Partilhar via

Segurança de Endpoint

O Endpoint Security garante uma proteção abrangente dos recursos de endpoint de computação hospedados na nuvem. A segurança eficaz do endpoint impede o acesso não autorizado, deteta e responde a ameaças e mantém a conformidade de segurança para a infraestrutura virtualizada executada em ambientes de nuvem.

Sem recursos abrangentes de segurança de endpoint:

  • Infeções por malware e ransomware: As máquinas virtuais na nuvem desprotegidas permitem a execução de malware, criptografia de ransomware e ameaças persistentes que comprometem a integridade da carga de trabalho e as operações de negócios.
  • Roubo de credenciais e movimentação lateral: Os endpoints de nuvem comprometidos permitem que os invasores coletem credenciais, aumentem privilégios e se movam lateralmente entre ambientes de nuvem e redes virtuais.
  • Exfiltração de dados: As cargas de trabalho na nuvem não gerenciadas não possuem controles de proteção de dados, permitindo a transferência não autorizada de dados do armazenamento em nuvem e bancos de dados.
  • Violações de conformidade: A incapacidade de demonstrar controles de segurança de endpoint para infraestrutura de nuvem cria falhas de auditoria regulatória e possíveis sanções.
  • Recursos de nuvem não gerenciados: Máquinas virtuais provisionadas sem agentes de segurança ignoram os controles de proteção, criando lacunas de segurança e pontos cegos de visibilidade.
  • Desvio de configuração: As máquinas virtuais na nuvem que operam com configurações de segurança inconsistentes criam vulnerabilidades e reduzem a postura geral de segurança.

Aqui estão os dois pilares principais do domínio de segurança do Endpoint Security.

Proteção contra ameaças de terminais na nuvem: Implante recursos abrangentes de deteção e resposta a ameaças para máquinas virtuais na nuvem, incluindo antimalware, análise comportamental e remediação automatizada. Implemente a correlação de inteligência de ameaças em tempo real e a deteção e resposta estendidas (XDR) integradas para identificar e neutralizar ameaças direcionadas a cargas de trabalho na nuvem antes que elas causem danos.

Controlos relacionados:

Configuração de segurança de ponto final na nuvem: Imponha linhas de base de segurança e padrões de endurecimento em todas as máquinas virtuais na nuvem, incluindo configurações de sistema operativo, controlos de aplicações e ativação de funcionalidades de segurança. Mantenha uma postura de segurança consistente por meio de gerenciamento de configuração automatizado e deteção de desvio para recursos de computação hospedados na nuvem.

Controlos relacionados:

ES-1: Usar Detecção e Resposta de Endpoint (EDR)

Azure Policy: Consulte as definições de políticas incorporadas do Azure: ES-1.

Princípio da segurança

Implemente recursos abrangentes de deteção e resposta de endpoints, fornecendo visibilidade em tempo real das atividades de endpoint, análise comportamental e resposta automatizada a ameaças. Permita que as organizações de segurança detetem ameaças avançadas, investiguem incidentes e respondam rapidamente para conter e corrigir comprometimentos de pontos finais em todo o ambiente.

Risco a mitigar

As organizações que operam sem recursos abrangentes de deteção e resposta a pontos finais enfrentam riscos significativos de ameaças avançadas que ignoram os controles preventivos tradicionais. Sem EDR:

  • Ameaças avançadas não detetadas: Ataques sofisticados, incluindo malware sem arquivos, técnicas de vida fora da terra e explorações de dia zero, evitam a deteção baseada em assinatura operando sem ser detetada por longos períodos.
  • Resposta atrasada a incidentes: A falta de visibilidade em tempo real das atividades de endpoint impede a rápida deteção e resposta a ameaças, permitindo que os invasores tenham tempo para estabelecer persistência e exfiltrar dados.
  • Visibilidade limitada de ameaças: As equipes de segurança não podem identificar padrões de ataque, movimento lateral ou comunicações de comando e controle sem telemetria de ponto final abrangente e análise comportamental.
  • Contenção ineficaz de ameaças: Os processos manuais de investigação e remediação permitem que as ameaças se espalhem pelos endpoints durante as atividades de resposta, criando um impacto organizacional mais amplo.
  • Capacidades forenses em falta: A ausência de dados históricos de atividade de endpoint impede a análise da causa raiz, a reconstrução de ataques e as lições aprendidas com incidentes de segurança.
  • Pontos cegos na postura de segurança: Atividades de endpoint não monitoradas criam lacunas de visibilidade impedindo a deteção de ameaças internas, escalonamento de privilégios e tentativas de exfiltração de dados.

Sem recursos de EDR, as organizações detetam ameaças somente após a ocorrência de danos significativos, e não durante as fases de execução do ataque.

MITRE ATT&CK

  • Acesso Inicial (TA0001): phishing (T1566) e exploração de aplicações voltadas para o público (T1190) obtendo posição inicial em endpoints sem detecção.
  • Execução (TA0002): interpretador de comandos e scripts (T1059) executando código malicioso em endpoints ignorando controles preventivos.
  • Persistência (TA0003): criar ou modificar o processo do sistema (T1543) estabelecendo mecanismos de acesso persistente não detetados pelo anti-malware tradicional.
  • Evasão de Defesa (TA0005): prejudicam as defesas (T1562) desativando ferramentas de segurança e ofuscam arquivos ou informações (T1027) evadindo as capacidades de deteção.
  • Acesso a credenciais (TA0006): extração de credenciais do sistema operacional (T1003) recolhendo credenciais da memória do endpoint para escalonamento de privilégios e movimento lateral.

ES-1.1: Implantar solução de deteção e resposta de ponto final

A deteção de assinatura antivírus tradicional ignora as ameaças modernas que usam técnicas sem arquivos, binários fora da terra e ofuscação sofisticada para evitar a análise estática, deixando os endpoints vulneráveis a explorações de dia zero e ameaças persistentes avançadas. A deteção e resposta de endpoints fornece monitoramento comportamental e aprendizado de máquina que identifica atividades maliciosas independentemente da disponibilidade de assinatura, detetando execução de processos anômalos, tentativas de acesso a credenciais e padrões de movimento lateral. A coleta abrangente de telemetria permite a investigação forense e a caça a ameaças que reconstrói as linhas do tempo de ataque e identifica indicadores de comprometimento perdidos durante a deteção inicial.

Estabeleça a deteção comportamental de ameaças por meio destes recursos de EDR:

Práticas recomendadas de configuração EDR:

  • Habilite a deteção comportamental: Configure a análise comportamental para monitorar padrões de execução de processos, alterações no sistema de arquivos, conexões de rede e modificações do Registro com foco em VMs do Azure de alto valor que hospedam cargas de trabalho confidenciais.
  • Sintonize a sensibilidade de deteção: Ajuste a sensibilidade de deteção de ameaças com base na criticidade da carga de trabalho, equilibrando taxas de falsos positivos com cobertura de deteção para malware sem arquivos, LOLBins (binários fora da terra - ferramentas legítimas do sistema usadas maliciosamente) e tentativas de acesso a credenciais.
  • Configure a resposta automatizada: Defina ações de resposta automatizadas apropriadas para tipos de carga de trabalho, incluindo o encerramento de processos para VMs não críticas e somente alertas para sistemas de produção que exigem revisão manual.
  • Estabelecer procedimentos de investigação: Fluxos de trabalho de investigação de documentos aproveitando a análise da árvore de processos, a reconstrução da linha do tempo e o rastreamento de conexões de rede, garantindo que as equipes de segurança possam avaliar rapidamente o escopo do incidente.
  • Definir escalonamento de alerta: Configure limites de severidade de alerta e caminhos de escalonamento, encaminhando ameaças críticas para a equipa de segurança de serviço dentro dos objetivos de tempo de resposta definidos.

Estratégia de implantação do EDR:

  • Cobertura universal de pontos finais na nuvem: Implante agentes do Microsoft Defender for Endpoint em todas as VMs do Windows Azure, VMs Linux, hosts de sessão da Área de Trabalho Virtual do Azure e conjuntos de dimensionamento de máquinas virtuais, garantindo visibilidade abrangente sem lacunas de cobertura.
  • Provisionamento automático: Habilite o provisionamento automático de agentes por meio do Microsoft Defender for Cloud para novas máquinas virtuais, garantindo proteção imediata após a criação de recursos.
  • Monitoramento da integridade do sensor: Monitoramento contínuo da integridade do sensor EDR, conformidade de versão e fluxo de telemetria com alertas automatizados para máquinas virtuais na nuvem offline ou mal configuradas.
  • Arquitetura nativa da nuvem: Plataforma EDR entregue na nuvem com integração nativa do Azure, fornecendo atualizações automáticas e escalabilidade para cargas de trabalho na nuvem.
  • Otimização de desempenho: Design de sensor leve minimizando o consumo de recursos da máquina virtual enquanto mantém recursos de monitoramento abrangentes para cargas de trabalho na nuvem.

ES-1.2: Integrar EDR com deteção e resposta estendidas (XDR)

A deteção de pontos finais isolados gera alertas desconectados que ignoram cadeias de ataque sofisticadas que abrangem comprometimento de identidade, movimento lateral e exfiltração de dados em vários sistemas e serviços. A deteção e a resposta estendidas correlacionam a telemetria de endpoints, provedores de identidade, infraestrutura de nuvem e tráfego de rede para revelar narrativas de ataque completas que a deteção de sinal único não pode identificar. O contexto unificado de incidentes permite que as equipes de segurança compreendam todo o escopo do ataque e implementem contenção coordenada em todos os sistemas afetados simultaneamente, em vez de responder a cada alerta de forma independente.

Correlacione ameaças entre plataformas por meio destes recursos de integração XDR:

  • Integre a deteção e a resposta de pontos finais com o Microsoft Defender XDR para correlacionar a telemetria de segurança entre identidade, email, aplicativos e infraestrutura de nuvem, permitindo a deteção unificada de ameaças e a resposta coordenada em todo o ambiente.

Práticas recomendadas de integração XDR:

  • Habilite a correlação de sinal cruzado: Ative a integração do Microsoft Defender XDR para correlacionar eventos de VM na nuvem com logs de atividades do Azure, sinais de autenticação do Microsoft Entra ID e análise de tráfego do Azure Network Watcher , criando um contexto de incidente unificado.
  • Configure o agrupamento de incidentes: Defina regras de correlação agrupando alertas relacionados de VMs na nuvem, sistemas de identidade e alterações de infraestrutura em incidentes únicos, reduzindo a sobrecarga de investigação e melhorando o tempo médio de deteção (MTTD).
  • Guias de resposta de design: Crie fluxos de trabalho de resposta coordenados automatizando o isolamento de VMs através de atualizações nos Grupos de Segurança de Rede, suspensão de contas de serviço por meio do Microsoft Entra ID e criação de instantâneos para perícia.
  • Estabeleça pontuação de prioridade: Configure a pontuação de gravidade de incidente incorporando tags de criticidade de VM, classificação de dados e estágio de progressão de ataque para priorizar a resposta da equipe de operações de segurança.
  • Revise a visualização do caminho de ataque: Analise regularmente os caminhos de ataque gerados por XDR, identificando oportunidades de movimento lateral e riscos de acesso privilegiado que exijam correção arquitetônica.

Componentes da arquitetura XDR:

  • Sinais de identidade: Integração com o Microsoft Entra ID Protection correlacionando atividades de VM na nuvem com anomalias de autenticação, viagens impossíveis e indicadores de comprometimento de credenciais para identidades baseadas em nuvem.
  • Integração de infraestrutura na nuvem: Correlação da deteção de malware da máquina virtual com logs de atividade do Azure, eventos de implantação de recursos e alterações na infraestrutura, identificando ataques baseados em configuração e cadeia de suprimentos.
  • Proteção da carga de trabalho na nuvem: Visibilidade unificada entre Máquinas Virtuais do Azure, instâncias de contêiner e recursos protegidos do Microsoft Defender for Cloud que detetam ameaças que abrangem assinaturas e regiões de nuvem.
  • Integração de deteção de rede: Correlação das comunicações VM com o Azure Network Watcher e análise de tráfego de rede virtual identificando tráfego de comando e controle e movimento lateral em redes de nuvem.

ES-1.3: Permitir a automação e integração EDR

A investigação manual e a resposta a alertas de segurança de alto volume criam uma carga de trabalho insustentável para os analistas, ao mesmo tempo em que introduzem atrasos de resposta que permitem que as ameaças progridam do comprometimento inicial à exfiltração de dados. A investigação automatizada analisa o contexto do alerta, realiza análises forenses e determina ações de correção em segundos, em vez de horas de análise manual. A orquestração de segurança integra a telemetria EDR com controles de infraestrutura de nuvem e gerenciamento de identidade, permitindo uma resposta automatizada coordenada que isola sistemas comprometidos, revoga credenciais e preserva evidências forenses simultaneamente.

Acelere a resposta a ameaças por meio destes recursos de automação:

  • Implemente investigação automatizada, remediação e integração de operações de segurança, reduzindo o tempo médio de resposta (MTTR) e permitindo a deteção unificada de ameaças em plataformas de segurança.

Investigação e remediação automatizadas:

  • Habilite investigações automatizadas: Ative a investigação automática para alertas de gravidade média e alta em VMs que não sejam de produção para criar uma linha de base de investigação e, ao mesmo tempo, exigir aprovação manual para cargas de trabalho de produção.
  • Defina fluxos de trabalho de aprovação: Estabeleça portas de aprovação para ações de correção automatizadas em VMs de produção que exijam revisão do arquiteto de segurança para alterações que afetem as operações de negócios.
  • Configure a correção automatizada: Habilite a remoção automatizada de malware, a eliminação de persistência, o isolamento de rede VM por meio de atualizações do Grupo de Segurança de Rede do Azure e a restauração da configuração de segurança.
  • Critérios de escalonamento de documentos: Defina critérios para escalar investigações automatizadas para analistas humanos quando a análise de semelhança identificar campanhas coordenadas ou ameaças persistentes avançadas.

Integração de operações de segurança:

  • Integre com o SIEM: Transmita telemetria EDR para o Microsoft Sentinel , permitindo o monitoramento de segurança unificado e desenvolva regras de correlação combinando alertas EDR com logs de atividades do Azure, alterações de recursos e sinais de identidade.
  • Habilite a automação SOAR: Configure roteiros de resposta automatizada, coordenando a contenção de EDR com o isolamento de recursos do Azure, gerenciamento de identidades e atualizações de segurança de redes virtuais.
  • Reter dados históricos: Mantenha dados históricos de EDR para requisitos de conformidade, caça a ameaças e análise retrospetiva, permitindo a investigação de ameaças sofisticadas.
  • Enriqueça a inteligência de ameaças: Implemente pesquisas automatizadas de inteligência contra ameaças, análise de hash de arquivos e coleta de metadados de recursos do Azure, acelerando as decisões de investigação e resposta.

Exemplo de implementação

Uma organização de serviços financeiros que opera plataformas de negociação hospedadas na nuvem descobriu ameaças persistentes avançadas durante a investigação forense que operaram sem serem detetadas por semanas, comprometendo os dados da conta do cliente.

Desafio: Os antivírus tradicionais em VMs na nuvem forneciam apenas deteção baseada em assinaturas, não detetando ataques sem ficheiros nem movimentos laterais. A equipa de segurança não tinha visibilidade dos cronogramas de ataque e lutava com a investigação manual na infraestrutura de nuvem distribuída.

Abordagem da solução:

  • Implantação abrangente do EDR: Foi habilitado o Microsoft Defender for Endpoint por meio da integração do Microsoft Defender for Cloud com provisionamento automático em VMs Windows/Linux e hosts de sessão do Azure Virtual Desktop usando a Política do Azure.
  • Resposta automatizada a ameaças: Remediação automatizada configurada para mineradores de criptomoedas, web shells e software não autorizado. Manuais de resposta implantados isolando VMs comprometidas por meio de atualizações do Grupo de Segurança de Rede e acionando instantâneos forenses.
  • Integração XDR: Implantou o Microsoft Defender XDR correlacionando a telemetria da VM com os sinais de autenticação do Microsoft Entra ID e as alterações na infraestrutura do Azure, criando um contexto de incidente unificado.
  • Caça proativa a ameaças: Programa de caça a ameaças estabelecido usando consultas de caça avançadas focadas em padrões de movimento lateral em redes virtuais do Azure.

Resultado: Reduziu drasticamente o tempo de deteção de ameaças de semanas para horas. A resposta automatizada continha a maioria das ameaças sem intervenção manual. A visualização unificada de incidentes reduziu significativamente o tempo de investigação.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: SI-4(1), SI-4(2), SI-4(5), SI-4(12), SI-4(16), IR-4(1), IR-4(4)
  • PCI-DSS v4: 5.3.2, 5.3.4, 10.2.1, 11.5.1
  • Controles CIS v8.1: 8.5, 8.11, 13.2, 13.10
  • NIST CSF v2.0: DE. CM-1, DE. CM-4, DE. CM-7, RS. AN-1
  • ISO 27001:2022: A.8.16, A.5.24, A.5.26
  • SOC 2: CC7.2, CC7.3

ES-2: Utilize software moderno de anti-malware

Azure Policy: Ver definições de políticas incorporadas no Azure: ES-2.

Princípio da segurança

Implante soluções antimalware modernas que combinam deteção baseada em assinatura com análise comportamental, aprendizado de máquina, inteligência fornecida na nuvem e prevenção de exploração para proteger contra ameaças conhecidas e desconhecidas. Garanta uma proteção abrangente contra malware em todas as plataformas de endpoint com impacto mínimo no desempenho e gerenciamento centralizado.

Risco a mitigar

As organizações que dependem de soluções antimalware desatualizadas ou apenas com assinatura enfrentam um risco crescente de ameaças modernas que escapam aos métodos tradicionais de deteção. Sem recursos antimalware modernos:

  • Vulnerabilidade de exploração de dia zero: A deteção baseada em assinatura não pode identificar novas variantes de malware e explorações de dia zero antes que as assinaturas sejam criadas e distribuídas.
  • Evasão polimórfica de malware: Malware avançado que usa código polimórfico, criptografia e técnicas de ofuscação ignora a correspondência de assinatura e a análise estática.
  • Execução de ataque sem ficheiros: Os ataques residentes na memória executados inteiramente na RAM sem tocar no disco escapam aos mecanismos tradicionais de análise baseados em ficheiros.
  • Encriptação de ransomware: As variantes modernas de ransomware executam a encriptação rapidamente antes que a deteção baseada em assinaturas possa identificar e bloquear processos maliciosos.
  • Entrega de ataques baseados em script: PowerShell, JavaScript e outros ataques de script aproveitam ferramentas de sistema confiáveis evitando controles antimalware baseados em aplicativos.
  • Degradação do desempenho: Soluções antimalware legadas que consomem recursos excessivos do sistema afetam o desempenho do endpoint e a produtividade do usuário.

O antimalware tradicional baseado em assinatura fornece proteção insuficiente contra o cenário moderno de ameaças que exigem recursos avançados de deteção comportamental e aprendizado de máquina.

MITRE ATT&CK

  • Execução (TA0002): ficheiro malicioso (T1204.002) que executa cargas úteis de malware entregues através de phishing, transferências de ficheiros ou suportes amovíveis.
  • Evasão de defesa (TA0005): arquivos ou informações ofuscados (T1027) e virtualização/evasão de sandbox (T1497) ignorando a deteção baseada em assinatura.
  • Impacto (TA0040): dados encriptados para impacto (T1486) com implantação de ransomware encriptando dados organizacionais antes que a deteção seja feita.

ES-2.1: Implante a solução antimalware de última geração

O antimalware baseado em assinatura fornece proteção de linha de base essencial contra ameaças conhecidas, mas o malware moderno emprega polimorfismo, empacotamento e criptografia para evitar a deteção tradicional, exigindo análise comportamental e classificação de aprendizado de máquina. A proteção em várias camadas combina assinaturas estáticas para ameaças conhecidas com monitoramento dinâmico de comportamento e inteligência baseada em nuvem para detetar variantes de malware emergentes e explorações de dia zero. O gerenciamento centralizado garante linhas de base de proteção consistentes em todos os endpoints, enquanto a proteção contra violação impede que os adversários desativem os controles de segurança depois de obter acesso inicial.

Implemente uma proteção abrangente contra malware através destas camadas de defesa:

  • Implemente o Microsoft Defender Antivírus em Máquinas Virtuais do Azure fornecendo proteção em várias camadas, incluindo deteção baseada em assinatura, análise comportamental, classificação de aprendizado de máquina e recursos de prevenção de exploração para cargas de trabalho na nuvem.

Práticas recomendadas de configuração antimalware:

  • Configure as camadas de proteção: Habilite todas as camadas de proteção (ML baseado em assinatura, heurística, comportamental e baseada em nuvem) por padrão, permitindo a desativação seletiva somente quando requisitos específicos de carga de trabalho documentados e aprovados pela equipe de segurança.
  • Habilite a proteção fornecida na nuvem: Ative a proteção na nuvem com o envio automático de amostras para arquivos desconhecidos, exceto para VMs que processam dados altamente confidenciais que exigem modelos de proteção com ar-condicionado.
  • Configure o gerenciamento de exclusões: Estabeleça um processo de exceção formal que exija justificação comercial, revisão de segurança e aprovações limitadas no tempo para exclusões antimalware minimizando a exposição à superfície de ataque.
  • Teste a proteção contra violações: Habilite a proteção contra violação em todas as VMs de produção e valide a eficácia por meio de testes controlados, garantindo que o antimalware permaneça operacional durante ataques simulados.
  • Estabeleça uma gestão centralizada: Implemente o gerenciamento antimalware centralizado por meio do Microsoft Defender for Cloud e da Política do Azure, definindo fluxos de trabalho de configuração e governança de linha de base organizacional para alterações de configuração.

ES-2.2: Ativar recursos avançados de proteção contra ameaças

A deteção de malware por si só fornece proteção insuficiente quando os adversários exploram vulnerabilidades de corrupção de memória, abusam de recursos legítimos do sistema e criptografam dados antes que as assinaturas tradicionais detetem sua presença. As mitigações de proteção contra exploração (DEP, ASLR, Control Flow Guard) bloqueiam ataques baseados em memória, independentemente das assinaturas de malware, impedindo a exploração de vulnerabilidades de aplicativos. As regras de redução da superfície de ataque restringem as técnicas adversárias, bloqueando a execução de scripts de fontes não confiáveis, limitando o acesso a credenciais e protegendo pastas de dados críticas antes que a criptografia de ransomware ocorra.

Evite técnicas de exploração através destas proteções avançadas:

  • Configure recursos avançados de proteção, incluindo proteção contra exploração, redução da superfície de ataque, acesso controlado a pastas e proteção de rede para evitar técnicas de exploração e reduzir a superfície de ataque.

Configuração de proteção contra exploração:

  • Habilite as proteções de memória: Ative a DEP (Prevenção de Execução de Dados),a ASLR (Address Space Layout Randomization) e o CFG (Control Flow Guard) em todas as VMs do Azure que testam a compatibilidade de aplicativos em ambientes de desenvolvimento antes da implantação de produção.
  • Configure proteções específicas do aplicativo: Aplique proteções de exploração direcionadas a aplicativos de alto risco (navegadores, aplicativos do Office, leitores de PDF) com exceções documentadas e revisadas trimestralmente.
  • Teste de eficácia da mitigação: Conduza testes de simulação de exploração controlados e valide a proteção contra técnicas comuns (heap spraying, ROP, sobrescritas SEH) ajustando as configurações com base nos resultados.
  • Estabeleça o processo de exceção: Defina o fluxo de trabalho de aprovação formal para exceções de proteção de exploração que exigem revisão do arquiteto de segurança, justificativa de negócios e controles de compensação.

Configuração de redução da superfície de ataque:

  • Implante regras ASR progressivamente: Habilite as regras de redução da superfície de ataque no modo de auditoria, primeiro analisando o impacto por 30 dias antes de mudar para o modo de bloco, começando com regras de baixo impacto.
  • Configure os controles de execução de script: Bloqueie a execução ofuscada de JavaScript/VBScript/PowerShell de fontes não confiáveis, mantendo exceções documentadas para scripts de automação legítimos.
  • Habilite a proteção contra ransomware: Configure o acesso controlado a pastas de dados críticas com a lista de aplicativos aprovados revisada mensalmente.
  • Implemente a proteção de credenciais: Habilite a proteção LSASS bloqueando o roubo de credenciais do monitoramento do Subsistema da Autoridade de Segurança Local do Windows para falsos positivos que afetem ferramentas de segurança legítimas.
  • Monitore a eficácia da regra ASR: Revise os eventos de bloqueio de regras ASR semanalmente, identificando padrões de ataque e ajustando as configurações de regras, otimizando a cobertura de segurança.

Proteção de rede:

  • Proteção contra ameaças da Web: Bloquear conexões com endereços IP, domínios e URLs mal-intencionados, impedindo comunicações de comando e controle e downloads mal-intencionados.
  • Integração com SmartScreen: A reputação em tempo real do Microsoft Defender SmartScreen verifica arquivos baixados e sites visitados, impedindo o acesso a sites conhecidos de distribuição de phishing e malware.
  • Prevenção de intrusões na rede: Deteção e bloqueio de tentativas de exploração baseadas em rede e atividades de movimento lateral no nível do ponto final.

Exemplo de implementação

Uma organização de cuidados de saúde sofreu um ataque de ransomware que encriptava registos de pacientes na infraestrutura do Ambiente de Trabalho Virtual do Azure. O antivírus tradicional não conseguiu detetar malware residente na memória fornecido por meio de arquivos de imagens médicas armadas.

Desafio: A proteção baseada em assinatura herdada não conseguiu detetar ataques sem arquivos ou ransomware baseado em script. Os médicos precisavam de acesso ininterrupto a aplicativos médicos, mantendo os controles de segurança da HIPAA. Os registros de pacientes foram criptografados por ransomware antes da deteção.

Abordagem da solução:

  • Deteção comportamental:Implantou o Microsoft Defender Antivirus com proteção fornecida na nuvem e análise comportamental detetando malware sem arquivos e ataques baseados em script em VMs de aplicativos médicos.
  • Redução da superfície de ataque: Regras ASR configuradas que bloqueiam a execução do PowerShell de fontes não confiáveis e impedem o despejo de credenciais em servidores de aplicações que hospedam registos eletrónicos de saúde.
  • Proteção contra ransomware: Implementado o acesso controlado a pastas no Ambiente de Trabalho Virtual do Azure protegendo os diretórios de dados dos pacientes contra modificações não autorizadas, bloqueando tentativas de encriptação de ransomware.
  • Prevenção de exploração: Proteção de exploração ativada para navegadores da Web e visualizadores de imagens médicas, evitando vetores de comprometimento inicial.

Resultado: Detetou e bloqueou tentativas subsequentes de ransomware segundos antes da encriptação. Reduziu substancialmente os falsos positivos através de análises comportamentais. Manteve a conformidade com a HIPAA com cobertura de proteção abrangente.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: SI-3(1), SI-3(2), SI-3(4), SI-3(7), SI-3(8)
  • PCI-DSS v4: 5.1.1, 5.2.1, 5.2.2, 5.2.3, 5.3.1, 5.3.2
  • Controles CIS v8.1: 10.1, 10.2, 10.5, 10.7
  • NIST CSF v2.0: DE. CM-4, PR. DS-6
  • ISO 27001:2022: A.8.7
  • SOC 2: CC6.1, CC7.2

ES-3: Garantir que o software antimalware e as assinaturas estejam atualizados

Princípio da segurança

Mantenha a proteção antimalware atual por meio de atualizações automatizadas de assinatura, gerenciamento de versões de software e monitoramento de conformidade de atualizações. Certifique-se de que todos os endpoints recebam atualizações de proteção oportunas, minimizando as janelas de vulnerabilidade e mantendo recursos eficazes de deteção de ameaças.

Risco a mitigar

Assinaturas antimalware desatualizadas e versões de software deixam os endpoints vulneráveis a ameaças conhecidas que poderiam ser evitadas com a proteção atual. Sem atualizações oportunas:

  • Falha conhecida na deteção de malware: Assinaturas desatualizadas não podem detetar novas variantes de malware, explorações e campanhas de ameaças identificadas após a última atualização.
  • Desvio de proteção: Os atacantes visam especificamente endpoints com proteção desatualizada, sabendo que as lacunas de assinatura permitem a execução de malware.
  • Vulnerabilidade de exploração: O software antimalware não corrigido contém vulnerabilidades que os atacantes exploram para desativar a proteção ou aumentar os privilégios.
  • Violações de conformidade: As estruturas regulatórias exigem proteção antimalware atual com falhas de auditoria resultantes de assinaturas ou versões de software desatualizadas.
  • Lacunas na resposta a incidentes: A proteção desatualizada impede a deteção durante as fases iniciais de ataque, permitindo que as ameaças estabeleçam persistência antes que as atualizações permitam a deteção.

As organizações que mantêm atualizações antimalware atuais reduzem significativamente as taxas de infeção por malware e melhoram a postura geral de segurança.

MITRE ATT&CK

  • Defense Evasion (TA0005): prejudica as defesas (T1562) explorando antimalware desatualizado para evitar a deteção.
  • Execução (TA0002): exploração para execução em cliente (T1203) aproveitando explorações conhecidas que as assinaturas atuais detetariam.

ES-3.1: Configurar e impor atualizações automatizadas

A proteção antimalware degrada-se rapidamente à medida que as assinaturas de ameaças envelhecem e os motores de deteção se tornam obsoletos, com novas variantes de malware a surgir continuamente que escapam às capacidades de deteção mais antigas. Os mecanismos de atualização automatizados garantem que os endpoints mantenham os algoritmos atuais de inteligência e deteção de ameaças sem depender de processos manuais que introduzem atrasos e lacunas de cobertura. O monitoramento de conformidade identifica endpoints com proteção desatualizada que representam vulnerabilidades de alto risco no perímetro de segurança, permitindo a correção direcionada antes que os adversários explorem lacunas de proteção.

Mantenha a eficácia atual do antimalware através destes processos de atualização:

  • Implemente processos automatizados de assinatura antimalware e atualização de software com monitoramento e aplicação de conformidade, garantindo que os endpoints mantenham a proteção atual sem intervenção manual.

Configuração de atualização automatizada:

  • Habilite as atualizações automáticas de assinatura: Configure verificações automáticas de atualização de assinatura várias vezes ao dia, garantindo a rápida implantação de novas informações sobre ameaças que lidam com ameaças emergentes.
  • Habilite as atualizações automáticas do mecanismo: Configure atualizações automatizadas do mecanismo de deteção e da plataforma, garantindo que os endpoints recebam recursos de deteção aprimorados e melhorias críticas de segurança.
  • Configure fontes de atualização confiáveis: Estabeleça atualizações primárias entregues na nuvem com mecanismos de failover que garantam uma entrega de atualizações consistente, protegendo contra interrupções do serviço de atualização.
  • Valide a integridade da atualização: Habilite a validação automatizada de assinaturas e atualizações de software antes da implantação, evitando que pacotes de atualização corrompidos ou mal-intencionados comprometam a proteção de endpoints.
  • Testar atualizações críticas: Valide as principais atualizações de versão de software em ambientes que não sejam de produção, confirmando a compatibilidade e a eficácia antes da implantação da produção, evitando interrupções operacionais.

Controlo e aplicação da conformidade:

  • Monitore a conformidade de atualização: Rastreie a idade da assinatura e as versões de software em endpoints, identificando dispositivos com proteção desatualizada que exceda os limites da política de segurança.
  • Aplique a correção automatizada: Configure a imposição de atualizações automatizadas para pontos de extremidade não compatíveis, garantindo atualizações de proteção oportunas sem intervenção manual.
  • Restrinja o acesso não compatível: Integre com o controle de acesso à rede, restringindo o acesso de endpoints com proteção criticamente desatualizada até que a correção seja concluída.
  • Gerencie exceções de segurança: Estabeleça um processo de exceção formal para pontos de extremidade que exigem atualizações atrasadas com controles de compensação documentados e aprovações limitadas no tempo.

Exemplo de implementação

Uma organização com operações globais sofreu um surto de malware que afetou sistemas críticos de negócios quando assinaturas antivírus desatualizadas não conseguiram detetar uma variante de malware conhecida, expondo dados confidenciais e interrompendo as operações.

Desafio: As operações globais em vários fusos horários dificultaram as atualizações coordenadas. Restrições regionais de largura de banda atrasaram a distribuição de assinaturas. Os processos de atualização manual criaram brechas em que os endpoints executaram proteção desatualizada durante os períodos operacionais de pico.

Abordagem da solução:

  • Cadência de atualização automatizada: Verificação de atualizações fornecidas na nuvem a cada 2 horas, garantindo a rápida implantação de informações sobre ameaças. Removida a dependência de processos de atualização manual.
  • Aplicação da conformidade: Implementado o alerta de monitoramento da Política do Azure quando as assinaturas excederem 7 dias. Integrado com controle de acesso à rede negando acesso a pontos finais não compatíveis.
  • Estratégia de implementação faseada: Implantação em fases configurada testando versões principais com um pequeno grupo piloto antes da implantação completa, evitando interrupções operacionais e mantendo a moeda de proteção.

Resultado: Reduziu drasticamente a idade média da assinatura de semanas para horas. Atingi alta conformidade sem incidentes de malware relacionados a assinaturas desatualizadas no período subsequente.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: SI-3(2), SI-2(2), SI-2(5)
  • PCI-DSS v4: 5.3.3, 6.3.3
  • Controles CIS v8.1: 10.3, 7.2
  • NIST CSF v2.0: DE. CM-4, PR. IP-1
  • ISO 27001:2022: A.8.7, A.8.8
  • SOC 2: CC8.1
  • Last updated on