Compartilhar via

Segurança de ponto de extremidade

O Endpoint Security garante uma proteção abrangente dos recursos de ponto de extremidade de computação hospedados na nuvem. A segurança efetiva do ponto de extremidade impede o acesso não autorizado, detecta e responde a ameaças e mantém a conformidade de segurança para a infraestrutura virtualizada em execução em ambientes de nuvem.

Sem recursos abrangentes de segurança de endpoint:

  • Infecções por malware e ransomware: As máquinas virtuais de nuvem desprotegidas permitem a execução de malware, a criptografia de ransomware e as ameaças persistentes que comprometem a integridade da carga de trabalho e as operações de negócios.
  • Roubo de credenciais e movimento lateral: Os pontos de extremidade de nuvem comprometidos permitem que os invasores coletem credenciais, escalonem privilégios e se movam lateralmente entre ambientes de nuvem e redes virtuais.
  • Exfiltração de dados: As cargas de trabalho de nuvem não gerenciadas não têm controles de proteção de dados que permitem a transferência de dados não autorizados do armazenamento em nuvem e bancos de dados.
  • Violações de conformidade: A incapacidade de demonstrar controles de segurança de ponto de extremidade para infraestrutura de nuvem cria falhas de auditoria regulatória e possíveis sanções.
  • Recursos de nuvem não gerenciados: Máquinas virtuais provisionadas sem agentes de segurança ignoram controles de proteção criando lacunas de segurança e pontos cegos de visibilidade.
  • Descompasso de configuração: As máquinas virtuais de nuvem que operam com configurações de segurança inconsistentes criam vulnerabilidades e reduzem a postura de segurança geral.

Aqui estão os dois pilares principais do domínio de segurança do Endpoint Security.

Proteção contra ameaças do ponto de extremidade de nuvem: Implante recursos abrangentes de detecção e resposta de ameaças para máquinas virtuais de nuvem, incluindo antimalware, análise comportamental e correção automatizada. Implemente a correlação de inteligência contra ameaças em tempo real e a XDR (detecção e resposta estendidas integradas) para identificar e neutralizar ameaças direcionadas a cargas de trabalho de nuvem antes que elas causem danos.

Controles relacionados:

Configuração de segurança do endpoint de nuvem: Imponha linhas de base de segurança e padrões de proteção em todas as máquinas virtuais na nuvem, incluindo configurações do sistema operacional, controles de aplicativo e ativação de funcionalidades de segurança. Mantenha a postura de segurança consistente por meio do gerenciamento de configuração automatizado e da detecção de descompasso para recursos de computação hospedados na nuvem.

Controles relacionados:

ES-1: Usar EDR (Detecção e Resposta de Endpoint)

Azure Policy: Confira as definições de política internas do Azure: ES-1.

Princípio de segurança

Implemente recursos abrangentes de detecção e resposta de ponto de extremidade, fornecendo visibilidade em tempo real sobre atividades de ponto de extremidade, análise comportamental e resposta automatizada contra ameaças. Permitir que as organizações de segurança detectem ameaças avançadas, investiguem incidentes e respondam rapidamente para conter e remediar os comprometimentos de segurança nos endpoints em todo o ambiente operacional.

Risco a ser mitigado

Organizações que operam sem recursos abrangentes de detecção e resposta de endpoint enfrentam riscos significativos de ameaças avançadas que contornam os controles preventivos tradicionais. Sem EDR:

  • Ameaças avançadas não detectadas: Ataques sofisticados, incluindo malware sem arquivo, técnicas de vida fora da terra e explorações de dia zero evitam a detecção baseada em assinatura que não é detectada por longos períodos.
  • Resposta de incidente atrasada: A falta de visibilidade em tempo real das atividades de ponto de extremidade impede a detecção e a resposta rápidas de ameaças, permitindo aos invasores tempo para estabelecer persistência e exfiltrar dados.
  • Visibilidade limitada de ameaças: As equipes de segurança não podem identificar padrões de ataque, movimento lateral ou comunicações de comando e controle sem telemetria de ponto de extremidade abrangente e análise comportamental.
  • Contenção de ameaças ineficazes: Os processos manuais de investigação e correção permitem que as ameaças se espalhem entre pontos de extremidade durante as atividades de resposta, criando um impacto organizacional mais amplo.
  • Recursos forenses ausentes: A ausência de dados históricos de atividade de endpoints impede a análise da causa raiz, a reconstrução de ataques e as lições extraídas de incidentes de segurança.
  • Pontos cegos na postura de segurança: Atividades de endpoint não monitoradas criam lacunas na visibilidade que impedem a detecção de ameaças internas, elevação de privilégios e tentativas de exfiltração de dados.

Sem recursos de EDR, as organizações detectam ameaças somente após danos significativos ocorrerem em vez de durante fases de execução de ataque.

MITRE ATT&CK

  • Acesso Inicial (TA0001): phishing (T1566) e exploração de aplicação exposta ao público (T1190) ganhando acesso inicial em endpoints sem ser detectado.
  • Execução (TA0002): interpretador de comando e script (T1059) executando código mal-intencionado nos pontos finais burlando controles preventivos.
  • Persistência (TA0003): criar ou modificar o processo do sistema (T1543) estabelecendo mecanismos de acesso persistente não detectados pelo antimalware tradicional.
  • Evasão de Defesa (TA0005): prejudica as defesas (T1562) desabilitando as ferramentas de segurança e ofuscando os recursos de detecção de arquivos ou informações (T1027).
  • Acesso de credenciais (TA0006): despejo de credenciais do sistema operacional (T1003), coletando credenciais da memória do endpoint para elevação de privilégios e movimento lateral.

ES-1.1: Implantar solução de detecção e resposta de endpoint

A detecção tradicional por assinatura de antivírus não consegue detectar ameaças modernas que utilizam técnicas sem arquivo, binários que vivem da terra e ofuscação sofisticada para evitar a análise estática, deixando os endpoints vulneráveis a explorações de dia zero e ameaças persistentes avançadas. A detecção e a resposta de ponto de extremidade fornecem monitoramento comportamental e aprendizado de máquina que identifica atividades mal-intencionadas independentemente da disponibilidade da assinatura, detectando execução de processo anômala, tentativas de acesso de credencial e padrões de movimento lateral. A coleta abrangente de telemetria permite investigação forense e busca de ameaças que reconstrói linhas do tempo de ataque e identifica indicadores de comprometimento perdidos durante a detecção inicial.

Estabeleça a detecção de ameaças comportamentais por meio desses recursos de EDR:

Práticas recomendadas de configuração do EDR:

  • Habilitar a detecção comportamental: Configure a análise comportamental para monitorar padrões de execução de processos, alterações do sistema de arquivos, conexões de rede e modificações de registro com foco em VMs do Azure de alto valor que hospedam cargas de trabalho confidenciais.
  • Ajustar a sensibilidade de detecção: Ajuste a sensibilidade à detecção de ameaças com base na carga de trabalho, equilibrando taxas falsas positivas com cobertura de detecção de malware sem arquivo, LOLBins (binários vivendo fora da terra – ferramentas de sistema legítimas usadas mal-intencionadamente) e tentativas de acesso a credenciais.
  • Configurar a resposta automatizada: Defina ações de resposta automatizadas apropriadas para tipos de carga de trabalho, incluindo encerramento de processo para VMs não críticas e somente alertas para sistemas de produção que exigem revisão manual.
  • Estabelecer procedimentos de investigação: Fluxos de trabalho de investigação de documentos aproveitando a análise da árvore do processo, a reconstrução da linha do tempo e o acompanhamento de conexões de rede, garantindo que as equipes de segurança possam avaliar rapidamente o escopo do incidente.
  • Definir o escalonamento de alertas: Configure os limites de gravidade dos alertas e os caminhos de escalonamento, roteando ameaças críticas para a equipe de segurança de plantão dentro dos objetivos de tempo de resposta definidos.

Estratégia de implantação do EDR:

  • Cobertura universal de endpoints de nuvem: Implante agentes do Microsoft Defender for Endpoint em todas as VMs Windows do Azure, VMs Linux, hosts de sessão do Azure Virtual Desktop e conjuntos de dimensionamento de máquinas virtuais, garantindo visibilidade abrangente sem lacunas de cobertura.
  • Provisionamento automático: Habilite o provisionamento automático de agente por meio do Microsoft Defender para Nuvem para novas máquinas virtuais, garantindo proteção imediata após a criação de recursos.
  • Monitoramento de integridade do sensor: Monitoramento contínuo da integridade do sensor EDR, conformidade de versão e fluxo de telemetria com alertas automatizados para máquinas virtuais de nuvem offline ou configuradas incorretamente.
  • Arquitetura nativa de nuvem: Plataforma EDR entregue na nuvem com integração nativa do Azure fornecendo atualizações automáticas e escalabilidade para cargas de trabalho de nuvem.
  • Otimização de desempenho: Design de sensor leve minimizando o consumo de recursos de máquina virtual, mantendo recursos de monitoramento abrangentes para cargas de trabalho de nuvem.

ES-1.2: integrar o EDR ao XDR (detecção e resposta estendidas)

A detecção isolada de endpoint gera alertas desconectados que não capturam cadeias sofisticadas de ataque que abrangem comprometimento de identidade, movimentação lateral dentro da rede e exfiltração de dados em vários sistemas e serviços. A detecção e a resposta estendidas correlacionam a telemetria de endpoints, provedores de identidade, infraestrutura de nuvem e tráfego de rede para revelar narrativas de ataque completas que a detecção de sinais únicos não consegue identificar. O contexto de incidente unificado permite que as equipes de segurança entendam o escopo de ataque completo e implementem a contenção coordenada em todos os sistemas afetados simultaneamente, em vez de responder a cada alerta de forma independente.

Correlacionar ameaças entre plataformas por meio desses recursos de integração XDR:

  • Integre a detecção e resposta de endpoint ao Microsoft Defender XDR para correlacionar a telemetria de segurança entre identidade, email, aplicativos e infraestrutura de nuvem, possibilitando a detecção unificada de ameaças e a resposta coordenada em todo o ambiente.

Práticas recomendadas de integração XDR:

  • Habilitar correlação entre sinais: Ative a integração do Microsoft Defender XDR para correlacionar eventos de VM de nuvem com logs de atividades do Azure, sinais de autenticação da ID do Microsoft Entra e análise de tráfego do Observador de Rede do Azure criando contexto de incidente unificado.
  • Configurar o agrupamento de incidentes: Defina regras de correlação agrupando alertas relacionados de VMs de nuvem, sistemas de identidade e alterações de infraestrutura em incidentes únicos, reduzindo a sobrecarga de investigação e melhorando o tempo médio para detectar (MTTD).
  • Guias de procedimentos de resposta de design: Crie fluxos de trabalho de resposta coordenados automatizando o isolamento de VM por meio de atualizações do Grupo de Segurança de Rede, suspensão da conta de serviço por meio do Microsoft Entra ID, e criação de snapshots para forense.
  • Estabelecer pontuação de prioridade: Configure a pontuação de severidade de incidente incorporando marcas de criticidade de VM, classificação de dados e estágio de progressão de ataque para priorizar a resposta da equipe de operações de segurança.
  • Revise a visualização do caminho de ataque: Analise regularmente caminhos de ataque gerados por XDR identificando oportunidades de movimento lateral e riscos de acesso privilegiado que exigem correção arquitetônica.

Componentes de arquitetura XDR:

  • Sinais de identidade: Integração com o Microsoft Entra ID Protection correlacionando atividades de VM de nuvem com anomalias de autenticação, viagens impossíveis e indicadores de comprometimento de credenciais para identidades baseadas em nuvem.
  • Integração da infraestrutura de nuvem: Correlação da detecção de malware de máquina virtual com logs de atividades do Azure, eventos de implantação de recursos e alterações de infraestrutura que identificam a cadeia de suprimentos e ataques baseados em configuração.
  • Proteção de carga de trabalho na nuvem: Visibilidade unificada em máquinas virtuais do Azure, instâncias de contêiner e recursos protegidos do Microsoft Defender para Nuvem detectando ameaças que abrangem assinaturas e regiões de nuvem.
  • Integração de detecção de rede: Correlação das comunicações de VM com o Observador de Rede do Azure e a análise de tráfego de rede virtual identificando o tráfego de comando e controle e a movimentação lateral entre redes de nuvem.

ES-1.3: Habilitar a automação e a integração do EDR

A investigação manual e a resposta a alertas de segurança de alto volume criam uma carga de trabalho de analista insustentável, ao mesmo tempo em que introduzem atrasos de resposta que permitem que as ameaças progridam do comprometimento inicial à exfiltração de dados. A investigação automatizada analisa o contexto do alerta, executa análise forense e determina ações de correção em segundos, em vez de horas de análise manual. A orquestração de segurança integra a telemetria EDR com controles de infraestrutura de nuvem e gerenciamento de identidade, permitindo uma resposta automatizada coordenada que isola sistemas comprometidos, revoga credenciais e preserva evidências forenses simultaneamente.

Acelere a resposta a ameaças por meio desses recursos de automação:

  • Implemente a integração automatizada de operações de investigação, correção e segurança, reduzindo o tempo médio para responder (MTTR) e habilitando a detecção unificada de ameaças em plataformas de segurança.

Investigação e correção automatizadas:

  • Habilite investigações automatizadas: Ative a investigação automática para alertas de média e alta gravidade em VMs que não são de produção para criar a linha de base de investigação e, ao mesmo tempo, exigir aprovação manual para cargas de trabalho de produção.
  • Definir fluxos de trabalho de aprovação: Estabeleça portões de aprovação para ações de correção automatizadas em VMs de produção que exigem revisão do arquiteto de segurança para alterações que afetam as operações de negócios.
  • Configurar a correção automatizada: Habilite a remoção automatizada de malware, a eliminação de persistência, o isolamento de rede da VM por meio de atualizações do Grupo de Segurança de Rede do Azure e a restauração da configuração de segurança.
  • Critérios de escalonamento de documentos: Defina critérios para o escalonamento de investigações automatizadas para analistas humanos quando a análise de similaridade identificar campanhas coordenadas ou ameaças persistentes avançadas.

Integração de operações de segurança:

  • Integrar ao SIEM: Transmita a telemetria do EDR para o Microsoft Sentinel habilitando o monitoramento de segurança unificado e desenvolva regras de correlação combinando alertas de EDR com logs de atividades do Azure, alterações de recursos e sinais de identidade.
  • Habilitar a automação SOAR: Configure playbooks de resposta automatizada que coordenam a contenção de EDR com o isolamento de recursos do Azure, o gerenciamento de identidades e as atualizações de segurança de rede virtual.
  • Retenha dados históricos: Mantenha dados históricos do EDR para requisitos de conformidade, busca de ameaças e análise retrospectiva, permitindo a investigação de ameaças sofisticadas.
  • Enriquecer a inteligência contra ameaças: Implemente pesquisas automatizadas de inteligência contra ameaças, análise de hash de arquivo e coleta de metadados de recursos do Azure acelerando as decisões de investigação e resposta.

Exemplo de implementação

Uma organização de serviços financeiros que opera plataformas de negociação hospedadas em nuvem descobriu ameaças persistentes avançadas durante uma investigação forense que operou sem ser detectada por semanas, comprometendo os dados da conta do cliente.

Desafio: O antivírus tradicional em VMs de nuvem fornecia apenas detecção baseada em assinatura, falhando na detecção de ataques sem arquivo e no movimento lateral. A equipe de segurança não tinha visibilidade dos cronogramas de ataques e enfrentava dificuldades com a investigação manual em toda a infraestrutura de nuvem distribuída.

Abordagem da solução:

  • Implantação abrangente do EDR: Habilitado Microsoft Defender para Endpoint por meio da integração com o Microsoft Defender for Cloud, com provisionamento automático em VMs do Windows/Linux e hosts de sessão da Área de Trabalho Virtual do Azure usando o Azure Policy.
  • Resposta automatizada contra ameaças: Correção automatizada configurada para mineradores de criptomoedas, web shells e software não autorizado. Implementados manuais de resposta isolando VMs comprometidas por meio de atualizações no Grupo de Segurança de Rede e acionando instantâneos forenses.
  • Integração XDR: Implantado o Microsoft Defender XDR correlacionando a telemetria de VM com sinais de autenticação de ID do Microsoft Entra e alterações na infraestrutura do Azure, criando contexto unificado de incidentes.
  • Busca proativa de ameaças: Programa de busca de ameaças estabelecido usando consultas de busca avançadas focadas em padrões de movimento lateral em redes virtuais do Azure.

Resultado: Reduziu drasticamente o tempo de detecção de ameaças de semanas para horas. A resposta automatizada continha a maioria das ameaças sem intervenção manual. A visualização unificada de incidentes reduziu significativamente o tempo de investigação.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: SI-4(1), SI-4(2), SI-4(5), SI-4(12), SI-4(16), IR-4(1), IR-4(4)
  • PCI-DSS v4: 5.3.2, 5.3.4, 10.2.1, 11.5.1
  • Controles CIS v8.1: 8.5, 8.11, 13.2, 13.10
  • NIST CSF v2.0: DE. CM-1, DE. CM-4, DE. CM-7, RS. AN-1
  • ISO 27001:2022: A.8.16, A.5.24, A.5.26
  • SOC 2: CC7.2, CC7.3

ES-2: Usar software antimalware moderno

Azure Policy: Confira as definições de política internas do Azure: ES-2.

Princípio de segurança

Implante soluções antimalware modernas combinando detecção baseada em assinatura com análise comportamental, aprendizado de máquina, inteligência fornecida na nuvem e prevenção de exploração para proteger contra ameaças conhecidas e desconhecidas. Verifique a proteção abrangente contra malware em todas as plataformas de ponto de extremidade com impacto mínimo no desempenho e gerenciamento centralizado.

Risco a ser mitigado

As organizações que dependem de soluções antimalware desatualizadas ou somente assinatura enfrentam risco crescente de ameaças modernas que evitam métodos de detecção tradicionais. Sem recursos antimalware modernos:

  • Vulnerabilidade de exploração de dia zero: A detecção baseada em assinatura não pode identificar novas variantes de malware e explorações de dia zero antes que as assinaturas sejam criadas e distribuídas.
  • Evasão de malware polimórfico: Malwares avançados usam código polimórfico, criptografia e técnicas de ofuscação para ignorar a correspondência de assinaturas e a análise estática.
  • Execução de ataque sem arquivo: Os ataques residentes em memória em execução inteiramente na RAM sem tocar em disco evitam mecanismos tradicionais de verificação baseados em arquivo.
  • Criptografia de ransomware: As variantes modernas de ransomware executam a criptografia rapidamente antes que a detecção baseada em assinatura possa identificar e bloquear processos mal-intencionados.
  • Entrega de ataque baseada em script: O PowerShell, o JavaScript e outros ataques de script utilizam ferramentas de sistema confiáveis que evitam controles antimalware baseados em aplicativos.
  • Degradação de desempenho: Soluções antimalware herdadas que consomem recursos excessivos do sistema afetam o desempenho do ponto de extremidade e a produtividade do usuário.

O antimalware baseado em assinatura tradicional fornece proteção insuficiente contra o cenário de ameaças moderno que exige recursos avançados de detecção comportamental e aprendizado de máquina.

MITRE ATT&CK

  • Execução (TA0002): arquivo mal-intencionado (T1204.002) executando cargas de malware entregues por meio de phishing, downloads ou mídia removível.
  • Evasão de Defesa (TA0005): arquivos ou informações ofuscados (T1027) e virtualização/evasão de área restrita (T1497) ignorando a detecção baseada em assinatura.
  • Impacto (TA0040): dados criptografados visando impacto (T1486) implantando ransomware que criptografa dados organizacionais antes que ocorra a detecção.

ES-2.1: implantar solução antimalware de última geração

O antimalware baseado em assinatura fornece proteção de linha de base essencial contra ameaças conhecidas, mas o malware moderno emprega polimorfismo, empacotamento e criptografia para evitar a detecção tradicional que exige análise comportamental e classificação de aprendizado de máquina. A proteção em várias camadas combina assinaturas estáticas para ameaças conhecidas com monitoramento de comportamento dinâmico e inteligência alimentada por nuvem para detectar variantes de malware emergentes e explorações de dia zero. O gerenciamento centralizado garante linhas de base de proteção consistentes em todos os pontos de extremidade, enquanto a proteção contra violação impede que os adversários desabilitem controles de segurança após obterem acesso inicial.

Implante uma proteção abrangente contra malware por meio dessas camadas de defesa:

  • Implemente o Microsoft Defender Antivírus em Máquinas Virtuais do Azure fornecendo proteção em várias camadas, incluindo detecção baseada em assinatura, análise comportamental, classificação de machine learning e recursos de prevenção de exploração para cargas de trabalho na nuvem.

Práticas recomendadas de configuração antimalware:

  • Configurar camadas de proteção: Habilite todas as camadas de proteção (ML baseada em assinatura, heurística, comportamental e alimentada por nuvem) por padrão, permitindo a desabilitação seletiva somente quando requisitos de carga de trabalho específicos documentados e aprovados pela equipe de segurança.
  • Habilitar a proteção entregue na nuvem: Ative a proteção de nuvem com envio automático de amostras para arquivos desconhecidos, exceto para VMs que processam dados altamente confidenciais e que são protegidos por modelos air-gapped.
  • Configurar o gerenciamento de exclusão: Estabeleça um processo formal de exceção que exige justificativa comercial, revisão de segurança e aprovações limitadas por tempo para exclusões antimalware minimizando a exposição à superfície de ataque.
  • Proteção contra adulteração de teste: Habilite a proteção contra adulterações em todas as VMs de produção e valide a eficácia por meio de testes controlados, garantindo que o antimalware permaneça operacional durante ataques simulados.
  • Estabelecer gerenciamento centralizado: Implemente o gerenciamento antimalware centralizado por meio do Microsoft Defender para Nuvem e do Azure Policy definindo fluxos de trabalho de configuração de linha de base organizacional e governança para alterações de configuração.

ES-2.2: Habilitar recursos avançados de proteção contra ameaças

A detecção de malware por si só fornece proteção insuficiente quando os adversários exploram vulnerabilidades de corrupção de memória, abusam de recursos legítimos do sistema e criptografam dados antes que as assinaturas tradicionais detectem sua presença. Mitigações de proteção de exploração (DEP, ASLR, Control Flow Guard) bloqueiam ataques baseados em memória, independentemente de assinaturas de malwares, impedindo a exploração de vulnerabilidades de aplicativos. As regras de redução da superfície de ataque restringem as técnicas de adversário bloqueando a execução de script de fontes não confiáveis, limitando o acesso a credenciais e protegendo pastas de dados críticas antes que a criptografia de ransomware ocorra.

Impedir técnicas de exploração por meio dessas proteções avançadas:

  • Configure recursos avançados de proteção, incluindo proteção contra exploração, redução da superfície de ataque, acesso controlado a pastas e proteção de rede para evitar técnicas de exploração e reduzir a superfície de ataque.

Configuração de proteção de exploração:

  • Habilitar proteções de memória: Ativar a DEP (Prevenção de Execução de Dados), a Randomização do Layout de Espaço de Endereço (ASLR) e o CFG (Control Flow Guard) em todas as VMs do Azure testando a compatibilidade do aplicativo em ambientes de desenvolvimento antes da implantação de produção.
  • Configurar proteções específicas do aplicativo: Aplique proteções de exploração direcionadas a aplicativos de alto risco (navegadores, aplicativos do Office, leitores de PDF) com exceções documentadas e revisadas trimestralmente.
  • Teste a eficácia da mitigação: Conduza testes controlados de simulação de exploração, validando a proteção contra técnicas comuns, como pulverização de heap, ROP, substituições de SEH, ajustando as configurações com base nos resultados.
  • Estabelecer o processo de exceção: Defina o fluxo de trabalho de aprovação formal para exceções de proteção de exploração que exigem revisão do arquiteto de segurança, justificativa de negócios e controles de compensação.

Configuração de redução da superfície de ataque:

  • Implantar regras ASR progressivamente: Habilite as regras de redução da superfície de ataque no modo de auditoria primeiro analisando o impacto por 30 dias antes de mudar para o modo de bloco começando com regras de baixo impacto.
  • Configurar controles de execução de script: Bloqueie a execução ofuscada de JavaScript/VBScript/PowerShell de fontes não confiáveis, mantendo exceções documentadas para scripts de automação legítimos.
  • Habilitar a proteção contra ransomware: Configure o acesso controlado a pastas que protegem pastas de dados críticas com a lista de aplicativos aprovada revisada mensalmente.
  • Implementar a proteção de credenciais: Habilite a proteção LSASS para bloquear o roubo de credenciais no Subsistema de Autoridade de Segurança Local do Windows, monitorando falsos positivos que possam impactar ferramentas de segurança legítimas.
  • Monitorar a eficácia da regra ASR: Examine os eventos de bloco de regra ASR semanalmente identificando padrões de ataque e ajustando as configurações de regra otimizando a cobertura de segurança.

Proteção de rede:

  • Proteção contra ameaças da Web: Bloquear conexões com endereços IP mal-intencionados, domínios e URLs impedindo comunicações de comando e controle e downloads mal-intencionados.
  • Integração do SmartScreen:Microsoft Defender SmartScreen verifica a reputação em tempo real para arquivos baixados e sites visitados impedindo o acesso a sites de distribuição de phishing e malware conhecidos.
  • Prevenção de intrusão de rede: Detecção e bloqueio de tentativas de exploração baseadas em rede e atividades de movimento lateral no nível do ponto de extremidade.

Exemplo de implementação

Uma organização de saúde sofreu um ataque de ransomware criptografando registros de pacientes na infraestrutura da Área de Trabalho Virtual do Azure. O antivírus tradicional não detectou malware residente na memória entregue através de arquivos de imagem médica armada.

Desafio: A proteção herdada baseada em assinatura não pôde detectar ataques sem arquivos ou ransomware baseado em script. Os médicos precisavam de acesso ininterrupto a aplicativos médicos, mantendo os controles de segurança hipaa. Ransomware criptografou os registros de pacientes antes da detecção.

Abordagem da solução:

  • Detecção comportamental: Implantado o Microsoft Defender Antivírus com proteção fornecida na nuvem e análise comportamental detectando malware sem arquivo e ataques baseados em script em VMs de aplicativo médico.
  • Redução da superfície de ataque: Regras ASR configuradas bloqueando a execução do PowerShell de fontes não confiáveis e impedindo o despejo de credenciais em servidores de aplicativos que hospedam registros eletrônicos de saúde.
  • Proteção contra ransomware: Implementou o acesso controlado à pasta na Área de Trabalho Virtual do Azure, protegendo os diretórios de dados do paciente contra modificações não autorizadas, bloqueando tentativas de criptografia de ransomware.
  • Prevenção de exploração: Proteção de exploração habilitada para navegadores da Web e visualizadores de imagens médicas impedindo vetores de comprometimento iniciais.

Resultado: Detectou e bloqueou tentativas de ransomware subsequentes em segundos antes da criptografia. Reduziu substancialmente os falsos positivos por meio da análise comportamental. Manteve a conformidade da HIPAA com a cobertura de proteção abrangente.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: SI-3(1), SI-3(2), SI-3(4), SI-3(7), SI-3(8)
  • PCI-DSS v4: 5.1.1, 5.2.1, 5.2.2, 5.2.3, 5.3.1, 5.3.2
  • Controles CIS v8.1: 10.1, 10.2, 10.5, 10.7
  • NIST CSF v2.0: DE. CM-4, PR. DS-6
  • ISO 27001:2022: A.8.7
  • SOC 2: CC6.1, CC7.2

ES-3: garantir que o software antimalware e as assinaturas sejam atualizados

Princípio de segurança

Mantenha a proteção antimalware atual por meio de atualizações automatizadas de assinatura, gerenciamento de versão de software e monitoramento de conformidade de atualização. Verifique se todos os pontos de extremidade recebem atualizações de proteção oportunas minimizando janelas de vulnerabilidade e mantendo recursos eficazes de detecção de ameaças.

Risco a ser mitigado

Assinaturas antimalware e versões de software desatualizadas deixam os pontos de extremidade vulneráveis a ameaças conhecidas que poderiam ser evitadas com a proteção atual. Sem atualizações oportunas:

  • Falha de detecção de malware conhecida: As assinaturas desatualizadas não podem detectar novas variantes de malware, explorações e campanhas de ameaça identificadas após a última atualização.
  • Bypass de proteção: Invasores visam especificamente endpoints com proteção desatualizada, sabendo que lacunas nas assinaturas permitem a execução de malware.
  • Vulnerabilidade de exploração: O software antimalware sem correspondência contém vulnerabilidades que os invasores exploram para desabilitar a proteção ou escalonar privilégios.
  • Violações de conformidade: As estruturas regulatórias exigem proteção antimalware atual com falhas de auditoria resultantes de assinaturas desatualizadas ou versões de software.
  • Lacunas de resposta a incidentes: A proteção desatualizada impede a detecção durante as fases iniciais de ataque, permitindo que as ameaças estabeleçam persistência antes que as atualizações habilitem a detecção.

As organizações que mantêm as atualizações antimalware atuais reduzem significativamente as taxas de infecção por malware e melhoram a postura geral de segurança.

MITRE ATT&CK

  • Evasão de Defesa (TA0005): prejudica as defesas (T1562) explorando antimalware desatualizado para evitar a detecção.
  • Execução (TA0002): exploração para execução no cliente (T1203) usando explorações conhecidas que as assinaturas atuais detectariam.

ES-3.1: Configurar e impor atualizações automatizadas

A proteção antimalware degrada-se rapidamente à medida que as assinaturas de ameaças envelhecem e os mecanismos de detecção ficam desatualizados, com novas variantes de malware surgindo continuamente que conseguem iludir capacidades de detecção mais antigas. Mecanismos de atualização automatizados garantem que os pontos de extremidade mantenham algoritmos atuais de inteligência e detecção de ameaças sem depender de processos manuais que introduzem atrasos e lacunas de cobertura. O monitoramento de conformidade identifica pontos de extremidade com proteção desatualizada que representam vulnerabilidades de alto risco na fronteira de segurança, permitindo a correção direcionada antes que as ameaças explorem lacunas de proteção.

Mantenha a eficácia antimalware atual por meio desses processos de atualização:

  • Implemente processos automatizados de assinatura anti-malware e atualização de software com monitoramento e cumprimento de conformidade, garantindo que os dispositivos mantenham a proteção atualizada sem intervenção manual.

Configuração de atualização automatizada:

  • Habilitar atualizações automáticas de assinatura: Configure verificações automáticas de atualização de assinatura várias vezes ao dia, garantindo a implantação rápida de novas inteligências de ameaças para lidar com ameaças emergentes.
  • Habilitar atualizações automáticas do motor: Configure atualizações automatizadas do motor de detecção e da plataforma, garantindo que os endpoints recebam capacidades aprimoradas de detecção e melhorias críticas de segurança.
  • Configurar fontes de atualização confiáveis: Estabeleça atualizações primárias entregues na nuvem com mecanismos de failover, garantindo a proteção consistente da entrega de atualizações contra interrupções de serviço de atualização.
  • Validar a integridade da atualização: Habilite a validação automatizada de atualizações de assinatura e software antes da implantação, impedindo que pacotes de atualização corrompidos ou mal-intencionados comprometam a proteção do ponto de extremidade.
  • Testar atualizações críticas: Valide as principais atualizações de versão de software em ambientes de não produção confirmando a compatibilidade e a eficácia antes da implantação de produção, evitando interrupções operacionais.

Monitoramento e imposição de conformidade:

  • Monitorar a conformidade da atualização: Acompanhe a idade da assinatura e as versões de software nos pontos de extremidade para identificar dispositivos com proteção desatualizada que exceda os limites da política de segurança.
  • Impor a correção automatizada: Configure a imposição de atualização automatizada para pontos de extremidade não compatíveis, garantindo atualizações de proteção oportunas sem intervenção manual.
  • Restringir o acesso não-conforme: Integrar-se ao controle de acesso à rede restringindo o acesso aos endpoints com proteção criticamente desatualizada até a conclusão da correção.
  • Gerenciar exceções de segurança: Estabeleça um processo formal de exceção para pontos de extremidade que requerem atualizações atrasadas, com controles compensatórios documentados e aprovações com prazo determinado.

Exemplo de implementação

Uma organização com operações globais sofreu um surto de malware afetando sistemas comerciais críticos quando assinaturas antivírus desatualizadas falharam em detectar variantes de malware conhecidas, expondo dados confidenciais e interrompendo operações.

Desafio: As operações globais em vários fusos horários dificultaram as atualizações coordenadas. Restrições de largura de banda regionais atrasaram a distribuição da assinatura. Os processos de atualização manual criaram lacunas em que os dispositivos ficaram com a proteção desatualizada durante os períodos operacionais de pico.

Abordagem da solução:

  • Cadência de atualização automatizada: Configuração de atualizações fornecidas pela nuvem com verificação a cada 2 horas, garantindo a implantação rápida de inteligência de ameaças. Removida a dependência dos processos de atualização manual.
  • Imposição de conformidade: Implementou alertas de monitoramento do Azure Policy quando as assinaturas excedem 7 dias. Integrado ao controle de acesso à rede, negando o acesso a dispositivos não compatíveis.
  • Estratégia de distribuição em fases: Configurado a implantação em fases testando versões principais com um pequeno grupo piloto antes da distribuição completa, evitando interrupções operacionais, mantendo a moeda de proteção.

Resultado: Reduziu drasticamente a idade média da assinatura de semanas para horas. Atingiu alta conformidade sem incidentes de malware relacionados a assinaturas desatualizadas no período subsequente.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Revisão 5: SI-3(2), SI-2(2), SI-2(5)
  • PCI-DSS v4: 5.3.3, 6.3.3
  • Controles CIS v8.1: 10.3, 7.2
  • NIST CSF v2.0: DE. CM-4, PR. IP-1
  • ISO 27001:2022: A.8.7, A.8.8
  • SOC 2: CC8.1
  • Last updated on