowo, ponieważ zmiany ręczne, poprawki awaryjne i nieautoryzowane modyfikacje oddalają zasoby od bazowych ustawień zabezpieczeń, tworząc luki bezpieczeństwa, które tradycyjne okresowe audyty wykrywają zbyt późno, aby zapobiec wykorzystywaniu. Ciągłe monitorowanie konfiguracji zapewnia wgląd w stan konfiguracji w czasie rzeczywistym i automatyczne wykrywanie obniżenia kontroli zabezpieczeń. Automatyczne wymuszanie zapobiega dryfowi konfiguracji przy zachowaniu spójności stanu zabezpieczeń we wszystkich zasobach w chmurze.

Zachowaj zgodność punktu odniesienia zabezpieczeń za pomocą ciągłego monitorowania i wymuszania:

  • Konfigurowanie oceny ciągłej konfiguracji: Usługa Microsoft Defender for Cloud umożliwia ciągłą ocenę konfiguracji zasobów pod kątem zaleceń dotyczących zabezpieczeń i identyfikowanie odchyleń od punktów odniesienia.
  • Implementowanie monitorowania opartego na zasadach: Wdróż usługę Azure Policy z efektami inspekcji i wymuszania, aby monitorować i kontrolować konfiguracje zasobów we wszystkich subskrypcjach.
  • Utwórz alerty odchyleń konfiguracji: Usługa Azure Monitor umożliwia tworzenie alertów po wykryciu odchyleń konfiguracji, uruchamiając przepływy pracy dotyczące badania i korygowania.
  • Wdrażanie mechanizmów kontroli prewencyjnej: Zaimplementuj efekty odmowy usługi Azure Policy , aby zapobiec wdrażaniu niezgodnych konfiguracji w czasie tworzenia zasobów.
  • Automatyzacja korygowania konfiguracji: Wykorzystaj efekty deployIfNotExists usługi Azure Policy, aby automatycznie skorygować dryf konfiguracji bez interwencji ręcznej.

Przykład implementacji

Firma zajmująca się technologią opieki zdrowotnej wdrożyła kompleksowe monitorowanie konfiguracji w infrastrukturze chmury obsługujące systemy elektronicznych rejestrów zdrowia (EHR) i platformy analizy danych pacjentów obsługujące 150 szpitali.

Wyzwanie: Firma zajmująca się technologią opieki zdrowotnej doświadczyła zdarzeń dryfu konfiguracji, które stworzyły zagrożenia zgodności HIPAA, a zmiany konfiguracji pozostawały niewykryte przez tygodnie, a ręczne procesy korygowania trwały kilka dni, aby naprawić naruszenia konfiguracji zabezpieczeń w ponad 150 środowiskach szpitalnych.

Podejście do rozwiązania:

Wdrażanie infrastruktury ciągłego monitorowania:

  1. Włącz usługę Microsoft Defender for Cloud we wszystkich subskrypcjach z zasadami zabezpieczeń skonfigurowanymi do oceny:
    • Konfiguracje szyfrowania konta magazynu i dostępu
    • Reguły grupy zabezpieczeń sieciowych i ekspozycja sieci
    • Zgodność konfiguracji zarządzania tożsamościami i dostępem
    • Konfiguracje zabezpieczeń bazy danych i mechanizmy kontroli dostępu
    • Zgodność bazowego poziomu zabezpieczeń maszyny wirtualnej
  2. Konfigurowanie usługi Azure Monitor Log Analytics za pomocą zapytań KQL wykrywających zmiany konfiguracji:
    • Zapytania AzureActivity monitorują NetworkSecurityGroupRuleOperations pod kątem modyfikacji reguł zapory.
    • Zapytania AzureDiagnostics wykrywające zdarzenia StorageAccountEncryptionDisabled
    • Zapytania AuditLogs śledzące przypisania ról i eskalacje uprawnień w Microsoft Entra PIM
    • PolicyEvents wysyła zapytania dotyczące monitorowania żądań wykluczenia zasad i zmian stanu zgodności

Implementowanie wymuszania opartego na zasadach:

  1. Wdrażanie wbudowanych inicjatyw usługi Azure Policy na potrzeby zgodności z programem HIPAA HITRUST 9.2:
    • Zasady dotyczące skutków audytu przy użyciu dostawców zasobów Microsoft.Compute, Microsoft.Storage, Microsoft.Network
    • Zasady efektu odmowy wymuszające allowedLocations, allowedVirtualMachineSkus, deniedResourceTypes
    • Zasady efektu DeployIfNotExists wdrażające usługę Microsoft Defender dla Chmury, ustawienia diagnostyczne, szyfrowanie
  2. Konfigurowanie zadań korygowania usługi Azure Policy przy użyciu przypisań tożsamości zarządzanych:
    • Zautomatyzowane zadania naprawcze przy użyciu systemowo przydzielonych zarządzanych tożsamości dla zgodności zasad
    • Runbooki usługi Azure Automation wyzwalane przez zmiany stanu zgodności polityk
    • Przepływy pracy w Azure Logic Apps dla skomplikowanej poprawy wymagającej wieloetapowej koordynacji

Ustanów przepływy pracy alertów i odpowiedzi:

  1. Tworzenie reguł alertów usługi Azure Monitor dla krytycznych zmian konfiguracji:
    • Natychmiastowe alerty dotyczące dezaktywacji kontroli zabezpieczeń lub wyjątków w zasadach
    • Codzienne podsumowania stanu zgodności konfiguracji w różnych środowiskach
    • Cotygodniowe analizy trendów identyfikujące problemy z zarządzaniem konfiguracją systemową
  2. Integrowanie alertów z usługą Azure DevOps w celu śledzenia i rozwiązywania problemów:
    • Automatyczne tworzenie elementów roboczych w przypadku naruszeń krytycznych konfiguracji zabezpieczeń
    • Przypisywanie do odpowiednich zespołów na podstawie typu zasobu i ważności
    • Śledzenie zgodności z SLA zapewniające terminowe korekty odchylenia konfiguracji.

Wynik: Monitorowanie konfiguracji organizacji wykryło i skorygowało zdarzenia dryfu konfiguracji, które mogły doprowadzić do naruszeń zgodności HIPAA, zapobiegając karom regulacyjnym i ochronie danych pacjentów. Automatyczne wymuszanie uniemożliwiło niezgodne wdrożenia zasobów przed dotarciem do środowiska produkcyjnego, zapewniając spójność konfiguracji zabezpieczeń w całym cyklu życia zasobów.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: CM-2, CM-3, CM-6, CM-7, CM-7(1)
  • PCI-DSS 4: 2.2.2, 2.2.7, 11.5.1
  • Kontrolki CIS w wersji 8.1: 4.1 , 4.2, 4.7
  • NIST CSF v2.0: DE.CM-7, PR.IP-1
  • ISO 27001:2022: A.8.9, A.8.34
  • SOC 2: CC6.1, CC6.6, CC7.1

PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Zasada zabezpieczeń

Zdefiniuj bezpieczne punkty odniesienia konfiguracji dla zasobów obliczeniowych, w tym maszyn wirtualnych i kontenerów. Użyj narzędzi do zarządzania konfiguracją i wstępnie skonfigurowanych obrazów, aby domyślnie ustanowić zgodne środowiska obliczeniowe, zapewniając spójne stosowanie zabezpieczeń we wszystkich wdrożeniach obliczeniowych.

Ryzyko w celu ograniczenia ryzyka

Zasoby obliczeniowe, w tym maszyny wirtualne i kontenery, często są wdrażane z niezabezpieczonymi domyślnymi konfiguracjami, co naraża organizacje na zagrożenia. Bez bezpiecznych punktów odniesienia obliczeń:

  • Luki w zabezpieczeniach systemu operacyjnego: Domyślne instalacje systemu operacyjnego zawierają niepotrzebne usługi, słabe ustawienia uwierzytelniania i brakujące poprawki zabezpieczeń, które zapewniają wektory ataków na potrzeby eskalacji uprawnień i przenoszenia bocznego.
  • Luki w zabezpieczeniach kontenerów: Obrazy kontenerów utworzone bez wzmacniania zabezpieczeń zawierają podatne bazowe warstwy, nadmierne uprawnienia i niezabezpieczone konfiguracje środowiska uruchomieniowego, które umożliwiają ucieczkę z kontenera i zagrożenie dla hosta.
  • Wady konfiguracji usługi: Aplikacje i usługi wdrożone z konfiguracjami domyślnymi często umożliwiają niepotrzebne funkcje, używają słabych poświadczeń i nie mają odpowiednich kontroli dostępu.
  • Trwałe możliwości dostępu: Zasoby obliczeniowe ze słabymi standardami bezpieczeństwa umożliwiają atakującym stworzenie stabilnych przyczółków do utrzymania długoterminowego dostępu i prowadzenia rekonesansu.
  • Zwiększanie skali: Automatyczne skalowanie w chmurze i systemy orkiestracji replikują niezabezpieczone konfiguracje obliczeniowe w setkach wystąpień, co zwiększa wpływ podstawowych słabości zabezpieczeń.
  • Naruszenia zgodności: Standardy regulacyjne wymagają określonych konfiguracji zabezpieczeń dla zasobów obliczeniowych niezabezpieczonych punktów odniesienia, które tworzą demonstrowalne luki w zgodności.

Niezabezpieczone konfiguracje obliczeniowe zapewniają osobom atakującym wiele ścieżek dostępu początkowego, eskalacji uprawnień i trwałej obecności w środowiskach chmury.

MITRE ATT&CK

  • Dostęp początkowy (TA0001): wykorzystanie aplikacji publicznej (T1190) przeznaczonej dla usług działających na niezabezpieczonych zasobach obliczeniowych.
  • Wykonanie (TA0002): interpreter poleceń i skryptów (T1059) wykorzystujący słabe zabezpieczenia obliczeniowe w celu wykonania złośliwego kodu.
  • Trwałość (TA0003): tworzenie lub modyfikowanie procesu systemowego (T1543) wykorzystującego słabe punkty odniesienia obliczeniowe w celu ustanowienia trwałego dostępu.
  • Uchylanie się od obrony (TA0005): upośledzanie obrony (T1562) poprzez wyłączanie mechanizmów kontroli zabezpieczeń na zasobach obliczeniowych o słabej konfiguracji.

PV-3.1: Ustanawianie punktów odniesienia zabezpieczeń obliczeniowych

Zasoby obliczeniowe wdrożone przy użyciu domyślnych konfiguracji zawierają znane słabości zabezpieczeń i niepotrzebne usługi, które osoby atakujące wykorzystują do początkowej eskalacji dostępu i uprawnień, a luki w zabezpieczeniach systemu operacyjnego pozostają podstawowymi wektorami ataków w środowiskach chmury. Wzmacnianie zabezpieczeń zmniejsza obszar ataków, wyłączając niepotrzebne usługi, stosując konfiguracje zabezpieczeń i wymuszając zasady najniższych uprawnień na poziomie systemu operacyjnego. Utwardzone punkty odniesienia obliczeniowe uniemożliwiają typowe techniki wykorzystywania przy jednoczesnym zapewnieniu spójnego poziomu zabezpieczeń we wszystkich zasobach obliczeniowych.

Zaimplementuj zabezpieczenia zasobów obliczeniowych za pomocą ustandaryzowanych punktów odniesienia:

  • Zastosuj punkty odniesienia zabezpieczeń systemu operacyjnego: Użyj punktów odniesienia zabezpieczeń platformy Azure dla systemów operacyjnych Windows i Linux , aby wymusić testy porównawcze CIS i zalecenia dotyczące zabezpieczeń firmy Microsoft.
  • Tworzenie obrazów maszyn wirtualnych ze wzmocnionym zabezpieczeniami: Użyj narzędzia Azure Image Builder , aby utworzyć obrazy maszyn wirtualnych ze wzmocnionymi zabezpieczeniami ze wstępnie zastosowanymi konfiguracjami zabezpieczeń przed wdrożeniem.
  • Ustanów punkty odniesienia zabezpieczeń kontenera: Stosowanie standardów zabezpieczeń kontenerów przy użyciu zaleceń usługi Microsoft Defender for Containers dotyczących wzmacniania zabezpieczeń obrazów i ochrony środowiska uruchomieniowego.

Przykład implementacji

Firma produkcyjna ustanowiła bezpieczne punkty odniesienia obliczeniowe w ramach infrastruktury przemysłowej IoT i aplikacji dla przedsiębiorstw obsługujących ponad 50 zakładów produkcyjnych i systemów zarządzania łańcuchami dostaw.

Wyzwanie: Firma produkcyjna miała do czynienia ze zdarzeniami zabezpieczeń obejmującymi zasoby obliczeniowe z krytycznymi lukami w zabezpieczeniach, długotrwałym przygotowaniem inspekcji zgodności z powodu niespójnych konfiguracji zabezpieczeń i powolnymi procesami wdrażania maszyn wirtualnych, które opóźniły rozszerzenia zakładów produkcyjnych w ponad 50 lokalizacjach.

Podejście do rozwiązania:

Ustanów punkty odniesienia zabezpieczeń maszyny wirtualnej:

  1. Tworzenie obrazów maszyn wirtualnych ze wzmocnionymi zabezpieczeniami przy użyciu narzędzia Azure Image Builder z galerią obliczeń platformy Azure:
    • Obrazy systemu Windows Server 2022 z dostosowaniami narzędzia Azure Image Builder z zastosowaniem wzorców CIS
    • Obrazy z systemem Ubuntu 22.04 LTS przy użyciu skryptów RunScript narzędzia Azure Image Builder na potrzeby wzmacniania zabezpieczeń
    • Automatyzacja dołączania do usługi Microsoft Defender for Endpoint za pomocą skryptów build programu Image Builder
    • Azure Compute Gallery - wersjonowanie z replikacją między regionami w celu dystrybucji wzorca
  2. Konfigurowanie konfiguracji maszyny platformy Azure pod kątem zgodności na poziomie systemu operacyjnego:
    • Pakiety konfiguracji maszyny platformy Azure wdrażające konfiguracje DSC na maszynach wirtualnych z systemem Windows
    • Niestandardowe zasady usługi Azure Machine Configuration wymuszające punkty odniesienia zabezpieczeń systemu Linux
    • Włączanie usługi Azure Disk Encryption wymuszane za pomocą usługi Azure Policy deployIfNotExists
    • Wymagania dotyczące bezpiecznego rozruchu i vTPM są wymuszane za pomocą zasad tworzenia maszyn wirtualnych.

Wdrażanie punktów odniesienia zabezpieczeń kontenera:

  1. Konfigurowanie usługi Azure Container Registry za pomocą usługi Microsoft Defender for Containers:
    • Skanowanie luk w zabezpieczeniach usługi Microsoft Defender for Containers przy użyciu zintegrowanego skanera Trivy dla obrazów usługi ACR
    • Wzorzec kwarantanny usługi ACR przy użyciu uprawnień repozytorium blokujących ściąganie obrazów podatnych na zagrożenia
    • Optymalizacja kompilacji kontenerów przy użyciu minimalnych obrazów podstawowych i kompilacji wieloetapowych
    • Bramki potoków usługi Azure DevOps zatrzymują kompilacje przy wykryciu krytycznych/wysokich CVEs przez Defendera
  2. Implementowanie punktów odniesienia zabezpieczeń usługi Azure Kubernetes Service:
    • Azure Policy dla AKS wymusza bazę zabezpieczeń podów przy użyciu wbudowanych definicji zasad
    • Azure CNI z zasadami sieci Calico do izolacji sieciowej na poziomie przestrzeni nazw
    • Usługa Azure Kubernetes Fleet Manager dystrybuuje bezpieczne konfiguracje między klastrami
    • Narzędzie AKS Image Cleaner automatycznie usuwa stare obrazy na podstawie zasad przechowywania

Ustanów nadzór nad obrazami za pomocą usługi Azure Policy:

  1. Wdrażanie usługi Azure Policy na potrzeby zgodności obrazu kontenera:
    • Usługa Azure Policy zapewniająca wdrażanie tylko obrazów źródłowych usługi ACR w klastrach usługi AKS
    • Wymagania dotyczące tagowania obrazów kontenera wymuszane za pomocą efektów inspekcji usługi Azure Policy
    • Zautomatyzowane przepływy pracy odświeżania obrazów przy użyciu zaplanowanych przebiegów zadań usługi Azure Container Registry
    • Integracja z usługą Azure Compute Gallery dla zatwierdzonej maszyny wirtualnej i dystrybucji obrazów podstawowych kontenerów

Wynik: Bezpieczne punkty odniesienia obliczeń organizacji znacznie zmniejszyły liczbę zdarzeń zabezpieczeń obejmujących zasoby obliczeniowe, co pokazuje skuteczność ustandaryzowanych konfiguracji zabezpieczeń. Wyniki oceny podatności wykazały znaczną redukcję krytycznych i ważnych wyników o wysokim stopniu, co zmniejsza powierzchnię ataku i ryzyka zgodności w różnych zakładach produkcyjnych.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: CM-2, CM-6, SC-28, SC-28(1)
  • PCI-DSS 4: 2.2.1, 2.2.4, 2.2.5
  • Kontrole CIS w wersji 8.1: 4.1, 4.8, 18.3
  • pl-PL: NIST CSF v2.0: PR.IP-1, PR.DS-6, PR.PT-3
  • ISO 27001:2022: A.8.1, A.8.9, A.8.19
  • SOC 2: CC6.1, CC6.6, CC6.7

PV-4: Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: PV-4.

Zasada zabezpieczeń

Ciągłe monitorowanie i alerty dotyczące odchyleń konfiguracji ze zdefiniowanych punktów odniesienia w zasobach obliczeniowych. Wymuszanie żądanych konfiguracji za pomocą zautomatyzowanego korygowania, które uniemożliwia niezgodne konfiguracje lub automatycznie stosuje środki naprawcze w celu zachowania stanu zabezpieczeń.

Ryzyko w celu ograniczenia ryzyka

Konfiguracje zasobów obliczeniowych dryfują od punktów odniesienia zabezpieczeń przez normalne operacje, tworząc luki w zabezpieczeniach, które gromadzą się w czasie. Bez ciągłego monitorowania i wymuszania:

  • Dryf konfiguracji w systemach krytycznych: Systemy produkcyjne stopniowo odbiegają od bezpiecznych punktów odniesienia poprzez uzasadnione zmiany, modyfikacje awaryjne i przyrostowe aktualizacje, osłabiając tym samym postawę zabezpieczeń, bez wyzwalania alertów.
  • Luki w zarządzaniu poprawkami: Brak aktualizacji zabezpieczeń pozostawia zasoby obliczeniowe podatne na znane luki w zabezpieczeniach, podczas gdy organizacje uważają, że systemy są aktualne.
  • Luki w zabezpieczeniach związane z rozrastaniem się usług: Nowe usługi i aplikacje zainstalowane w zasobach obliczeniowych wprowadzają słabości zabezpieczeń, które omijają podstawowe środki kontroli bezpieczeństwa.
  • Dryf zabezpieczeń środowiska uruchomieniowego kontenera: Platformy orkiestracji kontenerów umożliwiają modyfikacje środowiska uruchomieniowego, które mogą osłabiać zasady zabezpieczeń i uwidaczniać podstawową infrastrukturę.
  • Luki w weryfikacji zgodności: Bez ciągłego monitorowania zasoby obliczeniowe nie spełniają wymagań prawnych między okresowymi inspekcjami.

Dryf konfiguracji w zasobach obliczeniowych zapewnia atakującym zmieniające się możliwości wykorzystania, ponieważ mechanizmy kontroli zabezpieczeń osłabiają się wraz z upływem czasu.

MITRE ATT&CK

  • Eskalacja uprawnień (TA0004): wykorzystywanie systemów docelowych eskalacji uprawnień (T1068) z dryfem konfiguracji umożliwiającym podwyższony poziom dostępu.
  • Uchylanie się od obrony (TA0005): osłabianie obrony (T1562) wykorzystujące zmiany konfiguracji, które osłabiły mechanizmy kontroli zabezpieczeń.
  • Trwałość (TA0003): modyfikowanie procesu uwierzytelniania (T1556) wykorzystującego dryf konfiguracji uwierzytelniania w celu utrzymania trwałego dostępu.
  • Odnajdywanie (TA0007): odnajdywanie informacji o systemie (T1082) zbierania informacji z nieprawidłowo skonfigurowanych systemów w celu zidentyfikowania możliwości ataku.

PV-4.1: Implementowanie monitorowania konfiguracji obliczeniowej

Konfiguracje zasobów obliczeniowych zmieniają się często za pośrednictwem instalacji poprawek, aktualizacji aplikacji i modyfikacji administracyjnych, co stwarza możliwości obniżenia kontroli zabezpieczeń wykorzystywanego przez osoby atakujące w celu ustanowienia przyczółków w środowiskach chmury. Ciągłe monitorowanie konfiguracji obliczeniowej wykrywa słabe punkty zabezpieczeń i nieautoryzowane zmiany, zanim przeciwnicy mogą wykorzystać błędy konfiguracji w przypadku eskalacji uprawnień lub przenoszenia bocznego. Automatyczna ocena konfiguracji i korygowanie utrzymuje stan zabezpieczeń obliczeniowych, zapobiegając dryfowi konfiguracji między wdrożeniami maszyn wirtualnych i kontenerów.

Zachowaj zabezpieczenie środowiska obliczeniowego poprzez ciągłe monitorowanie konfiguracji i jej egzekwowanie.

  • Ciągła ocena konfiguracji zabezpieczeń obliczeniowych: Usługa Microsoft Defender for Cloud umożliwia ciągłą ocenę konfiguracji zabezpieczeń zasobów obliczeniowych względem branżowych testów porównawczych i najlepszych rozwiązań.
  • Implementowanie ciągłego monitorowania zgodności: Wdróż usługę Azure Machine Configuration w celu ciągłego monitorowania zgodności i zautomatyzowanego korygowania dryfu konfiguracji.
  • Zachowaj żądany stan konfiguracji: Użyj usługi Azure Automation State Configuration , aby zachować żądany stan konfiguracji w zasobach obliczeniowych z funkcjami automatycznej korekty.
  • Monitorowanie zmian konfiguracji: Zaimplementuj śledzenie zmian i spis, aby monitorować zmiany konfiguracji w zasobach obliczeniowych i wykrywać nieautoryzowane modyfikacje.
  • Włącz monitorowanie stanu zabezpieczeń kontenera: Wdroż Microsoft Defender for Containers w celu monitorowania stanu zabezpieczeń kontenerów w klastrach AKS i rejestrach kontenerów.

Przykład implementacji

Firma zajmująca się technologią finansową wdrożyła kompleksowe monitorowanie konfiguracji obliczeniowej w systemach handlowych i aplikacjach przeznaczonych dla klientów obsługujących transakcje finansowe w czasie rzeczywistym oraz poufne przetwarzanie danych finansowych.

Wyzwanie: Firma zajmująca się technologią finansową doświadczyła incydentów związanych z dryfem konfiguracji wpływających na systemy handlowe, a jego wykrycie zajmowało dni, a ręczna naprawa godzin, tworząc zagrożenia zgodności i potencjalne naruszenia bezpieczeństwa w systemach, które przetwarzają transakcje finansowe w czasie rzeczywistym dla milionów klientów.

Podejście do rozwiązania:

Wdrażanie kompleksowego monitorowania konfiguracji:

  1. Włącz usługę Microsoft Defender for Cloud we wszystkich zasobach obliczeniowych:
    • Ciągła ocena konfiguracji zabezpieczeń maszyn wirtualnych względem testów porównawczych CIS
    • Ocena stanu zabezpieczeń kontenera dla klastrów Kubernetes
    • Priorytetyzacja zaleceń dotyczących zabezpieczeń na podstawie oceny ryzyka
    • Integracja z usługą Microsoft Sentinel na potrzeby scentralizowanego monitorowania zabezpieczeń
  2. Implementowanie konfiguracji maszyny platformy Azure:
    • Monitorowanie zgodności podstawowej dla Windows i Linux dla ponad 500 maszyn wirtualnych
    • Zasady niestandardowe wymuszające wymagania dotyczące zabezpieczeń usług finansowych
    • Zautomatyzowane korygowanie typowych scenariuszy dryfu konfiguracji
    • Raportowanie zgodności na potrzeby przygotowywania inspekcji regulacyjnej

Tworzenie zautomatyzowanych przepływów pracy naprawczych:

  1. Konfigurowanie konfiguracji stanu usługi Azure Automation:
    • Konfiguracje DSC programu PowerShell utrzymujące wymagania dotyczące zabezpieczeń systemu handlowego
    • Automatyczna korekta odchylenia konfiguracji związanej z zabezpieczeniami w ciągu 5 minut
    • Obsługa wyjątków dla uzasadnionych odmian konfiguracji podczas konserwacji
    • Walidacja zgodności zapewniająca pomyślne ukończenie akcji korygowania
  2. Wdrażanie monitorowania zmian i inwentaryzacji
    • Wykrywanie nieautoryzowanych instalacji oprogramowania w czasie rzeczywistym
    • Monitorowanie zmian plików i rejestru o krytycznym znaczeniu dla zabezpieczeń
    • Generowanie alertów dla zmian konfiguracji poza oknami obsługi
    • Integracja z procesami zarządzania zmianami do zatwierdzonych modyfikacji

Implementowanie monitorowania zabezpieczeń kontenera:

  1. Włącz usługę Microsoft Defender for Containers w klastrach usługi AKS:
    • Monitorowanie zabezpieczeń środowiska uruchomieniowego wykrywające podejrzane zachowanie kontenera
    • Ocena podatności obrazów dla wszystkich wdrożonych obrazów kontenerów
    • Ocena konfiguracji klastra Kubernetes pod kątem najlepszych rozwiązań w zakresie zabezpieczeń
    • Analiza identyfikująca nietypowe wzorce komunikacji w ruchu sieciowym
  2. Wymuszanie zasad zabezpieczeń usługi AKS za pomocą usługi Azure Policy dla platformy Kubernetes:
    • Wbudowane zasady Azure Policy egzekwujące bazowy standard zabezpieczeń dla zasobników (wykluczające uprzywilejowane kontenery)
    • Dodatek Azure Policy dla AKS przy użyciu frameworka ograniczeń OPA w usłudze Gatekeeper w wersji 3
    • Azure CNI z zasadami sieci Calico do izolacji sieciowej na poziomie przestrzeni nazw
    • Inicjatywa usługi Azure Policy dotycząca wdrażania limitów procesora CPU/pamięci kontenera za pośrednictwem obiektów LimitRange

Ustanów nadzór i raportowanie:

  1. Tworzenie pulpitów zgodności i raportów.
    • Wgląd w stan zgodności zasobów obliczeniowych w czasie rzeczywistym
    • Analiza trendów identyfikując systematyczne problemy z zarządzaniem konfiguracją
    • Raportowanie kadry kierowniczej na temat stanu zabezpieczeń i metryk poprawy
    • Integracja z platformami zarządzania ryzykiem na potrzeby kwantyfikacji ryzyka
  2. Implementowanie automatycznej reakcji na zdarzenia:
    • Natychmiastowe alerty dotyczące krytycznych naruszeń konfiguracji zabezpieczeń
    • Automatyczna izolacja niezgodnych zasobów oczekujących na korygowanie
    • Integracja z usługą Azure DevOps na potrzeby śledzenia i rozwiązywania elementów roboczych
    • Zalecenia dotyczące analizy po zdarzeniu i poprawy planu bazowego

Wynik: Monitorowanie konfiguracji organizacji wykryło i skorygowało zdarzenia dryfu konfiguracji, które mogły doprowadzić do naruszenia zabezpieczeń, zapobiegając stratom finansowym i naruszeniom danych. Automatyczne wymuszanie uniemożliwiło niebezpieczne zmiany konfiguracji przed wpływem na systemy produkcyjne, zapewniając stabilność platformy handlowej w całym rozwoju firmy.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: CM-3, CM-6, CM-6(1), SI-2, SI-2(2)
  • PCI-DSS 4: 2.2.2, 2.2.7, 11.3.1, 11.3.2
  • Kontrolki CIS w wersji 8.1: 4.1 , 4.2, 4.7, 18.5
  • NIST CSF v2.0: DE.CM-7, DE.CM-8, PR.IP-1
  • ISO 27001:2022: A.8.9, A.8.19, A.8.34
  • SOC 2: CC6.1, CC6.6, CC7.1, CC7.2

PV-5: Przeprowadzanie ocen luk w zabezpieczeniach

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: PV-5.

Zasada zabezpieczeń

Wykonaj kompleksowe oceny luk w zabezpieczeniach we wszystkich zasobach w chmurze zgodnie z harmonogramem i na żądanie. Śledzenie i porównywanie wyników skanowania w celu sprawdzenia skuteczności korygowania. Uwzględnij ocenę luk w zabezpieczeniach infrastruktury, słabości aplikacji, problemów z konfiguracją i ekspozycji sieci podczas zabezpieczania dostępu administracyjnego używanego do skanowania działań.

Ryzyko w celu ograniczenia ryzyka

Niezidentyfikowane luki w zabezpieczeniach w infrastrukturze chmury zapewniają osobom atakującym wiele możliwości wykorzystania. Bez kompleksowej oceny luk w zabezpieczeniach:

  • Nieznane ujawnienie luk w zabezpieczeniach: Systemy zawierają słabe punkty zabezpieczeń, które pozostają niewykryte do momentu, gdy zostaną wykorzystane przez atakujących, zapewniając im stabilne przyczółki, które omijają mechanizmy kontroli zabezpieczeń.
  • Nieaktualne bazy danych luk w zabezpieczeniach: Zespoły ds. zabezpieczeń nie mają aktualnej wiedzy na temat pojawiających się zagrożeń i nowo odnalezionych luk w zabezpieczeniach wpływających na ich infrastrukturę.
  • Wielowarstwowe ślepe plamy: Tradycyjne skanowanie ukierunkowane na sieć pomija luki w zabezpieczeniach usług w chmurze, obrazy kontenerów, funkcje bezserwerowe i usługi zarządzane.
  • Luki w zabezpieczeniach oparte na konfiguracji: Błędy konfiguracji i słabe punkty w politykach są niedostrzegane przez tradycyjne skanery luk w zabezpieczeniach, które skupiają się na wadach oprogramowania.
  • Zagrożenia dotyczące dostępu uprzywilejowanego: Konta administracyjne używane do skanowania luk w zabezpieczeniach tworzą dodatkowe wektory ataków, jeśli nie są prawidłowo zabezpieczone i monitorowane.
  • Luki w pokryciu oceny: Niekompletne skanowanie pozostawia fragmenty infrastruktury bez oceny, tworząc bezpieczne schronienia dla operacji atakujących.
  • Błędy śledzenia korygowania: Bez systematycznego śledzenia luk w zabezpieczeniach organizacje tracą wgląd w luki w zabezpieczeniach, które zostały rozwiązane i które pozostają nierozwiązane.

Nieodpowiednia ocena luk w zabezpieczeniach przekształca nieznane słabe strony w skuteczne wektory ataków, które umożliwiają początkowy dostęp, eskalację uprawnień i ruch boczny.

MITRE ATT&CK

  • Dostęp początkowy (TA0001): wykorzystanie aplikacji publicznej (T1190) wykorzystującej luki w zabezpieczeniach aplikacji internetowych i usług.
  • Eskalacja uprawnień (TA0004): wykorzystanie eskalacji uprawnień (T1068) ukierunkowane na znane luki w zabezpieczeniach systemów operacyjnych i aplikacji.
  • Ruch poprzeczny (TA0008): wykorzystanie usług zdalnych (T1021) przy użyciu luk w zabezpieczeniach w celu przechodzenia między systemami i sieciami.
  • Uchylanie się od obrony (TA0005): wykorzystanie uchylania się od obrony (T1562) wykorzystujące luki w zabezpieczeniach w celu wyłączenia lub obejścia mechanizmów kontroli zabezpieczeń.

PV-5.1: Implementowanie kompleksowej oceny luk w zabezpieczeniach

Organizacje bez kompleksowej widoczności luk w zabezpieczeniach działają z nieznanymi słabościami zabezpieczeń, które osoby atakujące identyfikują i wykorzystują przed wykryciem ich przez zespoły zabezpieczeń, a krytyczne luki w zabezpieczeniach pozostają niewykryte w zasobach obliczeniowych, kontenerach i bazach danych. Ciągła ocena luk w zabezpieczeniach zapewnia pełny wgląd w słabe strony zabezpieczeń we wszystkich zasobach w chmurze, umożliwiając proaktywne korygowanie, zanim przeciwnicy wykorzystują luki w zabezpieczeniach w celu uzyskania początkowego dostępu lub eskalacji uprawnień. Wielowarstwowe skanowanie w połączeniu z zarządzaniem ekspozycją zapewnia priorytetyzację opartą na ryzyku, która koncentruje się na wysiłkach korygujących na lukach w zabezpieczeniach, które najprawdopodobniej umożliwią skuteczne ataki.

Identyfikowanie i określanie priorytetów słabości zabezpieczeń za pomocą kompleksowej oceny luk w zabezpieczeniach:

  • Włącz kompleksową ocenę luk w zabezpieczeniach: Wdróż ocenę luk w zabezpieczeniach usługi Microsoft Defender for Cloud dla maszyn wirtualnych, kontenerów i baz danych SQL, aby zidentyfikować słabe punkty zabezpieczeń we wszystkich typach zasobów.
  • Użyj zintegrowanego skanowania luk w zabezpieczeniach: Zaimplementuj wbudowany skaner luk w zabezpieczeniach , aby uzyskać kompleksową ocenę maszyny wirtualnej bez konieczności dodatkowego wdrażania agenta ani licencjonowania.
  • Integracja zarządzania ekspozycją: Użyj Microsoft Security Exposure Management, aby zidentyfikować ścieżki ataków i ustalić priorytety luk w zabezpieczeniach na podstawie krytyczności zasobów i potencjalnego zasięgu detonacji na potrzeby korekty opartej na ryzyku.
  • Zaimplementuj ocenę luk w zabezpieczeniach bazy danych: Wdróż ocenę luk w zabezpieczeniach SQL na potrzeby oceny zabezpieczeń bazy danych i identyfikacji słabości konfiguracji.
  • Konfigurowanie śledzenia luk w zabezpieczeniach: Włącz eksport ciągły na potrzeby śledzenia i analizy trendów, aby mierzyć postęp korygowania w czasie.

Przykład implementacji

Firma zajmująca się usługami opieki zdrowotnej wdrożyła kompleksową ocenę luk w zabezpieczeniach w całej infrastrukturze chmury obsługującej systemy opieki zdrowotnej, integrację urządzeń medycznych i wymianę informacji o zdrowiu obsługujących ponad 500 placówek opieki zdrowotnej.

Wyzwanie: Firma zajmująca się usługami opieki zdrowotnej nie ma kompleksowych możliwości oceny luk w zabezpieczeniach, a krytyczne luki w zabezpieczeniach pozostają niewykryte przez tygodnie i ręczne procesy zarządzania lukami w zabezpieczeniach, co spowodowało niskie wskaźniki korygowania, które stworzyły zagrożenia zgodności w ponad 500 placówkach opieki zdrowotnej przetwarzających poufne dane pacjentów.

Podejście do rozwiązania:

Wdrażanie zintegrowanego skanowania luk w zabezpieczeniach:

  1. Włącz zintegrowane skanowanie luk w zabezpieczeniach w usłudze Microsoft Defender for Cloud:
    • Skanowanie bez agenta dla maszyn wirtualnych platformy Azure przy użyciu usługi Microsoft Defender for Cloud ze zintegrowanym skanerem Qualys
    • Skanowanie luk w zabezpieczeniach usługi Microsoft Defender for Containers przy użyciu narzędzia Trivy dla ponad 300 obrazów usługi Azure Container Registry
    • Ocena luk w zabezpieczeniach usługi Microsoft Defender for SQL z automatycznym tworzeniem punktu odniesienia
    • Integracja Log Analytics w ramach Azure Monitor z eksportem tabeli SecurityAssessment do Microsoft Sentinel

Zaimplementuj ciągłe monitorowanie w usłudze Microsoft Defender for Cloud:

  1. Konfigurowanie automatycznego wykrywania luk w zabezpieczeniach i określania priorytetów:
    • Priorytetyzacja luk w zabezpieczeniach oparta na ryzyku, biorąc pod uwagę krytyczne znaczenie zasobów i ekspozycję
    • Integracja z systemem EPSS (Exploit Prediction Scoring System) natywnie dostępnym w usłudze Microsoft Defender Vulnerability Management dla danych o prawdopodobieństwie wykorzystania
    • Korelacja z kanałami informacyjnymi analizy zagrożeń w celu zidentyfikowania aktywnie wykorzystywanych luk w zabezpieczeniach (przy użyciu oceniania priorytetów analizy zagrożeń w usłudze Microsoft Defender i śledzenia luk w zabezpieczeniach)
    • Integracja ze spisem zasobów w celu kontekstowej oceny podatności
    • Kontekst kampanii ataku w czasie rzeczywistym za pomocą artykułów dotyczących analizy zagrożeń w usłudze Microsoft Defender i szczegółowych informacji o naruszeniach zabezpieczeń
    • Ocena wpływu na działalność biznesową pod kątem luk w zabezpieczeniach wpływających na systemy opieki nad pacjentami

Ustanów przepływy pracy zarządzania lukami w zabezpieczeniach:

  1. Automatyzowanie przepływów pracy korygowania luk w zabezpieczeniach za pomocą usługi Azure Logic Apps:
    • Integracja interfejsu API REST usługi Azure DevOps umożliwiająca tworzenie elementów roboczych na podstawie zapytań KQL z SecurityAssessment
    • Elementy Runbook usługi Azure Automation wyzwalające wdrożenia poprawek usługi Azure Update Manager dla krytycznych cvEs
    • Automatyzacja przepływu pracy w ramach Microsoft Defender for Cloud, wysyłająca dane o podatnościach do Azure DevOps.
    • Zadania naprawcze usługi Azure Policy wprowadzające konfiguracje zabezpieczeń w związku z błędami konfiguracji.
  2. Zaimplementuj ład za pomocą usługi Microsoft Defender for Cloud secure score:
    • Skoroszyty usługi Azure Monitor wizualizujące trendy luk w zabezpieczeniach z tabeli SecurityAssessment
    • Pulpity Power BI wyświetlające metryki oceny bezpieczeństwa i wskaźniki KPI dotyczące zarządzania lukami w zabezpieczeniach
    • Pulpit nawigacyjny zgodności z przepisami usługi Microsoft Defender for Cloud na potrzeby śledzenia HIPAA/HITRUST
    • Szablony skoroszytów usługi Microsoft Sentinel do analizy programu do zarządzania lukami w zabezpieczeniach

Wynik: Kompleksowa ocena luk w zabezpieczeniach umożliwiona przez organizację zidentyfikowała i ułatwiła sprostowanie luk w zabezpieczeniach, które mogłyby zagrozić bezpieczeństwu systemów danych pacjentów, zapobiegając naruszeniom przepisów HIPAA. Czas wykrywania luk w zabezpieczeniach krytycznych znacznie poprawił się dzięki automatycznemu ciągłemu skanowaniu i zintegrowanej inteligencji zagrożeń, umożliwiając szybkie reagowanie na pojawiające się zagrożenia.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: RA-3, RA-5, RA-5(1), RA-5(2), RA-5(5)
  • PCI-DSS 4: 6.3.1, 6.3.2, 11.3.1, 11.3.2
  • Kontrolki CIS w wersji 8.1: 7.1, 7.2, 7.5, 7.7
  • NIST CSF v2.0: DE. CM-8, ID.RA-1
  • ISO 27001:2022: A.5.14, A.8.8
  • SOC 2: CC7.1, CC7.2

PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: PV-6.

Zasada zabezpieczeń

Szybkie i automatyczne wdrażanie poprawek i aktualizacji w celu skorygowania luk w zabezpieczeniach przy użyciu priorytetyzacji opartej na ryzyku, która najpierw dotyczy najpoważniejszych luk w zabezpieczeniach zasobów o najwyższej wartości. Zaimplementuj funkcje automatycznego stosowania poprawek, które równoważą wymagania dotyczące zabezpieczeń ze stabilnością operacyjną.

Ryzyko w celu ograniczenia ryzyka

Powolne korygowanie luk w zabezpieczeniach rozszerza okno narażenia, umożliwiając atakującym wykorzystanie znanych słabych stron przed zastosowaniem poprawek. Bez możliwości szybkiego korygowania:

  • Rozszerzone okna ekspozycji: Krytyczne luki w zabezpieczeniach mogą być eksploatowane przez dni lub tygodnie, podczas gdy ręczne procesy łatania zapewniają wystarczająco dużo czasu, aby atakujący opracowywali i wdrażali eksploity.
  • Opóźnienia zarządzania poprawkami: Złożone przepływy pracy zatwierdzania i wymagania dotyczące testowania opóźniają aktualizacje zabezpieczeń, pozostawiając systemy podatne na zagrożenia podczas rozszerzonych cykli korygowania.
  • Zwiększanie skali: Środowiska chmury z setkami lub tysiącami zasobów wymagają zautomatyzowanego stosowania poprawek, aby osiągnąć szybką naprawę problemów — ręczne procesy nie mogą skutecznie zaspokoić tego zapotrzebowania.
  • Zagrożenia związane z zakłóceniami w działalności biznesowej: Strach przed przestojami systemu opóźnia decyzje dotyczące stosowania poprawek, pozostawiając luki w zabezpieczeniach niezauważone, podczas gdy organizacje debaty na temat wpływu operacyjnego.
  • Luki w oprogramowaniu innych firm: Aplikacje i oprogramowanie pośredniczące, które nie są objęte stosowaniem poprawek systemu operacyjnego, pozostają narażone dłużej z powodu złożonych procedur aktualizacji.
  • Niespójna priorytetyzacja: Bez priorytetyzacji korygowania opartego na ryzyku krytyczne luki w zabezpieczeniach wpływające na zasoby o wysokiej wartości mogą nie otrzymać odpowiedniej uwagi.
  • Luki w weryfikacji środków naprawczych: Brak weryfikacji po zastosowaniu poprawek pozostawia niepewność co do tego, czy luki w zabezpieczeniach zostały pomyślnie usunięte.

Opóźnione korygowanie luk w zabezpieczeniach przekształca wykryte słabe strony w skuteczne wektory ataków, zanim organizacje będą mogły zastosować niezbędne poprawki.

MITRE ATT&CK

  • Dostęp początkowy (TA0001): wykorzystanie aplikacji dostępnej publicznie (T1190) do atakowania znanych luk w zabezpieczeniach podczas przedłużonych okresów usuwania usterek.
  • Eskalacja uprawnień (TA0004): wykorzystanie eskalacji uprawnień (T1068) przy użyciu niesprawionych luk w zabezpieczeniach lokalnych.
  • Ruch poprzeczny (TA0008): wykorzystywanie usług zdalnych (T1021) przy użyciu znanych luk w zabezpieczeniach do rozprzestrzeniania się między systemami.

PV-6.1: Implementowanie zautomatyzowanego korygowania luk w zabezpieczeniach

Ręczne zarządzanie poprawkami tworzy długie okna narażenia na luki w zabezpieczeniach, podczas których osoby atakujące wykorzystują znane luki w zabezpieczeniach, zanim zespoły ds. zabezpieczeń zakończą procesy korygowania w środowiskach na dużą skalę. Automatyczne korygowanie luk w zabezpieczeniach skraca średni czas stosowania poprawek od tygodni do godzin, uniemożliwiając przeciwnikom wykorzystanie publicznie ujawnionych luk w zabezpieczeniach w dłuższych okresach narażenia. Priorytetyzacja oparta na ryzyku zapewnia, że krytyczne luki w zabezpieczeniach otrzymują natychmiastową uwagę, podczas gdy automatyczne stosowanie poprawek utrzymuje spójną higienę zabezpieczeń we wszystkich zasobach obliczeniowych.

Przyspieszanie korygowania luk w zabezpieczeniach dzięki automatyzacji i priorytetyzacji opartej na ryzyku:

  • Implementowanie zautomatyzowanego zarządzania poprawkami: Wdróż usługę Azure Update Manager w celu automatycznego stosowania poprawek maszyn wirtualnych z systemem Windows i Linux na maszynach wirtualnych platformy Azure i serwerach z obsługą usługi Arc przy użyciu scentralizowanych funkcji zarządzania.
  • Konfigurowanie okien obsługi: Skonfiguruj ustawienia aktualizacji z oknami obsługi dostosowanymi do wymagań biznesowych, aby zminimalizować wpływ na obciążenia produkcyjne.
  • Włącz stosowanie poprawek bez przestojów: Użyj funkcji Hotpatching dla systemu Windows Server 2025, aby zainstalować aktualizacje zabezpieczeń bez konieczności ponownego uruchamiania systemu, zmniejszając przestoje i okna narażenia.
  • Ustanów priorytetyzację opartą na ryzyku: Ustalanie priorytetów korygowania luk w zabezpieczeniach, biorąc pod uwagę ważność luk w zabezpieczeniach, krytyczne znaczenie zasobów i poziom ekspozycji, aby najpierw skoncentrować się na problemach o najwyższym ryzyku.

Przykład implementacji

Globalna platforma handlu elektronicznego wdrożyła zautomatyzowane korygowanie luk w zabezpieczeniach w całej infrastrukturze chmury obsługującej operacje handlu detalicznego online i przetwarzanie danych klientów obsługujących 10 milionów klientów na całym świecie.

Wyzwanie: Globalna platforma handlu elektronicznego doświadczyła długiego średniego czasu stosowania poprawek (14 dni w przypadku krytycznych luk w zabezpieczeniach), dużej ilości zdarzeń zabezpieczeń związanych z niewłaszanych luk w zabezpieczeniach oraz wyników inspekcji zgodności związanych z nieodpowiednimi procesami zarządzania poprawkami na ponad 2000 maszyn wirtualnych obsługujących operacje handlu detalicznego online.

Podejście do rozwiązania:

Wdrażanie infrastruktury zautomatyzowanego zarządzania poprawkami:

  1. Wdrażanie usługi Azure Update Manager za pomocą automatycznej oceny maszyny wirtualnej i stosowania poprawek:
    • Okresowa ocena usługi Azure Update Manager włączona na 2000+ maszynach wirtualnych platformy Azure i serwerach z obsługą usługi Arc
    • Konfiguracje konserwacji z dynamicznym określaniem zakresu przy użyciu zapytań usługi Azure Resource Graph
    • Przed/po aktualizacji runbook Azure Automation na potrzeby zatrzymywania/uruchamiania orkiestracji aplikacji
    • Wdrażanie usługi Azure Policy z regułą deployIfNotExists, wymuszającej oceny aktualizacji we wszystkich subskrypcjach
  2. Skonfiguruj priorytetyzację opartą na programie EPSS przy użyciu funkcji zarządzania lukami w zabezpieczeniach w usłudze Microsoft Defender:
    • Zapytania KQL łączące tabele SecurityAssessment i SecurityRecommendation dla korelacji luk w zabezpieczeniach z poprawkami
    • Reguły alertów usługi Azure Monitor wyzwalające alarmy o stanie krytycznym na podstawie CVE z wynikiem EPSS > 0,7
    • Zaplanowane stosowanie poprawek w usłudze Azure Update Manager z klasyfikacjami priorytetowymi (krytyczne/ważne/umiarkowane)
    • Zapytania usługi Azure Resource Graph identyfikujące maszyny wirtualne dostępne z Internetu na potrzeby przyspieszonego stosowania poprawek

Tworzenie zautomatyzowanych przepływów pracy naprawczych:

  1. Automatyzowanie korygowania za pomocą usługi Azure Logic Apps i integracji z usługą Microsoft Defender:
    • Przepływy pracy usługi Azure Logic Apps wyzwalane przez alerty luk w zabezpieczeniach usługi Microsoft Defender for Cloud
    • Zapytania interfejsu API zabezpieczeń Microsoft Graph korelujące CVE z artykułami bazy wiedzy usługi Azure Update Manager
    • Elementy Runbook usługi Azure Automation wywołujące Install-AzUpdateManagerUpdate na potrzeby stosowania poprawek awaryjnych
    • Interfejs API do zarządzania zagrożeniami i lukami w zabezpieczeniach w usłudze Microsoft Defender dla oceny narażenia.

Zaimplementuj mechanizmy kompensujące w przypadku opóźnionego wdrażania poprawek:

  1. Wdróż tymczasowe środki ochronne dla systemów wymagających rozszerzonych osi czasu stosowania poprawek:
    • Reguły niestandardowe Azure Application Gateway WAF blokujące znane wykorzystanie określonych luk w zabezpieczeniach
    • Ograniczenia sieciowej grupy zabezpieczeń ograniczające dostęp sieciowy do systemów podatnych na zagrożenia do momentu stosowania poprawek
    • Ulepszone monitorowanie i alertowanie za pośrednictwem usługi Microsoft Defender dla Endpoint w celu wykrywania podejrzanego zachowania na niezałatanych zasobach
    • Kontrole dostępu just in time (JIT) maszyny wirtualnej zmniejszające ryzyko w przypadku podatnych na zagrożenia interfejsów administracyjnych
    • Reguły redukcji powierzchni ataku w usłudze Microsoft Defender dla punktów końcowych, zmniejszające techniki wykorzystywania.
  2. Śledzenie kontrolek wyrównywczych w usłudze Microsoft Defender for Cloud:
    • Wykluczenia w Azure Policy z uporządkowanymi metadanymi dokumentującymi mechanizmy kompensujące
    • Niestandardowe rekomendacje wskaźnika bezpieczeństwa Microsoft Defender for Cloud dla luk w zabezpieczeniach objętych wykluczeniem
    • Skoroszyty usługi Azure Monitor wizualizujące aktywne mechanizmy kontrolne wraz z monitorowaniem wygasania
    • Listy obserwacyjne usługi Microsoft Sentinel utrzymujące inwentarz środków kompensacyjnych z automatycznymi alertami

Zaimplementuj ład za pomocą usług Azure Monitor i Power BI:

  1. Wdrażanie kompleksowych pulpitów nawigacyjnych monitorowania i raportowania:
    • Skoroszyty Azure Monitor wykonujące zapytania do tabeli aktualizacji w celu oceny zgodności poprawek na wszystkich maszynach wirtualnych
    • Raporty usługi Power BI korzystające z interfejsu API REST usługi Azure Resource Graph w celu ujawnienia luk w zabezpieczeniach w czasie rzeczywistym
    • Integracja interfejsu API wskaźnika bezpieczeństwa usługi Microsoft Defender for Cloud na potrzeby raportowania kadry kierowniczej
    • Śledzenie integracji Azure DevOps Boards z wyjątkami poprawek i automatyczną eskalacją umów SLA
  2. Automatyzowanie stosowania poprawek awaryjnych za pomocą usługi Microsoft Defender Vulnerability Management:
    • Integracja katalogu KEV CISA z zarządzaniem lukami w zabezpieczeniach Microsoft Defender dla priorytetyzacji luk zero-day
    • Runbooki usługi Azure Automation z operacją InstallUpdates w Azure Update Manager do wdrożeń awaryjnych
    • Grupy akcji usługi Azure Monitor wyzwalające alerty SMS/e-mail w celu wykorzystania luk w zabezpieczeniach
    • Automatyzacja przepływu pracy usługi Microsoft Defender for Cloud tworząca zdarzenia o wysokim priorytecie dla aktywnych luk w zabezpieczeniach

Wynik: Automatyczne korygowanie luk w zabezpieczeniach organizacji znacznie skróciło czas stosowania poprawek krytycznych luk w zabezpieczeniach, zmniejszając okna narażenia i zapobiegając naruszeniom zabezpieczeń. Liczba zdarzeń zabezpieczeń związanych z lukami w zabezpieczeniach, które nie zostały poprawione, znacznie zmniejszyła się dzięki systematycznemu zarządzaniu poprawkami i priorytetyzacji opartej na epsS.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: SI-2, SI-2(1), SI-2(2), SI-2(5), RA-5
  • PCI-DSS 4: 6.3.3, 6.4.3, 11.3.1
  • Kontrole CIS w wersji 8.1: 7.2, 7.3, 7.4, 7.5, 7.7
  • NIST CSF v2.0: PR.IP-12, RS.MI-3
  • ISO 27001:2022: A.8.8, A.5.14
  • SOC 2: CC7.1, CC7.2, CC8.1

PV-7: Prowadzenie regularnych operacji zespołu czerwonego

Zasada zabezpieczeń

Symulowanie rzeczywistych ataków za pomocą operacji czerwonego zespołu i testów penetracyjnych w celu zapewnienia kompleksowej weryfikacji zabezpieczeń. Postępuj zgodnie z najlepszymi rozwiązaniami branżowymi, aby bezpiecznie projektować, przygotowywać i przeprowadzać testy przy jednoczesnym zapewnieniu kompleksowego zakresu i koordynacji uczestników projektu.

Ryzyko w celu ograniczenia ryzyka

Tradycyjna ocena luk w zabezpieczeniach i testy penetracyjne mogą przegapić zaawansowane techniki ataków i złożone łańcuchy ataków, których używają prawdziwi przeciwnicy. Bez kompleksowego testowania adwersarialnego:

  • Ślepe miejsca w mechanizmach kontroli zabezpieczeń: Zautomatyzowane narzędzia zabezpieczeń i standardowe testy penetracyjne nie identyfikują słabych stron, które są wykorzystywane przez wykwalifikowanych atakujących za pomocą kreatywnych kombinacji legalnych funkcji i drobnych luk w zabezpieczeniach.
  • Fałszywe poczucie bezpieczeństwa: Organizacje wierzą, że ich zabezpieczenia są solidne na podstawie pól wyboru zgodności i standardowych testów, mogą być jednak narażone na zaawansowane utrzymujące się zagrożenia (APT) i ukierunkowane ataki.
  • Luki w zabezpieczeniach czynników ludzkich: Szkolenia w zakresie świadomości bezpieczeństwa i kontrole techniczne mogą być niewystarczające w stosunku do zaawansowanych technik inżynierii społecznej i manipulacji ludzkiej.
  • Złożone luki w łańcuchu ataków: Wielostopniowe ataki łączące dostęp fizyczny, inżynierię społeczną, techniczne eksploatacji i techniki trwałości unikają wykrywania przez odizolowane testy zabezpieczeń.
  • Słabe strony reagowania na zdarzenia: Zespoły ds. zabezpieczeń mogą nie mieć doświadczenia w wykrywaniu zaawansowanych ataków i reagowaniu na nie, co prowadzi do opóźnienia odnajdywania i nieodpowiedniego powstrzymania.
  • Purpurowe luki współpracy zespołowej: Rozłączenie między ofensywną (czerwoną drużyną) i operacjami zabezpieczeń defensywnymi (niebieskim zespołem) ogranicza transfer wiedzy i możliwości poprawy.

Bez realistycznych testów napastniczych, organizacje działają z niesprawdzonymi założeniami dotyczącymi zabezpieczeń, które kończą się niepowodzeniem w przypadku konfrontacji z wykwalifikowanymi, zmotywowanymi atakującymi.

MITRE ATT&CK

  • Rekonesans (TA0043): aktywne skanowanie (T1595) i zbieranie informacji o ofiarach (T1589), aby zidentyfikować możliwości ataku i zaplanować ukierunkowane operacje.
  • Dostęp początkowy (TA0001): wyłudzanie informacji (T1566) i wykorzystanie aplikacji publicznej (T1190) do testowania podatności organizacji na inżynierię społeczną i wykorzystywanie techniczne.
  • Trwałość (TA0003): prawidłowe konta (T1078) i tworzenie konta (T1136) symulującego ustanowienie długoterminowego dostępu przeciwników.
  • Ruch poprzeczny (TA0008): usługi zdalne (T1021) i wewnętrzny spearphishing (T1534) testowanie wykrywania ruchu przeciwnika w całym środowisku.

PV-7.1: Implementowanie kompleksowych testów niepożądanych

Organizacje opierające się wyłącznie na automatycznym skanowaniu luk w zabezpieczeniach i ocenach zgodności nie sprawdzają, czy mechanizmy kontroli zabezpieczeń uniemożliwiają zaawansowane techniki przeciwników stosowane w rzeczywistych atakach. Testowanie opozycyjne symuluje rzeczywiste scenariusze ataków, aby zidentyfikować luki w zabezpieczeniach, wykrywać ślepe punkty i słabości w reagowaniu na incydenty, których nie można odkryć za pomocą narzędzi automatycznych. Regularne operacje zespołu czerwonego zapewniają realistyczną walidację zabezpieczeń, zapewniając jednocześnie skuteczne zapobieganie, wykrywanie i reagowanie na zaawansowane trwałe zagrożenia.

Zweryfikuj skuteczność zabezpieczeń za pomocą realistycznych testów niepożądanych:

  • Postępuj zgodnie z regułami testowania penetracyjnego firmy Microsoft: Przestrzegaj reguł testowania penetracyjnego w chmurze firmy Microsoft na potrzeby działań testowych opartych na chmurze, aby zapewnić autoryzowane i bezpieczne procedury testowania.
  • Dokumentacja wskazówek dotyczących testowania platformy Azure: Postępuj zgodnie ze wskazówkami dotyczącymi testowania penetracyjnego platformy Azure , aby uzyskać autoryzowane procedury testowania i wymagania dotyczące koordynacji z firmą Microsoft.
  • Użyj metodologii red teaming firmy Microsoft: Zastosuj metodologię red teaming platformy Microsoft Cloud , aby uzyskać kompleksową symulację ataku zgodną z rzeczywistymi technikami przeciwników.
  • Skoryguj zakres testowania: Ustal zakres testowania oraz ograniczenia z odpowiednimi interesariuszami i właścicielami zasobów, aby zapewnić ciągłość biznesową i zminimalizować niezamierzony wpływ.

Przykład implementacji

Organizacja usług finansowych wdrożyła kompleksowe operacje zespołu czerwonego w infrastrukturze chmury obsługującej bankowość inwestycji, systemy handlowe i platformy zarządzania bogactwami klientów przetwarzające miliardy transakcji dziennych.

Wyzwanie: Organizacja usług finansowych nie ma realistycznych możliwości testowania zabezpieczeń za pomocą zautomatyzowanych narzędzi, których brakuje krytycznych luk w zabezpieczeniach, ograniczonego wglądu w zaawansowane możliwości wykrywania ataków i trudności z wykazaniem skuteczności weryfikacji zabezpieczeń dla organów regulacyjnych badających kontrolę zabezpieczeń bankowości inwestycyjnej i zarządzania zasobami.

Podejście do rozwiązania:

Ustanów dostosowany do firmy Microsoft czerwony program do testowania zespołu:

  1. Zaimplementuj testowanie zgodnie z metodologią Red Teaming Microsoft Cloud.
    • Kwartalne ćwiczenia przy użyciu struktury symulacji ataku Microsoft Enterprise Cloud Red Teaming
    • Roczne oceny wykorzystujące narzędzia symulacji ataków firmy Microsoft i analizy usługi Microsoft Sentinel
    • Analiza zagrożeń z usługi Microsoft Defender Threat Intelligence informująca o scenariuszach ataku
    • Ćwiczenia zespołu Purple team przy użyciu wyników analizy ścieżki ataku z Microsoft Defender for Cloud
  2. Konfigurowanie środowiska testowego przy użyciu zabezpieczeń platformy Azure:
    • Blokady Azure Resource Manager zapobiegają usuwaniu zasobów produkcyjnych podczas testowania
    • Azure Policy z efektami odmowy blokuje wdrażanie niebezpiecznych konfiguracji w środowisku produkcyjnym.
    • Dostęp just-in-time do maszyn wirtualnych w usłudze Microsoft Defender dla chmury ograniczający zakres ruchu bocznego zespołu czerwonego.
    • Grupy akcji usługi Azure Monitor udostępniające alerty w czasie rzeczywistym dotyczące działań testowych przekraczających granice

Wykonaj symulację ataku skoncentrowaną na platformie Azure:

  1. Symulowanie scenariuszy ataku specyficznych dla chmury:
    • Symulacja ataku wyłudzania informacji na platformie Microsoft 365 przy użyciu kampanii usługi Microsoft Defender dla usługi Office 365
    • Testowanie wydajności zapory aplikacji internetowej w usłudze Azure App Service
    • Testowanie nadużyć interfejsu API usługi Azure Resource Manager oraz kontroli Azure Policy i RBAC
    • Kompromitacja potoku Azure DevOps jako symulacja ataków łańcucha dostaw na infrastrukturę CI/CD
  2. Przetestuj identyfikator firmy Microsoft i mechanizmy zabezpieczeń tożsamości:
    • Wykorzystanie ścieżki podniesienia uprawnień usługi Microsoft Entra Privileged Identity Management (PIM)
    • Microsoft Entra zasady dostępu warunkowego omijania prób użycia luk w zgodności urządzeń
    • Testowanie protokołów uwierzytelniania usługi Microsoft Entra na potrzeby obejścia uwierzytelniania wieloskładnikowego i kradzieży tokenu
    • Próby eksfiltracji tajemnic z usługi Azure Key Vault weryfikujące zasady dostępu i rejestrowanie

Zweryfikuj wykrywanie i reagowanie na zabezpieczenia firmy Microsoft:

  1. Testowanie możliwości wykrywania i reagowania w usłudze Microsoft Sentinel:
    • Pomiar skuteczności reguł analitycznych Microsoft Sentinel w wykrywaniu technik Red Team według MITRE ATT&CK
    • Dokładność ochrony przed zagrożeniami środowiska uruchomieniowego w ramach testowania alertów Microsoft Defender for Cloud
    • Zasięg telemetrii EDR w usłudze Microsoft Defender dla punktu końcowego mierzący współczynniki wykrywania zachowań
    • Testowanie wydajności zapytań Log Analytics oraz przepływy pracy analizy incydentów w Azure Monitor
  2. Ocena orkiestracji i automatyzacji zabezpieczeń:
    • Testowanie reguł automatyzacji Microsoft Sentinel dotyczących wykonywania scenariusza automatycznej reakcji na incydenty
    • Przepływy pracy usługi Azure Logic Apps weryfikujące integrację z usługą Microsoft Teams na potrzeby powiadomień o zdarzeniach
    • Skuteczność działań naprawczych w testowaniu automatyzacji przepływu pracy w usłudze Microsoft Defender for Cloud
    • Runbooki usługi Azure Automation oceniające zautomatyzowane procedury powstrzymywania i izolacji

Korzystaj z narzędzi firmy Microsoft do ciągłego ulepszania:

  1. Dokumentowanie wyników przy użyciu platform zabezpieczeń firmy Microsoft:
    • Analiza ścieżek ataków w usłudze Microsoft Defender for Cloud dokumentująca wieloetapowe łańcuchy ataków
    • Zapytania usługi Azure Resource Graph identyfikujące podobne powierzchnie ataków w środowisku chmury
    • Raporty Microsoft Sentinel wizualizujące techniki ataków powiązane z platformą MITRE ATT&CK
    • Usługa Azure DevOps Boards śledzi akcje korygowania z priorytetem na podstawie możliwości wykorzystania
  2. Zwiększ możliwości wykrywania przy użyciu wyników czerwonego zespołu:
    • Niestandardowe reguły analizy usługi Microsoft Sentinel oparte na technikach i wskaźnikach czerwonego zespołu
    • Niestandardowe reguły wykrywania punktów końcowych w usłudze Microsoft Defender dla zidentyfikowanych technik utrzymania poza ziemią
    • Usługa Log Analytics w usłudze Azure Monitor zapisywała wyszukiwania przyspieszające przyszłe badania zdarzeń
    • Integracja Microsoft Defender Threat Intelligence wzbogaca alerty o kontekst ataków zespołu czerwonego.

Wynik: Organizacja zidentyfikowała i skorygowała krytyczne luki w zabezpieczeniach, których nie wykryły zautomatyzowane narzędzia, w tym techniki pomijania uwierzytelniania i ścieżki eskalacji uprawnień. Ulepszone procedury monitorowania i reagowania informowane przez realistyczne symulacje ataków umożliwiły zespołom ds. zabezpieczeń identyfikowanie i reagowanie na zaawansowane trwałe zagrożenia.

Poziom krytyczny

Miło mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: CA-8, CA-8(1), CA-8(2)
  • PCI-DSS 4: 11.4.1, 11.4.2, 11.4.6
  • Kontrolki CIS w wersji 8.1: 15.1, 18.1, 18.2, 18.3, 18.5
  • NIST CSF v2.0: DE. DP-4, ID.RA-10
  • ISO 27001:2022: A.5.7, A.8.29
  • SOC 2: CC7.3, CC7.4
  • Last updated on