マイクロソフトのセキュリティ エキスパートは、侵害から回復した後の次の手順を概説します

CRSPとは?

Microsoft Compromise Recovery Security Practice (CRSP) は、公的組織と民間組織の両方のほとんどの国で活動しているサイバーセキュリティ専門家の世界的なチームであり、セキュリティ侵害後の環境を保護し、侵害を最初から防止するのに役立つ深い専門知識を備えています。 . Microsoft の幅広いサイバーセキュリティ部門のスペシャリスト チームとして、主にお客様の事後対応型セキュリティ プロジェクトに注力しています。私たちが行う主なプロジェクトの種類は次のとおりです。

  • 侵害からの回復: 侵害後、顧客は環境の制御を取り戻すことができます。
  • ランサムウェアの迅速な回復: ビジネスに不可欠なアプリケーションを復元し、ランサムウェアの影響を制限します。
  • 高度な脅威ハンティング: 環境内の高度な脅威アクターの存在を積極的に探します。

セキュリティ プロセスを更新する方法

金曜日の午後。いつも金曜日の午後です。電話が鳴り、さらに別の組織が、データの損失からランサムウェアまで、IT の完全な故障に見舞われました。 CRSP チームが契約を結び、作業を開始します。魔法のように働くこともあれば、運がいいこともあれば、非常に大変な作業をすることもあります。最終的には、安定した安全な環境にたどり着きます。しかし、その後、組織はどうなるでしょうか。

一般に、妥協の回復とは、過去数年間に実装されるべきであった多くのセキュリティ変更を、通常は 6 週間で強制的に実施することを意味します。それは強烈で、管理者の働き方やシステムの崩壊の仕方を変えます。主な目標は、コントロールを取り戻し、そのコントロールを維持し、この考え方を顧客に追加することです。

簡単で、レガシーアプリへの依存のために機能し、安価であるという理由だけで、不注意な操作手順の多くのケースを見てきましたが、それらはすべて、攻撃者がシステムを悪用するために必然的に開かれています.かなり最近のケースでは、最低入札者が IT 環境の管理を取得し、すべてのサポート エンジニアにドメイン管理者アクセス権を付与して、どこからでもサインインできるようにしました。そのため、従業員が電子メールの添付ファイルを誤ってクリックすると、攻撃者は即座にドメイン管理者のアクセス権を取得し、乗っ取りはすぐに実行されました。クリックから数時間後、環境は暗号化されました。

多くの技術的な変更を行ったとしても、重要なのは環境を管理する際の新しいプロセスと手順です。階層モデル、特権アクセス ワークステーション、および同様のツールは配信の一部ですが、新しいマシンの展開方法、管理者アカウントの使用方法、およびすべての監視方法に関する厳密な手順も含まれています。

モニタリングは、多くのお客様にとって大きなゲームチェンジャーです。はい、彼らは現在、 セキュリティ情報およびイベント管理 (SIEM)システムを持っているかもしれませんし、環境から情報を収集するセキュリティ オペレーション センター (SOC) を持っているかもしれません。アクティブな攻撃者に追いつくのに苦労しています。ツールをデプロイするときは、それらに加えてモニタリングも推進しており、モニタリング、AI、機械学習を適切に使用する方法、何を探すべきか、どのように自動化を開始できるかについて、お客様にトレーニングを開始しています。応答。

プロジェクトを終了すると、お客様はアップグレードされた管理環境を手に入れるだけでなく、最初は難しいと感じるかもしれない一連の新しいプロセスに従う必要があります。しかし、それらのプロセスに従わなければならないスタッフが文句を言うことはめったにありません。配信の一部は、攻撃者が環境を乗っ取るために何をしたかについての教育です。このトレーニングにより、適切なツールを使用する管理者にとって厄介で困難なすべてのことは、ハッカーにとってほぼ不可能であるという洞察が得られます。特権アクセス ワークステーション、多要素認証、ID の監視などはすべて適切な場所にあります。

何度もテストされてきたMicrosoft セキュリティ プロセスに従って、お客様と一緒に復旧を成功させ、より安全な環境に向けた新しい旅に乗り出すのを支援してきました。

もっと詳しく知る

CRSP の他のブログ:

Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してくださいセキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参照: https://www.microsoft.com/en-us/security/blog/2022/05/10/microsoft-security-experts-outline-next-steps-after-compromise-recovery/

コメント

タイトルとURLをコピーしました