Mapear ameaças ao seu ambiente de TI

Azure
Office 365

Ideias de soluções

Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe aos requisitos específicos de sua carga de trabalho.

Este artigo descreve como diagramar o ambiente de TI principal da sua organização e criar um mapa de ameaças. Esses diagramas são ferramentas valiosas para planejar e construir uma camada de segurança defensiva robusta. Compreender seu ambiente de TI e sua arquitetura é crucial para identificar os serviços de segurança necessários para fornecer proteção adequada.

Os sistemas de computador armazenam informações que são valiosas não apenas para as organizações que as geram, mas também para agentes mal-intencionados. Esses atores, sejam indivíduos ou grupos, se envolvem em atividades prejudiciais destinadas a comprometer ou danificar os computadores, dispositivos, sistemas e redes das empresas. Seu objetivo geralmente é roubar ou corromper dados confidenciais usando ameaças como malware ou ataques de força bruta.

Neste artigo, exploramos um método para mapear ameaças ao seu ambiente de TI, permitindo que você planeje a implementação dos serviços de segurança da Microsoft como parte de sua estratégia de segurança. Este é o segundo artigo de uma série de cinco, conforme apresentado na edição anterior. Usar o monitoramento do Azure para integrar componentes de segurança

A boa notícia é que você não precisa criar um mapa de ameaças do zero. A matriz MITRE ATT&CK oferece um excelente recurso para ajudá-lo a desenvolver uma. MITRE ATT&CK é uma base de conhecimento global que mapeia ameaças do mundo real com base em táticas e técnicas observadas. A MITRE Corporation documenta todas as ameaças conhecidas em detalhes, fornecendo informações valiosas sobre como essas ameaças operam e como você pode se defender contra elas. Este recurso acessível ao público está disponível online em MITRE ATT&CK®.

Neste artigo, usamos um subconjunto dessas ameaças para ilustrar como você pode mapear ameaças ao seu ambiente de TI.

Possíveis casos de uso

Algumas ameaças são comuns em todos os setores, como ransomware, ataques DDoS, cross-site scripting e injeção de SQL. No entanto, muitas organizações enfrentam ameaças específicas exclusivas de seu setor ou com base em ataques cibernéticos anteriores que encontraram. O diagrama neste artigo pode ajudá-lo a mapear essas ameaças para sua organização, identificando as áreas com maior probabilidade de serem alvo de agentes mal-intencionados. A criação de um mapa de ameaças permite planejar as camadas de defesa necessárias para um ambiente mais seguro.

Você pode adaptar este diagrama para modelar diferentes combinações de ataques e entender melhor como evitá-los e mitigá-los. Embora a estrutura MITRE ATT&CK seja uma referência útil, ela não é necessária. O Microsoft Sentinel e outros serviços de segurança da Microsoft também colaboram com a MITRE para fornecer informações valiosas sobre várias ameaças.

Algumas organizações usam o Cyber Kill Chain®, uma metodologia da Lockheed Martin, para mapear e entender como um ataque ou uma série de ataques são realizados contra um ambiente de TI. O Cyber Kill Chain organiza ameaças e ataques considerando menos táticas e técnicas do que a estrutura MITRE ATT&CK. Ainda assim, é eficaz para ajudá-lo a entender as ameaças e como elas podem ser executadas. Para obter mais informações sobre essa metodologia, consulte Cyber Kill Chain.

Arquitetura

Diagrama de três categorias de serviços, principais técnicas de ataque e categorias do modelo Zero Trust que estão ameaçadas por essas técnicas.

Baixe um Arquivo Visio dessa arquitetura.

©2021 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da The MITRE Corporation.

Para o ambiente de TI das organizações, especificamos os componentes somente para o Azure e o Microsoft 365. Seu ambiente de TI específico pode incluir dispositivos, dispositivos e tecnologias de diferentes provedores de tecnologia.

Para o ambiente do Azure, o diagrama mostra os componentes listados na tabela a seguir.

Etiqueta Documentação
VNET O que é a Rede Virtual do Azure?
LBS O que é o Azure Load Balancer?
PIPS Endereços IP públicos
SERVIDORES Máquinas virtuais
K8S Serviço de Kubernetes do Azure
VDI O que é a Área de Trabalho Virtual do Azure?
APLICATIVOS WEB Visão geral do Serviço de Aplicativos
ARMAZENAMENTO DO AZURE Introdução ao Armazenamento do Azure
DB O que é o Banco de Dados SQL do Azure?
Microsoft Entra ID O que é o Microsoft Entra ID?

O diagrama representa o Microsoft 365 por meio dos componentes listados na tabela a seguir.

Etiqueta Descrição Documentação
OFFICE 365 Microsoft 365 Services (anteriormente Office 365). Os aplicativos que o Microsoft 365 disponibiliza dependem do tipo de licença. Microsoft 365 – Assinatura de aplicativos Office
Microsoft Entra ID Microsoft Entra ID, o mesmo utilizado pelo Azure. Muitas empresas usam o mesmo serviço Microsoft Entra para Azure e Microsoft 365. O que é o Microsoft Entra ID?

Workflow

Para ajudá-lo a entender qual parte do seu ambiente de TI essas ameaças provavelmente atacarão, o diagrama de arquitetura neste artigo é baseado em um ambiente de TI típico para uma organização que tem sistemas locais, uma assinatura do Microsoft 365 e uma assinatura do Azure. Os recursos em cada uma dessas camadas são serviços comuns a muitas empresas. Eles são classificados no diagrama de acordo com os pilares do Microsoft Zero Trust: rede, infraestrutura, endpoint, aplicativo, dados e identidade. Para obter mais informações sobre a Confiança Zero, consulte Adotar a segurança proativa com a Confiança Zero.

O diagrama de arquitetura inclui as seguintes camadas:

  1. No local

    O diagrama inclui alguns serviços essenciais, como servidores (VMs), dispositivos de rede e DNS. Ele inclui aplicativos comuns que são encontrados na maioria dos ambientes de TI e executados em máquinas virtuais ou servidores físicos. Ele também inclui vários tipos de bancos de dados, SQL e não-SQL. As organizações geralmente têm um servidor de arquivos que compartilha arquivos em toda a empresa. Por fim, o Serviço de Domínio Active Directory, um componente de infraestrutura generalizada, manipula as credenciais do usuário. O diagrama inclui todos esses componentes no ambiente local.

  2. Ambiente do Office 365

    Este ambiente de exemplo contém aplicativos tradicionais do Office, como Word, Excel, PowerPoint, Outlook e OneNote. Dependendo do tipo de licença, ela também pode incluir outros aplicativos, como OneDrive, Exchange, SharePoint e Teams. No diagrama, eles são representados por um ícone para aplicativos Microsoft 365 (anteriormente Office 365) e um ícone para Microsoft Entra ID. Os usuários devem ser autenticados para obter acesso aos aplicativos do Microsoft 365 e o Microsoft Entra ID atua como o provedor de identidade. O Microsoft 365 autentica os usuários no mesmo tipo de ID do Microsoft Entra que o Azure usa. Na maioria das organizações, o locatário Microsoft Entra ID é o mesmo para o Azure e o Microsoft 365.

  3. Ambiente do Azure

    Essa camada representa os serviços de nuvem pública do Azure, incluindo máquinas virtuais, redes virtuais, plataformas como serviços, aplicativos Web, bancos de dados, armazenamento, serviços de identidade e muito mais. Para obter mais informações sobre Azure, confira a documentação do Azure.

  4. Táticas e técnicas do MITRE ATT&CK

    Este diagrama mostra as 16 principais ameaças, de acordo com as táticas e técnicas publicadas pela MITRE Corporation. Nas linhas vermelhas, você pode ver um exemplo de um ataque combinado, o que significa que um ator mal-intencionado pode coordenar vários ataques simultaneamente.

Como usar o framework MITRE ATT&CK

Você pode começar com uma simples busca pelo nome da ameaça ou do código de ataque na página principal, MITRE ATT&CK®.

Você também pode procurar ameaças nas páginas de táticas ou técnicas:

Você ainda pode usar o Navegador MITRE ATT&CK®, uma ferramenta intuitiva fornecida pelo MITRE que ajuda a descobrir táticas, técnicas e detalhes sobre ameaças.

Componentes

A arquitetura de exemplo neste artigo usa os seguintes componentes do Azure:

  • Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem. O Microsoft Entra ID ajuda seus usuários a acessar recursos externos, como o Microsoft 365, o portal do Azure e diversos outros aplicativos SaaS. Ele também os ajuda a acessar recursos internos, como aplicativos na rede de intranet corporativa.

  • A Rede Virtual do Microsoft Azure é o bloco de construção fundamental de sua rede privada no Azure. A Rede Virtual permite a comunicação segura entre muitos tipos de recursos do Azure, incluindo VMs, com a Internet e com as redes locais. A Rede Virtual fornece uma rede virtual que aproveita a infraestrutura do Azure, como escala, disponibilidade e isolamento.

  • O Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de alto desempenho e baixa latência (entrada e saída) para todos os protocolos UDP e TCP. Ele foi criado para lidar com milhões de solicitações por segundo, garantindo que a sua solução esteja altamente disponível. O Azure Load Balancer tem redundância de zona, garantindo alta disponibilidade nas zonas de disponibilidade.

  • As Máquinas virtuais estão entre os diversos tipos de recursos de computação sob demanda e escalonáveis que o Azure oferece. Uma VM (máquina virtual) do Azure oferece a flexibilidade da virtualização sem precisar comprar e manter o hardware físico que as executa.

  • O serviço de Kubernetes do Azure (AKS) é o serviço Kubernetes totalmente gerenciado para implantar e gerenciar aplicativos conteinerizados. O AKS oferece Kubernetes sem servidor, CI/CD (integração contínua/entrega contínua), segurança em nível corporativo e governança.

  • A Área de Trabalho Virtual do Azure é um desktop e serviço de virtualização de aplicativos executado na nuvem para fornecer desktops para usuários remotos.

  • Aplicativos Web é um serviço baseado em HTTP para hospedar aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma favorito e aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux.

  • O Armazenamento do Azure é um armazenamento altamente disponível, escalável em massa, durável e seguro para diversos objetos de dados na nuvem, incluindo armazenamento de objetos, blobs, arquivos, discos, filas e tabelas. Todos os dados gravados em uma conta de armazenamento do Azure são criptografados pelo serviço. O Armazenamento do Azure oferece um controle refinado sobre quem possui acesso aos seus dados.

  • O Banco de dados SQL do Azure é um mecanismo de banco de dados PaaS totalmente gerenciado que trata da maioria das funções de gerenciamento de banco de dados, como atualização, aplicação de patches, backups e monitoramento. Ele fornece essas funções sem envolver o usuário. O Banco de dados SQL fornece recursos internos de segurança e conformidade para ajudar seu aplicativo a atender a requisitos de segurança e conformidade.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

Outros colaboradores:

Próximas etapas

Este documento faz referência a alguns serviços, tecnologias e terminologias. Veja mais informações sobre eles nos seguintes recursos:

Para saber mais sobre essa arquitetura de referência, consulte os demais artigos desta série: