CRSP: お客様のそばでサイバー攻撃と戦う緊急チーム

CRSPとは？

Microsoft Global Compromise Recovery セキュリティ プラクティス。

CRSPとは？

私たちは、ほとんどの国、すべての組織 (官民) で活動するサイバーセキュリティ専門家の世界的なチームであり、セキュリティ侵害後の環境を保護し、侵害を最初から防ぐための深い専門知識を備えています。

Microsoft の幅広いサイバーセキュリティ部門のスペシャリスト チームとして、主にお客様の事後対応型セキュリティ プロジェクトに注力しています。私たちが行う主なプロジェクトの種類は次のとおりです。

• 侵害からの回復: 侵害後、顧客は環境の制御を取り戻すことができます。
• ランサムウェアの迅速な回復: ビジネスに不可欠なアプリケーションを復元し、ランサムウェアの影響を制限します。
• 高度な脅威ハンティング: 環境内の高度な脅威アクターの存在を積極的に探します。

技術的な専門知識と経験による事後対応型の作業に加えて、有名な顧客と積極的に協力して、敵が誰であろうと、何であろうと、顧客を安全に保つように支援することもあります。

妥協の回復は、環境から悪意のある攻撃者の制御を取り除き、設定された期間内に戦術的にセキュリティ体制を強化するプロセスです。侵害の回復は、セキュリティ侵害後に行われます。この是正活動は、多くの場合、 Microsoft DARTの同僚または他のサードパーティのフォレンジック インシデント対応の専門家による調査に従います。これらの調査結果を復旧作業に組み込み、お客様が制御を取り戻すことを目的として、お客様の環境を可能な限り安全にするよう取り組んでいます。

ランサムウェアの迅速な回復とは、組織が高度なランサムウェアの標的になった場所であり、通常は人間が操作し、特定の組織を標的にしています。 Azure Active Directory などの運用に不可欠なビジネス システムの復旧を支援し、環境全体でランサムウェアの露出を制限するために懸命に取り組んでいます。これらのプロジェクトは通常、時間に非常に敏感であり、攻撃を封じ込めるために多大な労力を必要とします。

高度な脅威ハンティングにより、Microsoft のセキュリティ ツールの専門知識を環境に取り入れて、高度な脅威アクター (高度な持続的脅威 (APT) と決定的な人間の敵) を積極的にハンティングします。お客様の既存のセキュリティ プロセスの範囲内で作業を行い、内部のセキュリティ機能と信頼を向上させることができます。その一環として、調査結果を提供し、セキュリティをさらに強化する方法について実用的かつ現実的なアドバイスを提供し、追加の戦術的手順が必要かどうかを提案します。

歴史的に、私たちは存在を秘密にしてきました。私たちの活動は、Microsoft の内部でのみ公開されました。ますます多くのサイバーセキュリティ インシデントが発生していることを考えると、Microsoft のセキュリティ ストーリーのどこに位置するかを世界に知らせる時が来たと考えました。

私たちは、お客様を支援するためのアプローチに柔軟に対応しています。 CRSP サイバーセキュリティの専門家にとって、旅行や長期にわたる家から離れて、注目を集める問題でプレッシャーのかかる状況で働くことは、通常のことであり、頻繁に行われます。また、これらのエンゲージメントを完全にリモートで提供することにも慣れており、効率的です。

CRSP はコントロールを取り戻すチームです。

お客様をどのように支援しますか?

マイクロソフトでは、誰もが「 違反を想定する」という考え方を維持することを推奨しています。残念ながら、私たちが協力している顧客にとっては、侵害があったことを知っており、攻撃者が行うことができる最悪の事態をしばしば目にします.

昨年、私たちは暗号化マルウェアによって環境全体が利用できなくなり、国家の攻撃者が環境内で秘密の管理永続性を維持しているという問題に対処してきました。お客様がコントロールを取り戻すお手伝いをします。マイクロソフトは常にお客様と協力して、リスクを排除、緩和、および軽減することにより、コンピューティング環境における正当な制御を回復し、信頼を確保します。

多くの場合、私たちの範囲は、組織にとって最も重要な資産 (Azure Active Directory、Exchange、証明機関など) を保護することです。これらの資産の損失は、最大の影響をもたらし、したがって最大のリスクを伴います。

私たちの仕事の一部は、アクティビティが必要な既存の環境とアイデンティティを深く分析することです。この調査は、これまで機会がなかった方法で資産を理解するのに役立つため、役に立ちます。

これらの高価値資産の管理を取り戻すことが私たちの目標です。戦術的なアプローチを採用することで、露出を最小限に抑える安全で持続可能な変更を実装することで、フォローアップ攻撃のリスクを軽減し、違法な制御と強化システムを完全に排除します。これは、通常は数週間で測定される特定の時間枠内で行われます。より緊急の危機のために、私たちは数時間で活動しました。

私たちは、管理を維持する持続可能性を私たちの役割の重要な部分と考えています。この制御は、攻撃者を排除するだけでなく、その後の攻撃のリスクを軽減するため、維持できる必要があります。お客様の環境をより安全にするための深い技術的専門知識を提供します。 CRSP を使用することのもう 1 つの利点は、お客様に真のセキュリティ管理の考え方を任せることが多いことです。

非常に多くのお客様の支援に基づいて、環境を保護するために何が有効で何が有効でないかを理解しています。いくつかのことは重要かもしれませんが、コントロールを取り戻すために厳密に必要というわけではありません.セキュリティを向上させる上でこれらのことが重要ではないというわけではありません。中長期計画の一環として、これらのオプションを正しく特定し、セキュリティ ジャーニーをさらに進めるための計画を立てるお手伝いをします。

私たちはそれぞれの専門分野の専門家であるチームを連れてきますが、私たちは決して一人で仕事をすることはありません。 Microsoft の幅広い同僚や、時にはパートナーやサード パーティと協力して、追加の脆弱性やセキュリティ インシデントを特定しています。私たちは、あなたとあなたのセキュリティチームが、私たちが去った後もあなたのセキュリティを維持できるように支援します.

通常、当社のサービスは、通常のカスタマー サービスおよびサポート ルートを通じて、または Microsoft アカウント管理チームを通じて提供されます。

お客様が当社のサービスを必要としないことを願っています。しかし、もしそうなら、あなたは安全な手にあることを知ってください.

安全な管理パス

ほとんどの敵対者は、Azure Active Directory と管理者を追跡することを何度も文書化してきました。彼らは、これらが完全な制御を得る最良の機会を与えることを知っているからです。管理パスを保護すると、敵対者による乗っ取りがはるかに難しくなります。

管理ワークステーション、クレデンシャルの衛生状態、および階層モデルの実装は、非常に役立ちます。さらに、セキュリティ機能と管理機能を連携させることは、お客様に推奨することです。

硬化

未使用のサービスをオフにし、ホストベースのファイアウォールを実装し、ネットワーク レベルの暗号化を実行し、未使用のソフトウェアを削除し、ソフトウェアを最新の状態に保ち、未使用のアカウントを削除し、証明書ストアを確認します。すべてのハイパーバイザーまたはストレージ ネットワークに対して同じことを忘れずに行ってください。相互依存の制御を減らし、 ゼロ トラストによる徹底的な防御を採用する必要があります。

パッチ適用サイクルは、数週間ではなく時間単位で測定する必要があります。ビジネスに不可欠なアプリケーションは、古いソフトウェア、ハードウェア、またはファームウェアで実行するべきではありません。エクスプロイトとゼロデイは、数時間、場合によっては数分以内に「野生」で購入されるため、できるだけ早くパッチを適用することが不可欠です。このアプローチでは、攻撃面を大幅に制限しています。

インサイトとモニタリング

自分の環境で何が正常で、何が正常でないかを理解します。これを行うには、適切な監視と包括的なベースラインが必要です。

監視とは、従来のセキュリティ インシデントだけを見るのではなく、管理者パスへの露出を見つけることであることを理解してください。システムのパフォーマンスを監視し、ログが正しく記録されていることを確認します。このデータを見ている人が、正常と異常の違いを理解していることを確認してください。これらのプロセスは、常にセキュリティ オペレーションに含まれているとは限らないため、これを追加することが重要です。 AI を使用すると、通常のユーザーの行動に対する可視性を大幅に向上させることができます。これらの行動に関するアラートを (自動緩和機能を使用して) 作成することで、インフラストラクチャと関連コンポーネントを保護する上で有利なスタートを切ることができます。

正常ではない、または疑わしい問題に迅速かつ効率的に対応します。

全体的な結論

結局のところ、サイバーセキュリティとは、組織内の全員が採用し、受け入れ、サポートする必要がある考え方に関するものです。すべてのドアをロックし、アラームを設置し、CCTV を配置することはできますが、全員がドアをロックしてアラームをオンにすることを忘れない限り、安全性は高くありません。

もっと詳しく知る

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。