Verwaltung von Microsoft-Sicherheitsvorfällen: Vorbereitung

Trainings- und Hintergrundüberprüfungen

Jeder Mitarbeiter, der an Microsoft Onlinedienste arbeitet, erhält Schulungen zu Sicherheitsvorfällen und Reaktionsverfahren, die für seine Rolle geeignet sind. Jeder Microsoft-Mitarbeiter erhält bei seinem Beitritt schulungen und danach jedes Jahr eine jährliche Auffrischungsschulung. Die Schulung soll dem Mitarbeiter ein grundlegendes Verständnis des Sicherheitsansatzes von Microsoft vermitteln, sodass alle Mitarbeiter nach Abschluss der Schulung Folgendes verstehen:

• Die Definition eines Sicherheitsvorfalls
• Die Verantwortung aller Mitarbeiter, Sicherheitsvorfälle zu melden
• Eskalieren eines potenziellen Sicherheitsvorfalls an das entsprechende Microsoft Security Response-Team
• Reaktion von Microsoft-Teams für Sicherheitsvorfälle auf Sicherheitsvorfälle
• Besondere Bedenken hinsichtlich des Datenschutzes, insbesondere des Datenschutzes der Kunden
• Wo sie zusätzliche Informationen zu Sicherheit und Datenschutz und Eskalationskontakten finden
• Alle anderen relevanten Sicherheitsbereiche (nach Bedarf)

Die entsprechenden Mitarbeiter erhalten jährlich eine Auffrischungsschulung zum Thema Sicherheit. Die jährliche Auffrischungsschulung konzentriert sich auf:

• Änderungen an den Standardbetriebsverfahren im Vorjahr
• Die Verantwortung aller, Sicherheitsvorfälle zu melden und wie dies zu tun ist
• Wo sie zusätzliche Informationen zu Sicherheit und Datenschutz und Eskalationskontakten finden
• Alle anderen Sicherheitsschwerpunkte, die jedes Jahr relevant sein können

Jeder Mitarbeiter, der an Microsoft Onlinedienste arbeitet, unterliegt einer angemessenen und gründlichen Hintergrundüberprüfung, die die Ausbildung, die Beschäftigung, die Kriminelle Geschichte und andere spezifische Informationen gemäß USA Vorschriften wie Health Insurance Portability and Accountability Act (HIPAA), International Traffic in Arms Regulations (ITAR), Federal Risk and Authorization Management Program (FedRAMP) und andere umfasst.

Die Hintergrundüberprüfungen sind für alle Mitarbeiter obligatorisch, die innerhalb von Microsoft Engineering arbeiten. Einige Microsoft-Onlinedienstumgebungen und -Betreiberrollen erfordern möglicherweise auch vollständige Fingerabdrücke, Staatsbürgerschaftsanforderungen, Behördliche Genehmigungsanforderungen und andere strengere Kontrollen. Darüber hinaus durchlaufen einige Serviceteams und Rollen bei Bedarf spezielle Sicherheitsschulungen. Schließlich erhalten die Mitglieder des Sicherheitsteams selbst spezielle Schulungen und Konferenzteilnahmen, die sich direkt auf die Sicherheit beziehen. Diese Schulung variiert je nach Bedarf des Teams und mitarbeiters, umfasst jedoch Branchenkonferenzen, interne Microsoft-Sicherheitskonferenzen und externe Schulungskurse durch bekannte Anbieter von Sicherheitsschulungen in der Branche. Wir haben auch dedizierte Sicherheitsschulungsartikel, die das ganze Jahr über für die Sicherheitscommunity in Microsoft veröffentlicht und regelmäßig auf Microsoft Onlinedienste spezialisiert sind.

Penetrationstests & Bewertung

Microsoft arbeitet mit verschiedenen Branchengremien und Sicherheitsexperten zusammen, um neue Bedrohungen und sich entwickelnde Trends zu verstehen. Microsoft bewertet kontinuierlich seine eigenen Systeme auf Sicherheitsrisiken und arbeitet mit verschiedenen unabhängigen, externen Experten zusammen, die dies auch tun.

Die Tests, die für die Diensthärtung in Microsoft Onlinedienste durchgeführt werden, können in vier allgemeine Kategorien unterteilt werden:

1. Automatisierte Sicherheitstests: Interne und externe Mitarbeiter überprüfen regelmäßig Microsoft-Onlinedienstumgebungen basierend auf Microsoft SDL-Praktiken, Open Web Application Security Project (OWASP) Top 10-Risiken und neuen Bedrohungen, die von verschiedenen Branchenorganisationen gemeldet werden.
2. Sicherheitsrisikobewertungen: Formelle Zusammenarbeiten mit unabhängigen Testern von Drittanbietern überprüfen regelmäßig, ob wichtige logische Kontrollen effektiv funktionieren, um die Dienstverpflichtungen verschiedener Regulierungsbehörden zu erfüllen. Die Bewertungen werden von crest-zertifizierten Mitarbeitern (Council of Registered Ethical Security Testers) durchgeführt und basieren auf OWASP Top 10-Risiken und anderen dienstspezifischen Bedrohungen. Alle gefundenen Bedrohungen werden bis zum Schließen nachverfolgt.
3. Kontinuierliche Systemsicherheitstests: Microsoft führt regelmäßige Tests durch, bei denen Teams versuchen, das System mit neuen Bedrohungen, gemischten Bedrohungen und/oder erweiterten persistenten Bedrohungen zu verletzen, während andere Teams versuchen, solche Angriffe zu blockieren.
4. Microsoft Online Services Bug Bounty-Programm: Dieses Programm betreibt eine Richtlinie, die eingeschränkte Sicherheitsrisikobewertungen von Kunden auf Microsoft Onlinedienste zulässt. Weitere Informationen finden Sie unter Microsoft Online Services Bug Bounty Terms.For more information, see Microsoft Online Services Bug Bounty Terms.

Die Microsoft Onlinedienste-Entwicklungsteams veröffentlichen in regelmäßigen Abständen verschiedene Compliance-Dokumente. Einige dieser Dokumente sind im Rahmen einer Geheimhaltungsvereinbarung im Microsoft Cloud Service Trust Portal oder im Bereich Service Assurance des Microsoft Purview-Complianceportal

Angriffssimulation

Microsoft nimmt an laufenden Angriffssimulationsübungen und Live-Site-Penetrationstests unserer Sicherheits- und Reaktionspläne teil, um die Erkennungs- und Reaktionsfähigkeit zu verbessern. Microsoft simuliert regelmäßig reale Sicherheitsverletzungen, führt eine kontinuierliche Sicherheitsüberwachung durch und reagiert auf Sicherheitsvorfälle, um die Sicherheit von Microsoft Onlinedienste zu überprüfen und zu verbessern.

Microsoft führt eine Sicherheitsstrategie von sicherheitsrelevanten Sicherheitsverletzungen aus, indem zwei Kernteams verwendet werden:

Rote Teams

Microsoft Red Teams sind Gruppen von Vollzeitmitarbeitern innerhalb von Microsoft, die sich darauf konzentrieren, die Infrastruktur, Plattform und die eigenen Mandanten und Anwendungen von Microsoft zu verletzen. Sie sind der dedizierte Angreifer (eine Gruppe ethischer Hacker), die gezielte und dauerhafte Angriffe auf Onlinedienste (aber keine Kundenanwendungen oder -daten) durchführen. Sie bieten eine kontinuierliche "umfassende" Validierung (z. B. technische Kontrollen, Papierrichtlinien, menschliche Reaktion usw.) von Funktionen zur Reaktion auf Dienstvorfälle.

Blaue Teams

Microsoft Blue-Teams bestehen aus dedizierten Sicherheitshelfern und Mitgliedern aus den gesamten Sicherheitsvorfällen sowie den Technischen und Betriebsteams. Sie sind unabhängig und arbeiten getrennt von den Red Teams. Die blauen Teams folgen etablierten Sicherheitsprozessen und nutzen die neuesten Tools und Technologien, um Angriffe und Penetrationsversuche zu erkennen und darauf zu reagieren. Genau wie reale Angriffe wissen die blauen Teams nicht, wann und wie die Angriffe des Roten Teams stattfinden oder welche Methoden verwendet werden können. Ihre Aufgabe, ob es sich um einen Red Team-Angriff oder einen tatsächlichen Angriff handelt, besteht darin, alle Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Aus diesem Grund sind die blauen Teams ständig im Bereitschaftsdienst und müssen auf Red-Teamverletzungen genauso reagieren wie bei jedem anderen Angreifer.

Microsoft-Mitarbeiter trennen vollzeitbefristet rote Teams und blaue Teams in verschiedenen Abteilungen, die Vorgänge sowohl dienstübergreifend als auch innerhalb dieser Teams durchführen. Der ansatz, der als Red Teaming bezeichnet wird, besteht darin, die Systeme und Vorgänge von Microsoft-Diensten mit den gleichen Taktiken, Techniken und Verfahren wie echte Angreifer gegen die Live-Produktionsinfrastruktur zu testen, ohne dass die Infrastruktur- und Plattformentwicklungs- oder Betriebsteams wissen. Dies testet Funktionen zur Sicherheitserkennung und -reaktion und hilft bei der kontrollierten Identifizierung von Sicherheitsrisiken in der Produktion, Konfigurationsfehlern, ungültigen Annahmen oder anderen Sicherheitsproblemen. Auf jede Red-Teamverletzung folgt eine vollständige Offenlegung zwischen dem Roten Team und dem blauen Team, einschließlich Serviceteams, um Lücken zu identifizieren, Ergebnisse zu beheben und die Reaktion auf Sicherheitsverletzungen erheblich zu verbessern.

Hinweis

Bei Red Teaming- oder Live-Websitedurchdringungsübungen werden keine Kundendaten erfasst. Die Tests beziehen sich auf Microsoft 365- und Azure-Infrastruktur und -Plattformen sowie die eigenen Mandanten, Anwendungen und Daten von Microsoft. Kundenmandanten, Anwendungen und Daten, die in Azure, Dynamics 365 oder Microsoft 365 gehostet werden, sind niemals gemäß den vereinbarten Einsatzregeln ausgerichtet.

Gemeinsame Übungen

Manchmal führen die Teams von Microsoft Blue und Red gemeinsame Vorgänge durch, bei denen die Beziehung während des Vorgangs mehr Partner als Gegner mit einer ausgewählten Gruppe von Mitarbeitern aus jedem Team ist. Diese Übungen sind zwischen den Teams gut koordiniert, um durch die Zusammenarbeit zwischen ethischen Hackern und Reaktionshelfern in Echtzeit einen gezielteren Satz von Ergebnissen zu erzielen. Diese "lila Team"-Übungen sind auf jeden Vorgang zugeschnitten, um die Chance zu maximieren, aber grundlegend für jeden Vorgang ist der Austausch von Informationen mit hoher Bandbreite und eine Partnerschaft, um die Ziele zu erreichen.

Verwandte Artikel

• Verwaltung von Microsoft-Sicherheitsvorfällen
• Verwaltung von Microsoft-Sicherheitsvorfällen: Erkennung und Analyse
• Verwaltung von Microsoft-Sicherheitsvorfällen: Eindämmung, Beseitigung und Wiederherstellung
• Microsoft Security Incident Management: Post-Incident-Aktivität
• Protokollieren eines Supporttickets für Sicherheitsereignisse
• Azure und Dynamics 365-Benachrichtigung bei Datenschutzverletzung im Rahmen der DSGVO