微軟擴大企業對其威脅情報庫的訪問權限

微軟表示，它將讓企業安全運營中心 (SOC) 更廣泛地訪問其每天收集的大量威脅情報。

通過本周推出的兩項新服務，這家企業軟件巨頭表示，組織將能夠通過查看微軟網絡安全專家看到的相同數據并了解自己防御的弱點來主動保護自己。

這兩項服務——Defender Threat Intelligence和Defender External Attack Surface Management (EASM)——都使用了微軟在 2021 年以 5 億美元收購網絡安全公司 RiskIQ時繼承的技術。微軟致力于通過自己的產品和 Azure 云安全功能來保護企業系統。很大程度上是通過處理大量的信號和威脅情報。

微軟負責安全、合規性、身份和管理的企業副總裁 Vasu Jakkal在一篇博文中寫道，“從我們的平臺和產品中獲得的大量情報為我們提供了獨特的見解，以幫助保護客戶免受傷害”。新服務。

“此外，一年多前我們收購了 RiskIQ，使我們能夠為客戶提供對威脅參與者活動、行為模式和目標的獨特可見性。”

他們還可以“映射他們的數字環境和基礎設施，以將他們的組織視為攻擊者。這種由外而內的觀點提供了更深入的洞察力，以幫助組織預測惡意活動并保護非托管資源。”

威脅組、工具和策略

微軟每天都會收集大量網絡威脅信息。其安全團隊跟蹤 35 個勒索軟件系列以及 250 多個國家、網絡犯罪分子和其他威脅。該公司的 Azure 公共云每天處理和分析超過 43 萬億個安全信號。所有這些都用于通知供應商及其安全平臺和服務，包括其 Defender 系列和 Azure 中的 Sentinel 安全信息和事件管理 (SIEM) 服務，并提供實時威脅檢測。

RiskIQ 帶著收集和使用安全情報的技術來到 Microsoft，通過檢測威脅和可疑活動以及修復漏洞來保護企業的攻擊面。它在其云中與 Microsoft 合作，也可用于其他公共云，包括 Amazon Web Services，也可用于本地服務。

通過 Microsoft Defender 威脅情報提供的威脅情報來自安全研究團隊，這些團隊曾經是 RiskIQ 的一部分，現在已集成到跟蹤民族國家威脅的 Microsoft 威脅情報中心 (MSTIC) 和 Microsoft 365 Defender 安全組中。通過這項新服務，企業 SOC 可以訪問原始威脅情報，這些情報提供威脅組的詳細信息，從名稱到工具和策略。

隨著新信息的出現，信息在新門戶中更新。Sentinel 和 Defender 產品使用相同的智能。Jakkal 寫道，該服務“揭開了攻擊者和威脅家族行為的面紗，并幫助安全團隊在其組織內查找、刪除和阻止隱藏的對手工具”。

Channelnomics 的首席研究官 Chris Gonsalves 表示，這是微軟邁出的重要一步，它能夠洞察其他供應商無法比擬的威脅。

“微軟似乎認識到，這里有一個與我們一直在談論的關于 COVID 和疫苗的類比——群體免疫的概念，即讓整個人口更健康對每個人都有好處，”Gonsalves 告訴The Register。

“對你來說，囤積信息沒有多大意義——妥協的指標、關于不良行為者的信息、潛在目標的信息。你傳播這些信息的范圍越廣，整個社區就會變得越好。”

Defender EASM 服務使組織能夠以局外人的視角查看其自身的攻擊面，掃描互聯網及其連接以創建其環境的圖片，并找到企業可能不知道但可能被攻擊使用的面向互聯網的資源。公司基本上可以看到攻擊者在搜索漏洞時會看到什么。

“通過對組織的全面了解，客戶可以采取建議的步驟來降低風險，方法是在其安全信息和事件管理 (SIEM) 以及擴展檢測和響應 (XDR) 工具中將這些未知資源、端點和資產置于安全管理之下， ”賈卡爾寫道。

Channelnomic 的 Gonsalves 說，鑒于攻擊面管理的重要性日益增加，這是另一個關鍵因素。組織需要了解其安全防御中的漏洞。這些可以是來自亞馬遜網絡服務上的云實例的任何東西，開發人員啟動但從未關閉過未使用或未知的社交媒體帳戶。

“攻擊面是一個巨大的、毛茸茸的威脅，但任何能讓我更好地處理這種情況的東西都是一個主要的優勢，”他說。“我們需要從外部了解我們的組織是什么樣的。這是攻擊面管理的核心。”

除了這兩項新服務，微軟還表示，企業安全組現在可以從他們的 Sentinel SIEM 監控和響應 SAP 警報，包括檢測到的權限提升和可疑下載。