云平台安全响应机制.pdf

1、Microsoft Online Tech Forum 陈健宁 陈彬彬 微软全球技术支持中心 云平台安全响应机制 内容安排 云平台安全和应急响应 更廉价的攻击 负载(受控设备) 平均价格区间 PC - $0.13 到 $0.89 移动端 - $0.82 到 $2.78 鱼叉式钓鱼 每成功一个账号收取 $100 到 $1,000 不等 0days 价格从$5,000 到 $350,000 勒索软件: 预付$66 或者30% 的盈利 用于遮掩IP地理位置的代理 服务价格 100,000个最低每周$100 拒绝服务 (DOS) 平均价格 每天: $102.05 每周: $327.00 每月: $76

2、6.67 破解的账号 最低4亿只需$150 平均 $0.97每千个. 现代化攻击链在不断演进 综合性攻击被完全用于云端或影响混合环境 密码扫描 从云端 执行恶意代码 供应链攻击 Exchange侦察 Exchange/OneDrive 渗透 恶意OAuth 应用 共享责任和策略要点 云平台安全响应 启用多因素认证（MFA），阻止99.9%针对身份的攻击 在构建生产环境同时设计启用安全特性 Secure Score 启用并保存日志，定期备份日志 关注官方公开信息并采取行动 （https:/aka.ms/SUG） 云平台安全应急响应 报告资源滥用、报告钓鱼邮件 （https:/cert.M） 冷静

3、分析追踪，补足短板 云平台安全响应利器和最佳实践 ASC, MDATP, AAD, Azure Sentinel Azure Security Center 提供的解决方案 Azure Security Center 最佳实践（1） Azure Security Center 最佳实践（2） ASC 案例 resourceType: Virtual Machine, Attacker IP: 199.59.x.x, Victim IP: “x.x.x.x, Attacker Port: 15796, Victim Port: 389 发现虚拟机没有使用NSG进行访问控制，导致了安全漏洞。此前，ASC已经给出加固NSG及JIT的建议 MDATP 提供的解决方案 MDATP 管理员面板 使用MDATP响应安全事件 案例Ryuk勒索软件攻击链检测 案例Advanced Hunting / Fin