Azure-Features und -Ressourcen für Schutz, Erkennung und Reaktion auf Ransomware-Angriffe

Microsoft hat in native Azure-Sicherheitsfunktionen investiert, mit denen sich Organisationen gegen Ransomware-Angriffstechniken wehren können, die sowohl bei umfangreichen, alltäglichen Angriffen als auch bei spezifischen, gezielten Angriffen zu finden sind.

Wichtige Funktionen sind:

• Native Bedrohungserkennung: Microsoft Defender für Cloud bietet hochwertige Funktionen zur Erkennung von Bedrohungen und Reaktion darauf, die auch als Extended Detection and Response (XDR) bezeichnet werden. Das hilft Ihnen bei Folgendem:
  • Vermeiden der Verschwendung von Zeit und Talent knapper Sicherheitsressourcen, um benutzerdefinierte Warnungen mithilfe unformatierter Aktivitätsprotokolle zu erstellen
  • Sicherstellen einer effektiven Sicherheitsüberwachung, die es Sicherheitsteams oft ermöglicht, die Nutzung von Azure-Diensten schnell zu genehmigen
• Kennwortlose und Multi-Faktor-Authentifizierung: Die Multi-Faktor-Authentifizierung von Microsoft Entra, die Microsoft Entra-Authenticator-App und Windows Hello bieten diese Funktionen. Dies trägt zum Schutz von Konten vor häufig auftretenden Kennwortangriffen bei (die 99,9 % der in Microsoft Entra ID festgestellten Identitätsangriffe ausmachen). Zwar ist keine Sicherheit perfekt, aber die Beseitigung von Angriffsvektoren, die nur auf Kennwörtern beruhen, senkt das Risiko von Ransomware-Angriffen auf Azure-Ressourcen erheblich.
• Native Firewall und Netzwerksicherheit: Microsoft hat native DDoS-Angriffsminderungen, Firewall, Web Application Firewall und viele andere Kontrollen in Azure integriert. Diese „Sicherheit als Dienst“ vereinfacht die Konfiguration und Implementierung von Sicherheitskontrollen. Damit haben Organisationen die Wahl zwischen nativen Diensten oder virtuellen Geräteversionen bekannter Anbieterfunktionen, um ihre Azure-Sicherheit zu vereinfachen.

Microsoft Defender für Cloud

Microsoft Defender für Cloud ist ein integriertes Tool, das Bedrohungsschutz für Workloads bietet, die in Azure, lokal und in anderen Clouds ausgeführt werden. Es schützt Ihre Hybriddaten, nativen Clouddienste und Server vor Ransomware und anderen Bedrohungen. Außerdem kann es in Ihre vorhandenen Sicherheitsworkflows wie Ihre SIEM-Lösung und die umfassende Threat Intelligence von Microsoft integriert werden, um die Bedrohungsminderung zu optimieren.

Microsoft Defender für Cloud bietet Schutz für alle Ressourcen direkt innerhalb der Azure-Umgebung und erweitert den Schutz auf lokale Computer und virtuelle Computer mit mehreren Clouds sowie auf SQL-Datenbanken mit Azure Arc:

• Schützt Azure-Dienste
• Schützt Hybridworkloads
• Optimiert die Sicherheit mit KI und Automatisierung
• Erkennt und blockiert erweiterte Schadsoftware und Bedrohungen für Linux- und Windows-Server in jeder Cloud
• Schützt cloudnative Dienste vor Bedrohungen
• Schützt Datendienste vor Ransomware-Angriffen
• Schützt Ihre verwalteten und nicht verwalteten IoT- und OT-Geräte mit kontinuierlicher Ressourcenermittlung, Sicherheitsrisikomanagement und Bedrohungsüberwachung

Microsoft Defender für Cloud bietet Ihnen die Tools zum Erkennen und Blockieren von Ransomware, erweiterter Schadsoftware und Bedrohungen für Ihre Ressourcen.

Der Schutz Ihrer Ressourcen ist eine gemeinsame Aufgabe, die von Ihrem Cloudanbieter (Azure) und Ihnen selbst (dem Kunden) wahrgenommen wird. Sie müssen sicherstellen, dass Ihre Workloads bei der Umstellung auf die Cloud geschützt sind. Bei der Umstellung auf IaaS (Infrastructure-as-a-Service) erhöht sich gegenüber PaaS (Platform-as-a-Service) und SaaS (Software-as-a-Service) außerdem die Verantwortung des Kunden. Mit Microsoft Defender für Cloud erhalten Sie die Tools, die Sie zum Absichern Ihres Netzwerks, Schützen Ihrer Dienste und Sicherstellen der Aktualität Ihres Sicherheitsstatus‘ benötigen.

Microsoft Defender für Cloud ist ein vereinheitlichtes Sicherheitsverwaltungssystem für Infrastrukturen, mit dem der Sicherheitsstatus Ihrer Rechenzentren gestärkt wird und ein erweiterter Schutz vor Bedrohungen für Ihre Hybridworkloads in der Cloud (in Azure oder anderswo) und in der lokalen Umgebung bereitgestellt wird.

Mit dem Bedrohungsschutz von Defender für Cloud können Sie Bedrohungen auf IaaS-Ebene (Infrastructure-as-a-Service), für Azure-externe Server und auf PaaS-Ebene (Platform-as-a-Service) in Azure erkennen und verhindern.

Der Bedrohungsschutz von Defender für Cloud umfasst eine Fusion-Schrittfolgenanalyse, bei der Warnungen in Ihrer Umgebung basierend auf einer Cyber-Kill-Chain-Analyse automatisch korreliert werden. Dadurch können Sie den gesamten Verlauf eines Angriffs, seinen Ausgangspunkt und die Auswirkungen auf Ihre Ressourcen besser nachvollziehen.

Wichtige Features:

• Kontinuierliche Sicherheitsbewertung: Identifizieren Sie Windows- und Linux-Computer mit fehlenden Sicherheitsupdates oder unsicheren Betriebssystemeinstellungen und anfälligen Azure-Konfigurationen. Fügen Sie optionale Watchlists oder Ereignisse hinzu, die Sie überwachen möchten.
• Umsetzbare Empfehlungen: Beheben Sie Sicherheitsrisiken schnell mit priorisierten, direkt umsetzbaren Sicherheitsempfehlungen.
• Zentrale Richtlinienverwaltung: Stellen Sie die Einhaltung unternehmensspezifischer oder gesetzlicher Sicherheitsvorschriften sicher, indem Sie Sicherheitsrichtlinien für alle Hybridcloud-Workloads zentral verwalten.
• Umfassendste Threat Intelligence der Branche: Nutzen Sie den Microsoft Intelligent Security Graph, der Billionen Signale von Microsoft-Diensten und -Systemen weltweit nutzt, um neue und aktuelle Bedrohungen zu ermitteln.
• Erweiterte Analysen und Machine Learning: Verwenden Sie integrierte Verhaltensanalysen und Machine Learning, um bekannte Angriffsmuster und Aktivitäten nach Sicherheitsverletzungen zu identifizieren.
• Adaptive Anwendungssteuerung: Blockieren Sie Schadsoftware und andere unerwünschte Anwendungen mithilfe von Empfehlungen für Positivlisten, die auf Ihre spezifischen Workloads abgestimmt sind und durch Machine Learning unterstützt werden.
• Priorisierte Warnungen und Angriffszeitpläne: Konzentrieren Sie sich zuerst auf die kritischsten Bedrohungen mit priorisierten Warnungen und Vorfällen, die einem einzelnen Angriffsversuch zugeordnet sind.
• Optimierte Untersuchung: Untersuchen Sie schnell den Umfang und die Auswirkungen eines Angriffs mit einer visuellen, interaktiven Umgebung. Verwenden Sie Ad-hoc-Abfragen für eine ausführlichere Untersuchung von Sicherheitsdaten.
• Automatisierung und Orchestrierung: Automatisieren Sie gängige Sicherheitsworkflows, um Bedrohungen schnell zu beseitigen, indem Sie die standardmäßige Integration in Azure Logic Apps nutzen. Erstellen Sie Sicherheitsplaybooks, die Warnungen an ein vorhandenes Ticketsystem weiterleiten oder Aktionen als Reaktion auf Vorfälle auslösen können.

Microsoft Sentinel

Microsoft Sentinel hilft bei der Erstellung einer vollständigen Ansicht einer Kill Chain.

Mit Sentinel können Sie anhand integrierter Connectors und Branchenstandards eine Verbindung mit jeder Ihrer Sicherheitsquellen herstellen und dann künstliche Intelligenz nutzen, um mehrere Signale mit geringer Genauigkeit aus verschiedenen Quellen zu korrelieren und so eine vollständige Ansicht einer Ransomware-Kill-Chain und priorisierter Warnungen zu erstellen, damit Defender die benötigte Zeit zum Ausschalten von Angreifern verkürzen können.

Mit Microsoft Sentinel können Sie Ihr gesamtes Unternehmen sozusagen aus der Vogelperspektive beobachten und die immer komplexeren Angriffe mit Unmengen von Warnungen und lang andauernden Lösungsversuchen leichter in den Griff bekommen.

Sammeln Sie Daten auf Cloudebene über alle Benutzer, Geräte, Anwendungen und Infrastrukturen hinweg, lokal und in mehreren Clouds.

Ermitteln Sie bisher unentdeckte Bedrohungen, und minimieren Sie falsch positive Ergebnisse mithilfe der Analysefunktionen und der unvergleichlichen Threat Intelligence von Microsoft.

Untersuchen Sie Bedrohungen mit künstlicher Intelligenz, und verfolgen Sie verdächtige Aktivitäten in großem Stil. Dabei profitieren Sie von der jahrelangen Erfahrung von Microsoft in Sachen Cybersicherheit.

Reagieren Sie dank der integrierten Orchestrierung und Automatisierung häufiger Aufgaben schnell auf Incidents.

Nativer Bedrohungsschutz mit Microsoft Defender für Cloud

Microsoft Defender für Cloud scannt virtuelle Computer in einem Azure-Abonnement und empfiehlt die Bereitstellung von Endpoint Protection, wenn keine vorhandene Lösung erkannt wird. Auf diese Empfehlung kann über den Abschnitt „Empfehlungen“ zugegriffen werden:

Microsoft Defender für Cloud bietet Sicherheitswarnungen und erweiterten Bedrohungsschutz für VMs, SQL-Datenbanken, Container, Webanwendungen, Ihr Netzwerk und vieles mehr. Wenn Microsoft Defender für Cloud in einem der Bereiche Ihrer Umgebung eine Bedrohung erkennt, wird eine Sicherheitswarnung generiert. Diese Warnungen beschreiben Details zu den betroffenen Ressourcen, empfohlene Problembehandlungsschritte sowie in einigen Fällen eine Option, mit der eine Logik-App als Reaktion ausgelöst werden kann.

Die folgende Warnung ist ein Beispiel für eine erkannte Petya-Ransomware-Warnung:

Native Azure-Sicherungslösung schützt Ihre Daten

Eine wichtige Möglichkeit, wie sich Organisationen vor Verlusten bei einem Ransomware-Angriff schützen können, ist die Sicherung geschäftskritischer Informationen für den Fall, dass andere Abwehrmaßnahmen versagen. Da Ransomware-Angreifer viel in die Neutralisierung von Datensicherungsprogrammen und Betriebssystemfunktionen wie Volumen-Schattenkopie investiert haben, ist es von entscheidender Bedeutung, Datensicherungen zu haben, die für bösartige Angreifer unzugänglich sind. Mit einer flexiblen Lösung für Geschäftskontinuität und Notfallwiederherstellung sowie branchenführenden Tools für Datenschutz und Sicherheit bietet die Azure-Cloud sichere Dienste zum Schutz Ihrer Daten:

• Azure Backup: Der Azure Backup-Dienst bietet eine einfache, sichere und kostengünstige Lösung zum Sichern Ihrer Azure-VM. Derzeit unterstützt Azure Backup die Sicherung aller Datenträger (Betriebssystem und Daten) auf einer VM mit einer Sicherungslösung für virtuelle Azure-Computer.
• Azure-Notfallwiederherstellung: Mit der Notfallwiederherstellung aus der lokalen Umgebung in die Cloud oder aus einer Cloud in eine andere können Sie Ausfallzeiten vermeiden und den Betrieb Ihrer Anwendungen aufrechterhalten.
• Integrierte Sicherheit und Verwaltung in Azure: Damit Unternehmen in der Cloud erfolgreich agieren können, müssen sie über Transparenz/Metriken und Kontrollen für jede Komponente verfügen, um Probleme effizient zu erkennen und eine effektive Optimierung und Skalierung vorzunehmen, während gleichzeitig Sicherheit, Konformität und Richtlinien gewährleistet bleiben, um die Geschwindigkeit sicherzustellen.

Garantierter und geschützter Zugriff auf Ihre Daten

Azure verfügt über eine lange Erfahrung mit der Verwaltung globaler Rechenzentren, die durch die Infrastrukturinvestitionen von Microsoft in Höhe von 15 Milliarden US-Dollar unterstützt werden, die kontinuierlich bewertet und verbessert werden – natürlich mit fortgesetzten Investitionen und Verbesserungen.

Wichtige Features:

• Azure bietet sowohl lokal redundanten Speicher (LRS), bei dem Daten lokal gespeichert werden, als auch georedundanten Speicher (GRS) in einer zweiten Region.
• Alle in Azure gespeicherten Daten werden durch einen erweiterten Verschlüsselungsprozess geschützt, und alle Rechenzentren von Microsoft verfügen über zweistufige Authentifizierung, Lesegeräte für den Proxykartenzugriff und biometrische Scanner.
• Azure weist mehr Zertifizierungen als jeder andere öffentliche Cloudanbieter auf dem Markt auf, darunter ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 und viele internationale Spezifikationen.

Zusätzliche Ressourcen

• Microsoft Cloud Adoption Framework für Azure
• Erstellen ausgezeichneter Lösungen mit dem Microsoft Azure Well-Architected Framework
• Azure-Sicherheit – bewährte Methoden
• Sicherheitsbaselines
• Microsoft Azure-Ressourcencenter
• Leitfaden zur Azure-Migration
• Sicherheitscomplianceverwaltung
• Azure-Sicherheitskontrolle: Reaktion auf Vorfälle
• Zero Trust Guidance Center
• Azure Web Application Firewall
• Azure VPN Gateway
• Multi-Faktor-Authentifizierung (MFA) in Microsoft Entra
• Microsoft Entra ID-Schutz
• Bedingter Microsoft Entra-Zugriff
• Dokumentation zu Microsoft Defender for Cloud

Schlussbemerkung

Microsoft konzentriert sich stark auf die Sicherheit seiner Cloud und stellt Ihnen die Sicherheitskontrollen bereit, die Sie zum Schutz Ihrer Cloudworkloads benötigen. Als führendes Unternehmen im Bereich der Cybersicherheit stellen wir uns unserer Verantwortung, die Welt sicherer zu machen. Dies spiegelt sich in unserem umfassenden Ansatz zur Ransomware-Prävention und -Erkennung in unserem Sicherheitsframework, Entwürfen, Produkten, rechtlichen Bemühungen, Branchenpartnerschaften und Dienstleistungen wider.

Wir freuen uns auf eine partnerschaftliche Zusammenarbeit, um Schutz, Erkennung und Prävention von Ransomware ganzheitlich anzugehen.

Nehmen Sie Kontakt mit uns auf:

• AskAzureSecurity@microsoft.com
• www.microsoft.com/services

Ausführliche Informationen dazu, wie Microsoft seine Cloud sichert, bietet das Service Trust Portal.

Nächste Schritte

Weitere Informationen finden Sie im Whitepaper zu Azure-Abwehrmechanismen für Ransomware-Angriffe.

Weitere Artikel in dieser Reihe:

• Schutz vor Ransomware in Azure
• Vorbereiten auf einen Ransomware-Angriff
• Erkennen von und Reagieren auf Ransomware-Angriffe