8.2K Views
February 13, 24
スライド概要
2024年2月23日 以下に移動しました。
https://www.docswell.com/s/ishiayaya/598PRY-ems202402
実戦のサイバーセキュリティ教訓とMCRAに想う - MCRA = Microsoft Cybersecurity Reference Architecture - 2024年2月13日 石川 陽一
youtube.com/@YoichiIshikawa 石川 陽一 • • • • • • • • @ishiayaya Microsoft MVP for Data Platform - Power BI Since Sep. 2021 2022/7~アント・キャピタル・パートナーズ株式会社 ISACA 東京支部 副会長・理事 Power BI、Power Platform、M365 Defender 東京・町田在住、富山・奥中出身 心臓にIoTデバイスICD埋め込みあり コミュニティ M365セキュリティ&ゼロトラスト勉強会 コラボ・コミュニティ Power BI Weekly News with Yugo
ディスクレーマ等 意見は私石川陽一の私見です。 機能等の理解が浅い、間違い等を 含む可能性があります。
https://www.jnsa.org/seminar/nsf/2021/pro.html
2つの示唆 1) 有事の際は時間がないので操作に習熟し試しておく。 2) 脅威アクターの行動と対する防御策の意味を理解する。
2つの示唆 1) 有事の際は時間がないので操作に習熟し試しておく。 2) 脅威アクターの行動と対する防御策の意味を理解する。
Microsoft Defender for Endpoint 「デバイスを分離」 Microsoft Defender for Endpointのデバイスで応答アクションを実行する | Microsoft Learn https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/respondmachine-alerts?view=o365-worldwide&WT.mc_id=DP-MVP-5004418 「検出された攻撃に迅速に対応するには、デバイスを分離するか、調査パッケージを収集します。 デ バイスでアクションを実行した後、アクション センターでアクティビティの詳細をチェック」
Microsoft Defender for Endpointのデバイスで応答アクションを実行する | Microsoft Learn https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/respondmachine-alerts?view=o365-worldwide&WT.mc_id=DP-MVP-5004418
Microsoft Defender for Endpointのデバイスで応答アクションを実行する | Microsoft Learn https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/respondmachine-alerts?view=o365-worldwide&WT.mc_id=DP-MVP-5004418
2つの示唆 1) 有事の際は時間がないので操作に習熟し試しておく。 2) 脅威アクターの行動と対する防御策の意味を理解する。
前職時代は… いろいろ情報が入ってくる
中小企業を中心とした世界に転職後は… 外部の情報が少ない 従業員数は 1/3が大企業
MCRA https://aka.ms/MCRA
MCRA Microsoft Cybersecurity Reference Architecture ✓ サイバーセキュリティ対策理解のための強い味方 ✓ MCRA自体も進化し続けている • 2017 1枚のスライドから by Mark Simos
Cybersecurity Reference Architecture Security Operations Center (SOC) Incident Response Logs & Analytics Managed Security Provider UEBA Analytics SIEM Security Development Lifecycle (SDL) Investigation and Recovery Internet of Things Active Threat Detection Hunting Enterprise Teams Threat ATA OMS PADS Unmanaged & Mobile Clients NGFW Office 365 ATP • Email Gateway • Anti-malware Detection Express Route Colocation Enterprise Servers Shielded VMs VMs Security Appliances IPS Identity & Access SIEM Integration Microsoft Azure • Threat Protection • Threat Detection VPN Windows Server 2016 Security Shielded VMs, Device Guard, Credential Guard, Just Enough Admin, Hyper-V Containers, Nano server, … VMs Azure AD Multi-Factor Authentication Azure Key Vault Azure App Gateway MIM PAM Azure Antimalware ATA ESAE Active Admin Forest Directory Privileged Access Workstations (PAWs) IoT Office 365 DLP Azure AD PIM Hello for Business VPN WEF Cloud App Security Azure Information Protection (AIP) • • • • Classify Label Protect Report Hold Your Own Key (HYOK) Network Security Groups Domain Controllers $ Sensitive Workloads Information Protection Identity Protection Azure Security Center Extranet Lockbox Conditional Access Edge DLP SSL Proxy ASM Azure Active Directory Intune MDM/MAM On Premises Datacenter(s) Office 365 80% + of employees admit using non-approved SaaS apps for work (Stratecast, December 2013) Classification Labels Vulnerability Managemen t Software as a Service Managed Clients Windows 10 Legacy Windows Mac EDR - Windows Defender ATP OS EPP - Windows Defender System Center Configuration Manager + Intune Endpoint DLP SQL Encryption & Firewall • • • • • Windows 10 Security • Device Health Secure Boot Attestation Device Guard Application Guard • Remote Credential Guard Credential Guard Windows Hello Structured Data & 3rd party Apps Disk & Storage Encryption DDoS attack mitigation Backup and Site Recovery Last updated March 2017 – latest at http://aka.ms/MCRA Certification Authority (PKI) Windows Info Protection Nearly all customer breaches that Microsoft’s Incident Response team investigates involve credential theft 63% of confirmed data breaches involve weak, default, or stolen passwords (Verizon 2016 DBR)
MCRA Microsoft Cybersecurity Reference Architecture ✓ サイバーセキュリティ対策理解のための強い味方 ✓ MCRA自体も進化し続けている • 2017 1枚のスライドから by Mark Simos • 2018~2019 1枚のアップデート
Security Operations Center (SOC) Cybersecurity Reference Architecture Incident Response, Recovery, & CyberOps Services Microsoft Threat Experts April 2019 – https://aka.ms/MCRA | Video Recording | Strategies Software as a Service Office 365 Secure Score Azure Sentinel – Cloud Native SIEM and SOAR (Preview) Cloud App Security Vuln Mgmt Azure Microsoft Security Center Office 365 Defender Azure Present Slide Advanced Threat Protection (ATP) MSSP Roadmaps and Guidance This is interactive! Securing Privileged Access Hover for Description Graph Security API – 3rd Click for more information Party Integration Customer Lockbox Dynamics 365 Office 365 Security Rapid Cyberattacks (Wannacrypt/Petya) Information Protection Alert & Log Integration Identity & Access Azure Active Directory Conditional Access – Identity Perimeter Management Unmanaged & Mobile Devices Hybrid Cloud Infrastructure On Premises Datacenter(s) Cloud App Security Microsoft Azure 3rd party IaaS Azure Security Center – Cross Platform Visibility, Protection, and Threat Detection Configuration Hygiene Classification Labels Clients Intune MDM/MAM Managed Clients Extranet Just in Time VM Access Azure Firewall NGFW Edge DLP Security Appliances SSL Proxy Azure Policy IPS/IDS Azure Key Vault Microsoft Defender ATP Secure Score Threat Analytics Windows 10 Enterprise Security Network protection Credential protection Exploit protection Reputation analysis Full Disk Encryption Attack surface reduction App control Isolation Antivirus Behavior monitoring S Mode Intranet Servers Express Route System Center Configuration Manager Adaptive App Control Window 10 + Just Enough Admin, Hyper-V Containers, Nano server, and more… VMs IoT Security Maturity Model Windows 10 IoT Azure IoT Security Azure Sphere Azure Antimalware IoT Security Architecture Included with Azure (VMs/etc.) Premium Security Feature Security Development Lifecycle (SDL) Behavioral Analytics Classify Azure AD PIM Protect Multi-Factor Authentication Monitor Hold Your Own Key (HYOK) AIP Scanner Office 365 Data Loss Protection Data Governance eDiscovery Application & Network Security Groups Disk & Storage Encryption Privileged Access Workstations (PAWs) Leaked cred protection Azure AD B2B Azure AD B2C Hello for Business Backup & Site Recovery Azure Stack IoT and Operational Technology Discover Azure WAF Windows Server 2019 Security Shielded VMs Azure Information Protection (AIP) Azure AD Identity Protection Confidential Computing DDoS attack Mitigation+Monitor Azure SQL Threat Detection SQL Encryption & Data Masking Azure SQL Info Protection MIM PAM Azure ATP Active Directory ESAE Admin Forest Microsoft Defender ATP Compliance Manager Trust Center Intelligent Security Graph
MCRA Microsoft Cybersecurity Reference Architecture ✓ サイバーセキュリティ対策理解のための強い味方 ✓ MCRA自体も進化し続けている • 2017 1枚のスライドから by Mark Simos • 2018~2019 1枚のアップデート • 2021 65枚のスライドに拡大→ ゼロトラストに焦点 • 2023 95枚のスライドにさらに拡大
以下MCRAの参考訳です。 正確には原文をご参照ください。 https://aka.ms/MCRA
攻撃の連鎖を超えた防御 内部と外部の脅威 2023年12月 - https://aka.ms/MCRA Defender for IoT (& OT) Defender for Office 365 フィッシング 添付ファイルを メール 開く IoTデバイス環境を 破壊する Microsoft Entra ID Protection OT環境の破壊 ブルートフォースア カウント、または盗 んだアカウント認証 情報を使用する。 Defender for Endpoint URLをクリック Webサイト 閲覧 搾取 インストール Defender for Identity 攻撃者が機密デ ータにアクセス 攻撃者が収集する 偵察と設定データ アタッカーは横方向の 動きを試みる。 先行指標 違反歴 データの流出 ユーザーアカウント の漏洩 Defender for Cloud 威 外部脅 ク ーリス ダ サイ イン コマンド 制御 Defender for Cloud Apps Insider risk management 危険なドメイン 特権アカウントの 侵害 データ漏洩 注意散漫と不注意 不満または幻滅 ストレス要因にさらされる 内部関係者が機密 データにアクセス 異常な活動を検出 妨害行為の 可能性
攻撃者は最もコスト/抵抗の少ない道を選ぶ アンチパターン:攻撃者が計画された経路をたどると信じる ディフェンダーは次のことに集中し なければならない。 A. 強力なセキュリティ管理+効果的な配置 B. 攻撃への迅速な対応 C. コントロールを継続的にテスト・監視する
攻撃者の視点:経験と「戦争の霧」によって形成される 攻撃者は、目に見えるもの、知っているもの、推測できるものを利用する。 高い NGFW、IDS/IPS、DLPが あるようだ。 低い 彼らの管理者に賭ける 1. 管理ワークステーションか ら電子メールをチェックす る 2. より高給の求人はリンクを クリック 見つかったパスワード.xls 管理者へのフィッシングメール では、管理者がサービスア カウントのパスワードをス プレッドシートに保存して いるかどうか見てみよう...。
セキュリティ投資を戦略的に位置づける 攻撃者にとって最も簡単で最も影響の大きい経路のコストと摩擦を高める。 機密データの保護と監視 • ビジネス、テクノロジー、セキュリティの各チームとともに 、ビジネスに不可欠な資産を発見する • セキュリティ保護と監視プロセスを強化する • Azure Information Protectionでデータを暗号化する password.xlsの「プロセス」を次のよ うに置き換える。 • PIM/PAM • ワークロードのアイデンティティ セキュリティ・オペレーションを近代 化する • アイデンティティ、エンドポイント( EDR)、クラウドアプリ、その他の経路 にXDRを追加する。 • エンドポイントとID認証フローについて SecOpsアナリストをトレーニングする 厳格なセキュリティ衛生管 理 • ラピッド・パッチ • セキュアな構成 • セキュアな業務慣行 特権アカウントを保護する 管理者には別アカウントを要求し、 MFA/パスワードレスを実施する。 特権アクセス・ワークステーション (PAW) + 条件付きアクセスで強制する
外はヤバい! 攻撃者のテクニック、 ビジネスモデル、スキ ルやテクノロジーは絶 えず進化している。 インターネット上の "悪い地域 "での販売 雇われアタッカー(1回につき) その他のサービス 1件につき250ドル 継続的な攻撃サプライ チェーンの革新 ランサムウェア・キット 前金66ドル (または利益の30% / アフィリエイトモデル) 侵害されたPC/デバイス PC:0.13ドル~0.89ドル モバイル:0.82ドル~2.78ドル 雇われスピアフィッシング 100~1,000ドル (口座引き継ぎ成功につき) 盗まれたパスワード アタッカー 1,000人当たり0.97ドル(平均) (バルク:400Mで150ドル) サービス拒否 月額766.67ドル 多くの攻撃ツールやチュ ートリアル/ビデオがイ ンターネット上で無料で 入手できる。
脅威環境は絶えず進化している 攻撃者は(大なり小なり)防御を克服するために変化しなければならない リーディング・エッジ - 洗練されたグループや研究者によって推進される • • • • • • 人工知能(AI)の採用と活用 サプライチェーン技術 注意: 洗練された攻撃者は、コモディティツール OTとIoTの脅威 キットを使用して出所を隠すことがあります。 インサイダーリスク ステルス - IOC(Indicator of Compromise:侵害の兆候)やその他の検知を回避する。 既存のテクニックの改善 - Identity/MFAの進化、ゼロデイ脆弱性、LOB(Line of Business)アプリの悪用など。 コモディティ化 - 攻撃の規模と影響力の増大 • 犯罪組織は高度な技術をコピーまたは購入し、ツールキットに組み込む • 恐喝/ランサムウェア・モデルの経済的・社会的側面も進化させる アジャイル・セキュリティは、継続的な変化に対応するために必要である。
進化し続ける脅威 一貫性、可視化、優先順位付け、継続的な学習が必要 アタックチェーンモデル 広く深い可視性 ランサムウェアと恐喝 攻撃とテクニックを一貫して説明する アセットとテクニック全体に必要 国防の優先順位付けに影響を与えるべき MITREのアタックフレームワークを使 用して、検出範囲を評価し、可視性の ギャップを埋める計画を立てる。 PETEを使用して、インシデントを簡 単かつ一貫して説明する(ビジネスリ ーダーを含む) 資産の種類と一般的な攻撃パターンを 網羅した可視性とカバレッジの確保 ランサムウェア防御の優先順位を現実的に決め る https://aka.ms/humanoperated
攻撃の連鎖モデル 攻撃の段階を説明する PETE ビジネスリーダーや技術者以外のステークホルダー向けのシンプルなモデル MITRE ATT&CK フレームワーク ロッキード・マーチン キル・チェーン 技術的検知範囲の評価と計画のための詳細モデル レガシー参照モデル(横方向のトラバーサルを欠く) 準備 偵察 侵入 武器化 配送 攻撃 横断 インストール 偵察 C2(遠隔制御) 永続性 リソース調達 C2 初期アクセス 防御回避 特権のエスカレーション ディスカバリー クレデンシャル・アクセス 目的の実行 目的の達成 横の動き 流出 インパクト
ランサムウェアと恐喝攻撃 ランサムウェア/恐喝の進化 急速に多くの組織にとって最大の脅威となる 攻撃者のビジネスモデルの進化が原動力 影響と可能性の高い攻撃 アタッカーの高い収益性が大成長を牽引 一般的な攻撃パターンには弱点がある すべての恐喝は、(管理者権限で)資産へのアクセスを得ることに依存している。 ランサムウェアによる恐喝は、(バックアップによる)回復を拒否することに依存している。 守備の優先順位 まず攻撃者の動機とテクニックを破壊することに集中する。 aka.ms/HumanOperated
ランサムウェア・モデルの進化 (Not)Petya ペトヤ、ペチャ ワナクライ Cryptolocker 人為的に操作されるランサムウェア - 企業組織 オポチュニスティック・ランサムウェア - 単一デバイス 2013 2016 2017 2020 2013 - 新しいビジネスモデル 2019 - 恐喝の範囲を大幅に拡大 データにアクセスする必要性を強要 することで収益化(単一デバイス) 企業規模の攻撃(すべてのデータとシステム)、大規模 なビジネスの中断や機密データの漏洩を収益化する。
よくある攻撃パターン 人為的に操作されるランサムウェア 準備+入力 横展開 攻撃者が組織へのアク セス権を獲得 目的を実行する 攻撃者が組織の管理者権限を取得 暗号化 クライアント攻撃 電子メール、クレデンシャル、 ブラウザなど データのロック クレデンシャル盗難 正規のクレジットを使ってログオンする データセンター攻撃 RDP、SSH、サーバー、アプリ 流出 恐喝 データを盗む 金銭の要求 マルウェアのインストール など バックアップ/リカバリの妨害 持続性を確立する ランサムウェアの攻撃者は、ダークマー ケットで他の攻撃者から標的組織へのア クセス権を買うことがある。 人間攻撃オペレーター スクリプトとマルウェアによる支援
人為的に操作されるランサムウェア- 高い影響力と成長性 他の背景によるセキュリティリスクはない 何が違うのか? 恐喝は、支払いを動機づけるために事業運 営を混乱させなければならない。 事業活動の 停止 商品化された ランサムウェア 高いビジネスインパクト 攻撃者にとって有益 成長を続ける経済的インセンティブ 成長の余地 攻撃者は、ほとんどの企業でセキュリティ保守のギャップを 収益化することができる: すべてのコンピュータに一貫してセキュリティ更新プロ グラムを適用する メーカーのベストプラクティス ベストプラクティス 特権ユーザーのクレデンシャル盗難攻撃を軽減する 即座の影響は 限定的 商品 人為的に操作されるラン サムウェア 標的型データ盗難 コンピュータ1台あたりエンタープライズ・ワイド
Microsoft 365 E5の内容 製品名 製品ライセンスの詳細 2023年12月 - https://aka.ms/MCRA 製品カテゴリー セキュリティのモダナイゼーション・イニシアチブ 旧Microsoft Defender ATP、Windows Defender ATP、 Windows Defender Antivirus 拡張検出と応答(XDR) エンドポイント検出と応答(EDR) 脅威と脆弱性の管理(TVM) エンドポイント 保護プラットフォーム(EPP) • 現代のセキュリティ・オペレーション • インフラと開発 • セキュリティ衛生バックアップとパッチ適用 Microsoft Defender for Identity (MDI) 拡張検出と応答(XDR) 以前の製品名 Microsoft Defender for Endpoint (MDE) 旧Azure ATP Microsoft Defender for Office (MDO) 旧Office 365 ATP Microsoft Defender for Cloud Apps (MDCA) • 現代のセキュリティ・オペレーション 拡張検出と応答(XDR) • 現代のセキュリティ・オペレーション Cloud App Security Broker (CASB) 拡張検出と応答(XDR) • セキュアなアイデンティティとアクセス • 現代のセキュリティ・オペレーション • データ・セキュリティとガバナンス アクセス管理 • セキュアなアイデンティティとアクセス • 現代のセキュリティ・オペレーション 旧Microsoft Cloud App Security Entra ID(旧Azure AD) • • • • • 多要素認証 Microsoft Entra 条件付きアクセス セルフサービスのパスワード管理 アイデンティティ・ガバナンス 特権ID管理(PIM) Microsoft Purview • • • • コンプライアンス管理 データ・ライフサイクル管理 eディスカバリーと監査 インサイダーリスク管理 • データ・セキュリティとガバナンス Windows 10 & Windows 11 • Windows Hello for Business • Windows AutoPilot • 高度なWindowsセキュリティ Microsoft Intune • セキュアなアイデンティティとアクセス 統合エンドポイント管理(UEM) • セキュアなアイデンティティとアクセス
製品ファミリーは近代化イニシアチブを可能にする Security Strategy and Program Zero Trust Architecture Secure Identities and Access IoT and OT Security Infrastructure & Development Security Entra Modern Security Operations (SecOps/SOC) Data Security & Governance Defender Purview Sentinel Priva Security Copilot (Preview) Intune Azure
隔離は生涯のコミットメント 誤った安心感を生む「ファイヤーウォールして忘れる」アプローチは避ける 効果的な実施には、完全性と一貫性が必要である。 ビジネスプロセス、人材準備、すべての技術的管理(ネットワーク、ID、ア プリケーション、管理ツールなど)を整合させる。 孤立した環境 人 - すべての利害関係者(従業員、ベ ンダーなど)に分離戦略とその役割に ついて研修を行う。 テクノロジー - 不正な通信をブロック 現行のセキュリティ基準を満たすことが難しい、あるいは不可能 し、脅威を検出し、ブリッジング/ト 現在のセキュリティ基準 ランジット・デバイスを強化する。 高額資産 プロセス - ポリシー、ビジネスプロセ ス、技術的手順を確立し、監視し、更 新する。
コンピュータ・インターフェースの進化 より自然でネイティブな人間モデルへの進化 高度なタスクを遂行する能 力(とスピード ネイティブ コンピューター ネイテ ィブ 人間 生産的になるために必要なス キルと学習 ダイレクトプロ グラミング コマンド プロンプト グラフィカル・ユー ザー・インターフェ ース(GUI) チャット/会話 生成AIを使って
セキュリティにおけるAIの重要な意味 多面的なセキュリティ・リスクの管理 機械学習(ML)はすでにセキュリティ・データを処理している XDR、SIEM、姿勢管理、その他のツールへの統合 AIセキュリティ機能の採用 生成的AIの採用 サイバー防御と人間のスキルを強化する スキルを強化する(例:セキュリティ・コパイロット) AIアプリケーションとデータの保護 設計から生産までセキュリティを統合 データ システム 人間が生成したデータは 、AIモデルを訓練するた めの高価値な資産である カスタムモデルを 攻撃から守る 教育 政策 AIアプリのデザインと活用 外部AIの活用 攻撃者のAIを軽減する アタッカーAIから身を守り、ステ ークホルダーを教育するために、 アタッカーAIについて継続的に学 ぶ。
AI共有責任モデル どの責務が通常組織によって実行され、どの責務がAIプロバイダー(マ イクロソフトなど)によって実行されるかを示す。 IaaS PaaS SaaS (BYOモデル)(Azure AI) (コパイロット) ユーザー・トレーニングと説明責任 AIの使用 利用ポリシー、管理者コントロール アイデンティティ、デバイス、アクセス管理 データガバナンス AIプラグインとデータ接続 AIアプリケーション アプリケーションの設計と実装 アプリケーション・インフラ アプリケーション・セーフティ・システム モデル安全&セキュリティシステム モデル説明責任 AIプラットフォーム モデルのチューニング モデルの設計と実装 マイクロ ソフト モデル依存 共有 モデルトレーニング データガバナンス AIコンピュート・インフラ お客様
マイクロソフトのアプローチ テクノロジーの責任ある迅速な統合を重視 明確性を確立する: あなたのデータはあなたのデー タ 責任あるAI原則の導入 安全保障に対する最大のニー ズと機会を優先する
レビュー - 人工知能(AI) • ダイナミックな会話チャットは新しいインターフェース • • 技術を使いやすく、学びやすくする より高度な仕事ができるようになる AI世代の比較 • この技術に素早く適応することが重要 • • • AIを使用する攻撃者を教育し、その被害を軽減する。 AIのセキュリティ利用を受け入れる AIのビジネス利用を保護する • AIの安全確保は共有の責任 • マイクロソフトのAIへの取り組み • • • 明確性を確立する:あなたのデータはあなたのデータである 責任あるAI原則の導入 最初の安全保障の優先順位を最大のニーズに集中させる リソースと参考文献
まとめ 1) 有事になる前にMDEの操作等に習熟しよう。 2) MCRA脅威アクター等の学習をできるだけやろう。
今後のMicrosoft Securityに期待すること Microsoft Security Copilotの登場 https://learn.microsoft.com/ja-jp/security-copilot/
おまけ
石川 陽一のUdemyコース 2024年1月28日 更新 全てクーポンコードを付けておりますが、期限と発行数量に限りがあります。 本クーポンの案内コンテンツは定期的に更新します。 データ分析 / Microsoft Power BI • Power BIの基本 https://www.udemy.com/course/ishiayaya/?couponCode=PB202402 • Power BI サービスの全体像 https://www.udemy.com/course/power-bi-ishi2/?couponCode=PS202402 サイバーセキュリティ / Microsoft 365 Defender • 【ゼロトラスト】Microsoft Defender XDRの全体像 https://www.udemy.com/course/microsoft-365-defender/?couponCode=ZTA202402
ご清聴ありがとうございました。 be agile