Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление состоянием и уязвимостью позволяет организациям систематически выявлять, оценивать, определять, определять приоритеты и устранять недостатки безопасности перед эксплуатацией. В отличие от традиционного периодического сканирования, современные облачные среды требуют непрерывной оценки, приоритизации на основе рисков и автоматизированного исправления для решения проблем быстрого развёртывания, смещения конфигурации и динамических контуров атак, охватывающие инфраструктуру как код, контейнеры и серверлесс-функции. Организации, реализующие эти возможности, поддерживают безопасные среды по умолчанию, быстро исправляя критически важные воздействия, в то время как те, кто игнорирует эти элементы управления, сталкиваются с неявными слабыми местами и длительными окнами воздействия.
Ниже приведены четыре основные опоры в области безопасности, связанной с позицированием и управлением уязвимостями.
Установите безопасные базовые показатели: Определите и реализуйте базовые показатели конфигурации безопасности во всех облачных ресурсах, обеспечивая безопасность сред по умолчанию с помощью средств управления конфигурацией, применения политик и подходов к инфраструктуре как кода, которые устанавливают согласованные конфигурации безопасности, соответствующие отраслевым стандартам и требованиям организации.
Связанные элементы управления:
- PV-1. Определение и установка безопасных конфигураций
- PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов
Отслеживайте и обеспечивайте соблюдение требований: Непрерывно проверяйте и внедряйте безопасные конфигурации, обнаруживайте и исправляйте отклонения в конфигурациях с помощью автоматизированного мониторинга и возможностей коррекции. Обеспечение комплексной видимости поверхностей атак путем непрерывного обнаружения ресурсов и оценки уязвимостей в инфраструктуре, платформах, приложениях и операционных системах, определяющих слабые места безопасности, требующие внимания.
Связанные элементы управления:
- PV-2. Аудит и применение безопасных конфигураций
- PV-4. Аудит и применение безопасных конфигураций для вычислительных ресурсов
- PV-5. Выполнение оценки уязвимостей
Исправление с помощью приоритизации на основе рисков: Сосредоточьтесь на усилиях по исправлению уязвимостей, что создает подлинные угрозы с помощью приоритизации на основе рисков, объединения оценки вероятности эксплойтов, активного отслеживания эксплуатации, критических значений активов и контекста воздействия. Реализуйте автоматизированные процессы исправления уязвимостей, отдавая приоритет критически важным, минимизируя нарушения в работе и проверяя эффективность мер безопасности с помощью расширенных методов тестирования.
Связанные элементы управления:
- PV-5. Выполнение оценки уязвимостей
- PV-6. Быстрое и автоматическое исправление уязвимостей
- PV-7: проведение регулярных операций красной команды
Интеграция безопасности разработки: Предотвращение уязвимостей перед развертыванием в рабочей среде с помощью проверки безопасности, интегрированной в процессе разработки и защите цепочки поставок программного обеспечения. Реализуйте проверку безопасности перед развертыванием, оценку уязвимостей зависимостей и управление рисками в цепочке поставок, предотвращая слабые места безопасности в рабочих средах.
Полные рекомендации по методам безопасности с подходом "shift-left" и элементам управления безопасностью цепочки поставок, включая интеграцию CI/CD конвейера, управление SBOM, подписание артефактов, сканирование зависимостей и рабочие процессы безопасности разработчиков, см. в разделе DevOps Security (DS) этого эталона.
PV-1: определение и установка безопасных конфигураций
Принцип безопасности
Определите базовые показатели конфигурации безопасности для различных типов ресурсов в облаке с помощью средств управления конфигурацией, чтобы установить соответствующие среды по умолчанию. Используйте отраслевые стандарты, рекомендации поставщиков и организационные требования для создания комплексных базовых показателей, которые можно автоматически применять во время развертывания ресурсов.
Риск для смягчения
Без стандартных базовых показателей конфигурации безопасности облачные среды страдают от несогласованных проблем безопасности, которые создают уязвимости, доступные для эксплойтов. Отсутствие безопасных стандартов конфигурации приводит к:
- Уязвимости смещения конфигурации: Ресурсы, развернутые без базовых стандартов безопасности, создают неправильные настройки, включая открытые правила брандмауэра, слабые параметры аутентификации, чрезмерные разрешения и отключенное ведение журналов безопасности, создавая лазейки для атакующих.
- Несогласованные положения безопасности: Различные команды, развертывающие ресурсы с различными конфигурациями безопасности, создают непредсказуемую область атаки, в которой некоторые среды имеют надежную защиту, а другие остаются уязвимыми.
- Нарушения соответствия требованиям: Нормативные рамки (PCI-DSS, HIPAA, SOC 2) требуют определённых конфигураций безопасности — без базовых показателей это приводит к неполным развертываниям и неудачным аудитам.
- Использование конфигурации по умолчанию: Облачные службы часто поставляются с конфигурациями по умолчанию, оптимизированными для функциональности, а не для безопасности — неизмененные стандартные настройки часто содержат уязвимости, которые злоумышленники обычно эксплуатируют.
- Ошибки ручной конфигурации: Команды вручную настраивают параметры безопасности, в результате чего возникают человеческие ошибки, включая опечатки, опущенные параметры и неправильно интерпретированные требования, которые ослабляют общую безопасность системы.
- Увеличение масштаба слабых мест: В облачных средах слабые места конфигурации реплицируются в нескольких сотнях или тысячах ресурсов с помощью автоматизации— один базовый недостаток влияет на всю среду.
Без безопасных базовых показателей конфигурации организации работают в режиме реактивной безопасности, где слабые места обнаруживаются только после того, как их эксплуатируют, вместо предупреждения упреждающими мерами.
MITRE ATT&CK
- Первоначальный доступ (TA0001): эксплойт общедоступного приложения (T1190) с использованием неправильно настроенных служб с учетными данными по умолчанию или чрезмерной нагрузкой на сеть.
- Устойчивость (TA0003): создание учетной записи (T1136) с использованием слабых политик для учетных записей или управления административным доступом в базовых конфигурациях.
- Defense Evasion (TA0005): защита (T1562) отключает средства управления безопасностью, которые не были правильно настроены или применены в базовых развертываниях.
- Обнаружение (TA0007): обнаружение облачной инфраструктуры (T1580), перечисление неправильно настроенных ресурсов для сопоставления путей атак и определения целевых объектов с высоким уровнем ценности.
PV-1.1. Создание базовых показателей конфигурации безопасности
Организации, не имеющие стандартных конфигураций безопасности, развертывают ресурсы с несогласованными возможностями безопасности, создавая уязвимости в средах при использовании значительных операционных усилий вручную при настройке каждого развертывания. Базовые показатели конфигурации устанавливают повторяющиеся стандарты безопасности, которые предотвращают смещение конфигурации и обеспечивают согласованную защиту всех облачных ресурсов. Стандартные конфигурации безопасности ускоряют безопасное развертывание, уменьшая инциденты безопасности, связанные с конфигурацией, и нарушения соответствия требованиям.
Создайте согласованные конфигурации безопасности с помощью стандартных базовых показателей:
- Определите базовые показатели конфигурации безопасности: Используйте Microsoft Cloud Security Benchmark и рекомендации по безопасности для конкретной службы, чтобы установить стандарты конфигурации для каждой службы Azure.
- Реализуйте целевые зоны Azure: Используйте целевые зоны Azure для ускорения развертывания рабочей нагрузки с предварительно настроенными параметрами безопасности и элементами управления.
- Используйте шаблоны инфраструктуры как кода: Кодифицируйте и развертывайте согласованные конфигурации безопасности с помощью шаблонов Bicep и спецификаций шаблонов для повторяющихся развертываний.
- Справочные рекомендации по архитектуре: Следуйте принципам и рекомендациям по настройке архитектуры, описанным в Azure Well-Architected Framework.
Пример реализации
Организация финансовых услуг создала комплексные базовые показатели конфигурации безопасности в облачной инфраструктуре, поддерживающей приложения онлайн-банковского обслуживания и системы обработки данных клиентов, обслуживающие 2,5 миллиона клиентов.
Вызов: В организации финансовых служб отсутствуют стандартные конфигурации безопасности в облачной инфраструктуре, что приводит к несогласованным состояниям безопасности в 500+ ресурсах Azure с инцидентами безопасности, связанными с конфигурацией, и длительным временем развертывания среды из-за процессов настройки безопасности вручную.
Подход к решению:
Определите комплексные базовые показатели безопасности:
- Создание спецификаций шаблонов, содержащих стандарты конфигурации безопасности для распространенных типов ресурсов:
- Виртуальные сети с группами безопасности сети, настроенными для доступа с минимальными привилегиями
- Учетные записи хранения с включенным шифрованием данных в состоянии покоя, отключенным общедоступным доступом и настроенным ведением журналов
- хранилище ключей с политиками доступа, ограничивающими доступ к секретам только авторизованным приложениям
- Службы приложений с принудительным использованием HTTPS, интеграцией удостоверений и настроенными заголовками безопасности
- Базы данных SQL с прозрачным шифрованием данных, включенным аудитом и настроенными правилами брандмауэра
- Создайте базовые показатели вычислительных ресурсов с помощью конфигурации компьютера Azure:
- Базовые конфигурации Windows Server с использованием службы Azure Machine Configuration для обеспечения соответствия требованиям CIS
- Базовые меры усиления безопасности Linux, развернутые через лучшие практики управления машинами через Автоматическое управление Azure
- Проверка безопасности образов контейнеров, интегрированная с Microsoft Defender для контейнеров в реестре контейнеров Azure
- Базовые показатели безопасности службы Azure Kubernetes, применяющие надстройку политики Azure со встроенными политиками безопасности
Реализуйте развертывание инфраструктуры в виде кода:
- Развертывание шаблонов Bicep с помощью интеграции политики Azure, обеспечивающей соответствие требованиям при развертывании:
- Модули Bicep со встроенными параметрами безопасности (minimumTlsVersion, поддерживает свойстваHttpsTrafficOnly)
- Эффекты Политика Azure deployIfNotExists автоматически активируют параметры диагностики и шифрование.
- Спецификации шаблонов версионизированы и хранятся в Azure для централизованного управления основными параметрами.
- Использование конвейеров Azure DevOps с задачами развертывания Azure Resource Manager и проверками соответствия политик
- Настройка политик ветвей Azure Repos, требующих обязательной проверки кода командой безопасности перед слиянием изменений в базовой версии.
Результат: Организация достигла строгого соответствия стандартам конфигурации безопасности, устанавливая согласованные положения безопасности во всей облачной инфраструктуре. Инциденты безопасности, связанные с конфигурацией, значительно снизились, демонстрируя эффективность стандартных конфигураций безопасности при предотвращении распространенных пробелов и неправильной настройки.
Уровень критическости
Должно быть.
Сопоставление элементов управления
- NIST SP 800-53 ред.5: CM-2, CM-6, CM-6(1)
- PCI-DSS версии 4: 2.2.1, 12.3.1
- CIS Controls версии 8.1: 4.1, 4.2
- NIST CSF версии 2.0: PR. IP-1, PR. DS-6
- ISO 27001:2022: A.8.9, A.5.37
- SOC 2: CC6.1, CC6.6
PV-2: проведение аудита и реализация конфигураций безопасности
Политика Azure: См. встроенные определения политик Azure: PV-2.
Принцип безопасности
Непрерывно отслеживайте и оповещайте отклонения от определенных базовых показателей конфигурации. Принудительное применение требуемых конфигураций с помощью автоматического исправления, которое запрещает несоответствующие конфигурации или автоматически развертывает корректирующие конфигурации для поддержания состояния безопасности.
Риск для смягчения
Смещение конфигурации от установленных базовых показателей безопасности представляет уязвимости, которые накапливаются с течением времени, создавая расширяющуюся область атаки. Без непрерывного мониторинга и принудительного применения:
- Тихое смещение конфигурации: Внесение изменений вручную, экстренные изменения и поэтапные обновления постепенно ослабляют конфигурации безопасности, не вызывая оповещений, в результатах чего создаются среды, которые кажутся безопасными, но содержат уязвимости.
- Снижение соответствия регуляторным требованиям: Системы изначально развертываются с соблюдающими нормативные требования конфигурациями, но со временем, в результате обычных операционных изменений, отходят от требований, что приводит к выводам аудита и рискам для сертификации.
- Несогласованное применение: Различные команды, применяющие конфигурации безопасности, вручную приводят к вариациям и упущениям, которые создают уязвимости безопасности во всей среде.
- Исключения для аварийного изменения: Ситуации с высоким давлением приводят к обходам безопасности и временным конфигурациям, которые становятся постоянными, что приводит к нарушению общего положения безопасности.
- Масштабное усиление отклонений: В облачных средах изменения конфигурации автоматически реплицируются на множество ресурсов, и одно событие отклонения может одновременно ослабить сотни ресурсов.
- Незамеченные неправильно настроенные конфигурации: Без автоматического мониторинга неправильные настройки безопасности остаются незамеченными в течение длительных периодов, обеспечивая постоянные возможности для эксплуатации злоумышленников.
Смещение конфигурации преобразует изначально безопасные среды в уязвимую инфраструктуру, которая не соответствует требованиям безопасности и соответствия требованиям.
MITRE ATT&CK
- Defense Evasion (TA0005): ослабить защиту (T1562), используя смещение конфигурации для отключения или ослабления элементов управления безопасностью.
- Сохраняемость (TA0003): изменение процесса проверки подлинности (T1556) с использованием ослабленных конфигураций проверки подлинности, которые были отклонены от безопасных базовых показателей.
- Обнаружение (TA0007): выявление неправильно настроенных ресурсов облачной инфраструктуры (T1580) путем систематического перечисления уязвимостей конфигурации.
PV-2.1. Реализация непрерывного мониторинга конфигурации
Смещение конфигурации происходит постепенно, так как изменения вручную, исправления чрезвычайных ситуаций и несанкционированные изменения отклоняют ресурсы от базовых показателей безопасности, создавая пробелы в безопасности, которые традиционные периодические аудиты обнаруживают слишком поздно, чтобы предотвратить эксплуатацию. Непрерывный мониторинг конфигурации обеспечивает видимость состояния конфигурации в режиме реального времени и автоматическое обнаружение ухудшения системы безопасности. Автоматическое применение предотвращает смещение конфигурации при сохранении согласованности безопасности во всех облачных ресурсах.
Обеспечение соответствия базовым требованиям безопасности с помощью непрерывного мониторинга и принудительного применения:
- Настройка оценки непрерывной конфигурации: Используйте Microsoft Defender для Облака для непрерывной оценки конфигураций ресурсов в отношении рекомендаций по безопасности и выявления отклонений от базовых показателей.
- Реализуйте мониторинг на основе политик: Развертывайте Политика Azure со средствами аудита и принуждения для мониторинга конфигураций ресурсов и управления ими во всех подписках.
- Создание оповещений об отклонении конфигурации: Используйте Azure Monitor для создания оповещений при обнаружении отклонений конфигурации, активации рабочих процессов исследования и исправления.
- Развертывание профилактических элементов управления: Реализуйте эффекты запрета политики Azure , чтобы предотвратить развертывание несовместимых конфигураций во время создания ресурсов.
- Автоматизация исправления конфигурации: Используйте эффекты deployIfNotExists политики Azure для автоматического устранения смещения конфигурации без ручного вмешательства.
Пример реализации
Компания в области медицинских технологий реализовала комплексный мониторинг конфигураций в облачной инфраструктуре, поддерживающей системы электронных медицинских карт (EHR) и платформы аналитики данных пациентов, обслуживающие 150 и более больниц.
Вызов: Компания по технологиям здравоохранения испытала инциденты смещения конфигурации, которые создали риски соответствия HIPAA, с изменениями конфигурации, не обнаруженными в течение нескольких недель, и процессы исправления вручную, которые занимают несколько дней, чтобы исправить нарушения конфигурации безопасности в 150+ больницах.
Подход к решению:
Развертывание инфраструктуры непрерывного мониторинга:
- Включите Microsoft Defender для облака во всех подписках с помощью политик безопасности, настроенных для оценки:
- Конфигурации шифрования и доступа к учетной записи хранения
- Правила группы безопасности сети и уязвимость сети
- Соответствие конфигурации управления удостоверениями и доступом
- Конфигурации безопасности базы данных и элементы управления доступом
- Соответствие базовым стандартам безопасности виртуальной машины
- Настройте Azure Monitor Log Analytics, используя запросы KQL для обнаружения изменений конфигурации.
- Запросы AzureActivity для мониторинга NetworkSecurityGroupRuleOperations для изменений правил брандмауэра
- Запросы AzureDiagnostics, обнаруживающие события StorageAccountEncryptionDisabled
- Запросы AuditLogs для отслеживания назначений ролей Microsoft Entra PIM и эскалации привилегий
- Запросы PolicyEvents мониторинга запросов на исключение из политики и изменения состояния соблюдения
Реализуйте принудительное исполнение на основе политик:
- Развертывание встроенных инициатив политики Azure для соответствия ТРЕБОВАНИЯМ HIPAA HITRUST 9.2:
- Аудит политик воздействия с помощью поставщиков ресурсов Microsoft.Compute, Microsoft.Storage, Microsoft.Network
- Запрет эффектов политики, применяющей разрешенные местоположения, разрешенные SKU виртуальных машин, запрещенные типы ресурсов.
- Политики эффекта DeployIfNotExists для развертывания Microsoft Defender для облака, настройки диагностики, параметры шифрования
- Настройте задачи исправления политики Azure с помощью назначений управляемых удостоверений:
- Задачи автоматического исправления с использованием системно назначаемых управляемых удостоверений для соответствия требованиям политики
- Модули Runbook службы автоматизации Azure, активированные изменениями состояния соответствия политик
- Рабочие процессы Azure Logic Apps для сложной ремедиации, требующей многоэтапной оркестрации
Установите рабочие процессы оповещений и ответов:
- Создайте правила генерации оповещений Azure Monitor для критически важных изменений конфигурации:
- Немедленные оповещения об отключении элементов управления безопасностью или об исключениях из политик.
- Ежедневные сводки состояния соответствия конфигурации в средах
- Еженедельный анализ тенденций, определяющий системные проблемы управления конфигурацией
- Интеграция оповещений с Azure DevOps для отслеживания и разрешения:
- Автоматическое создание рабочих элементов для критически важных нарушений конфигурации безопасности
- Назначение соответствующим командам на основе типа ресурсов и серьезности
- Отслеживание SLA, обеспечивающее своевременное устранение отклонений конфигурации
Результат: Мониторинг конфигурации организации обнаружил и исправили инциденты смещения конфигурации, которые могли бы привести к нарушениям соответствия HIPAA, предотвращению нормативных санкций и защите данных пациентов. Автоматическое применение не позволяло развертывать несоответствующие ресурсы, прежде чем попасть в производственную среду, гарантируя постоянство конфигураций безопасности на протяжении всего жизненного цикла ресурсов.
Уровень критическости
Должно быть.
Сопоставление элементов управления
- NIST SP 800-53 ред.5: CM-2, CM-3, CM-6, CM-7, CM-7(1)
- PCI-DSS версии 4: 2.2.2, 2.2.7, 11.5.1
- Элементы управления CIS версии 8.1: 4.1 , 4.2, 4.7
- NIST CSF версии 2.0: DE.CM-7, PR.IP-1
- ISO 27001:2022: A.8.9, A.8.34
- SOC 2: CC6.1, CC6.6, CC7.1
PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов
Принцип безопасности
Определите безопасные базовые показатели конфигурации для вычислительных ресурсов, включая виртуальные машины и контейнеры. Используйте средства управления конфигурацией и предварительно настроенные образы, чтобы установить соответствующие вычислительные среды по умолчанию, обеспечивая согласованное применение защиты безопасности во всех вычислительных развертываниях.
Риск для смягчения
Вычислительные ресурсы, включая виртуальные машины и контейнеры, часто развертываются с небезопасными конфигурациями по умолчанию, которые предоставляют организациям компрометацию. Без безопасных базовых показателей вычислений:
- Уязвимости операционной системы: Установка ОС по умолчанию содержит ненужные службы, слабые параметры проверки подлинности и отсутствующие исправления безопасности, которые предоставляют векторы атак для повышения привилегий и бокового перемещения.
- Пробелы в безопасности контейнеров: Образы контейнеров, созданные без усиленной защиты, содержат уязвимые базовые слои, чрезмерные привилегии и небезопасные конфигурации времени выполнения, что позволяет осуществить выход из контейнера и компрометацию узла.
- Недостатки конфигурации службы: Приложения и службы, развернутые с конфигурацией по умолчанию, часто включают ненужные функции, используют слабые учетные данные и не имеют надлежащих элементов управления доступом.
- Возможности постоянного доступа: Вычислительные ресурсы со слабыми стандартами безопасности обеспечивают злоумышленникам стабильные точки опоры для поддержания долгосрочного доступа и сбора разведывательных данных.
- Увеличение масштаба: Облачные системы автоматического масштабирования и оркестрации реплицируют уязвимые вычислительные конфигурации на сотни экземпляров, усиливая воздействие базовых уязвимостей безопасности.
- Нарушения соответствия требованиям: Нормативные стандарты требуют определённых конфигураций безопасности для вычислительных ресурсов; небезопасные базовые настройки создают явные пробелы в соответствии.
Небезопасные конфигурации вычислений предоставляют злоумышленникам множество путей для начального доступа, эскалации привилегий и постоянного присутствия в облачных средах.
MITRE ATT&CK
- Первоначальный доступ (TA0001): эксплуатация общедоступных приложений (T1190), нацелена на службы, работающие на небезопасно настроенных вычислительных ресурсах.
- Выполнение (TA0002): интерпретатор команд и скриптов (T1059) с использованием слабой безопасности вычислений для выполнения вредоносного кода.
- Сохраняемость (TA0003): создание или изменение системного процесса (T1543) с использованием слабых базовых показателей вычислений для установления постоянного доступа.
- Defense Evasion (TA0005): ослабление защиты (T1562) и отключение контролей безопасности на слабо настроенных вычислительных ресурсах.
PV-3.1. Создание базовых показателей безопасности вычислений
Вычислительные ресурсы, развернутые с конфигурацией по умолчанию, содержат известные слабые места безопасности и ненужные службы, которые злоумышленники используют для начального доступа и эскалации привилегий, при этом уязвимости операционной системы остаются основными векторами атак в облачных средах. Защита безопасности снижает уровень атак, отключив ненужные службы, применяя конфигурации безопасности и применяя принципы наименьших привилегий на уровне операционной системы. Защищенные базовые показатели вычислений предотвращают распространенные методы эксплуатации, обеспечивая согласованную безопасность во всех вычислительных ресурсах.
Реализуйте защиту вычислительных ресурсов с помощью стандартных базовых показателей:
- Применение базовых показателей безопасности операционной системы: Используйте базовые показатели безопасности Azure для операционных систем Windows и Linux для применения тестов CIS и рекомендаций по безопасности Майкрософт.
- Создайте защищенные образы виртуальных машин: Используйте Конструктор образов Azure для создания защищенных образов виртуальных машин с предварительно примененными конфигурациями безопасности перед развертыванием.
- Установите базовые уровни безопасности контейнера: Примените стандарты безопасности контейнеров при помощи рекомендаций Microsoft Defender for Containers для укрепления образов и защиты во время выполнения.
Пример реализации
Производственная компания установила безопасные базовые показатели вычислений в рамках промышленной инфраструктуры Интернета вещей и корпоративных приложений, поддерживающих 50+ производственных объектов и систем управления цепочками поставок.
Вызов: Производственные компании столкнулись с инцидентами безопасности с участием вычислительных ресурсов с критическими уязвимостями, длительным аудитом соответствия из-за несогласованных конфигураций безопасности и медленных процессов развертывания виртуальных машин, которые задерживали расширение производственных объектов в 50 и более разных расположениях.
Подход к решению:
Установите базовые показатели безопасности виртуальных машин:
- Создание защищенных образов виртуальных машин с помощью Конструктора образов Azure с коллекцией вычислений Azure:
- Образы Windows Server 2022 с кастомизациями Azure Image Builder, применяющие стандарты CIS
- Образы Ubuntu 22.04 LTS с использованием Azure Image Builder запускают скрипты для повышения безопасности
- Автоматическое внедрение Microsoft Defender для Endpoint с помощью скриптов сборки Image Builder.
- Управление версиями Azure Compute Gallery с репликацией между регионами для распределения по базовому образцу
- Настройка конфигурации компьютера Azure для соответствия на уровне ОС:
- Пакеты конфигурации машин Azure, развертывающие конфигурации DSC на виртуальных машинах Windows
- Пользовательские политики конфигурации компьютера Azure, применяющие базовые показатели безопасности Linux
- Включение шифрования дисков Azure, применяемое с помощью политики Azure deployIfNotExists
- Требования к безопасной загрузке и vTPM, применяемые с помощью политик создания виртуальных машин
Развертывание базовых показателей безопасности контейнера:
- Настройка реестра контейнеров Azure с помощью Microsoft Defender для контейнеров:
- Сканирование уязвимостей Microsoft Defender для контейнеров с помощью встроенного сканера Trivy для образов ACR
- Шаблон карантина ACR с использованием разрешений репозитория для блокировки уязвимых вытягиваний образов
- Оптимизация сборки контейнера с использованием минимальных базовых образов и многоэтапных сборок
- Сбой шлюзов конвейера Azure DevOps на критически важных или высоких CVEs, обнаруженных Defender
- Реализуйте базовые показатели безопасности службы Azure Kubernetes:
- Политика Azure для AKS, применяющая базовые показатели безопасности pod с помощью встроенных определений политик
- Azure CNI с политиками сети Calico для сетевой изоляции на уровне пространства имен
- Azure Kubernetes Fleet Manager распределяет безопасные конфигурации между кластерами
- AkS Image Cleaner автоматически удаляет старые образы на основе политик хранения
Установите управление образами с помощью политики Azure:
- Развертывание политики Azure для соответствия образа контейнера:
- Политика Azure, обеспечивающая развертывание только исходных образов ACR в кластерах AKS
- Требования к тегированию образов контейнеров, соблюдаемые через аудит политики Azure
- Автоматизированные рабочие процессы обновления изображений с помощью запланированных запусков задач в реестре контейнеров Azure
- Интеграция Галереи Azure Compute для распространения утвержденных базовых образов виртуальных машин и контейнеров
Результат: Безопасные базовые показатели вычислений организации значительно сократили инциденты безопасности с участием вычислительных ресурсов, демонстрируя эффективность стандартных конфигураций безопасности. Результаты оценки уязвимостей показали значительное сокращение критических и высокоуровневых результатов, снижение рисков на уровне атак и соответствия требованиям в производственных объектах.
Уровень критическости
Должно быть.
Сопоставление элементов управления
- NIST SP 800-53 ред.5: CM-2, CM-6, SC-28, SC-28(1)
- PCI-DSS версии 4: 2.2.1, 2.2.4, 2.2.5
- Элементы управления CIS версии 8.1: 4.1 , 4.8, 18.3
- NIST CSF версии 2.0: PR. IP-1, PR. DS-6, PR. PT-3
- ISO 27001:2022: A.8.1, A.8.9, A.8.19
- SOC 2: CC6.1, CC6.6, CC6.7
PV-4. Аудит и применение безопасных конфигураций для вычислительных ресурсов
Политика Azure: См. встроенные определения политик Azure: PV-4.
Принцип безопасности
Непрерывно отслеживайте и оповещайте отклонения конфигурации от определенных базовых показателей в вычислительных ресурсах. Обеспечение требуемых конфигураций с помощью автоматического исправления, которое предотвращает несоответствие конфигураций или автоматически применяет корректирующие меры для поддержания уровня безопасности.
Риск для смягчения
Конфигурации вычислительных ресурсов перемещаются от базовых показателей безопасности с помощью обычных операций, создавая уязвимости, которые накапливаются с течением времени. Без непрерывного мониторинга и принудительного применения:
- Смещение конфигурации в критически важных системах: производственные системы постепенно отклоняются от безопасных базовых конфигураций из-за законных изменений, аварийных модификаций и постепенных обновлений, которые ослабляют уровень безопасности, не вызывая оповещений.
- Пробелы в управлении исправлениями: Отсутствующие обновления системы безопасности оставляют вычислительные ресурсы уязвимыми для известных эксплойтов, в то время как организации считают, что системы являются текущими.
- Уязвимости разрастания служб: Новые службы и приложения, установленные на вычислительных ресурсах, представляют слабые места безопасности, которые обходят базовые элементы управления безопасностью.
- Смещение безопасности среды выполнения контейнера: Платформы оркестрации контейнеров позволяют вносить изменения в runtime, что может ослаблять политики безопасности и подвергать риску базовую инфраструктуру.
- Пробелы в проверке соответствия требованиям: Без непрерывного мониторинга вычислительные ресурсы не соответствуют нормативным требованиям между периодическими аудитами.
Смещение конфигурации в вычислительных ресурсах предоставляет злоумышленникам новые возможности для эксплуатации, так как средства управления безопасностью ослабляются с течением времени.
MITRE ATT&CK
- Эскалация привилегий (TA0004): эксплуатация уязвимостей для повышения привилегий (T1068) в системах с ошибками в конфигурации, позволяющими получить повышенный доступ.
- Defense Evasion (TA0005): снижение защиты (T1562) с помощью изменений конфигурации, которые ослабили элементы управления безопасностью.
- Сохраняемость (TA0003): изменение процесса проверки подлинности (T1556) с использованием смещения конфигурации проверки подлинности для поддержания постоянного доступа.
- Обнаружение (TA0007): обнаружение системной информации (T1082) для выявления возможностей атак из неправильно настроенных систем.
PV-4.1. Реализация мониторинга конфигурации вычислений
Конфигурации вычислительных ресурсов часто изменяются с помощью установок исправлений, обновлений приложений и административных изменений, создавая возможности для ухудшения контроля безопасности, который злоумышленники используют для укрепления плацдарма в облачных средах. Непрерывный мониторинг конфигурации вычислений обнаруживает слабые места безопасности и несанкционированные изменения, прежде чем злоумышленники могут использовать неправильные конфигурации для повышения привилегий или бокового перемещения. Автоматическая оценка конфигурации и исправление поддерживают состояние безопасности вычислений, предотвращая смещение конфигурации между виртуальными машинами и развертываниями контейнеров.
Обеспечение безопасности вычислений с помощью непрерывной оценки конфигурации и принудительного применения:
- Непрерывная оценка конфигураций безопасности вычислений: Используйте Microsoft Defender для облака для непрерывной оценки конфигураций безопасности вычислительных ресурсов в соответствии с отраслевыми тестами и рекомендациями.
- Реализуйте текущий мониторинг соответствия требованиям: Развертывание конфигурации компьютера Azure для постоянного мониторинга соответствия требованиям и автоматического исправления смещения конфигурации.
- Обслуживание требуемого состояния конфигурации: Используйте конфигурацию состояния службы автоматизации Azure для поддержания требуемого состояния конфигурации в вычислительных ресурсах с возможностями автоматической коррекции.
- Мониторинг изменений конфигурации: Реализуйте отслеживание изменений и инвентаризацию , чтобы отслеживать изменения конфигурации в вычислительных ресурсах и обнаруживать несанкционированные изменения.
- Включите мониторинг состояния безопасности контейнеров: Разверните Microsoft Defender для контейнеров для отслеживания состояния безопасности в кластерах AKS и реестрах контейнеров.
Пример реализации
Компания по финансовым технологиям реализовала комплексный мониторинг конфигурации вычислений в торговых системах и клиентских приложениях, поддерживающих финансовые транзакции в режиме реального времени и обработку конфиденциальных финансовых данных.
Вызов: Финансовая технологическая компания столкнулась с инцидентами смещения конфигурации, которые повлияли на торговые системы. Обнаружение занимало несколько дней, а устранение вручную — несколько часов, что создавало риски несоответствия требованиям и потенциальные угрозы безопасности в системах, обрабатывающих финансовые транзакции в режиме реального времени для миллионов клиентов.
Подход к решению:
Развертывание комплексного мониторинга конфигурации:
- Включите Microsoft Defender для облака во всех вычислительных ресурсах:
- Непрерывная оценка конфигураций безопасности виртуальных машин в соответствии с тестами CIS
- Оценка состояния безопасности контейнера для кластеров Kubernetes
- Определение приоритета рекомендаций по безопасности на основе оценки рисков
- Интеграция с Microsoft Sentinel для централизованного мониторинга безопасности
- Реализация конфигурации компьютера Azure:
- Мониторинг соответствия требованиям Windows и Linux для 500+ виртуальных машин
- Порядок работы для обеспечения соблюдения требований безопасности финансовых услуг
- Автоматическое исправление распространенных сценариев смещения конфигурации
- Отчеты о соответствии для подготовки аудита нормативных требований
Установите процессы автоматического исправления:
- Настройка конфигурации состояния службы автоматизации Azure:
- Конфигурации PowerShell DSC, поддерживающие требования к безопасности торговой системы
- Автоматическое исправление смещения конфигурации, связанной с безопасностью, в течение 5 минут
- Обработка исключений для допустимых вариантов конфигурации во время обслуживания
- Проверка соответствия требованиям, обеспечивающая успешное выполнение действий по исправлению
- Развертывание мониторинга отслеживания изменений и инвентаризации:
- Обнаружение несанкционированных установок программного обеспечения в режиме реального времени
- Мониторинг критически важных изменений файлов и реестра безопасности
- Создание оповещений для изменений конфигурации вне периодов обслуживания
- Интеграция с процессами управления изменениями для утвержденных изменений
Реализация мониторинга безопасности контейнера:
- Включите Microsoft Defender для контейнеров в кластерах AKS:
- Мониторинг безопасности среды выполнения, обнаруживающий подозрительное поведение контейнера
- Оценка уязвимостей всех развернутых контейнерных образов.
- Оценка конфигурации кластера Kubernetes в отношении рекомендаций по безопасности
- Анализ сетевого трафика, определяющий необычные шаблоны связи
- Применение политик безопасности AKS с помощью политики Azure для Kubernetes:
- Встроенные определения политики Azure, применяющие базовые показатели безопасности pod (без привилегированных контейнеров)
- Надстройка политики Azure для AKS с использованием структуры ограничений OPA и Gatekeeper v3
- Azure CNI с политиками сети Calico для сетевой изоляции на уровне пространства имен
- Инициатива политики Azure, развертывающая ограничения ЦП и памяти контейнера с помощью объектов LimitRange
Установите систему управления и отчетности:
- Создание панелей мониторинга соответствия и отчетов:
- Видимость состояния соответствия вычислительных ресурсов в режиме реального времени
- Анализ тенденций, определяющий систематические проблемы управления конфигурацией
- Отчеты для руководства о состоянии безопасности и повышении показателей
- Интеграция с платформами управления рисками для квантификации рисков
- Реализация автоматического реагирования на инциденты:
- Немедленное оповещение о критических нарушениях конфигурации безопасности
- Автоматическая изоляция несоответствующих ресурсов, ожидающих исправления
- Интеграция с Azure DevOps для трекинга и разрешения рабочих элементов
- Анализ после инцидента и рекомендации по улучшению базовых характеристик
Результат: Мониторинг конфигурации организации обнаружил и исправили инциденты смещения конфигурации, которые могли бы привести к компрометации безопасности, предотвращая финансовые потери и нарушения данных. Автоматическое управление предотвратило опасные изменения конфигурации до воздействия на производственные системы, обеспечивая стабильность торговой платформы на протяжении роста бизнеса.
Уровень критическости
Должно быть.
Сопоставление элементов управления
- NIST SP 800-53 ред.5: CM-3, CM-6, CM-6(1), SI-2, SI-2(2)
- PCI-DSS версии 4: 2.2.2, 2.2.7, 11.3.1, 11.3.2
- Элементы управления CIS версии 8.1: 4.1 , 4.2, 4.7, 18.5
- NIST CSF версии 2.0: DE.CM-7, DE.CM-8, PR.IP-1
- ISO 27001:2022: A.8.9, A.8.19, A.8.34
- SOC 2: CC6.1, CC6.6, CC7.1, CC7.2
PV-5. Выполнение оценки уязвимостей
Политика Azure: См. встроенные определения политик Azure: PV-5.
Принцип безопасности
Выполняйте комплексные оценки уязвимостей во всех облачных ресурсах по расписанию и по требованию. Отслеживайте и сравнивайте результаты сканирования, чтобы проверить эффективность исправления. Включите оценку уязвимостей инфраструктуры, уязвимостей приложений, проблем конфигурации и уязвимостей сети при защите административного доступа, используемого для сканирования действий.
Риск для смягчения
Неопознанные уязвимости в облачной инфраструктуре предоставляют злоумышленникам многочисленные возможности эксплуатации. Без комплексной оценки уязвимостей:
- Неизвестная уязвимость: Системы содержат уязвимости, которые остаются незамеченными до тех пор, пока они не будут использованы злоумышленниками, предоставляя последние с установленными точками опоры, которые обходят средства управления безопасностью.
- Устаревшие базы данных уязвимостей: Команды безопасности не имеют текущих знаний о возникающих угрозах и вновь обнаруженных уязвимостях, влияющих на их инфраструктуру.
- Многоуровневые слепые пятна: Традиционное сканирование, ориентированное на сеть, пропускает уязвимости в облачных службах, образах контейнеров, бессерверных функциях и управляемых службах.
- Уязвимости, связанные с конфигурацией: Неправильные настройки и слабые места в политике ускользают от традиционных сканеров уязвимостей, сосредоточенных на недостатках программного обеспечения.
- Риски привилегированного доступа: Административные учетные записи, используемые для сканирования уязвимостей, создают дополнительные векторы атак, если они не защищены должным образом и отслеживаются.
- Пробелы в области охвата оценки: Неполное сканирование оставляет части инфраструктуры неоцененными, что предоставляет злоумышленникам укрытие для своих операций.
- Проблемы с отслеживанием исправлений: Без систематического отслеживания уязвимостей организации теряют видимость того, какие уязвимости были устранены и какие остаются неустраненные.
Неадекватная оценка уязвимостей преобразует неизвестные слабые места в успешные векторы атак, которые обеспечивают первоначальный доступ, эскалацию привилегий и боковое перемещение.
MITRE ATT&CK
- Первоначальный доступ (TA0001): эксплойт общедоступного приложения (T1190) с использованием непатшированных уязвимостей в веб-приложениях и службах.
- Эскалация привилегий (TA0004): использование уязвимостей для повышения привилегий (T1068), нацелено на известные уязвимости в операционных системах и приложениях.
- Боковое перемещение (TA0008): эксплуатация удаленных служб (T1021) с использованием уязвимостей для перемещения между системами и сетями.
- Defense Evasion (TA0005): эксплуатация для отвлечения обороны (T1562) с использованием уязвимостей для отключения или обхода элементов управления безопасностью.
PV-5.1. Реализация комплексной оценки уязвимостей
Организации, не имеющие комплексной видимости уязвимостей, работают с неизвестными уязвимостями безопасности, которые злоумышленники выявляют и эксплуатируют перед обнаружением команд безопасности, с критически важными уязвимостями, оставшимися незамеченными в вычислительных ресурсах, контейнерах и базах данных. Непрерывная оценка уязвимостей обеспечивает полную видимость слабых мест безопасности во всех облачных ресурсах, что позволяет провести упреждающее исправление до того, как злоумышленники смогут использовать уязвимости для первоначального доступа или повышения привилегий. Многоуровневое сканирование в сочетании с управлением воздействием обеспечивает приоритезацию на основе рисков, которая фокусирует усилия по исправлению на уязвимостях, наиболее вероятных для успешного проведения атак.
Выявление и приоритеты уязвимостей безопасности с помощью комплексной оценки уязвимостей:
- Включите комплексную оценку уязвимостей: Развертывание оценки уязвимостей Microsoft Defender для облака для виртуальных машин, контейнеров и баз данных SQL для выявления слабых мест безопасности во всех типах ресурсов.
- Используйте встроенную проверку уязвимостей: Реализуйте встроенный сканер уязвимостей для комплексной оценки виртуальных машин, не требуя дополнительного развертывания или лицензирования агента.
- Интегрируйте управление экспозицией: Используйте Microsoft Security Exposure Management для выявления путей атак и определения приоритетов уязвимостей на основе критически важных ресурсов и потенциального радиуса взрыва для исправления на основе рисков.
- Реализуйте оценку уязвимостей базы данных: Развертывание оценки уязвимостей SQL для оценки безопасности базы данных и идентификации уязвимостей конфигурации.
- Настройка отслеживания уязвимостей: Включите непрерывный экспорт для отслеживания и анализа тенденций для измерения хода исправления с течением времени.
Пример реализации
Компания по здравоохранению реализовала комплексную оценку уязвимостей в облачной инфраструктуре, поддерживающей системы ухода за пациентами, интеграцию медицинских устройств и обмен информацией о работоспособности, обслуживающей 500+ медицинских учреждений.
Вызов: Компании по здравоохранению не хватает комплексных возможностей оценки уязвимостей, при этом критически важные уязвимости остаются незамеченными в течение нескольких недель и ручного управления уязвимостями, что приводит к низкому уровню исправлений, которые создали риски соответствия требованиям в 500+ медицинских учреждениях, обрабатывающих конфиденциальные данные пациентов.
Подход к решению:
Развертывание встроенного сканирования уязвимостей:
- Включите сканирование интегрированных уязвимостей в Microsoft Defender для Облака:
- Сканирование без агента для виртуальных машин Azure с помощью Microsoft Defender для облака с интегрированным сканером Qualys
- Сканирование уязвимостей Microsoft Defender для контейнеров с помощью Trivy для 300+ образов реестра контейнеров Azure
- Оценка уязвимостей Microsoft Defender для SQL с автоматическим созданием базовых показателей
- Интеграция службы Azure Monitor Log Analytics для экспорта таблицы SecurityAssessment в Microsoft Sentinel
Реализуйте непрерывную оценку Microsoft Defender для облака:
- Настройте автоматическое обнаружение уязвимостей и приоритет:
- Определение приоритета уязвимостей на основе рисков, учитывая важность и уязвимость активов
- Интеграция с системой оценки прогнозов эксплойтов (EPSS) изначально доступна в Службе управления уязвимостями Microsoft Defender для данных о вероятности эксплойтов
- Корреляция с источниками аналитики угроз для обнаружения активно эксплуатируемых уязвимостей (с помощью оценки приоритета аналитики угроз Microsoft Defender и отслеживания эксплойтов)
- Интеграция с инвентаризацией активов для оценки уязвимостей с учетом контекста
- Контекст кампании атак в режиме реального времени через статьи из Аналитика угроз Microsoft Defender и аналитику нарушений.
- Оценка влияния бизнеса на уязвимости, влияющие на системы ухода за пациентами
Установите рабочие процессы управления уязвимостями:
- Автоматизация рабочих процессов исправления уязвимостей с помощью Azure Logic Apps:
- Интеграция REST API Azure DevOps для создания рабочих элементов из запросов KQL SecurityAssessment
- Модули Runbook службы автоматизации Azure, запускающие развертывания исправлений Диспетчер обновлений Azure для критически важных CVEs
- Автоматизация рабочих процессов Microsoft Defender для облака с отправкой данных об уязвимостях в Azure DevOps
- Задачи исправления в политике Azure, развертывающие конфигурации безопасности для устранения неправильных настроек.
- Реализуйте управление с помощью показателя безопасности Microsoft Defender для облака.
- Тенденции уязвимостей в представлениях Azure Monitor, визуализируемые из таблицы SecurityAssessment
- Панели мониторинга Power BI, отображающие метрики оценки безопасности и ключевые показатели эффективности устранения уязвимостей
- Панель регуляторной совместимости Microsoft Defender для облака, предназначенная для отслеживания соответствия нормам HIPAA/HITRUST
- Шаблоны рабочих книг Microsoft Sentinel для аналитики систем управления уязвимостями
Результат: Комплексная оценка уязвимостей организации определила и облегчила исправление уязвимостей, которые могли бы скомпрометировали системы данных пациентов, предотвращая нарушения HIPAA. Критическое время обнаружения уязвимостей значительно улучшилось с помощью автоматического непрерывного сканирования и интегрированной аналитики угроз, что позволяет быстро реагировать на возникающие угрозы.
Уровень критическости
Следовало бы.
Сопоставление элементов управления
- NIST SP 800-53 ред.5: RA-3, RA-5, RA-5(1), RA-5(2), RA-5(5)
- PCI-DSS версии 4: 6.3.1, 6.3.2, 11.3.1, 11.3.2
- Элементы управления CIS версии 8.1: 7.1 , 7.2, 7.5, 7.7
- NIST CSF версии 2.0: DE.CM-8, ID.RA-1
- ISO 27001:2022: A.5.14, A.8.8
- SOC 2: CC7.1, CC7.2
PV-6. Быстрое и автоматическое исправление уязвимостей
Политика Azure: См. встроенные определения политик Azure: PV-6.
Принцип безопасности
Быстрое и автоматическое развертывание исправлений и обновлений для устранения уязвимостей с помощью приоритизации на основе рисков, которая сначала устраняет самые серьезные уязвимости в ресурсах с наивысшим значением. Реализуйте возможности автоматического обновления, которые балансируют требования к безопасности со стабильностью работы.
Риск для смягчения
Медленное исправление уязвимостей расширяет окно воздействия, позволяя злоумышленникам использовать известные слабые места перед применением исправлений. Без возможностей быстрого исправления:
- Расширенные окна экспозиции: Критически важные уязвимости остаются эксплуатируемыми в течение нескольких дней или недель, пока процессы исправления вручную обеспечивают достаточно времени для злоумышленников для разработки и развертывания эксплойтов.
- Задержки управления исправлениями: Сложные рабочие процессы утверждения и требования к тестированию задерживают обновления безопасности, оставляя системы уязвимыми во время расширенных циклов исправления.
- Увеличение масштаба: Облачные среды с сотнями или тысячами ресурсов требуют автоматической корректировки, чтобы обеспечить своевременное исправление, вручные процессы не могут эффективно масштабироваться.
- Риски нарушения бизнес-процессов: Страх перед временем простоя системы задерживает решения по исправлению, оставляя уязвимости не устранены, пока организации обсуждают влияние на работу.
- Пробелы в стороннем программном обеспечении: Приложения и промежуточное ПО, не охваченные обновлением операционной системы, остаются уязвимыми дольше из-за сложных процедур обновления.
- Несогласованная приоритетность: Без приоритизации на основе рисков критически важные уязвимости, влияющие на активы с высоким уровнем стоимости, могут не получить соответствующее внимание.
- Исправление пробелов в проверке: Отсутствие проверки после исправления оставляет неопределенность в том, были ли уязвимости успешно устранены.
Отложенное исправление уязвимостей преобразует обнаруженные слабые места в эксплуатационные векторы атак, прежде чем организации смогут применить необходимые патчи.
MITRE ATT&CK
- Первоначальный доступ (TA0001): эксплойт общедоступного приложения (T1190) для известных уязвимостей во время расширенных окон исправления.
- Эскалация привилегий (TA0004): эксплуатация для эскалации привилегий (T1068) с использованием непатшированных локальных уязвимостей.
- Боковое перемещение (TA0008): эксплуатация удаленных служб (T1021) с использованием известных уязвимостей для распространения между системами.
PV-6.1. Внедрение автоматического исправления уязвимостей
Управление исправлениями вручную создает длительные окна уязвимостей, во время которых злоумышленники эксплуатируют известные уязвимости, прежде чем команды безопасности завершают процессы исправления в крупномасштабных средах. Автоматическое исправление уязвимостей сокращает среднее время на исправление с нескольких недель до часов, предотвращая использование злоумышленниками общедоступных уязвимостей в течение расширенных периодов воздействия. Приоритет на основе рисков гарантирует, что критически важные уязвимости получают немедленное внимание, а автоматическое исправление поддерживает согласованную гигиену безопасности во всех вычислительных ресурсах.
Ускорьте исправление уязвимостей с помощью автоматизации и приоритета на основе рисков:
- Реализация автоматического управления исправлениями: Разверните Диспетчер обновлений Azure для автоматического исправления виртуальных машин Windows и Linux на виртуальных машинах Azure и серверах с поддержкой Arc с централизованными возможностями управления.
- Настройка периодов обслуживания: Настройте параметры обновления с окнами обслуживания, согласованными с бизнес-требованиями, чтобы свести к минимуму влияние на рабочие нагрузки.
- Включите исправление без простоя: Применяйте hotpatching для Windows Server 2025 для установки обновлений безопасности без перезагрузки, тем самым уменьшая время простоя и окна уязвимости.
- Установите приоритет на основе рисков: Определите приоритет исправления уязвимостей, учитывая серьезность уязвимостей, критичность активов и уровень воздействия, чтобы сначала сосредоточиться на проблемах с высоким уровнем риска.
Пример реализации
Глобальная платформа электронной коммерции реализовала автоматическое исправление уязвимостей в облачной инфраструктуре, поддерживающей операции розничной торговли и обработку данных клиентов, обслуживающих 10 миллионов клиентов по всему миру.
Вызов: Глобальная платформа электронной коммерции испытывала длительное среднее время установки обновлений (14 дней для критически важных уязвимостей), высокий объем инцидентов безопасности, связанных с неустраненными уязвимостями, и выявления аудита соответствия, связанные с неадекватными процессами управления установкой обновлений на более чем 2000 виртуальных машинах, поддерживающих онлайн-розничные операции.
Подход к решению:
Развертывание инфраструктуры автоматического управления исправлениями:
- Развертывание Диспетчера обновлений Azure с автоматической оценкой и исправлением виртуальных машин:
- Периодическая оценка Диспетчером обновлений Azure включена на более чем 2000 виртуальных машинах Azure и серверах с поддержкой Azure Arc.
- Конфигурации обслуживания с динамическим определением области с помощью запросов Azure Resource Graph
- Предварительная и пост-патчевая runbook автоматизации Azure для оркестрации остановки и запуска приложения
- Политика Azure deployIfNotExists с применением оценки обновлений во всех подписках
- Настройка приоритизации на основе EPSS с помощью управления уязвимостями Microsoft Defender:
- Запросы KQL присоединяются к таблицам SecurityAssessment и SecurityRecommendation для корреляции уязвимостей к исправлению
- Правила оповещений Azure Monitor, срабатывающие на критические CVE с EPSS оценкой > 0,7
- Запланированное исправление в Диспетчере обновлений Azure с классификацией приоритетов (критические, важные, умеренные)
- Запросы Azure Resource Graph, определяющие виртуальные машины, подключенные к Интернету, для ускорения исправления
Установите процессы автоматического исправления:
- Автоматизация исправления с помощью Azure Logic Apps и интеграции Microsoft Defender:
- Рабочие процессы Azure Logic Apps, активированные оповещениями об уязвимостях Microsoft Defender для облака
- Запросы API безопасности Microsoft Graph, коррелирующие CVEs с статьями базы знаний Диспетчер обновлений Azure
- Модули Runbook службы автоматизации Azure, вызывающие Install-AzUpdateManagerUpdate для аварийного исправления
- API управления угрозами и уязвимостями в Microsoft Defender для оценки уязвимостей
Реализуйте компенсирующие меры контроля для задержки установки обновлений:
- Развертывание временных защитных мер для систем, требующих расширенных временных шкал исправлений:
- Пользовательские правила WAF шлюза приложений Azure блокируют известные попытки эксплойтов для конкретных уязвимостей
- Ограничения группы безопасности сети, ограничивающие сетевой доступ к уязвимым системам до исправления
- Расширенный мониторинг и оповещение с помощью Microsoft Defender для конечной точки, обнаруживающее подозрительное поведение в незапащенных ресурсах
- Управление доступом к виртуальной машине JIT(JIT) сокращает окно воздействия для уязвимых административных интерфейсов.
- Правила сокращения поверхностей атак в Microsoft Defender для конечной точки, снижающие методы эксплуатации
- Отслеживание компенсирующих элементов управления в Microsoft Defender для облака:
- Исключения политики Azure со структурированными метаданными исключения, документирующими компенсирующие меры контроля
- Пользовательские рекомендации по оценке безопасности Microsoft Defender для облака для исключенных уязвимостей
- Рабочие книги Azure Monitor, визуализирующие активные компенсирующие меры управления, включающие отслеживание срока действия.
- Списки отслеживания Microsoft Sentinel, ведущие инвентаризацию компенсирующих контролей с помощью автоматических оповещений
Реализуйте управление с помощью Azure Monitor и Power BI:
- Развертывание комплексных дэшбордов мониторинга и отчетности.
- Рабочие книги Azure Monitor, осуществляющие запрос данных из таблицы обновлений для соответствия патчам на всех виртуальных машинах
- Отчеты Power BI, создаваемые с использованием REST API Azure Resource Graph, для обеспечения видимости уязвимостей в режиме реального времени.
- Интеграция API оценки Microsoft Defender для облака для руководящей отчетности
- Отслеживание исключений исправлений интеграции Azure DevOps Boards с автоматической эскалацией в рамках SLA
- Автоматизация аварийного исправления с помощью управления уязвимостями Microsoft Defender:
- Интеграция каталога CISA KEV для управления уязвимостями в Microsoft Defender с приоритизацией уязвимостей нулевого дня.
- Модули Runbook службы автоматизации Azure с операцией установки Диспетчера обновлений Azure для чрезвычайных развертываний
- Группы действий Azure Monitor, запускающие оповещения SMS/электронной почты для уязвимостей, эксплойтированных
- Автоматизация рабочих процессов в Microsoft Defender для облака создаёт инциденты с высоким приоритетом для активных уязвимостей.
Результат: Автоматическое исправление уязвимостей организации значительно сократило время для исправления критически важных уязвимостей, снижения уязвимостей и предотвращения компрометации безопасности. Объем инцидентов безопасности, связанных с незапащенными уязвимостями, значительно снизился за счет систематического управления исправлениями и приоритета на основе EPSS.
Уровень критическости
Следовало бы.
Сопоставление элементов управления
- NIST SP 800-53 ред.5: SI-2, SI-2(1), SI-2(2), SI-2(5), RA-5
- PCI-DSS версии 4: 6.3.3, 6.4.3, 11.3.1
- Элементы управления CIS версии 8.1: 7.2, 7.3, 7.4, 7.5, 7.7
- NIST CSF версии 2.0: PR.IP-12, RS.MI-3
- ISO 27001:2022: A.8.8, A.5.14
- SOC 2: CC7.1, CC7.2, CC8.1
PV-7: проведение регулярных операций красной командой
Принцип безопасности
Имитируйте реальные атаки с помощью операций красной команды и тестирования на проникновение, чтобы обеспечить комплексную проверку безопасности. Следуйте рекомендациям отрасли, чтобы разработать, подготовить и провести тестирование безопасно, обеспечивая комплексную область и координацию заинтересованных лиц.
Риск для смягчения
Традиционная оценка уязвимостей и тестирование на проникновение могут пропустить сложные методы атак и сложные цепочки атак, которые используют реальные злоумышленники. Без комплексного состязательного тестирования:
- Слепые пятна в элементах управления безопасностью: Автоматизированные средства безопасности и стандартные тесты на проникновение не могут выявить слабые места, которые квалифицированные злоумышленники используют с помощью творческих сочетаний законных функций и незначительных уязвимостей.
- Ложное доверие к безопасности: Организации, считающие, что их безопасность сильна на основе флажков соответствия требованиям и стандартного тестирования, могут быть уязвимы для продвинутых постоянных угроз и целевых атак.
- Уязвимости человеческого фактора: Обучение безопасности и технические средства контроля могут оказаться недостаточными для сложных методов социальной инженерии и человеческой манипуляции.
- Сложные пробелы в цепочке атак: Многоэтапные атаки, объединяющие физический доступ, социальную инженерию, техническую эксплуатацию уязвимостей и техники достижения устойчивости, избегают обнаружения в рассредоточенном тестировании безопасности.
- Слабые места реагирования на инциденты: Группы безопасности могут не обнаруживать и реагировать на сложные атаки, что приводит к задержке обнаружения и неадекватного сдерживания.
- Пробелы в совместной работе с фиолетовой командой: Разрыв связи между наступательными (красными) и оборонительными (синими командами) операциями безопасности ограничивает возможности передачи знаний и улучшения.
Без реалистичного адверсарного тестирования организации работают с непроверенными предположениями безопасности, которые терпят неудачу при встрече с квалифицированными, мотивированными злоумышленниками.
MITRE ATT&CK
- Разведка (TA0043): активное сканирование (T1595) и сбор сведений о жертвах (T1589) для выявления возможностей атак и планирования целевых операций.
- Первоначальный доступ (TA0001): фишинг (T1566) и эксплуатация уязвимостей общедоступных приложений (T1190) для тестирования уязвимости организации к социальной инженерии и технической эксплуатации.
- Устойчивость (TA0003): действительные учетные записи (T1078) и создание учетной записи (T1136) с имитацией установления долгосрочного доступа злоумышленником.
- Боковое перемещение (TA0008): удаленные службы (T1021) и внутренний фишинг (T1534) для тестирования обнаружения движения злоумышленников в среде.
PV-7.1. Реализация комплексного состязательного тестирования
Организации, использующие исключительно автоматизированное сканирование уязвимостей и оценки соответствия требованиям, не могут проверить, предотвращают ли средства контроля безопасности сложные методы злоумышленников, используемые в реальных атаках. Состязательное тестирование имитирует фактические сценарии атак для выявления пробелов системы безопасности, обнаружения слепых пятен и слабых мест реагирования на инциденты, которые не могут обнаружить автоматизированные средства. Регулярные операции красной команды обеспечивают реалистичную проверку безопасности, обеспечивая эффективное предотвращение, обнаружение и реагирование на сложные постоянные угрозы.
Проверьте эффективность безопасности с помощью реалистичного тестирования состязательности:
- Следуйте правилам тестирования на проникновение Майкрософт: Соблюдайте правила тестирования на проникновение в Microsoft Cloud для действий по тестированию на основе облака, чтобы обеспечить авторизованные и безопасные процедуры тестирования.
- Справочник по тестированию Azure: Следуйте инструкциям по тестированию на проникновение Azure для авторизованных процедур тестирования и требований к координации с корпорацией Майкрософт.
- Используйте методологию Red Teaming Microsoft: Примените методологию Microsoft Cloud Red Teaming для комплексного моделирования атак, согласованного с реальными методами противников.
- Область тестирования координат: Установите область тестирования и ограничения с соответствующими заинтересованными лицами и владельцами ресурсов, чтобы обеспечить непрерывность бизнес-процессов и минимизировать непредвиденные последствия.
Пример реализации
Организация финансовых услуг внедрила комплексные операции красной команды в облачной инфраструктуре, поддерживающей банковские инвестиции, торговые системы и платформы управления благосостоянием клиентов, обрабатывающие миллиарды в ежедневных транзакциях.
Вызов: Организация финансовых услуг испытывает трудности с реалистичным тестированием безопасности: автоматизированные средства не выявляют критические пробелы в защите, ограничивают видимость сложных возможностей обнаружения атак и затрудняют демонстрацию эффективности проверки безопасности для регуляторов, изучающих контроль безопасности в инвестиционном банкинге и управлении капиталом.
Подход к решению:
Создайте программу тестирования красной команды в соответствии с стандартами Майкрософт:
- Реализуйте тестирование следующей методологии Microsoft Cloud Red Teaming:
- Квартальные упражнения с помощью платформы моделирования атак Microsoft Enterprise Cloud Red Teaming
- Ежегодные оценки с помощью средств моделирования атак Microsoft Entra и аналитики Microsoft Sentinel
- Аналитика угроз из Аналитика угроз Microsoft Defender, информирующая о сценариях атак
- Упражнения фиолетовой команды с использованием результатов анализа путей атак, предоставленного Microsoft Defender для облака
- Настройте среду тестирования с помощью мер безопасности Azure:
- Блокировки Azure Resource Manager препятствуют удалению рабочих ресурсов во время тестирования
- Политика Azure запрещает эффекты, блокирующие развертывание опасных конфигураций в рабочей среде
- Доступ к виртуальной машине по запросу в Microsoft Defender для облака, ограничивающий область бокового перемещения красной команды
- Группы действий Azure Monitor, предоставляющие оповещения в режиме реального времени о превышении границ тестовых активностей.
Выполните моделирование атак, ориентированных на Azure:
- Имитация сценариев атак, относящихся к облаку:
- Моделирование фишинга Microsoft 365 с помощью кампаний Microsoft Defender для Office 365
- Тестирование эффективности эксплуатации брандмауэра веб-приложений в службе приложений Azure
- Тестирование на злоупотребление API Azure Resource Manager, а также проверка политик Azure и элементов управления RBAC
- Компрометация конвейера Azure DevOps с имитацией атак цепочки поставок на инфраструктуру CI/CD
- Проверьте элементы управления безопасностью идентификаторов и удостоверений Microsoft Entra:
- Использование уязвимостей в пути эскалации привилегий Microsoft Entra управление привилегированными пользователями (PIM)
- Попытки обхода политики условного доступа Microsoft Entra через пробелы в соответствиях устройствах
- Тестирование протоколов проверки подлинности Microsoft Entra для обхода MFA и кражи маркеров
- Секрет "Azure Key Vault" попытки проверки политик доступа и логирования
Проверка обнаружения и ответа системы безопасности Майкрософт:
- Проверьте возможности обнаружения и ответа Microsoft Sentinel:
- Эффективность определения эффективности правил аналитики Microsoft Sentinel для обнаружения методов RED TEAM MITRE ATT&CK
- Точность проверки точности защиты от угроз в среде выполнения в Microsoft Defender для облака
- Покрытие телеметрии обнаружения и реагирования на угрозы для конечных точек (Microsoft Defender EDR) с измерением показателей обнаружения поведенческих угроз.
- Процессы расследования инцидентов, связанных с тестированием производительности выполнения запросов в Azure Monitor Log Analytics
- Оцените оркестрацию и автоматизацию в сфере безопасности:
- Правила автоматизации Microsoft Sentinel проверяют автоматическое выполнение сборника схем реагирования на инциденты
- Рабочие процессы Azure Logic Apps, проверяющие интеграцию с Microsoft Teams для уведомлений об инцидентах
- Эффективность действий по устранению неполадок в Microsoft Defender для облачных рабочих процессов
- Модули Runbook службы автоматизации Azure оценивают автоматизированные процедуры хранения и изоляции
Использование средств Майкрософт для непрерывного улучшения:
- Документируйте результаты с помощью платформ безопасности Майкрософт:
- Анализ пути атак Microsoft Defender для облака документирование многоэтапных цепочек атак
- Запросы Azure Resource Graph, определяющие аналогичные области атак в облачной среде
- Рабочие книги Microsoft Sentinel, визуализирующие методы атак, сопоставленные с платформой MITRE ATT&CK
- Отслеживание действий по исправлению с помощью Azure DevOps Boards с приоритетом на основе эксплуатируемости
- Улучшите возможности обнаружения, используя результаты работы red team.
- Правила настраиваемой аналитики Microsoft Sentinel на основе методов и индикаторов красной команды
- Правила пользовательского обнаружения Microsoft Defender для конечной точки для определенных методов обнаружения вне земли
- Azure Monitor Log Analytics сохранил поиски, ускоряющие будущие исследования инцидентов
- Интеграция Аналитика угроз Microsoft Defender, обогащающая оповещения контекстом атак 'red team'
Результат: Организация определила и исправила критические пробелы в безопасности, которые пропустили автоматизированные средства, включая методы обхода проверки подлинности и пути эскалации привилегий. Расширенные процедуры мониторинга и реагирования, информированные реалистичными симуляциями атак, позволили группам безопасности выявлять и реагировать на сложные постоянные угрозы более эффективно.
Уровень критическости
Приятно иметь.
Сопоставление элементов управления
- NIST SP 800-53 ред.5: CA-8, CA-8(1), CA-8(2)
- PCI-DSS версии 4: 11.4.1, 11.4.2, 11.4.6
- Настройки безопасности CIS версия 8.1: 15.1, 18.1, 18.2, 18.3, 18.5
- NIST CSF версии 2.0: DE.DP-4, ID.RA-10
- ISO 27001:2022: A.5.7, A.8.29
- SOC 2: CC7.3, CC7.4