Microsoft Azure 云安全白皮书 CLOUD SECURITY 1 目录 /CONTENTS C 目录 CONTENTS ONTENTS 01 Chapter 1 背景介绍 02 外部环境变化 1 企业安全边界的定义 3 企业自建安全框架面临的挑战 5 Chapter 2 搭建企业级应用环境安全框架 03 7 安全加固应用环境 8 网络安全 8 虚拟机安全（Windows & Linux） 21 数据安全 32 一站式全方位管理 42 利用大数据分析赋能应用环境进行主动防御 46 你是谁（Who ？） 46 “你为什么要来？” 46 “你要去哪里？” 48 企业环境之 BYOD 设备管控 52 MDM,MAM 市场分析 52 如何进行移动端设备安全管控 (Mobile) 54 Kill Chain 模型以及微软对抗 Kill Chain 攻击的 Microsoft Defender 58 Chapter 3 企业级安全边界搭建 2 0 66 Zero Trust 模型 67 身份的定义及 RBAC 67 RBAC 的工作原理 68 多角色分配 70 基于 RBAC 的安全防护（涉及 EMS 中的 AIP，DLP，MCAS） 71 Azure Information Protection 71 Data Loss Prevention 76 Microsoft Cloud App Security 78 基于 Zero Trust 模型的安全防护（AAD P1 中的 conditional access） 80 Azure Active Directory 82 04 05 条件访问 83 Azure Active Directory 中的条件访问 85 身份信用体系建立（Microsoft Defender for Identity） 85 88 Chapter 4 基于安全框架的安全事件的控件及响应 SIEM+SOAR 市场分析 89 情报采集及过滤 91 事件提取及调查 96 应对 99 情景模拟及主动搜查 101 105 Chapter 5 微软安全功能总结 3 01 Chapter 1 背景介绍 4 Chapter 1 背景介绍 外部环境变化 在谈论安全之前，我们不得不先环顾四周，看下我们是处在怎样的一种环境中来做好保护。一直以来，企业安 全与黑客攻击，就像 DNA 的双螺旋结构一样，交替着演变，进化。而实质今日，在移动为先，云为先的企业 环境下，此二者也转移到了这一片战场中，延续着厮杀。 首先我们不能，也无法不注意到现在企业日常工作中所碰到的变化，就是你所使用的很多应用，已经不仅仅掌 握在公司总部 IT 的数据中心中，越来越多的供应商及厂商自身也转而选择云端的 IaaS, PaaS，SaaS 的服务， 根据 Gartner 的预测，如 Table 1 所示，SaaS 领域的投资将会达到 850 亿美元的量级，并且将在一年后达到近 千亿美元级别的市场。于此同时，云端的 IaaS，PaaS 或者其他更细分的新兴领域像 Data as a Service，或者 Cloud Management and Security Services 也都会不断的扩展其在企业应用中的份额。 其次，所谓的知己知彼，方能百战百胜，我们再来看看敌方现在的目标是什么？很久以前，我们看到的所谓的 黑客，是为了名声，花数月钻研如何攻破像微软，IBM 这样的行业巨头，来让自己扬名立万，就像当年的熊猫 烧香病毒一样，名噪一时，但不直接求利；如果继续回想，可能进入脑海中的就是 WannaCry 或者是 Petya 这两者， 纯粹的攻击企业或个人的重要服务器或者数据，通过加密的方式，索取比特币作为回报，直截了当。虽然现如 今还是会听闻企业时不时地仍旧会遭遇到类似勒索病毒的危害，但到如今两年过去了，在过去的 2018 年、2019 年，我们的对手又在做什么研究呢？ 1 Chapter 1 背景介绍 据“Microsoft 安全轻薄报告”指出，进入 2018 年以后，上述勒索病毒已不再是企业或个人遭受最多的来自恶 意软件的攻击。 随着全球数字货币体系的建立，攻击者发现另外一种更为直接的获利方式，就是挖矿： 2018 年的数据指出，挖矿软件的遭遇率已经是勒索软件的两倍之多。对于攻击者来说，挖矿软件的普遍性使得 其攻击成本大大降低，它可以通过不同的方式加载到受害者的计算机终端，来为攻击者提供算力进行挖矿。甚 至现在市面上已经推出了更便捷的工具，不需要透过恶意软件渗透到终端来安装，直接基于游览器的方式，让 用户在访问网站的当下，进行后台挖矿（例如像：Brocoiner）。 更有甚者，诸如 Koobface 这样由僵尸病毒组建的僵尸网络，随着数字货币的成型及其在网络市场的广泛流通， 2 Chapter 1 背景介绍 已从原本的 DDos 攻击扩展为直接为黑色产业链提供由其控制的僵尸网络，直接以算力的方式提供给攻击者， 攻击者在利用上文提供的各种不同的挖矿木马开展挖矿。 从整个演变的过程中，其实可以看到，整个产业就像是一个人的成长，从最初刚刚崭露头角的叛逆期，为了制 造头条，为了轰动的效应进行攻击；接着进入到刚工作的青年阶段，在为了利的同时，仍旧对于高曝光度有强 烈的追求；紧接着产业进入到了成熟期，从产业的运作，流程，盈利模式的成熟，渐渐隐去其自身的光环，转 而成为希望“闷声发大财”的成熟青年。对于受到攻击的服务器，如今的黑客更希望长期保有对其的控制，不 管是为了保持庞大的僵尸网络，来卖个更高的价钱，还是直接进行挖矿，都不希望宿主机上的管理员发现任何 异样，导致将其进行物理隔离或者重置。因此在如今的环境下，我们面对的是一个老辣的，喜欢躲在暗处的敌 军，攻击方式也从原先的致命一击，转而变成像血蛭或寄生虫中，进行大面积的寄宿攻击。 企业安全边界的定义 因此，在这样一个企业的环境慢慢从本地往云端转变，攻击手段越来越多样化的大背景下，传统的以服务器为 中心的安全框架的搭建，以内网外网区分的安全边界已经无法再像往昔那样，强有力地去掌握企业的安全。那 如今，我们该以什么来作为企业全新的安全边界呢？ 而这样的企业办公环境的变化，其实也带给了以往的攻击者的挑战，试想一下，如果企业不使用任何本地的云 环境，而转而使用市场上几大 SaaS，PaaS，IaaS 云厂商的云资源，那从以往已攻破物理机为目的的行为也变 得十分困难，攻击目标从原来众多企业自建的数据中心，转而成了各大财力雄厚，数据中心安全系数顶尖的云 厂商。所以自然的，攻击者也顺应时代的变化，其攻击目标也发生了改变。 根据微软第 22 期“Microsoft Security Intelligence Report”的统计，微软的 live id 及其企业账号在 2016 年至 2017 年受到的攻击增长了整整 3 倍，来自可疑 IP 的登录事件在该年的第一季度，比同期增长了 44%。 并且随着技术的进步，现如今大数据的应用和体现也已经在所有人的生活中快速渗透着。零售行业中，几乎每 一个面向消费者的企业都希望通过其搜集到的用户的信息，进行千人千面的计划，来学习消费者的行为从而刺 激他们进行消费；又或者是餐饮行业的动态发券，针对不同用户的就餐喜好及频率，不断地，在合适的时间， 发放给用户合适的券，促成其消费。那同样的，我的疑问就是，这样的一些个人行为的分析模型，攻击者是否 也可以进行利用，从而让受害者可以在他期望的时间，期望的地点，点击期望的链接来打开病毒呢？ 早 在 2016 年 的 Black Hat USA 的 议 题 “Weaponizing data science for social engineering: Automated E2E spear phishing on Twitter”里，研究员 John Seymour 和 Philip Tully 就阐述了 3 Chapter 1 背景介绍 他们在之前的一段时间中做的研究，谁能够更成功地，趋势 Twitter 的用户点击一个钓鱼的链接的（这里具体 指的是 SNAP_R: 递归神经网络模型）。最终时间结果表明，在同样的时间内，AI 可以进行 800 次的尝试，并 成功诱导 275 名用户点击钓鱼链接，而同时，人类只能已类似的命中率进行 129 次尝试，成功 49 次。 上述所说基于某个 ID 的行为分析而进行的攻击，其实有一个官方的学名，叫做 Social Engineering Attacks（社 会工程攻击），而早在 2014 年，社会工程攻击就已经占到了所有来自于黑客攻击的三分之二之多。时至今日， 在很多调查中，很大部分的测试者都愿意在没有确认对方身份的情况下，给出自己的名字和邮箱，甚至在特定 的场合下，给出员工号，甚至是代表个人信息的身份证号或者社保号码。 在中国，这样的情况尤甚，大家应该不难发现，在很多的 APP 或者网页端注册的过程中，很多应用在没有给 清楚具体的信息使用原因的情况下要求得知注册者的个人可识别信息，或者关联到微信或者是支付宝的账号。 正是在这样的大环境下，社会工程攻击者只要针对特定的场景，学习用户的行为，就能轻易得到他们所需要的 信息，开启对于企业机密信息的攻击过程。 根据 Microsoft Defender for Endpoint Researcher Team 在 2018 年的抵御报告，在加拿大的 Calgary，发生过 只针对本土的公司，总目标不到 100 台虚拟机的社会工程攻击，其攻击方式，是通过某相似的供应商或者服务 商的邮箱给这些所在的企业的员工发送一份加密的 PDF 文件。 4 Chapter 1 背景介绍 Figure 2: 钓鱼邮件里的加密 PDF 文件 当受害者打开了对应的附件，就会登录到一个可疑的站点上，并要求输入企业中的用户名和密码，导致某些用 户的凭据遭受泄露，帮助黑客潜伏在企业中，继续其更深入的渗透和横向移动。 很多时候，这样的钓鱼邮件都会伪装成发票，收据，包裹信息或者是优惠券之类的形式发送到对应的账户中。 而如今，当机器学习的技术遇到了社会工程攻击，攻击者就有了更广阔，更专业的方式来借助用户行为分析进 行针对用户 ID 的更精准攻击，进而对企业发起后续的攻击。因此，在如今的环境下，如何对企业所有员工的 账户信息进行加固和防御，成为了企业安全的核心话题，其安全边界，也慢慢从设备或者服务器，转向企业员 工的信息进行转移。 企业自建安全框架面临的挑战 然而，即使企业已经看