Реализация инфраструктуры защиты от нарушений безопасности и восстановления

В рамках руководства по внедрению нулевого доверия эта статья входит в состав руководства по предотвращению или сокращению бизнес-ущерба от бизнес-сценария нарушения и описывает, как защитить вашу организацию от кибератак. В этой статье описывается, как развернуть дополнительные меры безопасности, чтобы предотвратить нарушение и ограничить распространение и создать и проверить инфраструктуру непрерывности бизнес-процессов и аварийного восстановления (BCDR), чтобы быстрее восстановиться после разрушительного нарушения.

Для элементов руководящего принципа модель нулевого доверия "предполагаемое нарушение":

  • Минимизируйте радиус поражения и сегментируйте доступ

    Он описан в этой статье.

  • Проверка сквозного шифрования

    Он описан в этой статье.

  • Используйте аналитику, чтобы обеспечить видимость, обнаружение угроз и улучшать защиту.

    Описано в статье, посвященной реализации защиты от угроз и XDR.

В этой статье предполагается, что вы уже модернизировали состояние безопасности.

Подробные сведения о ресурсах Microsoft Azure см. в статье "Защита ресурсов Azure от разрушительных кибератак".

Цикл внедрения для реализации инфраструктуры предотвращения нарушений безопасности и восстановления

В этой статье рассматривается реализация инфраструктуры для предотвращения нарушений безопасности и восстановления после них в контексте бизнес-сценария 'Предотвращение или уменьшение бизнес-ущерба от нарушения', используя те же этапы жизненного цикла, что и Cloud Adoption Framework для Azure — определение стратегии, планирование, подготовка, принятие, управление и обеспечение управления, но адаптированные для концепции нулевого доверия.

Схема процесса внедрения для цели или набора целей.

В следующей таблице представлена доступна версия иллюстрации.

Определение стратегии Планирование Готово Принятие Контроль и управление
Результаты

Выравнивание организации

Стратегические цели
Команда заинтересованных лиц

Технические планы

готовность навыков
Оценивать

Тест

Пилотная версия
Внедряйте поэтапно по всей вашей цифровой инфраструктуре Отслеживание и измерение

Мониторинг и обнаружение

Итерация для достижения зрелости

Дополнительные сведения о цикле внедрения "Нулевое доверие" см. в обзоре платформы внедрения "Нулевое доверие".

Дополнительные сведения о бизнес-сценарии предотвращения или уменьшения ущерба для бизнеса см. в следующих примерах:

Определение этапа стратегии

Схема процесса внедрения для одной цели или набора целей с выделенным этапом определения стратегии.

Этап определения стратегии имеет решающее значение для определения и официального оформления наших усилий . Он формализирует "Почему?" этого сценария. На этом этапе вы понимаете сценарий с помощью бизнес-, ИТ- и операционных и стратегических перспектив. Вы определяете результаты, с помощью которых можно оценить успех в сценарии, понимая, что безопасность — это добавочное и итеративное путешествие.

В этой статье приводятся мотивации и результаты, относящиеся ко многим организациям. Используйте эти предложения, чтобы улучшить стратегию вашей организации на основе ваших уникальных потребностей.

Мотивы реализации защиты от нарушений безопасности и инфраструктуры восстановления

Мотивации для предотвращения нарушений безопасности и инфраструктуры восстановления просты, но различные части организации имеют различные стимулы для выполнения этой работы. В следующей таблице приведены некоторые из этих мотивов.

Площадь Мотивы
Бизнес-потребности Для ведения бизнеса с акцентом на предотвращение и восстановление после нарушений как часть стратегии безопасности. Ваш бизнес может восстановиться после нарушения, повлекшего ущерб в одной или нескольких областях, продолжая работать в обычном режиме.
Ит-потребности Чтобы реализовать технологии и дисциплины для снижения вероятности нарушения безопасности, такие как обновление локальных систем и конечных точек и развертывание ресурсов-ловушек (honeypot) для отвлечения и обмана злоумышленников, все при сохранении бескомпромиссного подхода к безопасности личности и управления удостоверениями.
Операционные потребности Реализация мер по предотвращению и восстановлению нарушений в качестве стандартных операционных процедур. Ожидаются утечки, и, хотя они нежелательны, их последствия можно смягчить для вашего бизнес-сектора.
Стратегические потребности Чтобы постепенно повысить способность вашего бизнеса восстанавливаться после инцидентов безопасности, что может снизить рентабельность атак для кибер-злоумышленников при повышении операционной устойчивости. Принцип Предположения о взломе в рамках модели нулевого доверия требует от вас планировать и выполнять изменения и обновления, чтобы обеспечить продолжение работы бизнеса, минимизировать воздействие нарушений и сократить время их восстановления.

Результаты реализации защиты от нарушений безопасности и инфраструктуры восстановления

Применение общей цели Нулевого доверия, выраженной в принципе "никогда не доверяй, всегда проверяй", к вашей инфраструктуре, предназначенной для предотвращения и уменьшения последствий нарушений, добавляет значительный уровень защиты вашей среде. Важно быть ясным в результатах, которые вы ожидаете достичь, чтобы вы могли достичь правильного баланса защиты для всех участвующих команд. В следующей таблице приведены предлагаемые цели и результаты.

Цель Результат
Бизнес-результаты Методы предотвращения и восстановления нарушений приводят к минимальным затратам, связанным с нарушениями и быстрым восстановлением бизнес-процессов.
Система управления Инструменты и системы для предотвращения и восстановления после нарушений развертываются, а внутренние процессы проверяются и готовы к реагированию на нарушения.
Устойчивость организации Между предотвращением нарушений безопасности и восстановлением и упреждающей защитой от угроз ваша организация может быстро восстановиться после атаки и предотвратить будущие атаки своего типа.
Безопасность Защита от нарушений и восстановление интегрированы в общие требования и политики безопасности.

Этап плана

Схема процесса внедрения для одной цели или набора целей с выделенным этапом плана.

Планы внедрения преобразуют принципы стратегии нулевого доверия в практический план. Ваши коллективные команды могут использовать план внедрения, чтобы руководствоваться своими техническими усилиями и выравнивать их с бизнес-стратегией вашей организации.

Мотивации и результаты, которые вы определяете вместе с вашими бизнес-лидерами и командами, поддерживают "Почему?" для вашей организации и становятся Северной звездой для вашей стратегии. Далее происходит техническое планирование для достижения целей.

Техническое внедрение для реализации предотвращения и восстановления нарушений включает в себя:

  • Настройка Microsoft Entra управление привилегированными пользователями (PIM) для защиты администратора и других привилегированных учетных записей для JIT-доступа.
  • Повышение безопасности сетевой инфраструктуры.
  • Развертывание ресурсов системы-ловушки в сети, чтобы заманить злоумышленников и обнаружить их присутствие на ранних стадиях.
  • Реализация комплексной инфраструктуры исправлений для обеспечения актуальности серверов и устройств.
  • Начните использовать Управление внутренними рисками Microsoft Purview.
  • Развертывание инфраструктуры BCDR для быстрого восстановления после разрушительной кибератаки.

Многие организации могут использовать четырехэтапный подход к этим целям развертывания, приведенный в следующей таблице.

Этап 1 Этап 2 Этап 3 Этап 4
Защищенные привилегированные учетные записи

Сегментируйте сеть

Реализация Azure Site Recovery для обеспечения непрерывности критически важных рабочих нагрузок

Шифрование сетевого взаимодействия
Реализация резервного копирования Microsoft 365 и Azure Backup для критически важных бизнес-данных

Реализация плана исправления

Создание ресурсов-ловушек

Приступление к работе с управлением внутренними рисками Microsoft Purview
Реализация резервного копирования Microsoft 365 и Azure Backup для всех бизнес-данных

Реализация Azure Site Recovery для всех рабочих нагрузок

Обеспечение видимости сетевого трафика

Проектирование ответа на угрозы и непрерывность бизнес-процессов и аварийное восстановление (BCDR)
Прекращение устаревшей технологии безопасности сети

Практика реагирования на угрозы и BCDR

Если этот поэтапный подход подходит для вашей организации, можно использовать следующее:

  • Эта скачиваемая презентация слайдов PowerPoint предназначена для демонстрации и отслеживания вашего прогресса по мере выполнения этих этапов и достижения целей для руководителей бизнеса и других заинтересованных сторон. Ниже приведен слайд для этого бизнес-сценария.

    Слайд PowerPoint для этапов развертывания реализации предотвращения и восстановления нарушений.

  • Эта книга Excel используется для назначения владельцев и отслеживания хода выполнения этапов, целей и связанных с ними задач. Ниже приведен лист для этого бизнес-сценария.

    Лист отслеживания хода выполнения для развертывания инфраструктуры предотвращения нарушений безопасности и восстановления после них.

Общие сведения о вашей организации

Этот рекомендуемый поэтапный подход к технической реализации может помочь дать контекст для понимания вашей организации.

Базовый шаг жизненного цикла внедрения Нулевого доверия для каждого бизнес-сценария включает инвентаризацию и определение текущего состояния инфраструктуры. Для этого бизнес-сценария необходимо собрать сведения о настоящем положении дел:

  • Политики безопасности привилегированных удостоверений и требования.
  • Методики и технологии безопасности сети.
  • Внутренние риски и приоритеты для управления ими.
  • Политики и требования по установке обновлений для серверов и устройств.
  • Системы и политики BCDR.

Планирование и выравнивание организации

Техническая работа по предотвращению нарушения и реализации инфраструктуры восстановления пересекает несколько перекрывающихся областей и ролей:

  • Привилегированные идентичности
  • Сеть
  • Управление внутренними рисками
  • Исправление устройств
  • Непрерывность бизнес-процессов и аварийное восстановление

В этой таблице перечислены роли, которые рекомендуется использовать при создании спонсорской программы и иерархии управления проектами для определения и обеспечения результатов.

Руководители программ и технические владельцы Отчетность
CISO, CIO или директор по безопасности данных Поддержка руководства
Руководитель программы по безопасности Достижение результатов и совместная работа между командами
Архитектор систем безопасности Советы по настройке и стандартам, особенно вокруг привилегированных удостоверений, сети и проектирования ресурсов honeypot
ИТ-руководитель Обслуживание honeypot-ресурсов, реализация требований и политик обновления системы, а также внедрение и применение процедур BCDR.
Сетевой архитектор Рекомендации и реализация стандартов и методик безопасности сети
Должностные лица по обеспечению соответствия Сопоставляйте требования и риски соответствия со специфическими контрольными мерами и доступными технологиями и давайте рекомендации по выявлению и управлению внутренними рисками.
Управление безопасностью и /или ИТ-руководитель Мониторинг для обеспечения соответствия определенным политикам и требованиям

Комплект слайдов ресурсов PowerPoint для этого материала по внедрению включает следующий слайд с обзором для заинтересованных сторон, который можно настроить для вашей организации.

Слайд PowerPoint для выявления ключевых заинтересованных лиц для развертывания инфраструктуры предотвращения нарушений и восстановления.

Техническое планирование и готовность навыков

Прежде чем приступить к технической работе, корпорация Майкрософт рекомендует узнать о возможностях, способах совместной работы и рекомендациях по подходу к этой работе. В следующей таблице содержится несколько учебных ресурсов, которые помогут командам получить навыки.

Ресурс Описание
Модуль. Планирование и реализация привилегированного доступа Узнайте, как использовать PIM для защиты данных и ресурсов.
Модуль. Проектирование решения для резервного копирования и аварийного восстановления Узнайте, как выбрать подходящие решения для резервного копирования и аварийного восстановления для рабочих нагрузок Azure.
Модуль. Защита локальной инфраструктуры от аварий с помощью Azure Site Recovery Узнайте, как обеспечить аварийное восстановление для локальной инфраструктуры с помощью Azure Site Recovery.
Модуль. Защита инфраструктуры Azure с помощью Azure Site Recovery Узнайте, как обеспечить аварийное восстановление инфраструктуры Azure, настроив репликацию, переключение на резерв и возврат на исходную конфигурацию виртуальных машин Azure.
Модуль: проектирование и реализация сетевой безопасности Узнайте, как разрабатывать и реализовывать решения безопасности сети, такие как Azure DDoS, группы безопасности сети, Брандмауэр Azure и Брандмауэр веб-приложений.
Модуль. Защита и изоляция доступа к ресурсам Azure с помощью групп безопасности сети и конечных точек служб Узнайте, как использовать группы безопасности сети и конечные точки служб для защиты виртуальных машин и служб Azure от несанкционированного доступа к сети.
Модуль: управление обновлениями Windows Server Узнайте, как использовать Windows Server Update Services для развертывания обновлений операционной системы на компьютерах в сети.

Этап 1

Цели развертывания этапа 1 включают блокировку администратора и других учетных записей привилегированного доступа, использование облачных продуктов Майкрософт для резервного копирования критически важных бизнес-данных и обеспечение шифрования всего сетевого трафика.

Защищенные привилегированные учетные записи

Инциденты кибербезопасности обычно начинаются с кражи учетных данных определенного рода. Злоумышленники обнаруживают имя учетной записи, которое может быть хорошо известным или легко обнаруженным адресом электронной почты, а затем приступают к определению пароля учетной записи. Этот тип атаки может быть разорван в большинстве случаев многофакторной проверкой подлинности (MFA). Однако принцип "Предполагать нарушение нулевого доверия" подразумевает, что злоумышленник может получить доступ к сети с помощью удостоверения.

Как только в сети злоумышленники пытаются повысить уровень привилегий, компрометируя учетные записи с большим и большим доступом. Цель заключается в том, чтобы скомпрометировать привилегированную учетную запись, доступ к широкой полосе конфиденциальных данных, а также к административным параметрам. Поэтому необходимо предотвратить этот уровень доступа к злоумышленникам.

Прежде всего, для организаций с гибридной идентификацией необходимо убедиться, что учетные записи администратора или учетные записи с привилегированными ролями, используемые для облачных служб, не синхронизированы и не хранятся в локальной службе доменных служб Active Directory (AD DS). Если они хранятся в локальной среде, и AD DS или Microsoft Entra Connect скомпрометированы, злоумышленник может получить административный контроль над вашими облачными службами Microsoft. Проверьте параметры синхронизации, чтобы предотвратить и проверить, присутствуют ли учетные записи администратора облака в AD DS.

Все организации с облачной подпиской Майкрософт имеют арендатора Microsoft Entra ID, содержащего облачные учетные записи, которые включают учетные записи пользователей и администраторов. Администраторы должны выполнять привилегированные операции в приложениях Microsoft Entra ID, Azure, Microsoft 365 или SaaS.

Первым шагом защиты привилегированных учетных записей является требование надежных паролей и многофакторной проверки подлинности. Кроме того, в соответствии с принципом нулевого доверия "использование минимально необходимого уровня доступа" используйте Microsoft Entra PIM в рабочей среде Microsoft Entra, чтобы обеспечить дополнительный уровень защиты. Microsoft Entra PIM обеспечивает активацию ролей на основе времени и утверждения, чтобы снизить риски чрезмерного, ненужного или неправильного доступа.

К функциям Microsoft Entra PIM относятся:

  • Привилегированный доступ JIT к ресурсам Microsoft Entra ID и Azure
  • Доступ к ресурсам с привязкой к времени с использованием дат начала и окончания
  • требование утверждения для активации привилегированных ролей;
  • Принудительное применение MFA для активации любой роли
  • Требовать обоснование, чтобы понять, почему пользователи активируют
  • получение уведомлений при активации привилегированных ролей;
  • проведение проверки доступа, чтобы убедиться в необходимости ролей для пользователей;
Ресурс Описание
Что такое гибридное удостоверение с идентификатором Microsoft Entra? Начало работы с набором документации для Microsoft Entra ID Connect.
Что такое управление привилегированными пользователями Microsoft Entra? Начало работы с набором документации для Microsoft Entra PIM.
Планирование развертывания Microsoft Entra PIM Пошаговое руководство по планированию развертывания PIM для привилегированных учетных записей.
Модуль. Планирование и реализация привилегированного доступа Узнайте, как использовать PIM для защиты данных и ресурсов.
Сегментируйте сеть

Эта цель — создать границы в сети, чтобы промежуточный анализ и фильтрация могли защитить конфиденциальные серверы, приложения и данные. Сегментация сети может происходить для локальных серверов или в облаке, например с виртуальными машинами, размещенными в виртуальных сетях (виртуальных сетях) в Azure IaaS.

Рекомендации Ресурс
Используйте множество входящих и исходящих облачных микропериметров с некоторыми микросегментациями. Защита сетей с помощью модели "Никому не доверяй"
Используйте несколько подсетей и групп безопасности сети для размещения нескольких уровней приложения и ограничения трафика. Применение принципов нулевого доверия к периферийной виртуальной сети в Azure

Применение принципов нулевого доверия к периферийной виртуальной сети с помощью служб PaaS Azure

Дополнительные сведения о сегментации в средах Azure см. в разделе Сегментирование сетевого взаимодействия на основе Azure.

Реализация Site Recovery для обеспечения непрерывности критически важных рабочих нагрузок

Azure Site Recovery — это родное решение для аварийно-восстановительных услуг (DRaaS), которое обеспечивает простоту развертывания, экономическую эффективность и надежность. Разверните процессы репликации, аварийного переключения и восстановления с помощью Site Recovery, чтобы обеспечить работу приложений во время запланированных и незапланированных сбоев, таких как инцидент из-за кибератаки.

Azure Site Recovery имеет два основных компонента:

  • Служба Site Recovery. Site Recovery помогает обеспечить непрерывность бизнеса, сохраняя работоспособность бизнес-приложений и рабочих нагрузок во время сбоев. Site Recovery реплицирует рабочие нагрузки на физических компьютерах и виртуальных машинах с основного сайта во вторичное расположение. Если на вашем основном сайте произошел сбой, переключитесь на вторичный узел и получите доступ к приложениям оттуда. Как только основное местоположение снова станет доступным, вы сможете вернуться к нему.
  • Служба Backup. Служба Azure Backup обеспечивает безопасное хранение данных и их восстановление. Дополнительные сведения см. в предыдущем разделе.

Site Recovery управляет репликацией для:

  • Репликация виртуальных машин Azure между регионами Azure
  • Репликация из общедоступной вычислительной среды Azure с несколькими доступами (MEC) в регион
  • Репликация между двумя общедоступными MECs в Azure
  • Локальные виртуальные машины, виртуальные машины Azure Stack и физические серверы

Используйте Azure Site Recovery в рамках решения BCDR.

Ресурс Описание
Обзор Site Recovery Начало работы с набором документации.
Модуль. Защита локальной инфраструктуры от аварий с помощью Azure Site Recovery Узнайте, как обеспечить аварийное восстановление для локальной инфраструктуры с помощью Azure Site Recovery.
Модуль. Защита инфраструктуры Azure с помощью Azure Site Recovery Узнайте, как обеспечить аварийное восстановление инфраструктуры Azure, настроив репликацию, переключение на резерв и возврат на исходную конфигурацию виртуальных машин Azure.
Шифрование сетевого взаимодействия

Эта задача скорее направлена на проверку того, что ваш сетевой трафик зашифрован. Обратитесь к группе сети, чтобы убедиться, что эти рекомендации выполнены.

Рекомендации Ресурс
Убедитесь, что внутренний трафик между приложениями шифруется:

— Обеспечьте принудительное использование только HTTPS для веб-приложений, обращённых к сети Интернет.
— подключение удаленных сотрудников и партнеров к Microsoft Azure с помощью VPN-шлюз Azure.
— Обеспечьте безопасный доступ к виртуальным машинам Azure с помощью зашифрованного обмена данными через Azure Bastion.
Безопасные сети с нулевым доверием - Цель 3: Внутренний трафик пользователь-к-приложению шифруется
Шифрование внутреннего трафика приложения между виртуальными сетями.

Шифрование трафика между локальной средой и облаком.
Безопасные сети с нулевой целью доверия 6: весь трафик шифруется
Для сетевых архитекторов эта статья помогает понять рекомендуемые сетевые концепции в контексте. Эд Фишер, архитектор безопасности и соответствия требованиям Майкрософт описывает, как оптимизировать сеть для облачного подключения, избегая наиболее распространенных ошибок. Сетевые возможности и облако - точка зрения архитектора

Дополнительные сведения о шифровании в средах Azure см. в разделе "Шифрование сетевого взаимодействия на основе Azure".

Этап 2

Цели развертывания этапа 2 включают сегментирование вашей сети для лучшего контроля трафика к конфиденциальным ресурсам, обеспечение своевременного обновления серверов и устройств, создание ловушек для обмана и отвлечения злоумышленников и начало управления внутренними угрозами.

Реализация Microsoft 365 и Azure Backup для критически важных бизнес-данных

BCDR является важным элементом устранения нарушений, и важной частью инфраструктуры BCDR является резервное копирование и восстановление. Для кибератак также необходимо защитить резервные копии от преднамеренной стирки, повреждения или шифрования. В случае атаки вымогательским ПО злоумышленник может шифровать, повреждать или уничтожать ваши актуальные данные и резервные копии, делая организацию уязвимой для требования выкупа, чтобы восстановить бизнес-операции. Чтобы устранить эту уязвимость, копии резервных копий данных должны быть неизменяемыми.

Корпорация Майкрософт предлагает Microsoft 365 Backup и Azure Backup для собственных функций резервного копирования и восстановления.

Microsoft 365 Backup — это новое предложение (в настоящее время в предварительной версии), которое создает резервные копии данных клиента Microsoft 365 для рабочих нагрузок Exchange, OneDrive и SharePoint в масштабе и обеспечивает быстрое восстановление. Резервное копирование или приложения Microsoft 365, созданные на основе платформы хранилища резервных копий Microsoft 365, обеспечивают следующие преимущества независимо от размера или масштаба вашего клиента:

  • Быстрое и неизменяемое резервное копирование в течение нескольких часов
  • Быстрое восстановление в течение нескольких часов
  • Полное восстановление точности сайта SharePoint и учетной записи OneDrive означает, что сайт и OneDrive возвращаются к своему первоначальному состоянию в определенные моменты времени с помощью операции отката.
  • Восстановление полных элементов почтового ящика Exchange или гранулярное восстановление элементов с использованием поиска
  • Консолидированное управление доменами безопасности и соответствия требованиям

Дополнительные сведения см. в обзоре резервного копирования Microsoft 365.

Служба Azure Backup предоставляет простые, безопасные и экономичные решения для резервного копирования и восстановления данных из облака Microsoft Azure. Azure Backup может создать резервную копию:

  • Локальные файлы, папки, состояние системы, локальные виртуальные машины (Hyper-V и VMware) и другие локальные рабочие нагрузки.
  • Виртуальные машины Azure или файлы, папки и состояние системы.
  • Управляемые диски Azure.
  • общие папки Файлы Azure
  • SQL Server на виртуальных машинах Azure
  • базы данных SAP HANA на виртуальных машинах Azure;
  • Серверы базы данных Azure для PostgreSQL
  • Объекты Blob Azure
Ресурс Описание
Модуль. Проектирование решения для резервного копирования и аварийного восстановления Узнайте, как выбрать подходящие решения для резервного копирования и аварийного восстановления для рабочих нагрузок Azure.
Обзор резервного копирования Microsoft 365 Начало работы с набором документации для Microsoft 365 Backup.
Обзор службы Azure Backup Начало работы с набором документации для Azure Backup.
План резервного копирования и восстановления для защиты от программ-шантажистов Узнайте, как Azure Backup защищает от ransomware-атаки.

Вы можете использовать Службу архивации Microsoft 365 и Azure Backup в рамках решения BCDR.

Вы также можете использовать инкрементные моментальные снимки в Azure для судебного расследования после нарушения. Добавочные моментальные снимки — это резервные копии управляемых дисков на определенный момент времени, которые содержат только изменения, внесенные с момента создания предыдущего моментального снимка. Моментальные снимки позволяют установить последний момент времени до возникновения нарушения и восстановить его в этом состоянии.

Защита удостоверений для учетных записей пользователей, используемых для администрирования резервных копий, должна использовать надежную проверку подлинности с MFA и использовать PIM для доступа JIT. Кроме того, убедитесь, что инфраструктура резервного копирования защищена с помощью вторичных удостоверений от другого поставщика удостоверений, таких как локальные удостоверения или локальные системные удостоверения. Они называются учетными записями разбиения стекла.

Например, если в результате кибератаки был скомпрометирован арендатор Microsoft Entra ID, и вы теперь не можете использовать учетную запись администратора Microsoft Entra ID для доступа к резервным копиям, инфраструктура резервного копирования должна обеспечить вход, независимый от скомпрометированного арендатора Microsoft Entra ID.

Реализация плана исправления

План исправлений включает настройку автоматического обновления во всех ваших операционных системах, чтобы исправления были развернуты быстро, чтобы избежать злоумышленников, которые полагаются на непатшированные системы в качестве векторов атак.

Ресурс Описание
Управление конечными точками в Корпорации Майкрософт Начало работы с обзором решений по управлению конечными точками от Корпорации Майкрософт.
Управление конечными точками Начало работы с документацией по управлению конечными точками.
Применение нулевого доверия к Azure IaaS. Автоматизация обновлений виртуальных машин Настройте автоматические обновления для виртуальных машин под управлением Windows и Linux.
Настройки обновлений Windows, которыми можно управлять через политику Intune Управляйте параметрами обновлений Windows для Windows 10 и Windows 11 с помощью Microsoft Intune.

Кроме того, рассмотрите возможность обновлений и исправлений, необходимых другим устройствам, особенно тем, которые:

  • Обеспечение безопасности.

    Примерами являются маршрутизаторы доступа к Интернету, брандмауэры, устройства фильтрации пакетов и другие промежуточные устройства анализа безопасности.

  • Являются частью инфраструктуры BCDR.

    Примеры включают локальные или онлайн сторонние службы резервного копирования.

Создание ресурсов honeypot

Вы намеренно создаете ресурсы honeypot , такие как удостоверения, общие папки, приложения и учетные записи служб, чтобы они могли быть обнаружены злоумышленниками. Эти ресурсы предназначены для привлечения и обмана злоумышленников и не являются частью обычной ИТ-инфраструктуры.

Ресурсы honeypot должны отражать типичные цели для злоумышленников. Например:

  • Имена учетных записей пользователей, которые подразумевают доступ администратора, но не имеют привилегий за пределами ресурсов honeypot.
  • Ресурсы общей папки с именами файлов, которые предполагают наличие конфиденциальных данных, таких как CustomerDatabase.xlsx, но данные являются вымышленными.

После развертывания ресурсов honeypot используйте инфраструктуру защиты от угроз, чтобы отслеживать их и обнаруживать атаки рано. В идеале обнаружение происходит до того, как злоумышленник уже определил, что ловушки являются поддельными, и использует методы бокового перемещения и взаимодействия с существующими ресурсами, в которых злоумышленник применяет ваши собственные приложения и инструменты для атаки на ваши активы. Во время нападения на ресурсы honeypot можно также собирать сведения об удостоверении, методах и мотивациях злоумышленника.

Благодаря новой возможности обмана в Microsoft Defender XDR вы можете включить и настроить аутентичные на вид обманные учетные записи, хосты и ловушки. Затем поддельные ресурсы, созданные Defender XDR, автоматически размещаются для конкретных клиентов. Когда злоумышленник взаимодействует с ловушками или приманками, возможности системы обмана генерируют предупреждения высокой степени достоверности, помогая вашей команде безопасности в расследовании и позволяя им наблюдать за методами и стратегиями злоумышленника.

Дополнительные сведения см. в обзоре.

Приступление к работе с управлением внутренними рисками Microsoft Purview

Управление внутренними рисками Microsoft Purview помогает быстро определить, отсортировать и действовать в отношении потенциально рискованных действий. Используя журналы из Microsoft 365 и Microsoft Graph, управление внутренними рисками позволяет определять определенные политики для выявления индикаторов риска. Примеры внутренних рисков от пользователей:

  • утечки конфиденциальных данных и разглашение данных;
  • нарушения конфиденциальности;
  • кража интеллектуальной собственности;
  • мошенничество;
  • торговые операции с использованием служебной информации;
  • нарушения соответствия нормативным требованиям.

После выявления рисков вы можете принять меры по устранению этих рисков, а также при необходимости открыть расследования и принять соответствующие юридические меры.

Ресурс Описание
Управление внутренними рисками Начало работы с набором документации.
Модуль: Управление инсидерскими рисками в Microsoft Purview Узнайте об управлении внутренними рисками и о том, как технологии Майкрософт помогут вам обнаруживать, исследовать и действовать на рискованных действиях в вашей организации.
Модуль: Реализация Microsoft Purview Управление внутренними рисками Узнайте, как использовать Управление внутренними рисками Microsoft Purview для планирования решения для предварительной оценки рисков, создания политик управления внутренними рисками и управления оповещениями и вариантами управления внутренними рисками.

Этап 3

На этом этапе вы расширяете область резервного копирования и восстановления сайта для включения всех бизнес-данных и рабочих нагрузок, дальнейшего предотвращения сетевых атак и создания более формального проектирования и плана для реагирования на угрозы и BCDR.

Реализация резервного копирования Microsoft 365 и Azure Backup для всех бизнес-данных

После того как вы будете удовлетворены работой Microsoft 365 Backup и Azure Backup для критически важных данных и были протестированы в упражнениях восстановления, теперь вы можете расширить его, чтобы включить все бизнес-данные.

Реализация Azure Site Recovery для всех рабочих нагрузок

После того как вы удовлетворены работой Azure Site Recovery для критически важных данных и протестированы в упражнениях восстановления, теперь вы можете расширить его, чтобы включить все бизнес-данные.

Обеспечение видимости сетевого трафика

Облачные приложения, которые открыли конечные точки во внешних средах, таких как Интернет или локальная среда, подвергаются риску атак из этих сред. Чтобы предотвратить эти атаки, необходимо проверить трафик на наличие вредоносных полезных данных или логики.

Дополнительные сведения см. в разделе Cloud Native: фильтрация и защита известных угроз.

Дополнительные сведения о получении видимости сетевого трафика в средах Azure см. в статье "Получение видимости сетевого трафика".

Разработка ответа на угрозы и BCDR

Последствия нарушения могут охватывать весь спектр: от заражения устройств вредоносными программами, которые могут быть обнаружены и нейтрализованы относительно легко, до атак программ-вымогателей, в которых злоумышленник уже эксфильтровал, зашифровал или уничтожил некоторые или все конфиденциальные данные вашей организации и требует выкуп за восстановление или ненарушение данных.

В результате атаки программ-вымогателей ваша организация может пережить долгосрочные сбои в бизнесе, похожие во многих отношениях на кризис или стихийное бедствие. Подумайте о нарушении и его результирующей разрушительной кибератаке в качестве человеческого кризиса или катастрофы.

Поэтому важно включить нарушения и возможность высокоразрушительной кибератаки в планирование BCDR. Та же инфраструктура, которую вы будете использовать для продолжения бизнес-операций в кризисе или после стихийных бедствий, может использоваться для восстановления после атаки.

Если у вас уже есть план BCDR, просмотрите его, чтобы убедиться, что он включает данные, устройства, приложения и процессы, которые могут быть затронуты в кибератаке.

Если нет, начните процесс планирования для общего BCDR и включите кибератаки в качестве источника кризиса или катастрофы. Обратите внимание на следующие условия.

  • Планы BC гарантируют, что бизнес может нормально функционировать в случае кризиса.

  • Планы аварийного восстановления включают непредвиденные случаи для восстановления от потери данных или инфраструктуры с помощью резервных копий данных и замены или восстановления инфраструктуры.

    Планы аварийного восстановления должны включать подробные процедуры для восстановления ИТ-систем и процессов для восстановления бизнес-операций. Эти планы должны иметь оффлайн резервное копирование, например, на переносных носителях, хранящихся в месте с обеспеченной физической безопасностью. Злоумышленники могут охотиться на эти планы восстановления ИТ-систем в локальных и облачных расположениях и уничтожить их в рамках атаки программы-вымогателя. Поскольку уничтожение этих планов сделает его более дорогостоящим для вас для восстановления бизнес-операций, злоумышленники могут требовать больше выкупа.

Microsoft 365 Backup, Azure Backup и Azure Site Recovery, описанные в этой статье, являются примерами технологий BCDR.

Ресурс Описание
Модуль. Проектирование решения для резервного копирования и аварийного восстановления Узнайте, как выбрать подходящие решения для резервного копирования и аварийного восстановления для рабочих нагрузок Azure.

Этап 4

На этом этапе вы еще больше защитите сеть и убедитесь, что ваш план BCDR и процесс работает, практикуя его для разрушительных ситуаций кибератаки.

Отказ от устаревшей технологии сетевой безопасности

Изучите набор технологий и продуктов, которые ваша организация использует для обеспечения безопасности сети, и определите, необходимы ли они или избыточны с другими возможностями безопасности сети. Каждая технология безопасности сети также может быть мишенью для злоумышленников. Например, если технология или продукт не обновляется своевременно, рассмотрите возможность его удаления.

Дополнительные сведения см. в разделе "Прекращение устаревшей технологии сетевой безопасности", которая описывает типы технологий сетевой безопасности, которые больше не требуются.

Дополнительные сведения о прекращении устаревших технологий сетевой безопасности в средах Azure см. в статье "Прекращение устаревшей технологии безопасности сети".

Практика реагирования на угрозы и BCDR

Чтобы обеспечить быстрое восстановление бизнес-операций после разрушительной кибератаки, следует регулярно применять план BCDR вместе с командой SecOps. Рассмотрите возможность применения практики BCDR для кибератак один раз в месяц или квартал, а также при изменении элементов инфраструктуры BCDR, таких как использование другого продукта резервного копирования или метода.

План внедрения облака

План внедрения является важным требованием для успешного внедрения облака. Ключевыми атрибутами успешного плана внедрения для реализации предотвращения и восстановления нарушений безопасности являются следующие:

  • Стратегия и планирование согласованы. По мере создания планов тестирования, пилотирования и развертывания возможностей предотвращения и восстановления нарушений в цифровой недвижимости обязательно следует пересмотреть стратегию и цели, чтобы обеспечить соответствие планов. Сюда входят приоритеты и целевые вехи целей по предотвращению и восстановлению нарушений.
  • План является итеративным. По мере развертывания плана вы узнаете много вещей о вашей среде и наборе возможностей, которые вы используете. На каждом этапе развертывания просмотрите результаты по сравнению с целями и точно настройте планы. Например, можно вернуться к предыдущей работе, чтобы точно настроить политики.
  • Обучение сотрудников и пользователей хорошо запланировано: от архитекторов безопасности до ИТ-специалистов для сети, устройств и BCDR все были обучены, чтобы быть успешными с их ответственностью по предотвращению нарушений и восстановлению.

Дополнительные сведения из Cloud Adoption Framework для Azure см. в разделе "Планирование внедрения облака".

Этап готовности

Схема процесса внедрения для одной цели или набора целей с выделенным этапом

Используйте ресурсы, перечисленные в этой статье, чтобы определить приоритет плана. Работа по реализации предотвращения утечек и восстановления является одним из уровней в многоуровневой стратегии развертывания Zero Trust.

Поэтапный подход, рекомендуемый в этой статье, включает последовательную защиту от нарушений и восстановление и обеспечение работоспособности в систематическом режиме по всей вашей цифровой среде. На этом этапе вернитесь к этим элементам плана, чтобы убедиться, что все готово к работе:

  • Использование Microsoft Entra PIM проверено для учетных записей администраторов, а ИТ-администраторы обучены использовать его.
  • Сетевая инфраструктура протестирована для шифрования данных по мере необходимости, сегментирование для фильтрации доступа было проверено, а избыточные устаревшие сетевые технологии были определены и тесты запускаются, чтобы убедиться, что они удалены.
  • Практики обновления системы были проверены на успешность установки обновлений и обнаружение неудавшихся обновлений.
  • Вы начали анализ ваших внутренних рисков и как управлять ими
  • Ресурсы honeypot развертываются и тестируются вместе с инфраструктурой защиты от угроз для обнаружения доступа
  • Ваша инфраструктура и методики BCDR были протестированы на части данных

Этап внедрения

Схема процесса внедрения для одной цели или набора целей с выделенным этапом

Корпорация Майкрософт рекомендует каскадный итеративный подход к реализации предотвращения и восстановления нарушений. Это позволяет уточнить стратегию и политики по ходу, чтобы улучшить точность получаемых результатов. Нет необходимости ждать, пока один этап завершится до начала следующего. Ваши результаты будут эффективнее, если вы будете итеративно подходить к процессу.

Основными элементами этапа внедрения вашей организации должны быть:

  • Включение Microsoft Entra PIM для всех учетных записей администратора и других привилегированных учетных записей
  • Реализация шифрования сетевого трафика, сегментации и удаления устаревших систем
  • Развертывание ресурсов honeypot
  • Развертывание инфраструктуры управления исправлениями
  • Анализ ваших внутренних рисков и сопоставление их с управлением внутренними рисками
  • Развертывание и практика инфраструктуры BCDR для критически важных данных (этап 1) или всех бизнес-данных (этап 3)

Управление и контроль этапами

Схема процесса принятия для одной цели или набора целей с выделенным этапом управления и контроля.

Управление способностью вашей организации реализовать предотвращение нарушений и восстановление является итеративным процессом. Вдумчиво создавая план реализации и развертывая его по всей вашей цифровой среде, вы создали основу. Используйте следующие задачи, чтобы приступить к созданию первоначального плана управления для этой основы.

Цель Задачи
Отслеживание и измерение Назначьте владельцев критически важных действий и проектов, таких как обучение ИТ-администраторов и управление ресурсами honeypot, управление исправлениями, сетевая безопасность и процедуры BCDR.

Создавайте действенные планы с указанием дат для каждого действия и проекта и отслеживайте прогресс с помощью отчетов и панелей мониторинга.
Монитор — отслеживание запросов PIM и результирующего действия.
— мониторинг доступа к ресурсам honeypot.
— отслеживайте системы, которые должны быть исправлены, чтобы выявить сбои в установке обновлений.
— тестирование процедур BCDR для обеспечения целостности и полноты восстановления.
Итерация для достижения зрелости — Проведите аудит сетевой инфраструктуры, чтобы выявить и убрать дополнительные устаревшие системы.
— Адаптация инфраструктуры BCDR для новых ресурсов и функций.

Дальнейшие шаги

Для этого бизнес-сценария:

Дополнительные статьи в платформе внедрения нулевого доверия:

Ресурсы отслеживания хода выполнения

Для любого из бизнес-сценариев нулевого доверия можно использовать следующие ресурсы отслеживания хода выполнения.

Ресурс отслеживания хода выполнения Это помогает вам... Разработано для…
Скачиваемый файл Visio или PDF с сеткой этапов плана сценария внедрения

Пример плана и сетки этапов, показывающих этапы и цели.
Легко понять улучшения безопасности для каждого бизнес-сценария и уровня усилий для этапов и целей этапа плана. Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица.
Трекер внедрения нулевого доверия скачиваемая презентация PowerPoint

Пример слайда PowerPoint с этапами и целями.
Отслеживайте ход выполнения этапов и целей этапа плана. Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица.
Цели и задачи бизнес-сценария в загружаемой книге Excel

Пример листа Excel с этапами, целями и задачами.
Назначьте ответственность и отслеживайте прогресс на этапах, в достижении целей и задач в фазе планирования. Руководители проектов бизнес-сценариев, ИТ-руководители и ИТ-специалисты по внедрению.

Дополнительные ресурсы см. в разделе "Оценка нулевого доверия" и ресурсы отслеживания хода выполнения.