Partilhar via

Gestão da Postura e da Vulnerabilidade

O gerenciamento de postura e vulnerabilidade permite que as organizações identifiquem, avaliem, priorizem e corrijam sistematicamente as fraquezas de segurança antes da exploração. Ao contrário da verificação periódica tradicional, os ambientes de nuvem modernos exigem avaliação contínua, priorização baseada em risco e remediação automatizada para lidar com provisionamento rápido, desvio de configuração e superfícies de ataque dinâmico que abrangem infraestrutura como código, contêineres e funções sem servidor. As organizações que implementam esses recursos mantêm ambientes seguros por padrão enquanto corrigem rapidamente exposições críticas, enquanto aquelas que negligenciam esses controles enfrentam fraquezas não detetadas e janelas de exposição prolongadas.

Aqui estão os quatro pilares principais do domínio de segurança Postura e Gerenciamento de Vulnerabilidades.

Estabeleça linhas de base seguras: Defina e implemente linhas de base de configuração de segurança em todos os recursos de nuvem, garantindo que os ambientes sejam seguros por padrão por meio de ferramentas de gerenciamento de configuração, imposição de políticas e abordagens de infraestrutura como código que estabelecem configurações de segurança consistentes alinhadas com os padrões do setor e os requisitos organizacionais.

Controlos relacionados:

Monitore e imponha a conformidade: Audite e aplique continuamente configurações seguras, detetando e corrigindo desvios de configuração por meio de recursos automatizados de monitoramento e correção. Mantenha uma visibilidade abrangente das superfícies de ataque por meio da descoberta contínua de ativos e avaliações de vulnerabilidade em infraestrutura, plataformas, aplicativos e sistemas operacionais, identificando fraquezas de segurança que exigem atenção.

Controlos relacionados:

Remediar usando priorização baseada em risco: Concentre os esforços de correção em vulnerabilidades que representam ameaças genuínas por meio de priorização baseada em risco, combinando avaliação de probabilidade de exploração, rastreamento ativo de exploração, criticidade de ativos e contexto de exposição. Implemente processos automatizados de correção de patches e remediação de vulnerabilidades, priorizando exposições críticas, minimizando a interrupção operacional e validando a eficácia da segurança por meio de técnicas avançadas de teste.

Controlos relacionados:

Integre a segurança do desenvolvimento: Previna vulnerabilidades antes da implantação da produção por meio da validação de segurança integrada no início dos processos de desenvolvimento e da proteção da cadeia de suprimentos de software. Implemente a verificação de segurança pré-implantação, a avaliação de vulnerabilidade de dependência e o gerenciamento de riscos da cadeia de suprimentos, evitando que as falhas de segurança cheguem aos ambientes de produção.

Para obter orientações abrangentes sobre práticas de segurança "shift-left" e controlos de segurança da cadeia de abastecimento, incluindo integração do pipeline de CI/CD, gestão de SBOM, assinatura de artefactos, verificação de dependências e fluxos de trabalho de segurança dos desenvolvedores, consulte a secção Segurança de DevOps (DS) deste benchmark.

PV-1: Definir e estabelecer configurações seguras

Princípio da segurança

Defina linhas de base de configuração de segurança para diferentes tipos de recursos na nuvem usando ferramentas de gerenciamento de configuração para estabelecer ambientes compatíveis por padrão. Aproveite os padrões do setor, as recomendações do fornecedor e os requisitos organizacionais para criar linhas de base abrangentes que podem ser aplicadas automaticamente durante a implantação de recursos.

Risco a mitigar

Sem linhas de base de configuração de segurança padronizadas, os ambientes de nuvem sofrem com posturas de segurança inconsistentes que criam fraquezas exploráveis. A ausência de padrões de configuração seguros leva a:

  • Vulnerabilidades de desvio de configuração: Os recursos implantados sem linhas de base de segurança introduzem configurações incorretas, incluindo regras de firewall abertas, configurações de autenticação fracas, permissões excessivas e pontos de entrada de criação de logs de segurança desativados para invasores.
  • Posturas de segurança inconsistentes: Diferentes equipes implantando recursos com configurações de segurança variadas criam uma superfície de ataque imprevisível, onde alguns ambientes têm proteções fortes, enquanto outros permanecem vulneráveis.
  • Violações de conformidade: As estruturas regulatórias (PCI-DSS, HIPAA, SOC 2) exigem configurações de segurança específicas - linhas de base ausentes resultam em implantações não compatíveis e falhas de auditoria.
  • Exploração da configuração padrão: Os serviços de nuvem geralmente são fornecidos com configurações padrão otimizadas para funcionalidade, em vez de padrões não modificados de segurança, frequentemente contêm fraquezas de segurança que os invasores exploram rotineiramente.
  • Erros de configuração manual: As equipes que configuram manualmente as configurações de segurança introduzem erros humanos, incluindo erros de digitação, configurações omitidas e requisitos incompreendidos que enfraquecem a postura geral de segurança.
  • Amplificação de pontos fracos em escala: Em ambientes de nuvem, os pontos fracos de configuração se replicam em centenas ou milhares de recursos por meio da automação – uma única falha de linha de base afeta todo o ambiente.

Sem linhas de base de configuração seguras, as organizações operam segurança reativa onde os pontos fracos são descobertos apenas após a exploração, em vez de evitados por meio de padrões proativos.

MITRE ATT&CK

  • Acesso inicial (TA0001): explorar o aplicativo voltado para o público (T1190) aproveitando serviços mal configurados com credenciais padrão ou exposição excessiva à rede.
  • Persistência (TA0003): criar conta (T1136) explorando políticas de conta fracas ou controles de acesso administrativo em configurações de linha de base.
  • Evasão de Defesa (TA0005): comprometer defesas (T1562) desativando controles de segurança que não foram configurados ou aplicados corretamente em implementações básicas.
  • Discovery (TA0007): descoberta de infraestrutura de nuvem (T1580) enumerando recursos mal configurados para mapear caminhos de ataque e identificar alvos de alto valor.

PV-1.1: Estabelecer linhas de base de configuração de segurança

As organizações sem configurações de segurança padronizadas implantam recursos com posturas de segurança inconsistentes, criando vulnerabilidades entre ambientes enquanto consomem um esforço operacional significativo configurando manualmente cada implantação. As linhas de base de configuração estabelecem padrões de segurança repetíveis que evitam desvios de configuração e garantem proteção consistente em todos os recursos da nuvem. As configurações de segurança padronizadas aceleram a implantação segura e, ao mesmo tempo, reduzem os incidentes de segurança relacionados à configuração e as violações de conformidade.

Estabeleça configurações de segurança consistentes por meio de linhas de base padronizadas:

  • Defina linhas de base de configuração de segurança: Use o Microsoft Cloud Security Benchmark e recomendações de segurança específicas do serviço para estabelecer padrões de configuração para cada serviço do Azure.
  • Implementar zonas de aterragem do Azure: Use zonas de aterragem do Azure para acelerar a implantação de workloads com configurações de segurança e controles de governança pré-configurados.
  • Utilize modelos de infraestrutura como código: Codifique e implemente configurações de segurança consistentes usando modelos Bicep e Template Specs para implantações repetíveis.
  • Orientação arquitetônica de referência: Siga o pilar de segurança do Azure Well-Architected Framework para obter orientações de configuração de arquitetura e práticas recomendadas.

Exemplo de implementação

Uma organização de serviços financeiros estabeleceu linhas de base de configuração de segurança abrangentes em toda a sua infraestrutura de nuvem, suportando aplicativos bancários on-line e sistemas de processamento de dados de clientes, atendendo a 2,5 milhões de clientes.

Desafio: A organização de serviços financeiros não tinha configurações de segurança padronizadas em toda a infraestrutura de nuvem, resultando em posturas de segurança inconsistentes em 500+ recursos do Azure com incidentes de segurança relacionados à configuração e tempos de implantação prolongados do ambiente devido a processos manuais de configuração de segurança.

Abordagem da solução:

Defina linhas de base de segurança abrangentes:

  1. Crie especificações de modelo contendo padrões de configuração de segurança para tipos de recursos comuns:
    • Redes virtuais com grupos de segurança de rede configurados para acesso de privilégios mínimos
    • Contas de armazenamento com criptografia em repouso ativada, acesso público desativado e registro em log configurado
    • Cofres de chaves com políticas de acesso que restringem o acesso secreto apenas a aplicações autorizadas
    • Serviços de Aplicações com implementação de HTTPS, integração de identidade e cabeçalhos de segurança configurados
    • Bancos de dados SQL com criptografia de dados transparente, auditoria habilitada e regras de firewall configuradas
  2. Estabeleça linhas de base de recursos de computação usando a Configuração de Máquina do Azure:
    • Configurações de linha de base do Windows Server usando a Configuração de Máquina do Azure para conformidade com o CIS
    • Configurações padrão de proteção para Linux implantadas através das práticas recomendadas para configuração de máquinas do Azure Automanage
    • Verificação de segurança de imagem de contentor integrada com o Microsoft Defender for Containers no Registo de Contentores do Azure
    • Linhas de base de segurança do Azure Kubernetes Service que aplicam o suplemento de Políticas do Azure com políticas de segurança incorporadas

Implemente a implementação de infraestrutura-como-código:

  1. Implante modelos do Bicep com a integração da Política do Azure garantindo a conformidade na implantação:
    • Módulos Bicep com parâmetros de segurança integrados (minimumTlsVersion, suporta propriedades HttpsTrafficOnly)
    • Os efeitos 'deployIfNotExists' da Azure Policy ativam automaticamente as configurações de diagnóstico e criptografia.
    • Especificações de modelo versionadas e armazenadas no Azure para gerenciamento centralizado da linha de base
  2. Usar pipelines do Azure DevOps com tarefas de implantação do Azure Resource Manager e verificações de conformidade de política
  3. Implementar políticas de ramificação do Azure Repos que exigem revisão de código da equipe de segurança antes de mesclar alterações de linha de base

Resultado: A organização alcançou uma forte conformidade com os padrões de configuração de segurança, estabelecendo posturas de segurança consistentes em toda a infraestrutura de nuvem. Os incidentes de segurança relacionados à configuração diminuíram substancialmente, demonstrando a eficácia das configurações de segurança padronizadas na prevenção de falhas comuns e configurações incorretas.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: CM-2, CM-6, CM-6(1)
  • PCI-DSS v4: 2.2.1, 12.3.1
  • Controles CIS v8.1: 4.1, 4.2
  • NIST CSF v2.0: PR. IP-1, PR. DS-6
  • ISO 27001:2022: A.8.9, A.5.37
  • SOC 2: CC6.1, CC6.6

PV-2: Auditar e impor configurações seguras

Azure Policy: Ver definições de políticas incorporadas no Azure: PV-2.

Princípio da segurança

Monitore e alerte continuamente sobre desvios das linhas de base de configuração definidas. Imponha as configurações desejadas por meio de correção automatizada que nega configurações não compatíveis ou implanta automaticamente configurações corretivas para manter a postura de segurança.

Risco a mitigar

O desvio de configuração das linhas de base de segurança estabelecidas introduz vulnerabilidades que se acumulam ao longo do tempo, criando uma superfície de ataque em expansão. Sem monitorização e aplicação contínuas:

  • Desvio silencioso da configuração: Alterações manuais, modificações de emergência e atualizações incrementais enfraquecem gradualmente as configurações de segurança sem disparar alertas, resultando em ambientes que parecem seguros, mas contêm lacunas exploráveis.
  • Degradação da conformidade: Os sistemas inicialmente implantados com configurações compatíveis se afastam dos requisitos regulatórios por meio de mudanças operacionais normais, criando resultados de auditoria e riscos de certificação.
  • Aplicação incoerente: Diferentes equipes que aplicam configurações de segurança introduzem manualmente variações e omissões que criam pontos fracos de segurança em todo o ambiente.
  • Exceções de alteração de emergência: Situações de alta pressão levam a desvios de segurança e configurações temporárias que se tornam permanentes, erodindo a postura geral de segurança.
  • Amplificação em escala de deriva: Em ambientes de nuvem, as alterações de configuração são replicadas em vários recursos por meio da automação – um único evento de desvio pode enfraquecer centenas de recursos simultaneamente.
  • Erros de configuração não detetados: Sem monitoramento automatizado, as configurações incorretas de segurança permanecem não detetadas por longos períodos, oferecendo oportunidades persistentes para a exploração de invasores.

O desvio de configuração transforma ambientes inicialmente seguros em infraestrutura vulnerável que não atende aos requisitos de segurança e conformidade.

MITRE ATT&CK

  • Evasão de Defesa (TA0005): prejudicar as defesas (T1562) utilizando desvios de configuração para desativar ou enfraquecer os controles de segurança.
  • Persistência (TA0003): modifique o processo de autenticação (T1556) aproveitando configurações de autenticação enfraquecidas que se desviaram de linhas de base seguras.
  • Descoberta (TA0007): descoberta de infraestrutura de nuvem (T1580) identificando recursos mal configurados por meio da enumeração sistemática de fraquezas de configuração.

PV-2.1: Implementar monitoramento contínuo de configuração

O desvio de configuração ocorre gradualmente à medida que alterações manuais, correções de emergência e modificações não autorizadas desviam recursos das linhas de base de segurança, criando lacunas de segurança que as auditorias periódicas tradicionais detetam tarde demais para evitar a exploração. O monitoramento contínuo da configuração fornece visibilidade em tempo real do estado da configuração e deteção automatizada da degradação do controle de segurança. A aplicação automática impede o desvio de configuração, mantendo a consistência da postura de segurança em todos os recursos da nuvem.

Mantenha a conformidade com a linha de base de segurança por meio de monitoramento e aplicação contínuos:

  • Configure a avaliação de configuração contínua: Use o Microsoft Defender for Cloud para avaliar continuamente as configurações de recursos em relação às recomendações de segurança e identificar desvios das linhas de base.
  • Implementar monitoramento baseado em políticas: Implante a Política do Azure com efeitos de auditoria e imposição para monitorar e controlar as configurações de recursos em todas as assinaturas.
  • Crie alertas de desvio de configuração: Use o Azure Monitor para criar alertas quando desvios de configuração forem detetados, acionando fluxos de trabalho de investigação e correção.
  • Implante controles preventivos: Implemente os efeitos de negação da Política do Azure para impedir a implantação de configurações não compatíveis no momento da criação de recursos.
  • Automatize a correção de configuração: Use os efeitos deployIfNotExists da Política do Azure para corrigir automaticamente o desvio de configuração sem intervenção manual.

Exemplo de implementação

Uma empresa de tecnologia de saúde implementou um monitoramento de configuração abrangente em toda a infraestrutura de nuvem que suporta sistemas de registro eletrônico de saúde (EHR) e plataformas de análise de dados de pacientes que atendem 150+ hospitais.

Desafio: A empresa de tecnologia de saúde experimentou incidentes de desvio de configuração que criaram riscos de conformidade com a HIPAA, com alterações de configuração não detetadas por semanas e processos de remediação manual levando dias para corrigir violações de configuração de segurança em 150+ ambientes hospitalares.

Abordagem da solução:

Implante uma infraestrutura de monitoramento contínuo:

  1. Habilite o Microsoft Defender for Cloud em todas as assinaturas com políticas de segurança configuradas para avaliar:
    • Criptografia de conta de armazenamento e configurações de acesso
    • Regras do grupo de segurança da rede e exposição da rede
    • Conformidade com a configuração de gerenciamento de identidade e acesso
    • Configurações de segurança de banco de dados e controles de acesso
    • Conformidade com a linha de base de segurança da máquina virtual
  2. Configure o Azure Monitor Log Analytics com consultas KQL detetando alterações de configuração:
    • AzureActivity efetua consultas nas operações de monitorização de NetworkSecurityGroupRule para modificações de regras de firewall
    • Consultas do AzureDiagnostics relativas à deteção de eventos StorageAccountEncryptionDisabled
    • Consultas de Registos de Auditoria que monitorizam atribuições de função PIM do Microsoft Entra e elevações de privilégio
    • Consultas de eventos de política, monitorização de solicitações de isenção de política e alterações de estado de conformidade

Implementar a execução orientada por políticas:

  1. Implante iniciativas internas da Política do Azure para conformidade com HIPAA HITRUST 9.2:
    • Políticas de efeito de auditoria usando provedores de recursos Microsoft.Compute, Microsoft.Storage, Microsoft.Network
    • Negar políticas de efeito que aplicam localizações permitidas, SKUs de máquinas virtuais permitidas e tipos de recursos negados
    • Políticas de efeito DeployIfNotExists implantando o Microsoft Defender for Cloud, configurações de diagnóstico, criptografia
  2. Configure tarefas de correção da Política do Azure com atribuições de identidade gerenciadas:
    • Tarefas de correção automatizadas usando identidades gerenciadas atribuídas ao sistema para conformidade com políticas
    • Runbooks de Automação do Azure acionados por alterações de estado de conformidade de política
    • Fluxos de trabalho dos Aplicativos Lógicos do Azure para correção complexa que exigem orquestração em várias etapas

Estabeleça fluxos de trabalho de alerta e resposta:

  1. Crie regras de alerta do Azure Monitor para alterações críticas de configuração:
    • Alertas imediatos para desativação do controlo de segurança ou isenções de políticas
    • Resumos diários do status de conformidade da configuração em todos os ambientes
    • Análise semanal de tendências identificando problemas de gerenciamento de configuração sistêmica
  2. Integre alertas com o Azure DevOps para acompanhamento e resolução:
    • Criação automática de itens de trabalho para violações críticas de configuração de segurança
    • Atribuição a equipes apropriadas com base no tipo de recurso e na gravidade
    • Rastreamento de SLA garantindo a resolução oportuna do desvio de configuração

Resultado: O monitoramento de configuração da organização detetou e corrigiu incidentes de desvio de configuração que poderiam ter levado a violações de conformidade com a HIPAA, evitando penalidades regulatórias e protegendo os dados dos pacientes. A aplicação automatizada impediu implantações de recursos não compatíveis antes de chegar à produção, garantindo que as configurações de segurança permanecessem consistentes durante todo o ciclo de vida do recurso.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: CM-2, CM-3, CM-6, CM-7, CM-7(1)
  • PCI-DSS v4: 2.2.2, 2.2.7, 11.5.1
  • Controles CIS v8.1: 4.1, 4.2, 4.7
  • NIST CSF v2.0: DE. CM-7, PR. IP-1
  • ISO 27001:2022: A.8.9, A.8.34
  • SOC 2: CC6.1, CC6.6, CC7.1

PV-3: Definir e estabelecer configurações seguras para recursos de computação

Princípio da segurança

Defina linhas de base de configuração seguras para recursos de computação, incluindo máquinas virtuais (VMs) e contêineres. Use ferramentas de gerenciamento de configuração e imagens pré-configuradas para estabelecer ambientes de computação compatíveis por padrão, garantindo que a proteção de segurança seja aplicada de forma consistente em todas as implantações de computação.

Risco a mitigar

Os recursos de computação, incluindo máquinas virtuais e contêineres, geralmente são implantados com configurações padrão inseguras que expõem as organizações a comprometimento. Sem linhas de base de computação seguras:

  • Vulnerabilidades do sistema operacional: As instalações padrão do sistema operacional contêm serviços desnecessários, configurações de autenticação fracas e patches de segurança ausentes que fornecem vetores de ataque para escalonamento de privilégios e movimento lateral.
  • Lacunas de segurança do contentor: As imagens de contêiner criadas sem proteção de segurança contêm camadas de base vulneráveis, privilégios excessivos e configurações de tempo de execução inseguras que permitem a fuga de contêiner e o comprometimento do host.
  • Pontos fracos da configuração do serviço: Os aplicativos e serviços implantados com configurações padrão geralmente permitem recursos desnecessários, usam credenciais fracas e não possuem controles de acesso adequados.
  • Oportunidades de acesso persistente: Recursos de computação com linhas de base de segurança fracas fornecem aos invasores pontos de apoio estáveis para manter o acesso de longo prazo e realizar reconhecimento.
  • Amplificação de escala: Os sistemas de orquestração e dimensionamento automático na nuvem replicam configurações de computação inseguras em centenas de instâncias, amplificando o impacto das falhas de segurança da linha de base.
  • Violações de conformidade: As normas regulatórias exigem configurações de segurança específicas para linhas de base inseguras de recursos de computação que criam lacunas de conformidade demonstráveis.

As configurações de computação inseguras fornecem aos invasores vários caminhos para acesso inicial, escalonamento de privilégios e presença persistente em ambientes de nuvem.

MITRE ATT&CK

  • Acesso Inicial (TA0001): explorar o aplicativo voltado para o público (T1190) visando serviços executados em recursos de computação configurados de forma insegura.
  • Execução (TA0002): interpretador de comandos e scripts (T1059) aproveitando a segurança de computação fraca para executar código malicioso.
  • Persistência (TA0003): criar ou modificar o processo do sistema (T1543) explorando linhas de base de computação fracas para estabelecer acesso persistente.
  • Evasão de Defesa (TA0005): prejudicar defesas (T1562) desativando controles de segurança em recursos de computação configurados fracamente.

PV-3.1: Estabelecer linhas de base de segurança de computação

Os recursos de computação implantados com configurações padrão contêm falhas de segurança conhecidas e serviços desnecessários que os invasores exploram para acesso inicial e escalonamento de privilégios, com vulnerabilidades do sistema operacional permanecendo como principais vetores de ataque em ambientes de nuvem. A proteção de segurança reduz a superfície de ataque desativando serviços desnecessários, aplicando configurações de segurança e aplicando princípios de privilégios mínimos no nível do sistema operacional. Linhas de base de computação reforçadas impedem técnicas comuns de exploração e, ao mesmo tempo, garantem uma postura de segurança consistente em todos os recursos de computação.

Implemente a proteção de segurança de computação por meio de linhas de base padronizadas:

  • Aplique as linhas de base de segurança do sistema operacional: Use as linhas de base de segurança do Azure para sistemas operacionais Windows e Linux para impor benchmarks CIS e recomendações de segurança da Microsoft.
  • Crie imagens de máquina virtual protegidas: Use o Azure Image Builder para criar imagens de VM reforçadas com configurações de segurança pré-aplicadas antes da implantação.
  • Estabeleça linhas de base de segurança de contêineres: Aplique padrões de segurança de contêiner usando as recomendações do Microsoft Defender for Containers para proteção de imagem e proteção de tempo de execução.

Exemplo de implementação

Uma empresa de manufatura estabeleceu baselines de computação seguras em toda a infraestrutura de IoT industrial e aplicações corporativas que suportam mais de 50 instalações de produção e sistemas de gestão da cadeia de abastecimento.

Desafio: A empresa de fabricação enfrentou incidentes de segurança envolvendo recursos de computação com vulnerabilidades críticas, longa preparação de auditoria de conformidade devido a configurações de segurança inconsistentes e processos lentos de implantação de VM que atrasaram as expansões das instalações de produção em 50+ locais.

Abordagem da solução:

Estabeleça linhas de base de segurança de VM:

  1. Crie imagens de VM reforçadas usando o Azure Image Builder com a Galeria de Computação do Azure:
    • Imagens do Windows Server 2022 com personalizações do Azure Image Builder aplicando benchmarks CIS
    • Imagens do Ubuntu 22.04 LTS usando o Azure Image Builder runScripts para proteção de segurança
    • Incorporação do Microsoft Defender for Endpoint automatizada através de scripts de compilação do Image Builder.
    • Versionamento da Galeria de Computação do Azure com replicação entre regiões para distribuição de base
  2. Configurar a Configuração de Máquina do Azure para conformidade ao nível do sistema operativo:
    • Pacotes de Configuração de Máquina do Azure implantando configurações DSC em VMs do Windows
    • Políticas personalizadas de Configuração de Máquina do Azure que impõem padrões de segurança do Linux
    • Ativação do Azure Disk Encryption imposta por meio da Política do Azure deployIfNotExists
    • Requisitos de Inicialização Segura e vTPM impostos por meio de políticas de criação de VM

Implante linhas de base de segurança de contêiner:

  1. Configure o Registro de Contêiner do Azure com o Microsoft Defender for Containers:
    • Análise de vulnerabilidades do Microsoft Defender for Containers usando o scanner Trivy integrado para imagens ACR
    • Modelo de quarentena ACR que utiliza permissões de repositório para bloquear transferências de imagens vulneráveis
    • Otimização da criação de contentores usando imagens de base mínimas e construções de vários estágios
    • A falha nos portões de pipeline do Azure DevOps se baseia em CVEs críticas/altas detetadas pelo Defender
  2. Implemente as linhas de base de segurança do Serviço Kubernetes do Azure:
    • Política do Azure para AKS que impõe a linha de base de segurança do pod utilizando definições de política predefinidas
    • Azure CNI com políticas de rede Calico para isolamento de rede no nível de namespace
    • Azure Kubernetes Fleet Manager distribuindo configurações seguras entre clusters
    • AKS Image Cleaner remove automaticamente imagens antigas com base em políticas de retenção

Estabeleça governança de imagem com a Política do Azure:

  1. Implante a Política do Azure para conformidade de imagem de contêiner:
    • Política do Azure que assegura que apenas imagens provenientes do ACR sejam implantadas em clusters AKS
    • Requisitos de marcação de imagem de contêiner impostos por meio dos efeitos de auditoria da Política do Azure
    • Fluxos de trabalho automatizados para atualização de imagem utilizando execuções agendadas de Tarefas do Registro de Contêineres do Azure.
    • Integração da Galeria de Computação do Azure para a distribuição de imagens base aprovadas de VM e contêineres

Resultado: As linhas de base de computação segura da organização reduziram substancialmente os incidentes de segurança envolvendo recursos de computação, demonstrando a eficácia das configurações de segurança padronizadas. Os resultados da avaliação de vulnerabilidade mostraram uma redução significativa nas descobertas críticas e de alta gravidade, reduzindo a superfície de ataque e os riscos de conformidade nas instalações de produção.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: CM-2, CM-6, SC-28, SC-28(1)
  • PCI-DSS v4: 2.2.1, 2.2.4, 2.2.5
  • Controles CIS v8.1: 4.1, 4.8, 18.3
  • NIST CSF v2.0: PR. IP-1, PR. DS-6, PR. PT-3
  • ISO 27001:2022: A.8.1, A.8.9, A.8.19
  • SOC 2: CC6.1, CC6.6, CC6.7

PV-4: Auditar e impor configurações seguras para recursos de computação

Azure Policy: Veja definições de políticas incorporadas do Azure: PV-4.

Princípio da segurança

Monitore e alerte continuamente sobre desvios de configuração de linhas de base definidas em recursos de computação. Imponha as configurações desejadas por meio de correção automatizada que impeça configurações não compatíveis ou aplique automaticamente medidas corretivas para manter a postura de segurança.

Risco a mitigar

As configurações de recursos de computação se desviam das linhas de base de segurança para operações normais, criando vulnerabilidades que se acumulam ao longo do tempo. Sem monitorização e aplicação contínuas:

  • Desvio de configuração em sistemas críticos: Os sistemas de produção desviam-se gradualmente das linhas de base seguras através de alterações legítimas, modificações de emergência e atualizações incrementais, enfraquecendo a postura de segurança sem acionar alertas.
  • Lacunas de gerenciamento de patches: A falta de atualizações de segurança deixa os recursos de computação vulneráveis a explorações conhecidas, enquanto as organizações acreditam que os sistemas são atuais.
  • Vulnerabilidades da expansão do serviço: Novos serviços e aplicativos instalados em recursos de computação introduzem falhas de segurança que ignoram os controles de segurança de linha de base.
  • Desvio de segurança do tempo de execução do contêiner: As plataformas de orquestração de contêineres permitem modificações de tempo de execução que podem enfraquecer as políticas de segurança e expor a infraestrutura subjacente.
  • Lacunas na verificação da conformidade: Sem monitoramento contínuo, os recursos de computação não estão em conformidade com os requisitos regulatórios entre auditorias periódicas.

O desvio de configuração nos recursos de computação oferece aos invasores oportunidades evolutivas de exploração à medida que os controles de segurança enfraquecem com o tempo.

MITRE ATT&CK

  • Elevação de privilégios (TA0004): exploração para elevação de privilégios (T1068) que tem como alvo sistemas com desvio de configuração, permitindo acesso elevado.
  • Evasão de Defesa (TA0005): prejudica as defesas (T1562) ao aproveitar alterações de configuração que enfraqueceram os controlos de segurança.
  • Persistência (TA0003): modificar o processo de autenticação (T1556) explorando o desvio de configuração de autenticação para manter o acesso persistente.
  • Descoberta (TA0007): descoberta de informações do sistema (T1082) coletando informações de sistemas mal configurados para identificar oportunidades de ataque.

PV-4.1: Implementar monitoramento de configuração de computação

As configurações de recursos de computação mudam frequentemente por meio de instalações de patches, atualizações de aplicativos e modificações administrativas, criando oportunidades de degradação do controle de segurança que os invasores exploram para estabelecer pontos de apoio em ambientes de nuvem. O monitoramento contínuo da configuração de computação deteta falhas de segurança e alterações não autorizadas antes que os adversários possam explorar configurações incorretas para escalonamento de privilégios ou movimento lateral. A avaliação e a correção automatizadas da configuração mantêm a postura de segurança de computação e, ao mesmo tempo, evitam desvios de configuração em implantações de máquinas virtuais e contêineres.

Mantenha a segurança da computação por meio da avaliação e imposição contínuas da configuração:

  • Avalie continuamente as configurações de segurança de computação: Use o Microsoft Defender for Cloud para avaliar continuamente as configurações de segurança de recursos de computação em relação às referências do setor e às práticas recomendadas.
  • Implemente o monitoramento contínuo da conformidade: Implante a Configuração de Máquina do Azure para monitoramento contínuo de conformidade e correção automatizada de desvios de configuração.
  • Mantenha o estado de configuração desejado: Use a Configuração do Estado de Automação do Azure para manter o estado de configuração desejado em todos os recursos de computação com recursos de correção automatizada.
  • Monitore as alterações de configuração: Implemente o Controle de Alterações e o Inventário para monitorar alterações de configuração em recursos de computação e detetar modificações não autorizadas.
  • Habilite o monitoramento da postura de segurança do contêiner: Implante o Microsoft Defender for Containers para monitoramento de postura de segurança de contêiner em clusters AKS e registros de contêineres.

Exemplo de implementação

Uma empresa de tecnologia financeira implementou um monitoramento abrangente de configuração de computação em sistemas de negociação e aplicativos voltados para o cliente que suportam transações financeiras em tempo real e processamento de dados financeiros confidenciais.

Desafio: A empresa de tecnologia financeira experimentou incidentes de desvio de configuração que afetaram os sistemas de negociação, com a deteção levando dias e a remediação manual levando horas, criando riscos de conformidade e potenciais comprometimentos de segurança nos sistemas que processam transações financeiras em tempo real para milhões de clientes.

Abordagem da solução:

Implante um monitoramento de configuração abrangente:

  1. Habilite o Microsoft Defender for Cloud em todos os recursos de computação:
    • Avaliação contínua das configurações de segurança da VM em relação aos benchmarks CIS
    • Avaliação da postura de segurança de contentores para clusters de Kubernetes
    • Priorização de recomendações de segurança com base na avaliação de riscos
    • Integração com o Microsoft Sentinel para monitoramento centralizado de segurança
  2. Implementar a Configuração de Máquina do Azure:
    • Monitoramento de conformidade de linha de base do Windows e Linux para 500+ VMs
    • Políticas personalizadas que impõem requisitos de segurança de serviços financeiros
    • Correção automatizada de cenários comuns de desvio de configuração
    • Relatórios de conformidade para preparação de auditorias regulatórias

Estabeleça fluxos de trabalho de correção automatizados:

  1. Configurar a Configuração de Estado do Azure Automation.
    • Configurações de DSC do PowerShell mantendo os requisitos de segurança do sistema de negociação
    • Correção automatizada de desvio de configuração relacionado à segurança em 5 minutos
    • Tratamento de exceções para variações legítimas de configuração durante a manutenção
    • Validação de conformidade garantindo que as ações de correção sejam concluídas com êxito
  2. Implante o controle de alterações e o monitoramento de inventário:
    • Deteção em tempo real de instalações de software não autorizadas
    • Monitoramento de alterações de registro e arquivos críticos de segurança
    • Geração de alertas para alterações de configuração fora das janelas de manutenção
    • Integração com processos de gestão de alterações para modificações aprovadas

Implemente o monitoramento de segurança do contêiner:

  1. Habilite o Microsoft Defender for Containers em clusters AKS:
    • Monitoramento de segurança em tempo de execução detetando comportamento suspeito de contêiner
    • Avaliação de vulnerabilidade de imagem para todas as imagens de contêiner implantadas
    • Avaliação da configuração do cluster Kubernetes em relação às práticas recomendadas de segurança
    • Análise de tráfego de rede identificando padrões de comunicação incomuns
  2. Aplique políticas de segurança AKS através da Política do Azure para Kubernetes:
    • Definições internas da Política do Azure que impõem a linha de base de segurança do pod (sem contêineres privilegiados)
    • Complemento de Política do Azure para AKS usando a estrutura de restrição OPA do Gatekeeper v3
    • Azure CNI com políticas de rede Calico para isolamento de rede no nível de namespace
    • Iniciativa de Política do Azure implantando limites de CPU/memória de contêiner por meio de objetos LimitRange

Estabeleça governança e relatórios:

  1. Crie painéis e relatórios de conformidade:
    • Visibilidade em tempo real do status de conformidade dos recursos de computação
    • Análise de tendências identificando problemas sistemáticos de gerenciamento de configuração
    • Relatórios executivos sobre postura de segurança e métricas de melhoria
    • Integração com estruturas de gestão de riscos para quantificação de riscos
  2. Implemente a resposta automatizada a incidentes:
    • Alertas imediatos para violações críticas da configuração de segurança
    • Isolamento automatizado de recursos não conformes pendentes de correção
    • Integração com o Azure DevOps para acompanhamento e resolução de itens de trabalho
    • Análise pós-incidente e recomendações de melhoria da linha de base

Resultado: O monitoramento de configuração da organização detetou e remediou incidentes de desvio de configuração que poderiam ter levado a comprometimentos de segurança, evitando perdas financeiras e violações de dados. A aplicação automatizada evitou alterações de configuração perigosas antes de afetar os sistemas de produção, garantindo a estabilidade da plataforma de negociação durante o crescimento do negócio.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: CM-3, CM-6, CM-6(1), SI-2, SI-2(2)
  • PCI-DSS v4: 2.2.2, 2.2.7, 11.3.1, 11.3.2
  • Controles CIS v8.1: 4.1, 4.2, 4.7, 18.5
  • NIST CSF v2.0: DE.CM-7, DE.CM-8, PR.IP-1
  • ISO 27001:2022: A.8.9, A.8.19, A.8.34
  • SOC 2: CC6.1, CC6.6, CC7.1, CC7.2

PV-5: Realizar avaliações de vulnerabilidade

Azure Policy: Consulte definições de políticas incorporadas no Azure: PV-5.

Princípio da segurança

Realize avaliações de vulnerabilidade abrangentes em todos os recursos de nuvem de forma programada e sob demanda. Monitorize e compare os resultados da análise de varredura para avaliar a eficácia da correção. Inclua a avaliação de vulnerabilidades de infraestrutura, fraquezas de aplicativos, problemas de configuração e exposições de rede, ao mesmo tempo em que protege o acesso administrativo usado para atividades de varredura.

Risco a mitigar

Vulnerabilidades não identificadas na infraestrutura de nuvem oferecem aos invasores inúmeras oportunidades de exploração. Sem uma avaliação exaustiva da vulnerabilidade:

  • Exposição a vulnerabilidade desconhecida: Os sistemas contêm falhas de segurança que permanecem não detetadas até serem exploradas, fornecendo aos atacantes pontos de apoio estabelecidos que ignoram as medidas de segurança.
  • Bancos de dados de vulnerabilidade desatualizados: As equipas de segurança não têm conhecimento atual das ameaças emergentes e das vulnerabilidades recentemente descobertas que afetam a sua infraestrutura.
  • Pontos cegos multicamadas: A verificação tradicional focada na rede ignora vulnerabilidades em serviços de nuvem, imagens de contêiner, funções sem servidor e serviços gerenciados.
  • Vulnerabilidades baseadas em configuração: Erros de configuração e fraquezas de política escapam da deteção por scanners de vulnerabilidade tradicionais focados em falhas de software.
  • Riscos de acesso privilegiado: As contas administrativas usadas para verificação de vulnerabilidades criam vetores de ataque adicionais se não estiverem devidamente protegidas e monitoradas.
  • Lacunas de cobertura da avaliação: A verificação incompleta deixa partes da infraestrutura sem avaliação, criando refúgios seguros para operações de invasores.
  • Falhas de rastreamento de correção: Sem o rastreamento sistemático de vulnerabilidades, as organizações perdem visibilidade sobre quais vulnerabilidades foram abordadas e quais permanecem pendentes.

A avaliação inadequada da vulnerabilidade transforma fraquezas desconhecidas em vetores de ataque bem-sucedidos que permitem o acesso inicial, o escalonamento de privilégios e o movimento lateral.

MITRE ATT&CK

  • Acesso Inicial (TA0001): explora aplicações públicas (T1190) aproveitando vulnerabilidades não corrigidas em aplicações e serviços Web.
  • Escalonamento de privilégios (TA0004): exploração para escalonamento de privilégios (T1068) visando vulnerabilidades conhecidas em sistemas operacionais e aplicativos.
  • Movimento Lateral (TA0008): exploração de serviços remotos (T1021) utilizando vulnerabilidades para se deslocar entre sistemas e redes.
  • Evasão de Defesa (TA0005): exploração para evasão de defesa (T1562) que utiliza vulnerabilidades para desativar ou contornar controles de segurança.

PV-5.1: Implementar uma avaliação abrangente da vulnerabilidade

As organizações sem visibilidade abrangente de vulnerabilidades operam com fraquezas de segurança desconhecidas que os invasores identificam e exploram antes que as equipes de segurança as descubram, com vulnerabilidades críticas permanecendo não detetadas em recursos de computação, contêineres e bancos de dados. A avaliação contínua de vulnerabilidades fornece visibilidade completa das fraquezas de segurança em todos os recursos da nuvem, permitindo a correção proativa antes que os adversários explorem as vulnerabilidades para acesso inicial ou escalonamento de privilégios. A análise multicamadas combinada com a gestão da exposição proporciona uma priorização baseada no risco que concentra os esforços de correção nas vulnerabilidades com maior probabilidade de permitir ataques bem-sucedidos.

Identifique e priorize as fraquezas de segurança por meio de uma avaliação abrangente de vulnerabilidades:

  • Habilite uma avaliação abrangente de vulnerabilidades: Implante a avaliação de vulnerabilidades do Microsoft Defender for Cloud para máquinas virtuais, contêineres e bancos de dados SQL para identificar falhas de segurança em todos os tipos de recursos.
  • Use a verificação de vulnerabilidades integrada: Implemente o verificador de vulnerabilidades integrado para uma avaliação abrangente da VM sem exigir implantação ou licenciamento adicional do agente.
  • Integre a gestão da exposição: Use o Microsoft Security Exposure Management para identificar caminhos de ataque e priorizar vulnerabilidades com base na criticidade dos ativos e no raio de explosão potencial para correção baseada em risco.
  • Implemente a avaliação de vulnerabilidade do banco de dados: Implante a avaliação de vulnerabilidade do SQL para avaliação da segurança do banco de dados e identificação de falhas de configuração.
  • Configure o rastreamento de vulnerabilidades: Habilite a exportação contínua para acompanhamento e análise de tendências para medir o progresso da correção ao longo do tempo.

Exemplo de implementação

Uma empresa de serviços de saúde implementou uma avaliação de vulnerabilidade abrangente em toda a infraestrutura de nuvem que suporta sistemas de atendimento ao paciente, integração de dispositivos médicos e trocas de informações de saúde que atendem 500+ instalações de saúde.

Desafio: A empresa de serviços de saúde não tinha recursos abrangentes de avaliação de vulnerabilidades, com vulnerabilidades críticas permanecendo não detetadas por semanas e processos manuais de gerenciamento de vulnerabilidades, resultando em baixas taxas de correção que criavam riscos de conformidade em 500+ instalações de saúde que processam dados confidenciais de pacientes.

Abordagem da solução:

Implante a verificação de vulnerabilidades integrada:

  1. Habilite a verificação de vulnerabilidades integrada do Microsoft Defender for Cloud:
    • Verificação sem agente para VMs do Azure usando o Microsoft Defender for Cloud com scanner Qualys integrado
    • Verificação de vulnerabilidade do Microsoft Defender for Containers usando Trivy para mais de 300 imagens do Registo de Contentor do Azure
    • Avaliação de vulnerabilidade do Microsoft Defender for SQL com criação automática de linha de base
    • Integração do Azure Monitor Log Analytics exportando a tabela SecurityAssessment para o Microsoft Sentinel

Implemente a avaliação contínua do Microsoft Defender for Cloud:

  1. Configure a deteção e priorização automatizadas de vulnerabilidades:
    • Priorização de vulnerabilidade baseada em risco, considerando a criticidade e a exposição dos ativos
    • Integração com o Exploit Prediction Scoring System (EPSS) disponível nativamente no Microsoft Defender Vulnerability Management para dados de probabilidade de exploração
    • Correlação com feeds de inteligência de ameaças para identificar vulnerabilidades exploradas ativamente (usando a pontuação de prioridade do Microsoft Defender Threat Intelligence e o rastreamento de exploração)
    • Integração com inventário de ativos para avaliação de vulnerabilidades sensível ao contexto
    • Contexto da campanha de ataque em tempo real através de artigos do Microsoft Defender Threat Intelligence e informações sobre violações
    • Avaliação do impacto nos negócios quanto às vulnerabilidades que afetam os sistemas de cuidados aos doentes

Estabeleça fluxos de trabalho de gerenciamento de vulnerabilidades:

  1. Automatize fluxos de trabalho de correção de vulnerabilidades com os Aplicativos Lógicos do Azure:
    • Integração da API REST do Azure DevOps, criando itens de trabalho a partir de consultas KQL do SecurityAssessment
    • Runbooks da Automação do Azure acionando implantações de patch do Azure Update Manager para CVEs críticos
    • Automação do fluxo de trabalho do Microsoft Defender for Cloud enviando dados de vulnerabilidade para o Azure DevOps
    • Tarefas de correção da Política do Azure implantando configurações de segurança que abordam configurações incorretas
  2. Implemente a governança com a pontuação de segurança do Microsoft Defender for Cloud
    • Livros de trabalho do Azure Monitor que visualizam tendências de vulnerabilidade a partir da tabela SecurityAssessment
    • Painéis do Power BI exibindo métricas de pontuação seguras e KPIs de correção de vulnerabilidades
    • Painel de conformidade regulatória do Microsoft Defender for Cloud para rastreamento HIPAA/HITRUST
    • Modelos de pasta de trabalho do Microsoft Sentinel para análise de programa de gerenciamento de vulnerabilidades

Resultado: A avaliação abrangente de vulnerabilidades da organização identificou e facilitou a correção de vulnerabilidades que poderiam ter comprometido os sistemas de dados dos pacientes, evitando violações da HIPAA. O tempo de deteção de vulnerabilidades críticas melhorou substancialmente por meio de varredura contínua automatizada e inteligência integrada contra ameaças, permitindo uma resposta rápida a ameaças emergentes.

Nível de criticidade

Deveria ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: RA-3, RA-5, RA-5(1), RA-5(2), RA-5(5)
  • PCI-DSS v4: 6.3.1, 6.3.2, 11.3.1, 11.3.2
  • Controles CIS v8.1: 7.1, 7.2, 7.5, 7.7
  • NIST CSF v2.0: DE. CM-8, ID.RA-1
  • ISO 27001:2022: A.5.14, A.8.8
  • SOC 2: CC7.1, CC7.2

PV-6: Corrige vulnerabilidades de forma rápida e automática

Azure Policy: Veja definições de políticas incorporadas no Azure: PV-6.

Princípio da segurança

Implante patches e atualizações de forma rápida e automática para corrigir vulnerabilidades usando priorização baseada em risco que aborda as vulnerabilidades mais graves em ativos de maior valor primeiro. Implemente recursos de aplicação de patches automatizados que equilibram os requisitos de segurança com a estabilidade operacional.

Risco a mitigar

A lenta correção de vulnerabilidades estende a janela de exposição, permitindo que os invasores explorem fraquezas conhecidas antes que os patches sejam aplicados. Sem capacidades de remediação rápida:

  • Janelas de exposição prolongada: As vulnerabilidades críticas permanecem exploráveis por dias ou semanas, enquanto os processos manuais de correção progridem, proporcionando tempo suficiente para os invasores desenvolverem e implantarem exploits.
  • Atrasos no gerenciamento de patches: Fluxos de trabalho de aprovação complexos e requisitos de teste atrasam as atualizações de segurança, deixando os sistemas vulneráveis durante ciclos de correção estendidos.
  • Amplificação de escala: Ambientes de nuvem com centenas ou milhares de recursos exigem patches automatizados para alcançar a remediação em tempo hábil, pois os processos manuais não podem ser dimensionados de forma eficaz.
  • Riscos de interrupção de negócios: O medo do tempo de inatividade do sistema atrasa as decisões de correção, deixando as vulnerabilidades por resolver enquanto as organizações debatem o impacto operacional.
  • Lacunas de software de terceiros: Aplicativos e middleware não cobertos por patches do sistema operacional permanecem vulneráveis por mais tempo devido a procedimentos complexos de atualização.
  • Priorização inconsistente: Sem a priorização de remediação baseada em risco, as vulnerabilidades críticas que afetam ativos de alto valor podem não receber a atenção adequada.
  • Lacunas na verificação de correção: A falta de validação pós-patch deixa incerteza sobre se as vulnerabilidades foram resolvidas com sucesso.

A correção atrasada de vulnerabilidades transforma os pontos fracos descobertos em vetores de ataque bem-sucedidos antes que as organizações possam aplicar as correções necessárias.

MITRE ATT&CK

  • Acesso inicial (TA0001): explora o aplicativo voltado para o público (T1190) visando vulnerabilidades conhecidas durante janelas de correção estendidas.
  • Escalonamento de privilégios (TA0004): exploração para escalonamento de privilégios (T1068) aproveitando vulnerabilidades locais não corrigidas.
  • Movimento Lateral (TA0008): exploração de serviços remotos (T1021) utilizando vulnerabilidades conhecidas para se espalhar entre sistemas.

PV-6.1: Implementar a correção automatizada de vulnerabilidades

O gerenciamento manual de patches cria longas janelas de exposição a vulnerabilidades durante as quais os invasores exploram vulnerabilidades conhecidas antes que as equipes de segurança concluam os processos de correção em ambientes de grande escala. A correção automatizada de vulnerabilidades reduz o tempo médio de correção de semanas para horas, impedindo que adversários explorem vulnerabilidades divulgadas publicamente durante longos períodos de exposição. A priorização baseada em risco garante que as vulnerabilidades críticas recebam atenção imediata, enquanto a correção automatizada mantém uma higiene de segurança consistente em todos os recursos de computação.

Acelere a correção de vulnerabilidades por meio de automação e priorização baseada em risco:

  • Implemente o gerenciamento automatizado de patches: Implante o Azure Update Manager para aplicação de patches automatizados de máquinas virtuais Windows e Linux em VMs do Azure e servidores habilitados para Arc com recursos de gerenciamento centralizado.
  • Configurar janelas de manutenção: Configure as configurações de atualização com janelas de manutenção alinhadas às necessidades empresariais com o objetivo de minimizar o impacto nas cargas de trabalho de produção.
  • Habilite o patch de tempo de inatividade zero: Use o Hotpatching para Windows Server 2025 para instalar atualizações de segurança sem exigir reinicializações do sistema, reduzindo o tempo de inatividade e as janelas de exposição.
  • Estabeleça uma priorização baseada no risco: Priorize a correção de vulnerabilidades considerando a gravidade da vulnerabilidade, a criticidade dos ativos e o nível de exposição para se concentrar primeiro nos problemas de maior risco.

Exemplo de implementação

Uma plataforma global de comércio eletrônico implementou a correção automatizada de vulnerabilidades em toda a infraestrutura de nuvem, suportando operações de varejo on-line e processamento de dados de clientes, atendendo a 10+ milhões de clientes em todo o mundo.

Desafio: A plataforma global de comércio eletrônico experimentou um longo tempo médio para corrigir (14 dias para vulnerabilidades críticas), alto volume de incidentes de segurança relacionados a vulnerabilidades não corrigidas e descobertas de auditoria de conformidade relacionadas a processos inadequados de gerenciamento de patches em 2.000+ VMs que suportam operações de varejo on-line.

Abordagem da solução:

Implante a infraestrutura automatizada de gerenciamento de patches:

  1. Implante o Azure Update Manager com avaliação e aplicação automática de patches de VM:
    • Avaliação periódica do Azure Update Manager habilitada em 2.000+ VMs do Azure e servidores habilitados para Arc
    • Configurações de manutenção com escopo dinâmico usando consultas do Azure Resource Graph
    • Runbooks de automação do Azure pré/pós-aplicação de patches para orquestração stop/start de aplicativos
    • Azure Policy deployIfNotExists impondo avaliações de atualização em todas as assinaturas
  2. Configure a priorização baseada em EPSS usando o Gerenciamento de Vulnerabilidades do Microsoft Defender:
    • Consultas KQL unindo tabelas SecurityAssessment e SecurityRecommendation para a correlação entre vulnerabilidades e patches
    • Regras de alerta do Azure Monitor acionadas por CVEs críticas com pontuações EPSS > 0,7
    • Patch agendado do Azure Update Manager com classificações de prioridade (Crítico/Importante/Moderado)
    • Consultas do Azure Resource Graph identificando VMs voltadas para a Internet para aplicação rápida de patches

Estabeleça fluxos de trabalho de correção automatizados:

  1. Automatize a correção com os Aplicativos Lógicos do Azure e a integração com o Microsoft Defender:
    • Fluxos de trabalho das Aplicações Lógicas do Azure acionados pelos alertas de vulnerabilidade do Microsoft Defender for Cloud
    • Consultas da API de Segurança do Microsoft Graph correlacionando CVEs com artigos da Knowledge Base do Azure Update Manager
    • Runbooks da Automação do Azure invocando Install-AzUpdateManagerUpdate para correção de falhas de emergência
    • API de gerenciamento de vulnerabilidades e ameaças do Microsoft Defender para pontuação de exposição

Implemente controles de compensação para patches atrasados:

  1. Implantar medidas de proteção temporárias para sistemas que exigem prazos de aplicação de patches estendidos:
    • Regras personalizadas do Firewall de Aplicações Web (WAF) do Gateway de Aplicações do Azure para bloquear tentativas de exploração conhecidas de vulnerabilidades específicas
    • Restrições do Grupo de Segurança de Rede que limitam o acesso à rede a sistemas vulneráveis até serem corrigidas
    • Monitoramento e alertas aprimorados por meio do Microsoft Defender for Endpoint detetando comportamentos suspeitos em ativos não corrigidos
    • Controles just-in-time (JIT) de acesso à máquina virtual (VM) que reduzem a janela de exposição para as interfaces administrativas vulneráveis.
    • Regras de redução da superfície de ataque do Microsoft Defender for Endpoint que atenuam as técnicas de exploração
  2. Acompanhe os controles de compensação no Microsoft Defender for Cloud:
    • Isenções da Política do Azure com metadados de isenção estruturados documentando controles de compensação
    • Recomendações personalizadas de pontuação segura do Microsoft Defender for Cloud para vulnerabilidades isentas
    • Pastas de trabalho do Azure Monitor visualizando controles de compensação ativos com controle de expiração
    • Listas de observação do Microsoft Sentinel mantendo inventário de controle compensatório com alertas automáticos

Implemente a governança com o Azure Monitor e o Power BI:

  1. Implante painéis abrangentes de monitoramento e relatórios:
    • Pastas de trabalho do Azure Monitor consultando a tabela de atualização para conformidade de patches em todas as VMs
    • Relatórios do Power BI usando a API REST do Azure Resource Graph para exposição de vulnerabilidade em tempo real
    • Integração da API de pontuação segura do Microsoft Defender for Cloud para relatórios executivos
    • Monitorização de exceções de patch na integração do Azure DevOps Boards incluindo escalonamento automático de SLA
  2. Automatize a aplicação de patches de emergência com o Gerenciamento de Vulnerabilidades do Microsoft Defender:
    • Integração do catálogo CISA KEV do Microsoft Defender Vulnerability Management para priorização de dia zero
    • Runbooks de Automação do Azure com a operação InstallUpdates do Azure Update Manager para implantações de emergência
    • Grupos de ação do Azure Monitor que acionam alertas SMS/email para vulnerabilidades exploradas
    • Automação do fluxo de trabalho do Microsoft Defender for Cloud, criando incidentes de alta prioridade para explorações ativas

Resultado: A remediação automatizada de vulnerabilidades da organização reduziu substancialmente o tempo de correção de vulnerabilidades críticas, reduzindo as janelas de exposição e evitando comprometimentos de segurança. O volume de incidentes de segurança relacionados a vulnerabilidades não corrigidas diminuiu significativamente por meio do gerenciamento sistemático de patches e da priorização baseada em EPSS.

Nível de criticidade

Deveria ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: SI-2, SI-2(1), SI-2(2), SI-2(5), RA-5
  • PCI-DSS v4: 6.3.3, 6.4.3, 11.3.1
  • Controles CIS v8.1: 7.2, 7.3, 7.4, 7.5, 7.7
  • NIST CSF v2.0: PR.IP-12, RS.MI-3
  • ISO 27001:2022: A.8.8, A.5.14
  • SOC 2: CC7.1, CC7.2, CC8.1

PV-7: Conduzir operações regulares da equipe vermelha

Princípio da segurança

Simule ataques do mundo real por meio de operações de equipe vermelha e testes de penetração para fornecer validação de segurança abrangente. Siga as práticas recomendadas do setor para projetar, preparar e conduzir testes com segurança, garantindo o escopo abrangente e a coordenação das partes interessadas.

Risco a mitigar

A avaliação de vulnerabilidade tradicional e os testes de penetração podem falhar técnicas de ataque sofisticadas e cadeias de ataque complexas que os adversários reais empregam. Sem testes contraditórios abrangentes:

  • Ângulos mortos nos controlos de segurança: As ferramentas de segurança automatizadas e os testes de penetração padrão não conseguem identificar fraquezas que atacantes qualificados exploram por meio de combinações criativas de recursos legítimos e vulnerabilidades menores.
  • Falsa confiança de segurança: As organizações que acreditam que sua postura de segurança é forte com base em caixas de seleção de conformidade e testes padrão podem estar vulneráveis a ameaças persistentes avançadas e ataques direcionados.
  • Vulnerabilidades do fator humano: A formação de sensibilização para a segurança e os controlos técnicos podem ser insuficientes contra técnicas sofisticadas de engenharia social e manipulação humana.
  • Lacunas complexas da cadeia de ataque: Ataques em vários estágios, combinando acesso físico, engenharia social, exploração técnica e técnicas de persistência, escapam da deteção por testes de segurança em silos.
  • Pontos fracos na resposta a incidentes: As equipas de segurança podem não ter experiência na deteção e resposta a ataques sofisticados, o que leva a uma deteção tardia e a uma contenção inadequada.
  • Lacunas de colaboração da equipe roxa: A desconexão entre operações de segurança ofensivas (equipe vermelha) e defensivas (equipe azul) limita a transferência de conhecimento e as oportunidades de melhoria.

Sem testes adversários realistas, as organizações operam com pressupostos de segurança não validados que falham quando confrontados com atacantes qualificados e motivados.

MITRE ATT&CK

  • Reconhecimento (TA0043): varredura ativa (T1595) e coleta de informações sobre vítimas (T1589) para identificar oportunidades de ataque e planejar operações direcionadas.
  • Acesso Inicial (TA0001): phishing (T1566) e exploração de aplicativos voltados para o público (T1190) testando a suscetibilidade organizacional à engenharia social e exploração técnica.
  • Persistência (TA0003): contas válidas (T1078) e criar conta (T1136) simulando a criação de acesso a longo prazo por um adversário.
  • Movimento Lateral (TA0008): serviços remotos (T1021) e spearphishing interno (T1534) para testar a deteção de movimento de adversários através do ambiente.

PV-7.1: Implemente testes adversariais abrangentes

As organizações que dependem exclusivamente da verificação automatizada de vulnerabilidades e das avaliações de conformidade não conseguem validar se os controles de segurança impedem técnicas adversárias sofisticadas usadas em ataques do mundo real. O teste adversarial simula cenários reais de ataque para identificar lacunas de controle de segurança, pontos cegos de deteção e fraquezas de resposta a incidentes que as ferramentas automatizadas não conseguem descobrir. Operações regulares de equipe vermelha fornecem validação de segurança realista, garantindo que os investimentos em segurança previnam, detetem e respondam de forma eficaz a ameaças persistentes avançadas.

Valide a eficácia da segurança através de testes adversários realistas:

  • Siga as regras de teste de penetração da Microsoft: Aderir às Regras de Engajamento do Microsoft Cloud Penetration Testing para atividades de teste baseadas em nuvem para garantir procedimentos de teste autorizados e seguros.
  • Consulte as diretrizes de teste do Azure: Siga as diretrizes de teste de penetração do Azure para procedimentos de teste autorizados e requisitos de coordenação com a Microsoft.
  • Use a metodologia de red teaming da Microsoft: Aplique a metodologia Microsoft Cloud Red Teaming para simulação de ataque abrangente alinhada com técnicas de adversários do mundo real.
  • Coordene o escopo do teste: Estabeleça o escopo e as restrições dos testes com as partes interessadas e os proprietários de recursos relevantes para garantir a continuidade dos negócios e minimizar os impactos não intencionais.

Exemplo de implementação

Uma organização de serviços financeiros implementou operações abrangentes de equipe vermelha em toda a infraestrutura de nuvem suportando bancos de investimento, sistemas de negociação e plataformas de gerenciamento de patrimônio do cliente processando bilhões em transações diárias.

Desafio: A organização de serviços financeiros não tinha recursos realistas de teste de segurança, com ferramentas automatizadas sem lacunas críticas de segurança, visibilidade limitada em recursos sofisticados de deteção de ataques e dificuldade em demonstrar eficácia de validação de segurança para os reguladores que examinam os controles de segurança de bancos de investimento e gestão de patrimônio.

Abordagem da solução:

Estabeleça um programa de testes de equipe vermelha alinhado à Microsoft:

  1. Implemente testes seguindo a metodologia Microsoft Cloud Red Teaming:
    • Exercícios trimestrais usando a estrutura de simulação de ataque do Microsoft Enterprise Cloud Red Teaming
    • Avaliações anuais aproveitando as ferramentas de simulação de ataque do Microsoft Entra e a análise do Microsoft Sentinel
    • Informações sobre ameaças do Microsoft Defender Threat Intelligence informando cenários de ataque
    • Exercícios da equipa roxa usando as descobertas da análise do percurso de ataque do Microsoft Defender for Cloud
  2. Configure o ambiente de teste com salvaguardas do Azure:
    • Bloqueios do Azure Resource Manager impedindo a exclusão de recursos de produção durante o teste
    • A Política do Azure nega efeitos bloqueando a implantação de configurações perigosas em produção
    • Acesso à VM just-in-time do Microsoft Defender for Cloud limitando o escopo de movimento lateral da equipe vermelha
    • Grupos de ação do Azure Monitor que fornecem alertas em tempo real sobre atividades de teste que excedem os limites

Execute a simulação de ataque focada no Azure:

  1. Simule cenários de ataque específicos da nuvem:
    • Simulação de ataque de phishing do Microsoft 365 usando campanhas do Microsoft Defender para Office 365
    • Exploração do Serviço de Aplicativo do Azure testando a eficácia do firewall do aplicativo Web
    • Teste de abuso da API do Azure Resource Manager com controles de Política do Azure e RBAC
    • Comprometimento do pipeline do Azure DevOps simulando ataques à cadeia de abastecimento na infraestrutura CI/CD.
  2. Teste os controles de segurança de identidade e ID do Microsoft Entra:
    • Exploração do caminho de elevação do Microsoft Entra Privileged Identity Management (PIM)
    • Tentativas de desvio da política de Acesso Condicional do Microsoft Entra usando lacunas na conformidade do dispositivo
    • Testes de protocolos de autenticação do Microsoft Entra para desvio de autenticação multifator e roubo de tokens
    • Tentativas de exfiltração de segredos do Azure Key Vault com validação de políticas de acesso e registo de logs

Valide a deteção e a resposta de segurança da Microsoft:

  1. Teste os recursos de deteção e resposta do Microsoft Sentinel:
    • Regras de análise do Microsoft Sentinel medindo a eficácia na deteção de técnicas de red teaming do MITRE ATT&CK
    • Validação dos alertas do Microsoft Defender for Cloud durante os testes de precisão da proteção contra ameaças em tempo de execução.
    • Cobertura de telemetria do Microsoft Defender for Endpoint EDR medindo taxas de deteção comportamental
    • Fluxos de trabalho de investigação de incidentes de teste de desempenho de consulta do Azure Monitor Log Analytics
  2. Avalie a orquestração e a automação da segurança:
    • Regras de automação do Microsoft Sentinel testam a execução automática do manual de resposta a incidentes.
    • Fluxos de trabalho dos Aplicativos Lógicos do Azure validando a integração com o Microsoft Teams para notificações de incidentes
    • Automação do fluxo de trabalho do Microsoft Defender for Cloud testando a eficácia da ação de correção
    • Guias de execução de Automação do Azure avaliando procedimentos automatizados de contenção e isolamento

Aproveite as ferramentas da Microsoft para melhoria contínua:

  1. Documente as descobertas usando plataformas de segurança da Microsoft:
    • Análise de caminho de ataque do Microsoft Defender for Cloud documentando cadeias de ataque em várias etapas
    • Consultas do Azure Resource Graph identificando superfícies de ataque semelhantes no ambiente de nuvem
    • Pastas de trabalho do Microsoft Sentinel visualizando técnicas de ataque mapeadas para a estrutura MITRE ATT&CK
    • Azure DevOps Boards rastreando ações de remediação priorizadas com base na explorabilidade
  2. Melhore os recursos de deteção usando as descobertas da equipe vermelha:
    • Regras de análise personalizadas do Microsoft Sentinel baseadas em técnicas e indicadores de equipe vermelha
    • Regras de deteção personalizadas do Microsoft Defender for Endpoint para técnicas de vida fora da terra identificadas
    • Pesquisas salvas do Azure Monitor Log Analytics para acelerar investigações futuras de incidentes
    • Integração do Microsoft Defender Threat Intelligence enriquecendo alertas com contexto de ataque de equipe vermelha

Resultado: A organização identificou e corrigiu lacunas críticas de segurança que as ferramentas automatizadas haviam perdido, incluindo técnicas de desvio de autenticação e caminhos de escalonamento de privilégios. Procedimentos aprimorados de monitoramento e resposta informados por simulações de ataque realistas permitiram que as equipes de segurança identificassem e respondessem a ameaças persistentes avançadas de forma mais eficaz.

Nível de criticidade

Bom ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5: CA-8, CA-8(1), CA-8(2)
  • PCI-DSS v4: 11.4.1, 11.4.2, 11.4.6
  • Controles CIS v8.1: 15.1, 18.1, 18.2, 18.3, 18.5
  • NIST CSF v2.0: DE. DP-4, ID.RA-10
  • ISO 27001:2022: A.5.7, A.8.29
  • SOC 2: CC7.3, CC7.4
  • Last updated on