云平台安全响应机制概述.pptx

云平台安全响应机制概述技术创新，变革未来

目录

云平台安全和应急响应

更廉价的攻击负载(受控设备)平均价格区间PC-$0.13到$0.89移动端-$0.82到$2.78鱼叉式钓鱼每成功一个账号收取$100到$1,000不等0days价格从$5,000到$350,000勒索软件:预付$66或者30%的盈利用于遮掩IP地理位置的代理服务价格100,000个最低每周$100拒绝服务(DOS)平均价格每天:$102.05每周:$327.00每月:$766.67破解的账号最低4亿只需$150平均$0.97每千个.

现代化攻击链在不断演进综合性攻击被完全用于云端或影响混合环境密码扫描从云端执行恶意代码供应链攻击Exchange侦察Exchange/OneDrive渗透恶意OAuth应用

云平台安全响应启用多因素认证（MFA），阻止99.9%针对身份的攻击在构建生产环境同时设计启用安全特性SecureScore启用并保存日志，定期备份日志??关注官方公开信息并采取行动（https://aka.ms/SUG）云平台安全应急响应报告资源滥用、报告钓鱼邮件（https://cert.M）冷静分析追踪，补足短板

云平台安全响应利器和最佳实践ASC,MDATP,AAD,AzureSentinel

AzureSecurityCenter提供的解决方案

AzureSecurityCenter最佳实践（1）

AzureSecurityCenter最佳实践（2）

ASC案例{resourceType:VirtualMachine,AttackerIP:199.59.x.x,VictimIP:“x.x.x.x,AttackerPort:15796,VictimPort:389}发现虚拟机没有使用NSG进行访问控制，导致了安全漏洞。此前，ASC已经给出加固NSG及JIT的建议

MDATP提供的解决方案

MDATP管理员面板

使用MDATP响应安全事件

案例——Ryuk勒索软件攻击链检测

案例——AdvancedHunting//FinduseofBase64encodedPowerShell//IndicatingpossibleCobaltStrikeDeviceProcessEvents|whereTimestampago(7d)|whereInitiatingProcessFileName=~wmiprvse.exe’|whereFileName=~powershell.exeand(ProcessCommandLinehasprefix-eor ProcessCommandLinecontainsfrombase64)|whereProcessCommandLinematchesregex[A-Za-z0-9+/]{50,}[=]{0,2}’|projectDeviceId,Timestamp,InitiatingProcessId,InitiatingProcessFileName,ProcessId,FileName,ProcessCommandLine

AAD保护身份，检测异常ConditionalAccess及IdentifyProtection

AAD身份信息保护最佳实践利用ConditionalAccess对管理角色用户进行多因素认证对所有用户进行多因素认证对Azure的管理访问（Azureportal,AzurePowerShell,AzureCLI）登陆进行多因素认证禁用传统认证协议结合AADIdentityProtection，对高风险用户强制密码重置，对中风险及以上用户要求多因素认证对访问发起的地点进行限制只允许特定客户端访问特定服务对设备合规性进行要求风险用户风险登录利用IdentityProtection：设置MFA策略设置风险策略对风险采取控制确保AAD登录日志的保存期限符合安全审计及响应策略

案例——AAD身份信息保护3/10/2020:安全人员发现某台Azure虚拟机被异常开启，机器没有NSG网络安全组保护，暴露给Internet后遭遇攻击我们调查发现2020年第一次开机请求是通过用户A的AzurePortal应用发起，发起时间为1/22此后在3/5，3/6，3/7又由相同账号通过AzurePortal发起另外三次开机请求利用AAD登录日志发现了3/5，3/6，3/7的登录来源于合理的IP，并确认由用户A发起由于1/22的登录日志已经被冲涮掉，无法获取1/22登录的