微软网络防御运营中心分享最佳实践:保护、检测与响应策略

微软网络防御运营中心(CDOC)分享了其在网络安全防护、威胁检测和事件响应方面的最佳实践,包括多因素认证、非持久管理、威胁建模、自动化响应系统等核心技术策略。

微软网络防御运营中心分享最佳实践

如今,单次安全漏洞(无论是物理还是虚拟的)可能给组织造成数百万美元的损失,并可能给全球经济带来数十亿美元的财务损失。每周似乎都有新的网络安全漏洞在世界某处被披露。当我们审视当前网络安全挑战的现状时,我们看到相同类型的攻击,但每次攻击的复杂性和范围都在不断增长和演变。此外,还有国家行为者试图破坏运营、进行情报收集或普遍破坏信任的威胁。

您可以下载《网络防御运营中心战略简报》,以更深入地了解我们如何努力保护、检测和响应网络安全威胁。

与许多公司一样,微软在共享基础设施、多个团队和相互依赖的服务方面存在技术依赖。由于这些依赖关系,团队必须共同努力,以有效检测和击败复杂攻击者和网络安全威胁的策略。通过共享指导和视角,我们可以利用现有的人员和流程来响应突然进入范围的先前“未见”和“未知”问题。还有一些情况,一群人可以共享深厚的主题专业知识,或跨组织的才能和联系人,或某些品质的组合,而无需在每个团队中配置这些资源。

在微软网络防御运营中心(CDOC)内,我们通过利用每个专业领域的共同和独特能力,专注于这些依赖关系,协调威胁情报、安全监控和事件响应。在这里,我们利用全球超过3500名安全专业人员,跨越产品开发团队、信息安全小组和法律团队,保护我们的云基础设施和服务、产品和设备以及内部资源。我们商业安全解决方案(如Azure安全中心(ASC))背后的工程团队也利用网络防御运营中心(CDOC)社区在真实环境中测试假设和预飞行解决方案。该模型基于情报、防御和控制的闭环系统,为全球200多个云服务、100多个数据中心、数百万台设备和超过十亿客户简化了我们的安全能力。

微软满足并超越客户对企业级云提供商的期望也至关重要。客户期望一个集成的安全运营中心,其使命是通过教育、研发、经验教训和咨询来增强网络防御的能力、合作和信息共享。通过共享我们的安全能力状态以及提议的改进投资,我们可以通过构建旨在超越网络对手的创新安全解决方案,用能力取代漏洞。虽然安全一直是微软的优先事项,但我们认识到数字世界需要在我们如何保护、检测和响应网络安全威胁的承诺方面不断进步。这三个承诺定义了我们的网络防御方法,并作为讨论微软网络防御策略和能力的有用框架。

微软的保护策略包括:

  • 在整个基础设施中采用多因素认证(如Windows Hello for Business(H4B))来控制身份和访问管理。
  • 使用即时(JIT)和刚好足够管理员(JEA)权限对管理基础设施和服务的工程人员进行非持久管理。这提供了一组独特的凭据用于提升访问权限,这些凭据在预定的持续时间后自动过期。
  • 通过更新的反恶意软件软件和严格遵守修补和配置管理来严格维护适当的卫生。
  • 使用微软安全开发生命周期来强化所有应用程序、在线服务和产品,并通过渗透测试和漏洞扫描定期验证其有效性。
  • 威胁建模和攻击面分析确保评估潜在威胁,评估服务的暴露方面,并通过限制服务或消除不必要的功能来最小化攻击面。
  • 根据数据的敏感性(高、中或低业务影响)对数据进行分类,并采取适当措施保护数据,包括传输和静态加密,并强制执行最小特权访问原则,提供额外保护。
  • 意识培训,培养用户和安全团队之间的信任关系,以开发一个用户会报告事件和异常而不担心后果的环境。
  • 对我们全球数据中心的物理环境进行广泛监控和控制,包括摄像头、人员筛查、围栏和屏障,以及物理访问的多因素认证。
  • 软件定义网络保护我们的云基础设施免受入侵和分布式拒绝服务攻击。
  • 安全管理工作站是安全控制和配置的工作站,设计用于管理有价值的生产系统以及日常活动,如电子邮件、文档编辑和开发工作。
  • Windows Defender安全情报团队的研究人员识别、逆向工程和开发恶意软件签名,然后在整个基础设施中部署它们以进行高级检测和防御。这些签名可供数百万使用微软反恶意软件解决方案的客户使用。

拥有丰富的控制措施和深度防御策略有助于确保如果任何一个区域失败,其他区域有补偿控制措施,以帮助维护客户、云服务和我们自身基础设施环境的安全和隐私。

微软在“假设被入侵”的态势下运营。这仅仅意味着,尽管我们对现有的防御保护有信心,但我们假设对手能够并会找到穿透安全边界的方法。因此,快速检测对手并将其从网络中驱逐至关重要。

微软的检测策略包括:

  • 24x7x365监控网络和物理环境以发现潜在的网络安全事件。基于使用模式和对我们服务独特威胁的理解进行行为分析。
  • 开发身份和行为分析以突出异常活动。
  • 常规使用机器学习软件工具和技术来发现和标记不规则性。
  • 部署高级分析工具和流程以进一步识别异常活动和创新关联能力。这使得能够从海量数据中近乎实时地创建高度情境化的检测。
  • 基于软件的自动化流程,持续审计和演进以提高有效性。
  • 数据科学家和安全专家常规并肩工作,处理表现出异常特征需要进一步分析目标的升级事件。然后他们可以确定潜在的响应和修复工作。

当我们在系统中检测到异常时,它会触发我们的响应团队参与。

微软的响应策略包括:

  • 使用基于风险的算法的自动化响应系统来标记需要人工干预的事件。
  • 端点检测和响应(EDR)解决方案,用于细粒度机器隔离,能够限制机器并启动防病毒更新和扫描。
  • 在持续改进模型内定义明确、文档化和可扩展的事件响应流程,通过向所有响应者提供这些流程,帮助我们领先于对手。
  • 跨团队的主题专业知识,涵盖多个安全领域,包括危机管理、取证和入侵分析,以及对在我们云数据中心运行的平台、服务和应用程序的深入理解,提供了处理事件的多样化技能集。
  • 跨云、混合和本地数据及系统进行广泛的企业搜索,以确定事件的范围。
  • 对主要威胁进行深入的取证分析,由专家执行以了解事件并帮助其遏制和根除。
  • 微软的安全软件工具、自动化和超大规模云基础设施使我们的安全专家能够减少检测、调查、分析、响应和从网络攻击中恢复的时间。

这份战略简报中有很多数据和提示,希望您会发现有用。您可以下载《网络防御运营中心战略简报》,以更深入地了解我们如何努力保护、检测和响应网络安全威胁。我鼓励您访问微软安全响应中心的网站,了解更多关于我们如何将安全构建到微软产品和服务中,以帮助您保护端点、更快地检测威胁并响应安全漏洞。

祝狩猎愉快!微软网络防御运营中心:Kristina Laidler,SOC和IR高级总监,数字安全与风险工程;Monica Drake,首席安全项目经理,微软安全响应中心。

微软安全响应中心是防御者社区的一部分,处于安全响应演进的前线。二十多年来,我们一直与安全研究人员合作,致力于保护客户和全球在线社区。有关更多信息,请访问我们的网站www.microsoft.com/msrc,并在Twitter上关注我们的页面@msftsecresponse。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次