Compartilhar via

Gerenciamento de postura e vulnerabilidades

O gerenciamento de postura e vulnerabilidades permite que as organizações identifiquem, avaliem, priorizem e corrijam sistematicamente as fraquezas de segurança antes da exploração. Ao contrário da verificação periódica tradicional, os ambientes de nuvem modernos exigem avaliação contínua, priorização baseada em risco e correção automatizada para lidar com o provisionamento rápido, de descompasso de configuração e superfícies de ataque dinâmico que abrangem infraestrutura como código, contêineres e funções sem servidor. As organizações que implementam esses recursos mantêm ambientes seguros por padrão, corrigindo rapidamente exposições críticas, enquanto aqueles que negligenciam esses controles enfrentam fraquezas não detectadas e janelas de exposição prolongadas.

Aqui estão os quatro pilares principais do domínio de segurança de Gerenciamento de Posturas e Vulnerabilidades.

Estabelecer linhas de base seguras: Defina e implemente linhas de base de configuração de segurança em todos os recursos de nuvem, garantindo que os ambientes sejam seguros por padrão por meio de ferramentas de gerenciamento de configuração, imposição de políticas e abordagens de infraestrutura como código que estabelecem configurações de segurança consistentes alinhadas com os padrões do setor e os requisitos organizacionais.

Controles relacionados:

Monitorar e impor a conformidade: Audite e imponha continuamente configurações seguras detectando e corrigindo o descompasso de configuração por meio de recursos automatizados de monitoramento e correção. Mantenha uma visibilidade abrangente das superfícies de ataque por meio de avaliações contínuas de descoberta de ativos e vulnerabilidades em infraestrutura, plataformas, aplicativos e sistemas operacionais que identificam pontos fracos de segurança que exigem atenção.

Controles relacionados:

Corrija usando a priorização baseada em risco: Concentre os esforços de correção em vulnerabilidades que representam ameaças genuínas por meio de priorização baseada em risco, combinando avaliação de probabilidade de exploração, acompanhamento de exploração ativa, crítico de ativos e contexto de exposição. Implemente processos automatizados de correção de patch e vulnerabilidade priorizando exposições críticas, minimizando a interrupção operacional e validando a eficácia da segurança por meio de técnicas avançadas de teste.

Controles relacionados:

Integre a segurança de desenvolvimento: Evite vulnerabilidades antes da implantação de produção por meio da validação de segurança integrada no início dos processos de desenvolvimento e da proteção da cadeia de fornecimento de software. Implemente a verificação de segurança de pré-implantação, a avaliação de vulnerabilidades de dependência e o gerenciamento de riscos da cadeia de suprimentos, impedindo que os pontos fracos de segurança atinjam ambientes de produção.

Para obter diretrizes abrangentes sobre práticas de segurança de deslocamento para a esquerda e controles de segurança da cadeia de suprimentos, incluindo integração de pipeline de CI/CD, gerenciamento de SBOM, assinatura de artefatos, verificação de dependências e fluxos de trabalho de segurança do desenvolvedor, consulte a seção DS (DevOps Security) deste parâmetro de comparação.

PV-1: .definir e estabelecer configurações seguras

Princípio de segurança

Defina linhas de base de configuração de segurança para diferentes tipos de recursos na nuvem usando ferramentas de gerenciamento de configuração para estabelecer ambientes em conformidade por padrão. Aproveite os padrões do setor, as recomendações do fornecedor e os requisitos organizacionais para criar linhas de base abrangentes que podem ser aplicadas automaticamente durante a implantação de recursos.

Risco a mitigar

Sem linhas de base de configuração de segurança padronizadas, os ambientes de nuvem sofrem de posturas de segurança inconsistentes que criam pontos fracos exploráveis. A ausência de padrões de configuração seguros leva a:

  • Vulnerabilidades de descompasso de configuração: Os recursos implantados sem linhas de base de segurança introduzem configurações incorretas, incluindo regras de firewall abertas, configurações de autenticação fracas, permissões excessivas e pontos de entrada de criação de log de segurança desabilitados para invasores.
  • Posturas de segurança inconsistentes: Equipes diferentes implantando recursos com configurações de segurança variadas criam uma superfície de ataque imprevisível em que alguns ambientes têm proteções fortes, enquanto outros permanecem vulneráveis.
  • Violações de conformidade: As estruturas regulatórias (PCI-DSS, HIPAA, SOC 2) exigem que linhas de base específicas sem configurações de segurança resultem em implantações não compatíveis e falhas de auditoria.
  • Exploração de configuração padrão: Os serviços de nuvem muitas vezes vêm com configurações padrão otimizadas para funcionalidade, em vez de segurança—padrões não modificados frequentemente contêm fraquezas de segurança que os atacantes exploram rotineiramente.
  • Erros de configuração manual: As equipes que definem manualmente as configurações de segurança introduzem erros humanos, incluindo erros de digitação, configurações omitidas e requisitos incompreendidos que enfraquecem a postura geral de segurança.
  • Amplificação de escala de pontos fracos: Em ambientes de nuvem, as fraquezas de configuração são replicadas entre centenas ou milhares de recursos por meio da automação– uma única falha de linha de base afeta todo o ambiente.

Sem linhas de base de configuração seguras, as organizações operam a segurança reativa onde as fraquezas são descobertas somente após a exploração, em vez de impedidas por meio de padrões proativos.

MITRE ATT&CK

  • Acesso Inicial (TA0001): explore o aplicativo voltado para o público (T1190) aproveitando serviços configurados incorretamente com credenciais padrão ou exposição excessiva à rede.
  • Persistência (TA0003): criar conta (T1136) explorando políticas de conta fracas ou controles de acesso administrativo em configurações de linha de base.
  • Evasão de Defesa (TA0005): prejudicar defesas (T1562) desabilitando controles de segurança que não foram configurados ou aplicados corretamente nas instalações padrão.
  • Descoberta (TA0007): descoberta de infraestrutura de nuvem (T1580) enumerando recursos configurados incorretamente para mapear caminhos de ataque e identificar destinos de alto valor.

PV-1.1: estabelecer linhas de base de configuração de segurança

Organizações sem configurações de segurança padronizadas implantam recursos com posturas de segurança inconsistentes, criando vulnerabilidades em ambientes, consumindo esforços operacionais significativos configurando manualmente cada implantação. As linhas de base de configuração estabelecem padrões de segurança repetíveis que impedem a descompasso de configuração e garantem uma proteção consistente em todos os recursos de nuvem. As configurações de segurança padronizadas aceleram a implantação segura, reduzindo incidentes de segurança relacionados à configuração e violações de conformidade.

Estabeleça configurações de segurança consistentes por meio de linhas de base padronizadas:

  • Definir linhas de base de configuração de segurança: Use o Microsoft Cloud Security Benchmark e recomendações de segurança específicas do serviço para estabelecer padrões de configuração para cada serviço do Azure.
  • Implementar zonas de destino do Azure: Use zonas de destino do Azure para acelerar a implantação de carga de trabalho com configurações de segurança pré-configuradas e controles de governança.
  • Use modelos de infraestrutura como código: Codifique e implante configurações de segurança consistentes usando templates Bicep e Template Specs para implantações repetíveis.
  • Diretrizes de arquitetura de referência: Siga o pilar de segurança do Azure Well-Architected Framework para diretrizes de configuração de arquitetura e práticas recomendadas.

Exemplo de implementação

Uma organização de serviços financeiros estabeleceu linhas de base de configuração de segurança abrangentes em sua infraestrutura de nuvem com suporte a aplicativos bancários online e sistemas de processamento de dados do cliente que atendem a 2,5 milhões de clientes.

Desafio: A organização de serviços financeiros não tinha configurações de segurança padronizadas em toda a infraestrutura de nuvem, resultando em posturas de segurança inconsistentes em mais de 500 recursos do Azure com incidentes de segurança relacionados à configuração e tempos prolongados de implantação de ambiente devido a processos manuais de configuração de segurança.

Abordagem da solução:

Defina linhas de base de segurança abrangentes:

  1. Crie especificações de modelo contendo padrões de configuração de segurança para tipos de recursos comuns:
    • Redes virtuais com grupos de segurança de rede configurados para acesso de privilégios mínimos
    • Contas de armazenamento com criptografia em repouso habilitada, acesso público desabilitado e log configurado
    • Cofres de chaves com políticas de acesso que restringem o acesso secreto somente a aplicativos autorizados
    • Serviços de Aplicativo com imposição de HTTPS, integração de identidade e cabeçalhos de segurança configurados
    • Bancos de dados SQL com criptografia de dados transparente, auditoria habilitada e regras de firewall configuradas
  2. Estabeleça linhas de base de recursos de computação usando a Configuração do Azure Machine:
    • Configurações de linha de base do Windows Server usando a Configuração de Máquina do Azure para conformidade com CIS
    • Linhas de base de fortalecimento do Linux implantadas por meio das melhores práticas de máquinas do Azure Automanage.
    • Verificação de segurança de imagem de contêiner integrada ao Microsoft Defender para Contêineres no Registro de Contêiner do Azure
    • Diretrizes de segurança do Azure Kubernetes Service que impõem o Azure Policy add-on com políticas de segurança incorporadas

Implementar a infraestrutura como código:

  1. Implante modelos Bicep com a integração do Azure Policy garantindo a conformidade na implantação:
    • Módulos Bicep com parâmetros de segurança embutidos (propriedades como minimumTlsVersion e supportsHttpsTrafficOnly)
    • Os efeitos "deployIfNotExists" do Azure Policy habilitam automaticamente as configurações de diagnóstico e a criptografia.
    • Especificações de template versionadas e armazenadas no Azure para gerenciamento centralizado de linha de base
  2. Usar pipelines do Azure DevOps com tarefas de implantação do Azure Resource Manager e verificações de conformidade com políticas
  3. Implementar políticas de branch do Azure Repos que exigem revisão de código da equipe de segurança antes de integrar as alterações de linha de base

Resultado: A organização obteve uma forte conformidade com os padrões de configuração de segurança, estabelecendo posturas de segurança consistentes em toda a infraestrutura de nuvem. Os incidentes de segurança relacionados à configuração diminuíram substancialmente, demonstrando a eficácia das configurações de segurança padronizadas na prevenção de falhas comuns e configurações incorretas.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: CM-2, CM-6, CM-6(1)
  • PCI-DSS v4: 2.2.1, 12.3.1
  • Controles CIS v8.1: 4.1, 4.2
  • NIST CSF v2.0: PR. IP-1, PR. DS-6
  • ISO 27001:2022: A.8.9, A.5.37
  • SOC 2: CC6.1, CC6.6

PV-2: auditar e impor configurações seguras

Azure Policy: Confira as definições de política internas do Azure: PV-2.

Princípio de segurança

Monitore e alerte continuamente sobre desvios das linhas de base de configuração definidas. Imponha as configurações desejadas por meio de correção automatizada que nega configurações não compatíveis ou implanta automaticamente configurações corretivas para manter a postura de segurança.

Risco a mitigar

O desvio de configuração das baselines de segurança estabelecidas introduz vulnerabilidades que se acumulam ao longo do tempo, criando uma superfície de ataque em expansão. Sem monitoramento e imposição contínuas:

  • Desvio de configuração silencioso: Alterações manuais, modificações de emergência e atualizações incrementais enfraquecem gradualmente as configurações de segurança sem disparar alertas, o que resulta em ambientes que parecem seguros, mas contêm lacunas exploráveis.
  • Degradação de conformidade: Os sistemas inicialmente implantados com configurações em conformidade se afastam dos requisitos regulatórios por meio de alterações operacionais normais, criando resultados de auditoria e riscos de certificação.
  • Imposição inconsistente: Diferentes equipes que aplicam configurações de segurança introduzem manualmente variações e omissões que criam pontos fracos de segurança em todo o ambiente.
  • Exceções de alteração de emergência: Situações de alta pressão levam a bypasses de segurança e configurações temporárias que se tornam permanentes, corroendo a postura de segurança como um todo.
  • Amplificação de escala de descompasso: Em ambientes de nuvem, as alterações de configuração são replicadas em vários recursos por meio da automação– um único evento de descompasso pode enfraquecer centenas de recursos simultaneamente.
  • Configurações incorretas não detectadas: Sem o monitoramento automatizado, as configurações incorretas de segurança permanecem indetectadas por longos períodos, proporcionando oportunidades persistentes para exploração de invasores.

O descompasso de configuração transforma ambientes inicialmente seguros em infraestrutura vulnerável que não atende aos requisitos de segurança e conformidade.

MITRE ATT&CK

  • Evasão de Defesa (TA0005): compromete as defesas (T1562) explorando o desvio de configuração para desabilitar ou enfraquecer os controles de segurança.
  • Persistência (TA0003): modificar o processo de autenticação (T1556) aproveitando configurações de autenticação enfraquecidas que se desviaram de linhas de base seguras.
  • Descoberta (TA0007): descoberta de infraestrutura de nuvem (T1580) identificando recursos mal configurados por meio de enumeração sistemática de pontos fracos de configuração.

PV-2.1: implementar o monitoramento de configuração contínua

O desvio de configuração ocorre gradualmente à medida que alterações manuais, correções de emergência e modificações não autorizadas desviam recursos das linhas de base de segurança, criando lacunas de segurança que as auditorias periódicas tradicionais detectam tarde demais para impedir que sejam exploradas. O monitoramento de configuração contínua fornece visibilidade em tempo real sobre o estado de configuração e a detecção automatizada da degradação do controle de segurança. A imposição automatizada impede a descompasso de configuração, mantendo a consistência da postura de segurança em todos os recursos de nuvem.

Manter a conformidade da linha de base de segurança por meio do monitoramento e da imposição contínuas:

  • Configurar a avaliação de configuração contínua: Use o Microsoft Defender para Nuvem para avaliar continuamente as configurações de recursos em relação às recomendações de segurança e identificar desvios das linhas de base.
  • Implementar o monitoramento baseado em política: Implante o Azure Policy com efeitos de auditoria e imposição para monitorar e controlar as configurações de recursos em todas as assinaturas.
  • Criar alertas de desvio de configuração: Use o Azure Monitor para criar alertas quando forem detectados desvios de configuração, disparando fluxos de trabalho de investigação e correção.
  • Implantar controles preventivos: Implemente os efeitos de negação do Azure Policy para impedir a implantação de configurações não compatíveis no momento da criação do recurso.
  • Automatizar a correção de configuração: Use os efeitos deployIfNotExists do Azure Policy para corrigir automaticamente o desvio de configuração sem intervenção manual.

Exemplo de implementação

Uma empresa de tecnologia de saúde implementou um monitoramento abrangente de configuração em toda a infraestrutura de nuvem que dá suporte a sistemas EHR (registro eletrônico de integridade) e plataformas de análise de dados de pacientes que atendem mais de 150 hospitais.

Desafio: A empresa de tecnologia de saúde experimentou incidentes de deriva de configuração que criaram riscos de conformidade HIPAA, com alterações de configuração não sendo detectadas por semanas e processos manuais de correção demorando dias para corrigir violações de configuração de segurança em mais de 150 ambientes hospitalares.

Abordagem da solução:

Implantar a infraestrutura de monitoramento contínuo:

  1. Habilite o Microsoft Defender para Nuvem em todas as assinaturas com políticas de segurança configuradas para avaliar:
    • Configurações de criptografia e acesso da conta de armazenamento
    • Regras de grupo de segurança de rede e exposição à rede
    • Conformidade de configuração de gerenciamento de identidade e acesso
    • Configurações de segurança do banco de dados e controles de acesso
    • Conformidade da linha de base de segurança da máquina virtual
  2. Configure o Log Analytics do Azure Monitor com consultas KQL detectando alterações de configuração:
    • Consultas de AzureActivity monitoram operações do grupo de regras de segurança de rede para modificações em regras de firewall.
    • Consultas do AzureDiagnostics que detectam eventos de StorageAccountEncryptionDisabled
    • Consultas sobre logs de auditoria que acompanham atribuições de função e escalonamentos de privilégios no Microsoft Entra PIM
    • Consultas de 'policyEvents' para monitorar os pedidos de isenção de política e alterações no estado de conformidade

Implementar a imposição orientada por políticas:

  1. Implantar iniciativas internas do Azure Policy para conformidade do HIPAA HITRUST 9.2:
    • Políticas de efeito de auditoria usando provedores de recursos Microsoft.Compute, Microsoft.Storage, Microsoft.Network
    • Negar políticas de efeito que impõem allowedLocations, allowedVirtualMachineSkus, deniedResourceTypes
    • Políticas de efeito DeployIfNotExists implantando o Microsoft Defender para Nuvem, configurações de diagnóstico, criptografia
  2. Configurar tarefas de correção do Azure Policy com atribuições de identidade gerenciadas:
    • Tarefas de correção automatizadas usando identidades gerenciadas atribuídas pelo sistema para conformidade de política
    • Runbooks de Automação do Azure acionados por alterações no estado de conformidade de políticas
    • Fluxos de trabalho dos Aplicativos Lógicos do Azure para correção complexa que exigem orquestração de várias etapas

Estabelecer fluxos de trabalho de alerta e resposta:

  1. Criar regras de alerta do Azure Monitor para alterações de configuração críticas:
    • Alertas imediatos para desabilitação de controle de segurança ou isenções de política
    • Resumos diários do status de conformidade de configuração entre ambientes
    • Análise de tendência semanal identificando problemas de gerenciamento de configuração sistêmica
  2. Integre alertas ao Azure DevOps para acompanhamento e resolução:
    • Criação automática de item de trabalho para violações críticas de configuração de segurança
    • Atribuição às equipes apropriadas conforme o tipo de recurso e a gravidade
    • Acompanhamento de SLA garantindo resolução oportuna do desvio de configuração

Resultado: O monitoramento de configuração da organização detectou e corrigiu incidentes de descompasso de configuração que poderiam ter levado a violações de conformidade hipaa, impedindo penalidades regulatórias e protegendo os dados dos pacientes. A imposição automatizada impediu implantações de recursos não compatíveis antes de atingir a produção, garantindo que as configurações de segurança permanecessem consistentes durante todo o ciclo de vida do recurso.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: CM-2, CM-3, CM-6, CM-7, CM-7(1)
  • PCI-DSS v4: 2.2.2, 2.2.7, 11.5.1
  • Controles CIS v8.1: 4.1, 4.2, 4.7
  • NIST CSF v2.0: DE. CM-7, PR. IP-1
  • ISO 27001:2022: A.8.9, A.8.34
  • SOC 2: CC6.1, CC6.6, CC7.1

PV-3: definir e estabelecer configurações seguras para recursos de computação

Princípio de segurança

Defina linhas de base de configuração seguras para recursos de computação, incluindo máquinas virtuais (VMs) e contêineres. Use ferramentas de gerenciamento de configuração e imagens pré-configuradas para estabelecer ambientes de computação em conformidade por padrão, garantindo que a proteção de segurança seja aplicada de forma consistente em todas as implantações de computação.

Risco a mitigar

Recursos de computação, incluindo máquinas virtuais e contêineres, geralmente são implantados com configurações padrão inseguras que expõem as organizações a comprometimento. Sem linhas de base de computação seguras:

  • Vulnerabilidades do sistema operacional: As instalações padrão do sistema operacional contêm serviços desnecessários, configurações de autenticação fracas e patches de segurança ausentes que fornecem vetores de ataque para escalonamento de privilégios e movimentação lateral.
  • Lacunas de segurança do contêiner: As imagens de contêiner criadas sem proteção de segurança contêm camadas base vulneráveis, privilégios excessivos e configurações de runtime inseguras que permitem a escape de contêiner e o comprometimento do host.
  • Pontos fracos de configuração de serviço: Aplicativos e serviços implantados com configurações padrão geralmente habilitam recursos desnecessários, usam credenciais fracas e não têm controles de acesso adequados.
  • Oportunidades de acesso persistente: Recursos de computação com linhas de base de segurança fracas fornecem aos invasores bases estáveis para manter o acesso a longo prazo e realizar o reconhecimento.
  • Amplificação de escala: Os sistemas de dimensionamento automático e orquestração de nuvem replicam configurações de computação inseguras em centenas de instâncias, ampliando o impacto das fraquezas de segurança de linha de base.
  • Violações de conformidade: Os padrões regulatórios exigem configurações de segurança específicas para linhas de base não seguras de recursos de computação que criam lacunas de conformidade demonstradas.

Configurações de computação inseguras fornecem aos invasores vários caminhos para acesso inicial, escalonamento de privilégios e presença persistente em ambientes de nuvem.

MITRE ATT&CK

  • Acesso Inicial (TA0001): explorar a aplicação voltada para o público (T1190) visando serviços em execução em recursos de computação configurados de forma insegura.
  • Execução (TA0002): interpretador de comando e script (T1059) aproveitando a segurança de computação fraca para executar código mal-intencionado.
  • Persistência (TA0003): crie ou modifique o processo do sistema (T1543) explorando linhas de base de computação fracas para estabelecer acesso persistente.
  • Evasão de Defesa (TA0005): prejudica as defesas (T1562) desabilitando controles de segurança em recursos de computação fracamente configurados.

PV-3.1: estabelecer linhas de base de segurança de computação

Os recursos de computação implantados com configurações padrão contêm pontos fracos de segurança conhecidos e serviços desnecessários que os invasores exploram para acesso inicial e escalonamento de privilégios, com vulnerabilidades do sistema operacional que permanecem vetores de ataque primários em ambientes de nuvem. A proteção de segurança reduz a superfície de ataque desabilitando serviços desnecessários, aplicando configurações de segurança e impondo princípios de privilégio mínimo no nível do sistema operacional. As linhas de base de computação protegidas impedem técnicas comuns de exploração, garantindo uma postura de segurança consistente em todos os recursos de computação.

Implemente a proteção de segurança de computação por meio de linhas de base padronizadas:

  • Aplicar linhas de base de segurança do sistema operacional: Use as linhas de base de segurança do Azure para sistemas operacionais Windows e Linux para aplicar padrões de referência do CIS e recomendações de segurança da Microsoft.
  • Criar imagens de máquina virtual protegidas: Use o Construtor de Imagens do Azure para criar imagens de VM protegidas com configurações de segurança pré-aplicadas antes da implantação.
  • Estabelecer linhas de base de segurança de contêiner: Aplique padrões de segurança de contêiner usando as recomendações do Microsoft Defender para Contêineres para endurecimento de imagem e proteção em tempo de execução.

Exemplo de implementação

Uma empresa de fabricação estabeleceu linhas de base de computação seguras em toda a infraestrutura de IoT industrial e aplicativos empresariais que dão suporte a mais de 50 instalações de produção e sistemas de gerenciamento da cadeia de suprimentos.

Desafio: A empresa de manufatura enfrentou incidentes de segurança envolvendo recursos de computação com vulnerabilidades críticas, preparação de auditoria de conformidade demorada devido a configurações de segurança inconsistentes e processos lentos de implantação de VM que atrasaram expansões de instalações de produção em mais de 50 locais.

Abordagem da solução:

Estabelecer linhas de base de segurança de VM:

  1. Crie imagens de VM protegidas usando o Construtor de Imagens do Azure com a Galeria de Computação do Azure:
    • Imagens do Windows Server 2022 com personalizações do Construtor de Imagens do Azure aplicando parâmetros de comparação de CIS
    • Imagens do Ubuntu 22.04 LTS usando scripts do Construtor de Imagens do Azure para fortalecimento de segurança
    • Integração automatizada do Microsoft Defender para Endpoint por meio de scripts de build do Image Builder
    • Controle de versão da Galeria de Computação do Azure com replicação entre regiões para distribuição de linha de base
  2. Configurar a Configuração de Máquina do Azure para conformidade no nível do sistema operacional:
    • Pacotes de Configuração de Máquina do Azure implantando configurações de DSC em VMs do Windows
    • Políticas personalizadas do Azure Machine Configuration que impõem linhas de base de segurança do Linux
    • Habilitação do Azure Disk Encryption imposta por meio de deployIfNotExists do Azure Policy
    • Requisitos de Inicialização Segura e vTPM impostos por meio de políticas de criação de VM

Implantar linhas de base de segurança de contêiner:

  1. Configurar o Registro de Contêiner do Azure com o Microsoft Defender para Contêineres:
    • Verificação de vulnerabilidades do Microsoft Defender para Contêineres usando o verificador Trivy integrado para imagens do ACR
    • Padrão de quarentena do ACR utilizando permissões de repositório para bloquear a extração de imagens vulneráveis
    • Otimização da construção de contêineres usando imagens base mínimas e construções de múltiplos estágios
    • Falha nos portões de pipeline do Azure DevOps em CVEs críticos/altos detectados pelo Defender
  2. Implementar linhas de base de segurança do Serviço de Kubernetes do Azure:
    • Azure Policy para AKS que aplica a linha de base de segurança do pod usando definições de política predefinidas
    • CNI do Azure com políticas de rede Calico para isolamento de rede no nível de namespace
    • Gerenciador de Frotas do Kubernetes do Azure distribuindo configurações seguras entre clusters
    • Limpador de Imagens do AKS removendo automaticamente imagens antigas com base em políticas de retenção

Estabelecer a governança de imagem com o Azure Policy:

  1. Implantar Azure Policy para conformidade de imagem de contêineres:
    • Azure Policy garantindo que sejam implantadas somente imagens de origem ACR em clusters do AKS
    • Requisitos de tagueamento de imagem de contêiner impostos por meio de efeitos de auditoria do Azure Policy
    • Fluxos de trabalho automatizados de atualização de imagem usando execuções agendadas de Tarefas do Registro de Contêiner do Azure
    • Integração da Galeria de Computação do Azure para distribuição de imagens base aprovadas de VM e contêiner

Resultado: As linhas de base de computação segura da organização reduziram substancialmente os incidentes de segurança envolvendo recursos de computação, demonstrando a eficácia das configurações de segurança padronizadas. Os resultados da avaliação de vulnerabilidade mostraram uma redução significativa nos resultados críticos e de alta gravidade, reduzindo os riscos de superfície de ataque e conformidade entre as instalações de produção.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: CM-2, CM-6, SC-28, SC-28(1)
  • PCI-DSS v4: 2.2.1, 2.2.4, 2.2.5
  • Controles CIS v8.1: 4.1, 4.8, 18.3
  • NIST CSF v2.0: PR. IP-1, PR. DS-6, PR. PT-3
  • ISO 27001:2022: A.8.1, A.8.9, A.8.19
  • SOC 2: CC6.1, CC6.6, CC6.7

PV-4: auditar e impor configurações seguras para recursos de computação

Azure Policy: Confira as definições de política internas do Azure: PV-4.

Princípio de segurança

Monitore e alerte continuamente sobre desvios de configuração de linhas de base definidas em recursos de computação. Imponha as configurações desejadas por meio de correção automatizada que impede configurações não compatíveis ou aplica automaticamente medidas corretivas para manter a postura de segurança.

Risco a mitigar

As configurações de recursos de computação derivam das linhas de base de segurança por meio de operações normais, criando vulnerabilidades que se acumulam ao longo do tempo. Sem monitoramento e imposição contínuas:

  • Descompasso de configuração em sistemas críticos: Os sistemas de produção gradualmente se desviam de linhas de base seguras por meio de alterações legítimas, modificações de emergência e atualizações incrementais, enfraquecendo a postura de segurança sem disparar alertas.
  • Lacunas de gerenciamento de patch: As atualizações de segurança ausentes deixam os recursos de computação vulneráveis a explorações conhecidas, enquanto as organizações acreditam que os sistemas são atuais.
  • Vulnerabilidades de expansão de serviço: Novos serviços e aplicativos instalados em recursos de computação introduzem pontos fracos de segurança que ignoram controles de segurança de linha de base.
  • Desvio de segurança em tempo de execução do contêiner: As plataformas de orquestração de contêiner permitem modificações em tempo de execução que podem enfraquecer as políticas de segurança e expor a infraestrutura subjacente.
  • Lacunas de verificação de conformidade: Sem monitoramento contínuo, os recursos de computação ficam fora de conformidade com os requisitos regulatórios entre auditorias periódicas.

O desvio de configuração nos recursos de computação fornece aos invasores oportunidades de exploração evolutivas à medida que os controles de segurança enfraquecem ao longo do tempo.

MITRE ATT&CK

  • Escalonamento de Privilégios (TA0004): exploração para escalonamento de privilégios (T1068) direcionando sistemas com descompasso de configuração permitindo acesso elevado.
  • Evasão de Defesa (TA0005): prejudicar defesas (T1562) utilizando as alterações de configuração que enfraqueceram os controles de segurança.
  • Persistência (TA0003): modificar o processo de autenticação (T1556) explorando falhas na configuração de autenticação para manter o acesso persistente.
  • Descoberta (TA0007): descoberta de informações do sistema (T1082) coletando informações de sistemas configurados incorretamente para identificar oportunidades de ataque.

PV-4.1: implementar o monitoramento de configuração de computação

As configurações de recursos de computação mudam com frequência por meio de instalações de patch, atualizações de aplicativo e modificações administrativas, criando oportunidades de degradação de controle de segurança que os invasores exploram para estabelecer bases em ambientes de nuvem. O monitoramento contínuo de configuração de computação detecta pontos fracos de segurança e alterações não autorizadas antes que os adversários possam explorar configurações incorretas para escalonamento de privilégios ou movimentação lateral. A avaliação e a correção de configuração automatizadas mantêm a postura de segurança dos sistemas de computação, evitando o desvio de configuração entre implantações de máquinas virtuais e contêineres.

Manter a segurança da computação por meio da avaliação e imposição de configuração contínua:

  • Avalie continuamente as configurações de segurança de computação: Use o Microsoft Defender para Nuvem para avaliar continuamente as configurações de segurança de recursos de computação em relação aos parâmetros de comparação do setor e às práticas recomendadas.
  • Implementar o monitoramento contínuo de conformidade: Implantar a Configuração de Máquina do Azure para monitoramento contínuo de conformidade e correção automatizada do desvio de configuração.
  • Manter o estado de configuração desejado: Use a Configuração de Estado de Automação do Azure para manter o estado de configuração desejado entre recursos de computação com recursos de correção automatizados.
  • Monitorar alterações de configuração: Implemente o Controle de Alterações e Inventário para monitorar as alterações de configuração em recursos de computação e detectar modificações não autorizadas.
  • Habilitar o monitoramento da postura de segurança do contêiner: Implante o Microsoft Defender para Contêineres para monitoramento de postura de segurança de contêiner em clusters do AKS e registros de contêiner.

Exemplo de implementação

Uma empresa de tecnologia financeira implementou um monitoramento abrangente de configuração de computação entre sistemas comerciais e aplicativos voltados para o cliente que dão suporte a transações financeiras em tempo real e processamento de dados financeiros confidenciais.

Desafio: A empresa de tecnologia financeira experimentou incidentes de descompasso de configuração que afetam os sistemas comerciais, com a detecção levando dias e a correção manual levando horas, criando riscos de conformidade e potenciais comprometimentos de segurança em sistemas que processam transações financeiras em tempo real para milhões de clientes.

Abordagem da solução:

Implantar monitoramento de configuração abrangente:

  1. Habilite o Microsoft Defender para Nuvem em todos os recursos de computação:
    • Avaliação contínua das configurações de segurança de VM em relação aos parâmetros de comparação de CIS
    • Avaliação da postura de segurança do contêiner para clusters do Kubernetes
    • Priorização de recomendação de segurança com base na avaliação de risco
    • Integração com o Microsoft Sentinel para monitoramento de segurança centralizado
  2. Implementar a Configuração do Azure Machine:
    • Monitoramento de conformidade da linha de base dos sistemas Windows e Linux para mais de 500 VMs
    • Políticas personalizadas que impõem requisitos de segurança de serviços financeiros
    • Correção automatizada de cenários comuns de descompasso de configuração
    • Relatórios de conformidade para preparação de auditoria regulatória

Estabelecer fluxos de trabalho de correção automatizados:

  1. Configurar a Configuração de Estado da Automação do Azure:
    • Configurações de DSC do PowerShell que mantêm os requisitos de segurança do sistema de negociação
    • Correção automatizada do descompasso de configuração relacionado à segurança dentro de 5 minutos
    • Tratamento de exceção para variações de configuração legítimas durante a manutenção
    • Validação de conformidade garantindo que as ações de correção sejam concluídas com êxito
  2. Implantar o controle de alterações e o monitoramento de inventário:
    • Detecção em tempo real de instalações de software não autorizadas
    • Monitoramento de alterações críticas em arquivos e no registro que são fundamentais para a segurança
    • Geração de alertas para alterações de configuração fora das janelas de manutenção
    • Integração com processos de gerenciamento de alterações para modificações aprovadas

Implementar o monitoramento de segurança de contêiner:

  1. Habilite o Microsoft Defender para Contêineres em clusters do AKS:
    • Monitoramento de segurança de runtime detectando comportamento suspeito de contêiner
    • Avaliação de vulnerabilidade de imagem para todas as imagens de contêiner implantadas
    • Avaliação de configuração de cluster do Kubernetes em relação às práticas recomendadas de segurança
    • Análise de tráfego de rede identificando padrões de comunicação incomuns
  2. Impor políticas de segurança do AKS por meio do Azure Policy para Kubernetes:
    • Definições internas do Azure Policy que impõem a linha de base de segurança do pod (sem contêineres privilegiados)
    • Complemento do Azure Policy para AKS usando a estrutura de restrições do Gatekeeper v3 OPA
    • CNI do Azure com políticas de rede Calico para isolamento de rede no nível de namespace
    • Iniciativa do Azure Policy implantando limites de CPU/memória de contêiner por meio de objetos LimitRange

Estabelecer governança e relatórios:

  1. Criar dashboards de conformidade e relatórios:
    • Visibilidade em tempo real do status de conformidade do recurso de computação
    • Análise de tendência identificando problemas sistemáticos de gerenciamento de configuração
    • Relatórios executivos sobre postura de segurança e métricas de melhoria
    • Integração com estruturas de gerenciamento de riscos para quantificação de risco
  2. Implementar a resposta automatizada a incidentes:
    • Alertas imediatos para violações críticas de configuração de segurança
    • Isolamento automatizado de recursos não conformes pendente de correção
    • Integração com o Azure DevOps para controle e resolução de itens de trabalho
    • Análise pós-incidente e recomendações de melhoria de linha de base

Resultado: O monitoramento de configuração da organização detectou e corrigiu incidentes de descompasso de configuração que poderiam ter levado a comprometimentos de segurança, evitando perdas financeiras e violações de dados. A imposição automatizada impediu alterações perigosas de configuração antes de afetar os sistemas de produção, garantindo a estabilidade da plataforma de negociação em todo o crescimento dos negócios.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: CM-3, CM-6, CM-6(1), SI-2, SI-2(2)
  • PCI-DSS v4: 2.2.2, 2.2.7, 11.3.1, 11.3.2
  • Controles CIS v8.1: 4.1, 4.2, 4.7, 18.5
  • NIST CSF v2.0: DE.CM-7, DE.CM-8, PR.IP-1
  • ISO 27001:2022: A.8.9, A.8.19, A.8.34
  • SOC 2: CC6.1, CC6.6, CC7.1, CC7.2

PV-5: executar avaliações de vulnerabilidade

Azure Policy: Confira as definições de política internas do Azure: PV-5.

Princípio de segurança

Execute avaliações abrangentes de vulnerabilidade em todos os recursos de nuvem em uma base agendada e sob demanda. Acompanhe e compare os resultados de análise e verifique a eficácia da correção. Inclua a avaliação de vulnerabilidades de infraestrutura, pontos fracos do aplicativo, problemas de configuração e exposições de rede, ao mesmo tempo em que garante o acesso administrativo usado para atividades de verificação.

Risco a mitigar

Vulnerabilidades não identificadas em toda a infraestrutura de nuvem fornecem aos invasores inúmeras oportunidades de exploração. Sem avaliação de vulnerabilidade abrangente:

  • Exposição de vulnerabilidade desconhecida: Os sistemas contêm pontos fracos de segurança que permanecem indetectados até serem explorados pelos invasores, fornecendo-lhes pontos de apoio estabelecidos que permitem ignorar os controles de segurança.
  • Bancos de dados de vulnerabilidade desatualizados: As equipes de segurança não têm conhecimento atual sobre ameaças emergentes e vulnerabilidades recém-descobertas que afetam sua infraestrutura.
  • Pontos cegos de várias camadas: A verificação tradicional focada na rede perde vulnerabilidades em serviços de nuvem, imagens de contêiner, funções sem servidor e serviços gerenciados.
  • Vulnerabilidades baseadas em configuração: Configurações incorretas e pontos fracos de política escapam da detecção por scanners de vulnerabilidade tradicionais focados em falhas de software.
  • Riscos de acesso privilegiado: As contas administrativas usadas para verificação de vulnerabilidades criarão vetores de ataque adicionais se não forem protegidos e monitorados corretamente.
  • Lacunas de cobertura de avaliação: A verificação incompleta deixa partes da infraestrutura sem avaliação, criando refúgios seguros para operações de atacantes.
  • Falhas de acompanhamento de correção: Sem o acompanhamento sistemático de vulnerabilidades, as organizações perdem a visibilidade de quais vulnerabilidades foram tratadas e que permanecem pendentes.

A avaliação de vulnerabilidade inadequada transforma pontos fracos desconhecidos em vetores de ataque bem-sucedidos que permitem acesso inicial, escalonamento de privilégios e movimento lateral.

MITRE ATT&CK

  • Acesso Inicial (TA0001): explorar aplicativo exposto ao público (T1190) aproveitar vulnerabilidades não corrigidas em aplicativos e serviços web.
  • Escalonamento de privilégios (TA0004): exploração para escalonamento de privilégios (T1068) visando vulnerabilidades conhecidas em sistemas operacionais e aplicativos.
  • Movimento Lateral (TA0008): exploração de serviços remotos (T1021) usando vulnerabilidades para se mover entre sistemas e redes.
  • Evasão de Defesa (TA0005): exploração por evasão de defesa (T1562) aproveitando vulnerabilidades para desabilitar ou ignorar controles de segurança.

PV-5.1: implementar avaliação abrangente de vulnerabilidade

As organizações sem visibilidade de vulnerabilidade abrangente operam com pontos fracos de segurança desconhecidos que os invasores identificam e exploram antes que as equipes de segurança as descubram, com vulnerabilidades críticas que permanecem não detectadas em recursos de computação, contêineres e bancos de dados. A avaliação contínua de vulnerabilidades fornece visibilidade completa das fraquezas de segurança em todos os recursos de nuvem, permitindo a correção proativa antes que os adversários explorem vulnerabilidades para acesso inicial ou escalonamento de privilégios. A verificação em várias camadas combinada com o gerenciamento de exposição oferece priorização baseada em risco que concentra os esforços de correção em vulnerabilidades mais propensas a habilitar ataques bem-sucedidos.

Identificar e priorizar pontos fracos de segurança por meio de uma avaliação abrangente de vulnerabilidades:

  • Habilitar a avaliação abrangente de vulnerabilidades: Implante a avaliação de vulnerabilidades do Microsoft Defender para Nuvem para máquinas virtuais, contêineres e bancos de dados SQL para identificar pontos fracos de segurança em todos os tipos de recursos.
  • Use a verificação de vulnerabilidade integrada: Implemente o verificador de vulnerabilidades interno para uma avaliação abrangente da VM sem a necessidade de implantação ou licenciamento de agente adicional.
  • Integrar o gerenciamento de exposição: Use o Gerenciamento de Exposição de Segurança da Microsoft para identificar caminhos de ataque e priorizar vulnerabilidades com base na criticidade do ativo e em um possível raio de explosão para correção baseada em risco.
  • Implementar a avaliação de vulnerabilidade do banco de dados: Implante a avaliação de vulnerabilidade do SQL para avaliação de segurança do banco de dados e identificação de fraqueza de configuração.
  • Configurar o acompanhamento de vulnerabilidades: Habilite a exportação contínua para acompanhamento e análise de tendências para medir o progresso da correção ao longo do tempo.

Exemplo de implementação

Uma empresa de serviços de saúde implementou uma avaliação abrangente de vulnerabilidades em toda a infraestrutura de nuvem que dá suporte a sistemas de atendimento ao paciente, integração de dispositivos médicos e trocas de informações de saúde que atendem mais de 500 instalações de saúde.

Desafio: A empresa de serviços de saúde não tinha recursos abrangentes de avaliação de vulnerabilidades, com vulnerabilidades críticas permanecendo não detectadas por semanas e processos manuais de gerenciamento de vulnerabilidades, resultando em baixas taxas de correção que criaram riscos de conformidade em mais de 500 instalações de saúde processando dados confidenciais de pacientes.

Abordagem da solução:

Implantar verificação de vulnerabilidade integrada:

  1. Habilite a verificação de vulnerabilidade integrada do Microsoft Defender para Nuvem:
    • Verificação sem agente para VMs do Azure usando o Microsoft Defender para Nuvem com scanner qualys integrado
    • Verificação de vulnerabilidades do Microsoft Defender para Contêineres usando o Trivy para mais de 300 imagens do Registro de Contêiner do Azure
    • Avaliação de vulnerabilidade do Microsoft Defender for SQL com criação automática de baseline
    • Integração do Log Analytics do Azure Monitor exportando a tabela SecurityAssessment para o Microsoft Sentinel

Implementar a avaliação contínua do Microsoft Defender para Nuvem:

  1. Configurar a detecção e a priorização de vulnerabilidades automatizadas:
    • Priorização de vulnerabilidade baseada em risco considerando a crítica e a exposição de ativos
    • Integração com o EPSS (Exploit Prediction Score System) disponível nativamente no Gerenciamento de Vulnerabilidades do Microsoft Defender para dados de probabilidade de exploração
    • Correlação com feeds de inteligência de ameaças para identificar vulnerabilidades em exploração ativa (usando a pontuação de prioridade do Microsoft Defender Threat Intelligence e o rastreamento de explorações)
    • Integração com o inventário de ativos para avaliação de vulnerabilidade com reconhecimento de contexto
    • Contexto da campanha de ataque em tempo real por meio de artigos do Microsoft Defender Threat Intelligence e insights de violação
    • Avaliação de impacto nos negócios para vulnerabilidades que afetam os sistemas de atendimento ao paciente

Estabelecer fluxos de trabalho de gerenciamento de vulnerabilidades:

  1. Automatizar fluxos de trabalho de correção de vulnerabilidade com os Aplicativos Lógicos do Azure:
    • Integração da API REST do Azure DevOps na criação de itens de trabalho a partir de consultas KQL do SecurityAssessment
    • Runbooks de Automação do Azure disparando implantações de patch do Gerenciador de Atualizações do Azure para CVEs críticos
    • Microsoft Defender for Cloud automatizando processos para enviar dados de vulnerabilidade ao Azure DevOps
    • Tarefas de correção do Azure Policy implantando configurações de segurança que tratam de configurações incorretas
  2. Implementar a governança com a pontuação de segurança do Microsoft Defender para Nuvem:
    • Pastas de trabalho do Azure Monitor visualizando tendências de vulnerabilidade da tabela SecurityAssessment
    • Painéis do Power BI exibindo métricas de pontuação segura e KPIs de correção de vulnerabilidade
    • Painel de conformidade regulatória do Microsoft Defender para Nuvem para acompanhamento HIPAA/HITRUST
    • Modelos de pasta de trabalho do Microsoft Sentinel para análise de programas de gerenciamento de vulnerabilidades

Resultado: A avaliação abrangente de vulnerabilidades da organização identificou e facilitou a correção de vulnerabilidades que poderiam ter comprometido sistemas de dados de pacientes, evitando violações de HIPAA. O tempo crítico de detecção de vulnerabilidades melhorou substancialmente por meio da verificação contínua automatizada e da inteligência integrada contra ameaças, permitindo resposta rápida a ameaças emergentes.

Nível de criticidade

Deveria ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: RA-3, RA-5, RA-5(1), RA-5(2), RA-5(5)
  • PCI-DSS v4: 6.3.1, 6.3.2, 11.3.1, 11.3.2
  • Controles CIS v8.1: 7.1, 7.2, 7.5, 7.7
  • NIST CSF v2.0: DE. CM-8, ID.RA-1
  • ISO 27001:2022: A.5.14, A.8.8
  • SOC 2: CC7.1, CC7.2

PV-6: corrigir vulnerabilidades de forma rápida e automática

Azure Policy: Confira as definições de política internas do Azure: PV-6.

Princípio de segurança

Implante rapidamente e automaticamente patches e atualizações para corrigir vulnerabilidades usando a priorização baseada em risco que aborda as vulnerabilidades mais graves em ativos de maior valor primeiro. Implemente recursos automatizados de aplicação de patch que equilibram os requisitos de segurança com a estabilidade operacional.

Risco a mitigar

A correção de vulnerabilidade lenta estende a janela de exposição, permitindo que os invasores explorem pontos fracos conhecidos antes que os patches sejam aplicados. Sem recursos de correção rápida:

  • Janelas de exposição estendida: Vulnerabilidades críticas permanecem exploráveis por dias ou semanas, enquanto o processo manual de correção de vulnerabilidades proporciona tempo suficiente para que os invasores desenvolvam e implantem exploits.
  • Atrasos no gerenciamento de patch: Fluxos de trabalho de aprovação complexos e requisitos de teste atrasam as atualizações de segurança, deixando os sistemas vulneráveis durante ciclos de correção estendidos.
  • Amplificação de escala: Ambientes de nuvem com centenas ou milhares de recursos exigem correção automatizada para alcançar a remediação em tempo hábil - processos manuais não conseguem dimensionar com eficiência.
  • Riscos de interrupção de negócios: O medo do tempo de inatividade do sistema atrasa as decisões de aplicação de patch, deixando vulnerabilidades não corrigidas enquanto as organizações debatem o impacto operacional.
  • Lacunas de software de terceiros: Aplicativos e middleware não cobertos pela aplicação de patch do sistema operacional permanecem vulneráveis por mais tempo devido a procedimentos complexos de atualização.
  • Priorização inconsistente: Sem a priorização de correção baseada em risco, vulnerabilidades críticas que afetam ativos de alto valor podem não receber a atenção apropriada.
  • Lacunas de verificação de correção: A falta de validação pós-patch deixa a incerteza sobre se as vulnerabilidades foram resolvidas com êxito.

A correção de vulnerabilidade atrasada transforma pontos fracos descobertos em vetores de ataque bem-sucedidos antes que as organizações possam aplicar as correções necessárias.

MITRE ATT&CK

  • Acesso Inicial (TA0001): explore o aplicativo voltado para o público (T1190) visando vulnerabilidades conhecidas durante janelas de correção estendidas.
  • Escalonamento de privilégios (TA0004): exploração para escalonamento de privilégios (T1068) aproveitando vulnerabilidades locais não corrigidas.
  • Movimento Lateral (TA0008): exploração de serviços remotos (T1021) usando vulnerabilidades conhecidas para se espalhar entre sistemas.

PV-6.1: implementar a correção de vulnerabilidade automatizada

O gerenciamento manual de patch cria janelas de exposição de vulnerabilidades longas durante as quais os invasores exploram vulnerabilidades conhecidas antes que as equipes de segurança concluam processos de correção em ambientes de grande escala. A correção automatizada de vulnerabilidades reduz o tempo médio de patch de semanas para horas, impedindo que os adversários explorem vulnerabilidades divulgadas publicamente durante períodos de exposição prolongada. A priorização baseada em risco garante que vulnerabilidades críticas recebam atenção imediata enquanto a aplicação de patch automatizada mantém a higiene de segurança consistente em todos os recursos de computação.

Acelere a correção de vulnerabilidades por meio da automação e da priorização baseada em risco:

  • Implementar o gerenciamento automatizado de patch: Implante o Gerenciador de Atualizações do Azure para aplicação de patch automatizada de máquinas virtuais Windows e Linux em VMs do Azure e servidores habilitados para Arc com recursos de gerenciamento centralizado.
  • Configurar janelas de manutenção: Defina as configurações de atualização com janelas de manutenção alinhadas aos requisitos de negócios para minimizar o impacto nas cargas de trabalho de produção.
  • Habilitar a aplicação de patch de tempo de inatividade zero: Use o Hotpatching para Windows Server 2025 para instalar atualizações de segurança sem a necessidade de reinicializações do sistema, reduzindo o tempo de inatividade e as janelas de exposição.
  • Estabelecer a priorização baseada em risco: Priorize a correção de vulnerabilidade considerando a gravidade da vulnerabilidade, a criticidade do ativo e o nível de exposição para se concentrar primeiro em problemas de maior risco.

Exemplo de implementação

Uma plataforma global de comércio eletrônico implementou a correção automatizada de vulnerabilidades em toda a infraestrutura de nuvem que dá suporte a operações de varejo online e processamento de dados de clientes que atendem mais de 10 milhões de clientes em todo o mundo.

Desafio: A plataforma global de comércio eletrônico experimentou longo tempo médio de patch (14 dias para vulnerabilidades críticas), alto volume de incidentes de segurança relacionados a vulnerabilidades não corrigidas e descobertas de auditoria de conformidade relacionadas a processos inadequados de gerenciamento de patch em mais de 2.000 VMs que dão suporte a operações de varejo online.

Abordagem da solução:

Implantar a infraestrutura de gerenciamento automatizado de patch:

  1. Implantar o Gerenciador de Atualizações do Azure com a avaliação automática da VM e a aplicação de patch:
    • Avaliação periódica do Gerenciador de Atualizações do Azure habilitada em mais de 2.000 VMs do Azure e servidores habilitados para Arc
    • Configurações de manutenção com escopo dinâmico usando consultas do Azure Resource Graph
    • Pré/pós-aplicação de patch de runbooks da Automação do Azure para orquestração de parada/início do aplicativo
    • Política do Azure deployIfNotExists impondo avaliações de atualização em todas as assinaturas
  2. Configurar a priorização baseada em EPSS usando o Gerenciamento de Vulnerabilidades do Microsoft Defender:
    • Consultas KQL que unem as tabelas SecurityAssessment e SecurityRecommendation para correlação de vulnerabilidades com patches
    • Regras de alerta do Azure Monitor disparando em CVEs críticos com pontuações EPSS > superiores a 0.7
    • Patch agendado do Gerenciador de Atualizações do Azure com classificações de prioridade (Crítico/Importante/Moderado)
    • Consultas do Azure Resource Graph que identificam VMs voltadas para a internet para aplicação rápida de patches

Estabelecer fluxos de trabalho de correção automatizados:

  1. Automatizar a correção com os Aplicativos Lógicos do Azure e a integração do Microsoft Defender:
    • Fluxos de trabalho dos Aplicativos Lógicos do Azure disparados por alertas de vulnerabilidade do Microsoft Defender para Nuvem
    • Consultas realizadas pela API de Segurança do Microsoft Graph que correlacionam CVEs com artigos da Base de Conhecimento do Gerenciador de Atualizações do Azure
    • Runbooks da Automação do Azure executando Install-AzUpdateManagerUpdate para aplicação de patches de emergência
    • API de gerenciamento de ameaças e vulnerabilidades do Microsoft Defender para a pontuação de exposição

Implementar controles de compensação para atraso na aplicação de patches:

  1. Implante medidas de proteção temporárias para sistemas que exigem cronogramas estendidos para aplicação de patches.
    • Regras personalizadas do WAF no Azure Application Gateway bloqueando tentativas conhecidas de exploração para vulnerabilidades específicas.
    • Restrições do Grupo de Segurança de Rede que limitam o acesso à rede a sistemas vulneráveis até serem corrigidas
    • Monitoramento e alertas aprimorados por meio do Microsoft Defender para Endpoint detectando comportamento suspeito em ativos não corrigidos
    • Controles de acesso just-in-time (JIT) para VM que reduzem a janela de exposição das interfaces administrativas vulneráveis
    • Regras de redução da superfície de ataque do Microsoft Defender para Endpoint que mitigam técnicas de exploração
  2. Controlar controles de compensação no Microsoft Defender para Nuvem:
    • Isenções do Azure Policy com metadados de isenção estruturados documentando controles de compensação
    • Recomendações personalizadas de pontuação de segurança do Microsoft Defender para Nuvem para vulnerabilidades isentas
    • Pastas de trabalho do Azure Monitor visualizando controles de compensação ativos com controle de expiração
    • Listas de observação do Microsoft Sentinel mantendo o inventário de controles compensatórios com alertas automáticos

Implementar a governança com o Azure Monitor e o Power BI:

  1. Implantar painéis abrangentes de monitoramento e relatório:
    • Pastas de trabalho do Azure Monitor consultando a tabela Atualização para conformidade de patch em todas as VMs
    • Relatórios do Power BI usando a API REST do Azure Resource Graph para exposição de vulnerabilidade em tempo real
    • Integração da API de pontuação segura do Microsoft Defender para Nuvem para relatórios executivos
    • Rastreamento de exceções de patch no Azure DevOps Boards com escalonamento automático de SLA
  2. Automatizar a aplicação de patch de emergência com o Gerenciamento de Vulnerabilidades do Microsoft Defender:
    • Integração do catálogo CISA KEV com o Microsoft Defender Gerenciamento de Vulnerabilidades para a priorização de vulnerabilidades de dia zero
    • Runbooks da Automação do Azure com a operação InstallUpdates do Gerenciador de Atualizações do Azure para implantações de emergência
    • Grupos de ações do Azure Monitor disparando alertas de SMS/email para vulnerabilidades exploradas
    • Automação de fluxo de trabalho do Microsoft Defender para Nuvem criando incidentes de alta prioridade para explorações ativas

Resultado: A correção automatizada de vulnerabilidades da organização reduziu substancialmente o tempo para corrigir vulnerabilidades críticas, reduzindo janelas de exposição e impedindo comprometimentos de segurança. O volume de incidentes de segurança relacionados a vulnerabilidades não corrigidas diminuiu significativamente por meio do gerenciamento sistemático de patch e da priorização baseada em EPSS.

Nível de criticidade

Deveria ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: SI-2, SI-2(1), SI-2(2), SI-2(5), RA-5
  • PCI-DSS v4: 6.3.3, 6.4.3, 11.3.1
  • Controles CIS v8.1: 7.2, 7.3, 7.4, 7.5, 7.7
  • NIST CSF v2.0: PR.IP-12, RS.MI-3
  • ISO 27001:2022: A.8.8, A.5.14
  • SOC 2: CC7.1, CC7.2, CC8.1

PV-7: conduzir operações regulares de equipe vermelha

Princípio de segurança

Simule ataques do mundo real por meio de operações de equipe vermelhas e testes de penetração para fornecer uma validação de segurança abrangente. Siga as práticas recomendadas do setor para projetar, preparar e realizar testes com segurança, garantindo o escopo abrangente e a coordenação dos stakeholders.

Risco a mitigar

Os testes tradicionais de avaliação e penetração de vulnerabilidade podem perder técnicas de ataque sofisticadas e cadeias de ataque complexas que os adversários reais empregam. Sem um teste de adversário abrangente:

  • Pontos cegos nos controles de segurança: As ferramentas de segurança automatizadas e os testes de penetração padrão não identificam pontos fracos que invasores qualificados exploram por meio de combinações criativas de recursos legítimos e pequenas vulnerabilidades.
  • Falsa confiança de segurança: As organizações que acreditam que sua postura de segurança é forte com base em caixas de seleção de conformidade e testes padrão podem estar vulneráveis a ameaças persistentes avançadas e ataques direcionados.
  • Vulnerabilidades de fator humano: O treinamento de reconhecimento de segurança e os controles técnicos podem ser insuficientes contra técnicas sofisticadas de engenharia social e manipulação humana.
  • Lacunas complexas na cadeia de ataque: Ataques em múltiplos estágios que combinam acesso físico, engenharia social, exploração técnica e técnicas de persistência escapam à detecção por testes de segurança compartimentados.
  • Pontos fracos de resposta a incidentes: As equipes de segurança podem não ter experiência em detectar e responder a ataques sofisticados, levando a descobertas atrasadas e contenção inadequada.
  • Lacunas de colaboração da equipe roxa: A desconexão entre operações de segurança ofensivas (equipe vermelha) e defensivas (equipe azul) limita as oportunidades de transferência de conhecimento e melhoria.

Sem testes adversários realistas, as organizações operam com suposições de segurança não avaliadas que falham quando confrontadas com invasores qualificados e motivados.

MITRE ATT&CK

  • Reconhecimento (TA0043): verificação ativa (T1595) e coleta de informações da vítima (T1589) para identificar oportunidades de ataque e planejar operações direcionadas.
  • Acesso Inicial (TA0001): phishing (T1566) e exploração de aplicativo voltado para o público (T1190) testando a suscetibilidade organizacional à engenharia social e à exploração técnica.
  • Persistência (TA0003): contas válidas (T1078) e T1136 (conta de criação) simulando o estabelecimento adversário de acesso de longo prazo.
  • Movimento Lateral (TA0008): detecção de movimento adversário usando serviços remotos (T1021) e spearphishing interno (T1534) através do ambiente.

PV-7.1: implementar testes de simulação de ataques adversários abrangentes

As organizações que dependem exclusivamente de avaliações automatizadas de verificação de vulnerabilidades e conformidade não conseguem validar se os controles de segurança impedem técnicas de adversário sofisticadas usadas em ataques do mundo real. O teste de adversário simula cenários reais de ataque para identificar lacunas de controle de segurança, detecção de pontos cegos e pontos fracos de resposta a incidentes que as ferramentas automatizadas não podem descobrir. As operações regulares de equipe vermelha fornecem validação de segurança realista, garantindo que os investimentos em segurança efetivamente impeçam, detectem e respondam a ameaças persistentes avançadas.

Valide a eficácia da segurança por meio de testes adversários realistas:

  • Siga as regras de teste de penetração da Microsoft: Siga as Regras de Participação do Microsoft Cloud Penetra Testing para atividades de teste baseadas em nuvem para garantir procedimentos de teste autorizados e seguros.
  • Referencie as diretrizes de teste do Azure: Siga as diretrizes de teste de penetração do Azure para procedimentos de teste autorizados e requisitos de coordenação com a Microsoft.
  • Use a metodologia de agrupamento vermelho da Microsoft: Aplique a metodologia do Microsoft Cloud Red Teaming para uma simulação de ataque abrangente alinhada com técnicas de adversário do mundo real.
  • Escopo do teste de coordenadas: Estabeleça o escopo e as restrições de teste com stakeholders relevantes e proprietários de recursos para garantir a continuidade dos negócios e minimizar impactos não intencionais.

Exemplo de implementação

Uma organização de serviços financeiros implementou operações abrangentes de equipe vermelha em toda a infraestrutura de nuvem que dá suporte a bancos de investimento, sistemas comerciais e plataformas de gerenciamento de riqueza do cliente processando bilhões em transações diárias.

Desafio: A organização de serviços financeiros não tinha recursos realistas de teste de segurança com ferramentas automatizadas que não tinham lacunas críticas de segurança, visibilidade limitada de recursos sofisticados de detecção de ataques e dificuldade em demonstrar a eficácia da validação de segurança para os reguladores que examinam os controles de segurança de banco de investimento e gerenciamento de riqueza.

Abordagem da solução:

Estabelecer um programa de testes de equipe vermelha alinhado à Microsoft:

  1. Implemente o teste seguindo a metodologia do Microsoft Cloud Red Teaming:
    • Exercícios trimestrais usando a estrutura de simulação de ataque do Microsoft Enterprise Cloud Red Teaming
    • Avaliações anuais aproveitando as ferramentas de simulação de ataque do Microsoft Entra e a análise do Microsoft Sentinel
    • Inteligência sobre ameaças fornecida pelo Microsoft Defender Threat Intelligence que orienta cenários de ataque
    • Exercícios de equipe roxos usando as descobertas de análise do caminho de ataque do Microsoft Defender para Nuvem
  2. Configurar o ambiente de teste com as proteções do Azure:
    • Bloqueios do Azure Resource Manager impedindo a exclusão de recursos de produção durante o teste
    • Azure Policy nega efeitos que bloqueiam a implantação de configurações perigosas na produção
    • Acesso just-in-time da VM do Microsoft Defender para Nuvem limitando o escopo de movimentação lateral da equipe vermelha
    • Grupos de ações do Azure Monitor que fornecem alertas em tempo real sobre atividades de teste que excedem limites

Execute a simulação de ataque focada no Azure:

  1. Simular cenários de ataque específicos da nuvem:
    • Simulação de ataque de phishing do Microsoft 365 usando campanhas do Microsoft Defender para Office 365
    • Testando a eficácia do firewall de aplicativos web através da exploração do Serviço de Aplicativo do Azure
    • Teste de abuso da API do Azure Resource Manager nos controles de Políticas do Azure e RBAC
    • O pipeline do Azure DevOps compromete a simulação de ataques da cadeia de suprimentos na infraestrutura de CI/CD
  2. Teste a ID do Microsoft Entra e os controles de segurança de identidade:
    • Exploração do caminho de elevação do PIM (Microsoft Entra Privileged Identity Management)
    • Tentativas de contornar a política de Acesso Condicional do Microsoft Entra usando lacunas de conformidade do dispositivo
    • Testes de protocolos de autenticação do Microsoft Entra para contornar o MFA e furto de token
    • Tentativas de exfiltração de segredos do Azure Key Vault validando políticas de acesso e registro de logs

Validar a detecção e a resposta de segurança da Microsoft:

  1. Teste os recursos de detecção e resposta do Microsoft Sentinel:
    • Medição da eficácia das regras de análise do Microsoft Sentinel na detecção de técnicas MITRE ATT&CK do red team
    • Teste de precisão de proteção contra ameaças em tempo de execução do Microsoft Defender para Nuvem no processo de validação de alertas
    • Cobertura de telemetria do Microsoft Defender para Endpoint EDR medindo as taxas de detecção comportamental
    • Fluxos de trabalho de investigação de incidentes relacionados ao teste de desempenho em consultas do Log Analytics do Azure Monitor
  2. Avaliar a orquestração e automação de segurança
    • Regras de automação do Microsoft Sentinel testando a execução automática de guia estratégico de resposta a incidentes
    • Fluxos de trabalho dos Aplicativos Lógicos do Azure validando a integração com o Microsoft Teams para notificações de incidentes
    • Eficácia da ação de correção de teste de automação de fluxo de trabalho do Microsoft Defender para Nuvem
    • Runbooks de Automação do Azure avaliando procedimentos automatizados de contenção e isolamento

Aproveite as ferramentas da Microsoft para aprimoramento contínuo:

  1. Descobertas de documentos usando plataformas de segurança da Microsoft:
    • Análise do caminho de ataque do Microsoft Defender para Nuvem documentando cadeias de ataque de várias etapas
    • Consultas do Azure Resource Graph que identificam superfícies de ataque semelhantes em todo o ambiente de nuvem
    • Pastas de trabalho do Microsoft Sentinel visualizando técnicas de ataque mapeadas para a estrutura MITRE ATT&CK
    • Azure DevOps Boards acompanha ações de remediação priorizadas com base na explorabilidade
  2. Aprimore os recursos de detecção usando as descobertas da equipe vermelha:
    • Regras de análise personalizadas do Microsoft Sentinel baseadas em técnicas e indicadores de equipe vermelha
    • Regras de detecção personalizadas do Microsoft Defender for Endpoint para técnicas de exploração de recursos locais identificadas
    • Pesquisas salvas do Log Analytics do Azure Monitor acelerando futuras investigações de incidentes
    • Integração do Microsoft Defender Threat Intelligence enriquecendo alertas com o contexto de ataque da equipe vermelha

Resultado: A organização identificou e corrigiu lacunas críticas de segurança que as ferramentas automatizadas haviam perdido, incluindo técnicas de bypass de autenticação e caminhos de escalonamento de privilégios. Procedimentos avançados de monitoramento e resposta informados por simulações de ataque realistas permitiram que as equipes de segurança identificassem e respondessem a ameaças persistentes avançadas de forma mais eficaz.

Nível de criticidade

É bom ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: CA-8, CA-8(1), CA-8(2)
  • PCI-DSS v4: 11.4.1, 11.4.2, 11.4.6
  • Controles CIS v8.1: 15.1, 18.1, 18.2, 18.3, 18.5
  • NIST CSF v2.0: DE. DP-4, ID.RA-10
  • ISO 27001:2022: A.5.7, A.8.29
  • SOC 2: CC7.3, CC7.4
  • Last updated on