最近の SolarWinds の攻撃は、 計算に値する瞬間です。今日、私たちは事件の内部調査を終了しましたが、世界中の防御者がより協調的な方法で世界を統合し、保護する緊急の機会を引き続き見ています.また、すべての企業がゼロ トラスト プランを採用して、将来の攻撃に対する防御を支援する機会もあると考えています。
マイクロソフト セキュリティ リサーチ センター(MSRC) は、Solorigate インシデントを通じて得られた知見とガイダンスを共有してきましたが、 本日、 内部調査の完了後、マイクロソフトのシステムが他者への攻撃に使用されたという証拠は確認されていないことを確認しました。また、本番サービスや顧客データへのアクセスの証拠もありませんでした。
ただし、この攻撃の懸念される側面は、セキュリティ会社が明確な標的であったことです。 Microsoft は、生産性向上ツールの広範な使用とセキュリティにおけるリーダーシップを考えると、もちろん初期の標的でした。
しかし、この非常に洗練された国家の攻撃者が門を突破することができた一方で、彼らは人間とデジタルの防御者からなる統一チームに遭遇しました。当社、顧客、およびパートナーに対するこのインシデントの範囲と影響を制限できた理由はいくつかありますが、最終的には、セキュリティに対するいくつかの基本的な方法に要約されます。
これらのアプローチは、急速に進化する高度な脅威の状況をまとめてナビゲートするため、すべての IT およびセキュリティ チームにとって好機であると考えています。
ゼロトラストの考え方を採用する
重要なアクションは を実装する ゼロ トラスト アーキテクチャ。このアプローチでは、企業は、信頼できるユーザーによるものであっても、すべてのアクティビティがシステムへの侵入を試みる可能性があると想定する必要があり、企業が行うすべてのことは、その想定に基づいて設計する必要があります。
これらの蔓延する脅威を防ぐために、 組織が展開することをお勧めします ゼロトラスト アーキテクチャと多層防御の保護、コード、コーディング ツール、電子メール、クラウド アプリ、エンドポイント、ID、開発者コミュニティ、防御製品など、すべてにレイヤー ケーキのような防御をインストールします。
ゼロ トラストは積極的な考え方です。会社のすべての従業員が 仮定する 攻撃者は、脅威をモデル化し、緩和策を実装して、潜在的なエクスプロイトが拡大しないようにします。多層防御の価値は、攻撃者が破ろうとする可能性のある重要な領域にセキュリティが組み込まれていることです。コード レベルから始めて、エンド ツー エンドの方法ですべてのシステムに拡張されます。
お客様へのご案内: 企業がゼロトラスト体制を展開し、暗黙の信頼から明示的な検証に移行することを検討する際に考慮すべき最初のステップは、ID、特に特権ユーザー アカウントの保護です。脆弱なパスワードや多要素認証の欠如など、ID (またはユーザーの資格情報) を保護する際のギャップは、攻撃者がシステムに侵入し、ステータスを昇格させ、電子メール、ソース コード、重要なデータベースをターゲットとする環境全体を横方向に移動する機会となります。もっと。これは、Solorigateで、多要素認証のない放棄されたアプリ アカウントを使用して、高い権限でクラウド管理設定にアクセスしたときに確認されました。特権 ID とアクセスの保護について詳しく知るには、 特権アクセスのセキュリティ保護の概要に関する投稿を参照してください。 Microsoft ドキュメント.
クラウドを受け入れる
また、オンプレミス ソフトウェアよりもクラウド テクノロジの重要性を再認識しました。 Microsoft 365、Azure などのクラウド テクノロジ、およびこれらのソリューションの一部として利用できるサービスの追加のプレミアム レイヤーは、防御側が自身の環境を保護する能力を向上させます。
今日の高度な脅威には、ベースラインの保護層では不十分です。防御戦略は、リモート ワーカーの保護の複雑さを考慮しながら、ますます巧妙化するこれらの攻撃に対応する必要があります。を検出できる高度な保護レイヤーについて考えていない場合は、 ID、電子メール、クラウド アプリ、およびエンドポイントにわたる攻撃を防止して対応する場合、窓を開けたままドアをロックしている可能性があります。 Microsoft からは、 Azure Active DirectoryやMicrosoft 365 Defenderなどのテクノロジを検討してください。
現在共有できるセキュリティ対策の最も重要なガイダンスの1 つは、セキュリティ ベンダーが誰であるかに関係なく、階層化することです。
さらに、 Microsoft クラウドを使用すると、ほとんどの企業が独自に開発できなかった業界をリードする脅威インテリジェンス、強力な AI、機械学習、および多層防御機能を利用できます。 Microsoftのプラットフォームとサービスは、毎日8 兆を超えるセキュリティ シグナルを評価し、Microsoft が防御側の負担を軽減できるようにしています。当社のテクノロジーは、より大きな問題を表している可能性があるセキュリティ アラートを表示して関連付けたり、独自の脅威の専門家とオンデマンドで問題を修復したりできます。一例として、2020 年には 300 億件を超える電子メールの脅威がMicrosoft クラウド テクノロジによってブロックされました。
お客様へのご案内: お客様が考慮すべきことの 1 つは、クラウドからの ID とアクセスの管理です。認証サーバーなどのオンプレミス サービスに依存する場合、ID インフラストラクチャを保護するのは顧客次第です。 Azure Active D irectoryのようなクラウド ID を使用して、ID インフラストラクチャをクラウドから保護します。当社のクラウド スケールの機械学習システムは、数兆を超えるシグナルをリアルタイムで推論します。そのため、誰も見ることができない攻撃を検出して修復することができます。
擁護者のコミュニティを強化する
最後に、防御者コミュニティ全体を強化し、力を与える上で、私たち全員が果たすべき重要な役割があることを私たちは知っています。 12 月にFireEye が最初に「グローバルな侵入キャンペーン」をコミュニティに警告したとき、この共有が実際に行われているのを見るのは素晴らしいことでした。
マイクロソフトでは、お客様やパートナーとのコミュニケーションと協力最優先事項です.オーバートン彼は過去数週間、マイクロソフト全体のセキュリティ チーム (マイクロソフト脅威インテリジェンス センター/MSTIC、Microsoft 検出および対応チーム/ダーツ、マイクロソフト サイバー ディフェンス オペレーション センター/CDOC とマイクロソフト セキュリティ レスポンス センター/MSRC) 毎日会った顧客やパートナーと直接協力して情報を共有し、対応しました。 We は、最新の脅威インテリジェンス、侵害の痕跡 (IOC) を共有し、技術的なガイダンスとベスト プラクティスを含む 15 以上のブログを公開しました。s、関連する可能性のある活動を顧客に通知しました。また、セキュリティ トライアルも提供しました。この脅威に対抗するために必要なツールを組織に提供するエンド ツー エンドの製品ポートフォリオ。
この共有は、コミュニティ全体にとって非常に貴重です。
お客様へのご案内: 私たちは、あらゆる規模のすべての企業がコミュニティと協力することを奨励しています 情報を共有し、防御を強化し、攻撃に対応します。私たちに参加 Microsoft Security and Compliance Tech Communityでは、さまざまなコミュニティ ディスカッションを開始または参加できます。
セキュリティは完璧を超える進歩の旅であり、これら 3 つのアプローチが連携して機能することで、私たちは皆、世界をより安全で安全なものにすることができます。
Comments