Angriffssimulation in Microsoft 365
Microsoft überwacht und testet kontinuierlich explizit auf Schwachstellen und Sicherheitsrisiken in Mandantengrenzen, einschließlich der Überwachung von Angriffen, Berechtigungsverletzungsversuchen und Ressourcenverhungern. Wir verwenden auch mehrere interne Systeme, um kontinuierlich auf unangemessene Ressourcennutzung zu überwachen, was bei Erkennung eine integrierte Drosselung auslöst.
Microsoft 365 verfügt über interne Überwachungssysteme, die kontinuierlich auf Fehler überwachen und die automatisierte Wiederherstellung fördern, wenn Fehler erkannt werden. Microsoft 365-Systeme analysieren Abweichungen im Dienstverhalten und initiieren selbstheilende Prozesse, die in das System integriert sind. Microsoft 365 verwendet auch eine Externe Überwachung, bei der die Überwachung sowohl von vertrauenswürdigen Drittanbieterdiensten (für die unabhängige SLA-Überprüfung) als auch von unseren eigenen Rechenzentren aus durchgeführt wird, um Warnungen auszublenden. Für die Diagnose verfügen wir über umfangreiche Protokollierung, Überwachung und Ablaufverfolgung. Die präzise Ablaufverfolgung und Überwachung hilft uns, Probleme zu isolieren und eine schnelle und effektive Ursachenanalyse durchzuführen.
Während Microsoft 365 nach Möglichkeit automatisierte Wiederherstellungsaktionen hat, sind Microsoft-Bereitschaftstechniker 24 x 7 verfügbar, um alle Sicherheitseskalationen des Schweregrads 1 zu untersuchen, und nachträgliche Überprüfungen jedes Dienstvorfalls tragen zur kontinuierlichen Schulung und Verbesserung bei. Dieses Team umfasst Supporttechniker, Produktentwickler, Programmmanager, Produktmanager und leitende Führungsebene. Unsere Bereitschaftsexperten bieten eine rechtzeitige Sicherung und können häufig Wiederherstellungsaktionen automatisieren, sodass sie beim nächsten Auftreten eines Ereignisses selbstheilt werden können.
Microsoft führt jedes Mal, wenn ein Microsoft 365-Sicherheitsvorfall auftritt, unabhängig von der Größe der Auswirkungen eine gründliche Überprüfung nach dem Vorfall durch. Eine Überprüfung nach dem Vorfall besteht aus einer Analyse, was passiert ist, wie wir reagiert haben und wie wir ähnliche Vorfälle in Der Zukunft verhindern. Im Interesse von Transparenz und Rechenschaftspflicht teilen wir die Überprüfungen nach dem Vorfall für alle wichtigen Dienstvorfälle mit betroffenen Kunden. Ausführliche Informationen finden Sie unter Microsoft Security Incident Management.
Verfahren zur Verletzung von Sicherheitsverletzungen annehmen
Basierend auf einer detaillierten Analyse der Sicherheitstrends befürwortet und betont Microsoft die Notwendigkeit weiterer Investitionen in reaktive Sicherheitsprozesse und -technologien, die sich auf die Erkennung und Reaktion auf neue Bedrohungen konzentrieren, anstatt nur diese Bedrohungen zu verhindern. Aufgrund von Änderungen in der Bedrohungslandschaft und einer eingehenden Analyse verfeinerte Microsoft seine Sicherheitsstrategie über die Verhinderung von Sicherheitsverletzungen bis hin zu einer besseren Lösung für Verletzungen, wenn sie auftreten; eine Strategie, die wichtige Sicherheitsereignisse nicht als ob, sondern wann betrachtet.
Obwohl Microsoft seit vielen Jahren davon aus geht, dass Praktiken gegen Sicherheitsverletzungen vorhanden sind, wissen viele Kunden nicht, welche Arbeit hinter den Kulissen zur Härtung der Microsoft-Cloud geleistet wird. Bei der Annahme von Sicherheitsverletzungen handelt es sich um eine Denkweise, die Sicherheitsinvestitionen, Designentscheidungen und betriebliche Sicherheitspraktiken leitet. Gehen Sie davon aus, dass Sicherheitsverletzungen die Vertrauensstellung in Anwendungen, Dienste, Identitäten und Netzwerke einschränken, indem sie alle – intern und extern – als unsicher und bereits kompromittiert behandelt werden. Obwohl die Annahme einer Verletzungsstrategie nicht von einer tatsächlichen Verletzung eines Microsoft-Unternehmens oder von Clouddiensten getragen wurde, wurde erkannt, dass viele Organisationen in der gesamten Branche trotz aller Versuche, dies zu verhindern, verletzt wurden. Die Verhinderung von Sicherheitsverletzungen ist zwar ein wichtiger Bestandteil der Abläufe in jeder Organisation, aber diese Praktiken müssen kontinuierlich getestet und erweitert werden, um moderne Gegner und fortgeschrittene dauerhafte Bedrohungen effektiv zu bekämpfen. Damit sich jede Organisation auf eine Sicherheitsverletzung vorbereiten kann, muss sie zunächst robuste, wiederholbare und gründlich getestete Sicherheitsmaßnahmen erstellen und aufrechterhalten.
Während sicherheitsrelevante Prozesse wie Bedrohungsmodellierung, Codeüberprüfungen und Sicherheitstests im Rahmen des Sicherheitsentwicklungslebenszyklus sehr nützlich sind, wird angenommen, dass Sicherheitsverletzungen zahlreiche Vorteile bieten, die dazu beitragen, die Gesamtsicherheit zu berücksichtigen, indem reaktive Funktionen im Falle einer Verletzung ausgeübt und gemessen werden.
Bei Microsoft haben wir uns vorgenommen, dies durch laufende Kriegsspiele-Übungen und Penetrationstests unserer Sicherheitsreaktionspläne auf Livewebsites zu erreichen, mit dem Ziel, unsere Erkennungs- und Reaktionsfähigkeit zu verbessern. Microsoft simuliert regelmäßig reale Verstöße, führt eine kontinuierliche Sicherheitsüberwachung durch und praktiziert die Verwaltung von Sicherheitsvorfällen, um die Sicherheit von Microsoft 365, Azure und anderen Microsoft-Clouddiensten zu überprüfen und zu verbessern.
Microsoft führt seine Sicherheitsstrategie für Sicherheitsvorfälle unter Verwendung von zwei Kerngruppen aus:
- Rote Teams (Angreifer)
- Blaue Teams (Verteidiger)
Sowohl Microsoft Azure- als auch Microsoft 365-Mitarbeiter trennen vollzeitige rote Teams und blaue Teams.
Als "Rotes Teaming" bezeichnet, besteht der Ansatz darin, Azure- und Microsoft 365-Systeme und -Vorgänge mit den gleichen Taktiken, Techniken und Verfahren wie echte Gegner gegen die Live-Produktionsinfrastruktur zu testen, ohne die Kenntnisse der Engineering- oder Operations-Teams zu haben. Dadurch werden die Sicherheitserkennungs- und Reaktionsfunktionen von Microsoft getestet und produktionsbezogene Sicherheitsrisiken, Konfigurationsfehler, ungültige Annahmen und andere Sicherheitsprobleme kontrolliert erkannt. Auf jede Verletzung des roten Teams folgt eine vollständige Offenlegung zwischen beiden Teams, um Lücken zu erkennen, Ergebnisse zu beheben und die Reaktion auf Sicherheitsverletzungen zu verbessern.
HINWEIS: Bei Red Teaming- oder Livewebsite-Penetrationstests werden keine Kundendaten gezielt adressiert. Die Tests gelten für Die Microsoft 365- und Azure-Infrastruktur und -Plattformen sowie die eigenen Mandanten, Anwendungen und Daten von Microsoft. Kundenmandanten, Anwendungen und Inhalte, die in Microsoft 365 oder Azure gehostet werden, sind nie zielführend.
Rote Teams
Das rote Team ist eine Gruppe vollzeitbesamter Mitarbeiter in Microsoft, die sich auf die Verletzung der Infrastruktur, Plattform und der eigenen Mandanten und Anwendungen von Microsoft konzentriert. Sie sind der engagierte Angreifer (eine Gruppe ethischer Hacker), der gezielte und dauerhafte Angriffe auf Onlinedienste (Microsoft-Infrastruktur, -Plattformen und -Anwendungen, aber nicht die Anwendungen oder Inhalte von Endbenutzern) durchführt.
Die Rolle des roten Teams besteht darin, Umgebungen mit den gleichen Schritten wie ein Angreifer anzugreifen und einzudringen:
Unter anderem versuchen rote Teams, die Grenzen der Mandantenisolation zu durchbrechen, um Fehler oder Lücken in unserem Isolationsentwurf zu finden.
Um die Skalierung von Angriffssimulationsbemühungen zu unterstützen, hat das rote Team ein automatisiertes Angriffsemulationstool erstellt, das in bestimmten Microsoft 365-Umgebungen auf wiederkehrender Basis sicher ausgeführt wird. Das Tool verfügt über eine Vielzahl vordefinierter Angriffe, die ständig erweitert und verbessert werden, um die sich entwickelnde Bedrohungslandschaft widerzuspiegeln. Zusätzlich zur Erweiterung der Abdeckung der Tests des roten Teams hilft es dem blauen Team, seine Sicherheitsüberwachungslogik zu überprüfen und zu verbessern. Die regelmäßige, fortlaufende Angriffsemulation bietet dem blauen Team einen konsistenten und vielfältigen Signalstrom, der mit den erwarteten Antworten verglichen und validiert wird. Dies führt zu Verbesserungen der Sicherheitsüberwachungslogik und -reaktionsfunktionen von Microsoft 365.
Blaue Teams
Das Blaue Team besteht entweder aus einer dedizierten Gruppe von Sicherheitsbeantwortern oder Mitgliedern aus allen Organisationen für die Reaktion auf Sicherheitsvorfälle, Die Technik und den Betrieb. Unabhängig von ihrem Make-up sind sie unabhängig und arbeiten separat vom Roten Team. Das Blue Team folgt etablierten Sicherheitsprozessen und verwendet die neuesten Tools und Technologien, um Angriffe und Penetration zu erkennen und darauf zu reagieren. Genau wie reale Angriffe weiß das Blaue Team nicht, wann oder wie die Angriffe des roten Teams auftreten werden oder welche Methoden verwendet werden können. Ihre Aufgabe, ob es sich um einen Angriff des roten Teams oder einen tatsächlichen Angriff handelt, besteht darin, alle Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Aus diesem Grund ist das blaue Team ständig auf Abruf und muss auf Verstöße des roten Teams auf die gleiche Weise reagieren wie bei jeder anderen Verletzung.
Wenn ein Angreifer, z. B. ein rotes Team, eine Umgebung verletzt hat, muss das blaue Team:
- Sammeln von Beweisen, die der Gegner hinterlassen hat
- Erkennen der Beweise als Hinweis auf Kompromittierung
- Benachrichtigen des/der entsprechenden Engineering- und Betriebsteams
- Triage der Warnungen, um festzustellen, ob sie eine weitere Untersuchung rechtfertigen
- Sammeln von Kontext aus der Umgebung zum Umfang der Verletzung
- Erstellen eines Wartungsplans, um den Angreifer einzudämmen oder zu vertreibungen
- Ausführen des Wartungsplans und Wiederherstellen von Sicherheitsverletzungen
Diese Schritte bilden die Reaktion auf Sicherheitsvorfälle, die parallel zu der des Angreifers ausgeführt wird, wie unten gezeigt:
Verstöße gegen das rote Team ermöglichen die Ausübung der Fähigkeit des blauen Teams, reale Angriffe end-to-end zu erkennen und darauf zu reagieren. Am wichtigsten ist, dass es eine praxisbezogene Reaktion auf Sicherheitsvorfälle vor einer echten Verletzung ermöglicht. Darüber hinaus verbessert das blaue Team aufgrund von Verstößen gegen das rote Team das Situationsbewusstsein, das bei zukünftigen Verstößen (ob vom roten Team oder einem anderen Gegner) wertvoll sein kann. Während des gesamten Erkennungs- und Reaktionsprozesses erzeugt das blaue Team umsetzbare Intelligenz und erhält Einblicke in die tatsächlichen Bedingungen der Umgebung(en), die sie zu verteidigen versuchen. Häufig erfolgt dies durch Datenanalyse und Forensik, die vom blauen Team durchgeführt wird, bei der Reaktion auf Angriffe des roten Teams und durch die Einrichtung von Bedrohungsindikatoren, z. B. Indikatoren für Kompromittierung. Ähnlich wie das rote Team Lücken in der Sicherheitslücke identifiziert, identifizieren blaue Teams Lücken in ihrer Fähigkeit, zu erkennen und zu reagieren. Da die roten Teams reale Angriffe modellieren, kann das Blaue Team außerdem genau auf ihre Fähigkeit oder Unfähigkeit, mit entschlossenen und beständigen Gegnern umzugehen, bewertet werden. Schließlich messen Verstöße gegen das rote Team sowohl die Bereitschaft als auch die Auswirkungen unserer Reaktion auf Sicherheitsverletzungen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für