Κοινή χρήση μέσω

Προτάσεις για δοκιμές ασφαλείας

  • Άρθρο

Ισχύει για την παρούσα σύσταση της λίστας ελέγχου Power Platform Well-Architected Security:

SE:09 Να δημιουργήσετε ένα αναλυτικό δοκιμαστικό πρόγραμμα που συνδυάζει προσεγγίσεις για την αποτροπή ζητημάτων ασφαλείας, την επικύρωση των εφαρμογών αποτροπής απειλής και τη δοκιμή μηχανισμών εντοπισμού απειλών.

Η δοκιμή ασφάλειας είναι το θεμέλιο ενός καλού σχεδιασμού ασφάλειας. Οι δοκιμές είναι μια μορφή επικύρωσης για να βεβαιωθείτε ότι τα στοιχεία ελέγχου λειτουργούν όπως πρέπει. Οι δοκιμές είναι επίσης ένας προληπτικός τρόπος για τον εντοπισμό σημείων ευπάθειας στο σύστημα.

Να καθιερώσετε τη δυνατότητα δοκιμής μέσω του ρυθμού και της επαλήθευσης από πολλές προοπτικές. Θα πρέπει να συμπεριλάβετε εσωτερικές θύρες προβολής που δοκιμάζουν πλατφόρμα και υποδομή καθώς και αξιολόγηση έξω από το σύστημα, που δοκιμάζει το σύστημα ως εξωτερικός εισβολέας.

Αυτός ο οδηγός παρέχει προτάσεις για τη δοκιμή της στάσης ασφαλείας του φόρτου εργασίας σας. Εφαρμόστε αυτές τις μεθόδους ελέγχου για να βελτιώσετε τη διαθεσιμότητα του φόρτου εργασίας σας σε περιπτώσεις επιθέσεων και να διατηρήσετε την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πόρων.

Ορισμοί

Όρος Ορισμός
Δοκιμή ασφάλειας εφαρμογής (AST) Μια τεχνική κύκλου ζωής ανάπτυξης ασφάλειας της Microsoft (SDL) που χρησιμοποιεί μεθοδολογίες δοκιμής λευκών και μαύρων τετραγώνων για έλεγχο για σημεία ευπάθειας ασφαλείας στον κώδικα.
Δοκιμή μαύρου πλαισίου Μια μεθοδολογία δοκιμής που επικυρώνει τη συμπεριφορά της εφαρμογής που εμφανίζεται εξωτερικά χωρίς να γνωρίζει τους εσωτερικούς χώρους του συστήματος.
Μπλε ομάδα Μια ομάδα που μπορεί να αμύνεται έναντι επιθέσεων της κόκκινης ομάδας σε μια άσκηση παιχνιδιού με παιχνίδια.
Δοκιμές διείσδυσης Μια μεθοδολογία δοκιμών που χρησιμοποιεί τεχνικές εισβολής με μεθόδους επαλήθευσης της ασφάλειας ενός συστήματος.
Κόκκινη ομάδα Μια ομάδα που προσπαθεί να "χακάρει" το σύστημα σε μια άσκηση παιχνιδιού κατά τη διάρκεια ενός παιχνιδιού.
Κύκλος ζωής ανάπτυξης ασφάλειας (SDL) Ένα σύνολο πρακτικών που παρέχονται από τη Microsoft και υποστηρίζουν τις απαιτήσεις διασφάλισης ασφάλειας και συμμόρφωσης.
Κύκλος ζωής ανάπτυξης λογισμικού (SDLC) Μια πολύπλευρη, συστηματική διαδικασία για την ανάπτυξη συστημάτων λογισμικού.
Δοκιμή λευκών πλαισίων Μια μεθοδολογία δοκιμών όπου είναι γνωστή η δομή του κώδικα στον ειδικό.

Βασικές στρατηγικές σχεδίασης

Οι δοκιμές είναι μια μη διαπραγματεύσιμη στρατηγική, ειδικά για την ασφάλεια. Σάς επιτρέπει να ανακαλύπτετε προληπτικά και να αντιμετωπίσετε προβλήματα ασφαλείας πριν τα αξιοποιήσετε και να επαληθεύσετε ότι οι έλεγχοι ασφαλείας που υλοποιείτε λειτουργούν όπως έχουν σχεδιαστεί.

Το πεδίο των δοκιμών πρέπει να περιλαμβάνει την εφαρμογή, την υποδομή και τις αυτοματοποιημένες και ανθρώπινες διεργασίες.

Σημείωμα

Αυτή η καθοδήγηση κάνει διάκριση ανάμεσα στη δοκιμή και την απόκριση σε περιστατικό. Μολονότι οι δοκιμές είναι ένας μηχανισμός εντοπισμού που διορθώνει ιδανικά προβλήματα πριν από την παραγωγή, δεν θα πρέπει να συγχέεται με την επανάληψη ή τη δοκιμή που έχει γίνει μέρος της απόκρισης σε περιστατικό. Η πτυχή της ανάκτησης από περιστατικά ασφαλείας περιγράφεται στις Προτάσεις για απόκριση σε περιστατικά ασφαλείας.

Συμμετοχή σε δοκιμαστικό σχεδιασμό. Η ομάδα φόρτου εργασίας ενδέχεται να μην σχεδιάσει τις δοκιμαστικές υποθέσεις. Αυτή η εργασία συνήθως γίνεται κεντρικά στην επιχείρηση ή ολοκληρώνεται από εξωτερικούς ειδικούς ασφαλείας. Η ομάδα του φόρτου εργασίας θα πρέπει να εμπλέκεται σε αυτήν τη διαδικασία σχεδιασμού, ώστε να διασφαλιστεί ότι οι διαβεβαιώσεις ασφαλείας θα ενσωματώσουν τη λειτουργικότητα της εφαρμογής.

Σκεφτείτε σαν εισβολέας. Σχεδιάστε τις δοκιμαστικές σας υποθέσεις με την υπόθεση ότι το σύστημα έχει δεχθεί επίθεση. Με αυτόν τον τρόπο, μπορείτε να αποκαλύψετε τα πιθανά σημεία ευπάθειας και να προσθέσετε προτεραιότητες για τις δοκιμές αναλόγως.

Εκτελέστε δοκιμές με δομημένο τρόπο και με μια επαναλαμβανόμενη διεργασία. Δημιουργήστε τη δική σας δύναμη δοκιμής σχετικά με τον ρυθμό, τους τύπους των δοκιμών, τους παράγοντες καθοδήγησης και τα προβλεπόμενα αποτελέσματα.

Χρησιμοποιήστε το σωστό εργαλείο για την εργασία. Χρησιμοποιήστε εργαλεία που έχουν ρυθμιστεί για εργασία με τον φόρτο εργασίας. Εάν δεν έχετε εργαλείο, αγοράστε το εργαλείο. Μην το δημιουργείτε. Τα εργαλεία ασφαλείας είναι ιδιαίτερα εξειδικευμένα και η δημιουργία του δικού σας εργαλείου ενδέχεται να ενέχει κινδύνους. Επωφεληθείτε από την εξειδίκευση και τα εργαλεία που προσφέρουν οι κεντρικές ομάδες SecOps ή με εξωτερικά μέσα, εάν η ομάδα του φόρτου εργασίας δεν διαθέτει την εν λόγω εξειδίκευση.

Ρυθμίστε ξεχωριστά περιβάλλοντα. Οι δοκιμές μπορεί να είναι αυτονόητες ή μη καταστρεπτικές. Οι μη καταστρεπτικές δοκιμές δεν είναι επεμβατικές. Δηλώνουν ότι υπάρχει πρόβλημα, αλλά δεν αλλάζουν τη λειτουργικότητα προκειμένου να διορθωθεί το πρόβλημα. Οι καταστρεπτικές δοκιμές είναι επεμβατικές και ενδέχεται να προκαλούν απώλεια λειτουργιών διαγράφοντας δεδομένα από μια βάση δεδομένων.

Οι δοκιμές σε περιβάλλον παραγωγής σάς δίνουν τις καλύτερες πληροφορίες, αλλά προκαλούν τη μεγαλύτερη αναστάτωση. Μπορείτε να κάνετε μόνο μη καταστρεπτικές δοκιμές σε περιβάλλοντα παραγωγής. Οι δοκιμές σε περιβάλλοντα μη παραγωγής συνήθως είναι λιγότερο σημαντικές, αλλά ενδέχεται να μην αντιπροσωπεύουν με ακρίβεια τη ρύθμιση παραμέτρων του περιβάλλοντος παραγωγής με τρόπους που είναι σημαντικοί για την ασφάλεια.

Μπορείτε να δημιουργήσετε μια μεμονωμένη κλωνοποίηση του περιβάλλοντος παραγωγής σας χρησιμοποιώντας τη δυνατότητα αντιγραφής περιβάλλοντος. Εάν έχετε ρυθμίσει τις διοχετεύσεις ανάπτυξης, μπορείτε επίσης να αναπτύξετε τις λύσεις σας σε ένα αποκλειστικό δοκιμαστικό περιβάλλον.

Να αξιολογείτε πάντα τα αποτελέσματα της δοκιμής. Οι δοκιμές είναι μια σπατάλη προσπαθειών, εάν τα αποτελέσματα δεν χρησιμοποιηθούν για τον καθορισμό προτεραιοτήτων για τις ενέργειες και τη βελτίωση της ασφάλειας. Καταγράψτε τις οδηγίες ασφαλείας, συμπεριλαμβανομένων των βέλτιστων πρακτικών που αποκαλύπτετε. Η τεκμηρίωση που καταγράφει τα αποτελέσματα και τα σχέδια αποκατάστασης εκπαιδεύει την ομάδα σχετικά με τους διάφορους τρόπους με τους οποίους οι εισβολείς ενδέχεται να προσπαθήσουν να παραβιάσουν την ασφάλεια. Να διεξάγετε τακτική εκπαίδευση ασφαλείας για προγραμματιστές, διαχειριστές και δοκιμαστές.

Όταν σχεδιάζετε τα δοκιμαστικά σας σχέδια, σκεφτείτε τις παρακάτω ερωτήσεις:

  • Πόσο συχνά αναμένετε την εκτέλεση της δοκιμής και πώς επηρεάζει το περιβάλλον σας;
  • Ποιοι είναι οι διαφορετικοί τύποι δοκιμών που πρέπει να εκτελέσετε;

Πόσο συχνά αναμένετε την εκτέλεση των δοκιμών;

Ελέγξτε τον φόρτο εργασίας σε τακτά χρονικά διαστήματα για να βεβαιωθείτε ότι οι αλλαγές δεν παρουσιάζουν κινδύνους για την ασφάλεια και ότι δεν υπάρχουν αλλαγές. Η ομάδα πρέπει επίσης να είναι έτοιμη να ανταποκριθεί σε επικυρώσεις ασφαλείας του οργανισμού που ενδεχομένως να πραγματοποιούνται ανά πάσα στιγμή. Υπάρχουν επίσης δοκιμές που μπορείτε να εκτελέσετε σε απόκριση ενός περιστατικού ασφαλείας. Οι ακόλουθες ενότητες παρέχουν προτάσεις σχετικά με τη συχνότητα των δοκιμών.

Δοκιμές ρουτίνας

Οι δοκιμές ρουτίνας πραγματοποιούνται με κανονικό ρυθμός, ως μέρος των τυπικών διαδικασιών λειτουργίας σας και για την τήρηση των απαιτήσεων συμμόρφωσης. Μπορεί να εκτελούνται διάφορες δοκιμές με διαφορετικούς ρυθμός, αλλά το βασικό είναι ότι οι δοκιμές εκτελούνται περιοδικά και βάσει χρονοδιαγράμματος.

Θα πρέπει να ενσωματώσετε αυτές τις δοκιμές στο SDLC σας, επειδή παρέχουν ανάλυση σε κάθε στάδιο. Διαφοροποιήστε τη σουίτα δοκιμών για να επαληθεύσετε τις διαβεβαιώσεις για τα κανάλια ταυτότητας, τους χώρους αποθήκευσης δεδομένων και μετάδοσης καθώς και για τα κανάλια επικοινωνίας. Διεξαγάγετε τις ίδιες δοκιμές σε διαφορετικά σημεία του κύκλου ζωής για να εξασφαλίσετε ότι δεν θα υπάρχουν αναδρομές. Οι δοκιμές ρουτίνας βοηθούν στη δημιουργία ενός αρχικού σημείου αναφοράς. Ωστόσο, αυτό είναι απλώς ένα σημείο εκκίνησης. Καθώς αποκαλύπτετε νέα προβλήματα στα ίδια σημεία του κύκλου ζωής σας, προσθέτετε νέες δοκιμαστικές υποθέσεις. Επίσης, οι δοκιμές βελτιώνονται με επανάληψη.

Σε κάθε στάδιο, αυτές οι δοκιμές θα πρέπει να επικυρώσουν τον κώδικα που έχει προστεθεί ή καταργηθεί ή τις ρυθμίσεις παραμέτρων που έχουν αλλάξει προκειμένου να εντοπιστεί η επίδραση στην ασφάλεια αυτών των αλλαγών. Θα πρέπει να βελτιώσετε την αποτελεσματικότητα των δοκιμών όσον αφορά την αυτοματοποίηση, ώστε να εξισορροπηθεί με αναθεωρήσεις από ομότιμους.

Εξετάστε το ενδεχόμενο να εκτελέσετε δοκιμές ασφαλείας ως μέρος μιας αυτοματοποιημένης διοχέτευσης ή προγραμματισμένης δοκιμαστικής εκτέλεσης. Όσο πιο γρήγορα ανακαλύψετε ζητήματα ασφαλείας, τόσο πιο εύκολο είναι να βρείτε τον κώδικα ή την αλλαγή ρύθμισης παραμέτρων που τα προκαλεί.

Μην βασιστείτε μόνο σε αυτοματοποιημένες δοκιμές. Χρησιμοποιήστε μη αυτόματες δοκιμές για να εντοπίσετε σημεία ευπάθειας τα οποία μόνο οι ειδικοί άνθρωποι μπορούν να εντοπίσουν. Η μη αυτόματη δοκιμή είναι καλή για την εξερεύνηση υποθέσεων χρήσης και την εύρεση άγνωστων κινδύνων.

Αυτοσχέδιες δοκιμές

Οι αυτοσχέδιες δοκιμές παρέχουν έγκαιρη επικύρωση αμυνών ασφαλείας. Οι ειδοποιήσεις ασφαλείας που ενδέχεται να επηρεάσουν τον φόρτο εργασίας την περίοδο εκείνη ενεργοποιούν αυτές τις δοκιμές. Οι οργανικές εντολές ενδέχεται να απαιτούν μια διαδικασία παύσης-δοκιμής για την επαλήθευση της αποτελεσματικότητας των στρατηγικών άμυνας σε περίπτωση που η ειδοποίηση κλιμακωθεί σε επείγουσα.

Το πλεονέκτημα από τις αυτοσχέδιες δοκιμές είναι η προετοιμασία για ένα πραγματικό περιστατικό. Αυτές οι δοκιμές μπορεί να είναι μια συνάρτηση για τη δοκιμή αποδοχής χρηστών (UAT).

Η ομάδα ασφαλείας ενδέχεται να ελέγχει όλους τους φόρτους εργασίας και να εκτελεί αυτές τις δοκιμές, εάν απαιτείται. Ως κάτοχος φόρτου εργασίας, πρέπει να διευκολύνετε και να συνεργαστείτε με ομάδες ασφαλείας. Διαπραγματευτείτε επαρκώς τον χρόνο υποψήφιου πελάτη με τις ομάδες ασφαλείας ώστε να μπορείτε να προετοιμαστείτε. Αναγνωρίστε και επικοινωνήστε με την ομάδα σας και τους ενδιαφερόμενους σχετικά με το ότι αυτές οι διακοπές λειτουργίας είναι απαραίτητες.

Σε άλλες περιπτώσεις, ενδέχεται να χρειαστεί να εκτελέσετε δοκιμές και να αναφέρετε την κατάσταση ασφαλείας του συστήματος έναντι της πιθανής απειλής.

Ανταλλαγή: Επειδή οι αυτοσχέδιες δοκιμές έχουν αντίκτυπο, περιμένετε την εκ νέου ιεράρχηση των εργασιών κάτι που μπορεί να καθυστερήσει άλλες προγραμματισμένες εργασίες.

Κίνδυνος: Υπάρχει κίνδυνος για το άγνωστο. Οι αυτοσχέδιες δοκιμές μπορεί να είναι προσπάθειες που θα εκτελούνται μόνο μία φορά, χωρίς να έχουν καθοριστεί διεργασίες ή εργαλεία. Ωστόσο, ο κυρίαρχος κίνδυνος είναι η πιθανή διακοπή του ρυθμού της επιχείρησης. Θα πρέπει να αξιολογήσετε αυτούς τους κινδύνους σε σχέση με τα πλεονεκτήματα.

Δοκιμές περιστατικών ασφαλείας

Υπάρχουν δοκιμές που εντοπίζουν την αιτία ενός περιστατικού ασφαλείας στην προέλευσή του. Αυτά τα κενά ασφάλειας πρέπει να επιλυθούν για να βεβαιωθείτε ότι το περιστατικό δεν θα επαναλαμβάνεται.

Τα περιστατικά επίσης βελτιώνουν τις δοκιμαστικές υποθέσεις με την πάροδο του χρόνου αποκαλύπτοντας υπάρχοντα κενά. Η ομάδα πρέπει να εφαρμόσει όσα έμαθε από το περιστατικό και να ενσωματώσει βελτιώσεις σε όλα τα περιστατικά.

Ποιοι είναι οι διαφορετικοί τύποι δοκιμών;

Οι δοκιμές μπορούν να κατηγοριοποιηθούν ανά τεχνολογία και μεθοδολογίες δοκιμών. Συνδυάστε αυτές τις κατηγορίες και τις προσεγγίσεις μέσα σε αυτές τις κατηγορίες για να έχετε πλήρη κάλυψη.

Προσθέτοντας πολλές δοκιμές και τύπους δοκιμών, μπορείτε να αποκαλύψετε τα εξής:

  • Κενά στους ελέγχους ασφαλείας ή στους ελέγχους αντιστάθμισης.
  • Λανθασμένες ρυθμίσεις παραμέτρων.
  • Κενά στην παρατηρησιμότητα και στις μεθόδους εντοπισμού.

Μια καλή άσκηση μοντελοποίησης απειλής μπορεί να καταδείξει βασικούς τομείς για να διασφαλιστεί η δοκιμαστική κάλυψη και η συχνότητα. Για συστάσεις σχετικά με τη μοντελοποίηση απειλών δείτε Προτάσεις για προστασία ενός κύκλου ζωής ανάπτυξης.

Οι περισσότερες δοκιμές που περιγράφονται σε αυτές τις ενότητες μπορούν να εκτελούνται ως δοκιμές ρουτίνας. Ωστόσο, η επαναληψιμότητα μπορεί να προκαλέσει κόστος σε ορισμένες περιπτώσεις και να προκαλέσει αναστάτωση. Εξετάστε προσεκτικά αυτές τις ανταλλαγές.

Δοκιμές επαλήθευσης της στοίβας τεχνολογίας

Ακολουθούν ορισμένα παραδείγματα τύπων δοκιμών και των περιοχών εστίασης τους. Αυτή η λίστα δεν είναι πλήρης. Δοκιμάστε ολόκληρη τη στοίβα, συμπεριλαμβανομένης της στοίβας εφαρμογής, του προσκηνίου, του παρασκηνίου, των API, των βάσεων δεδομένων και τυχόν εξωτερικών ενσωματώσεων.

  • Ασφάλεια δεδομένων: Ελέγξτε την αποτελεσματικότητα της κρυπτογράφησης δεδομένων και των στοιχείων ελέγχου πρόσβασης, για να εξασφαλίσετε ότι τα δεδομένα προστατεύονται σωστά από μη εξουσιοδοτημένη πρόσβαση και μεταφορά.
  • Δίκτυο και συνδεσιμότητα: Δοκιμάστε τα τείχη προστασίας για να βεβαιωθείτε ότι επιτρέπουν μόνο την αναμενόμενη, επιτρεπόμενη και ασφαλή κυκλοφορία στον φόρτο εργασίας.
  • Εφαρμογή: Δοκιμάστε τον κώδικα προέλευσης μέσω τεχνικών δοκιμών ασφαλείας εφαρμογών (AST), για να βεβαιωθείτε ότι έχετε ακολουθήσει ασφαλείς πρακτικές κωδικοποίησης και για να καταγράψετε σφάλματα χρόνου εκτέλεσης, όπως ζητήματα που αφορούν τη μνήμη και τα προνόμια.
  • Ταυτότητα: Αξιολογήστε εάν οι αναθέσεις ρόλων και οι έλεγχοι υπό όρους λειτουργούν όπως πρέπει.

Μεθοδολογία δοκιμής

Υπάρχουν πολλές προοπτικές σχετικά με τις μεθοδολογίες των δοκιμών. Συνιστούμε δοκιμές που επιτρέπουν την ενεργοποίηση της απειλής μέσω προσομοίωσης επιθέσεων σε πραγματικό κόσμο. Μπορούν να προσδιορίσουν πιθανή απειλή για την ασφάλεια, τις τεχνικές τους και τις ευπάθειές τους που αποτελούν απειλή για το φόρτο εργασίας. Φροντίστε οι επιθέσεις να είναι όσο το δυνατό πιο ρεαλιστικές. Χρησιμοποιήστε όλες τις πιθανές απειλές που εντοπίζετε κατά τη μοντελοποίηση των απειλών.

Ακολουθούν ορισμένα πλεονεκτήματα από τις δοκιμές μέσω επιθέσεων σε πραγματικό κόσμο:

  • Όταν κάνετε αυτές τις επιθέσεις ως μέρος των δοκιμών ρουτίνας, χρησιμοποιείτε μια εξωτερική προοπτική για να ελέγξετε τον φόρτο εργασίας και να βεβαιωθείτε ότι η άμυνα μπορεί να ελέγξει μια επίθεση.
  • Με βάση τις γνώσεις που αποκόμισε, η ομάδα αναβαθμίζει τις γνώσεις και το επίπεδο δεξιοτήτων της. Η ομάδα βελτιώνει την επίγνωση περί των καταστάσεων και μπορεί να αυτο-αξιολογεί την ετοιμότητά της να ανταποκριθεί σε συμβάντα.

Κίνδυνος: Η δοκιμή γενικά μπορεί να επηρεάσει την απόδοση. Ενδέχεται να υπάρχουν προβλήματα επιχειρηματικής συνέχειας σε περίπτωση που οι καταστρεπτικές δοκιμές διαγράψουν ή καταστρέψουν δεδομένα. Υπάρχουν επίσης κίνδυνοι που σχετίζονται με την έκθεση πληροφοριών. Βεβαιωθείτε ότι διατηρείτε την εμπιστευτικότητα των δεδομένων. Διασφαλίστε την ακεραιότητα των δεδομένων μετά την ολοκλήρωση των δοκιμών.

Ορισμένα παραδείγματα προσομοίωσης δοκιμών είναι οι δοκιμές "μαύρου πλαισίου" και "λευκού πλαισίου", οι δοκιμές διείσδυσης και οι ασκήσεις παιχνιδιού.

Δοκιμή "μαύρου πλαισίου" και "λευκού πλαισίου"

Αυτοί οι τύποι δοκιμών προσφέρουν δύο διαφορετικές προοπτικές. Στις δοκιμές των μαύρων πλαισίων, οι εσωτερικές ρυθμίσεις του συστήματος δεν είναι ορατές. Στις δοκιμές λευκών πλαισίων, ο δοκιμαστής έχει καλή κατανόηση της εφαρμογής και ακόμα και πρόσβαση σε κώδικα, αρχεία καταγραφής, τοπολογία πόρων και ρυθμίσεις παραμέτρων για τη διεξαγωγή του πειραματισμού.

Κίνδυνος: Η διαφορά μεταξύ δύο τύπων είναι κόστος εκ των προτέρων. Οι δοκιμές λευκών πλαισίων μπορεί να είναι ακριβές από την άποψη του χρόνου για την κατανόηση του συστήματος. Σε ορισμένες περιπτώσεις, για τη δοκιμή λευκών πλαισίων απαιτείται η αγορά εξειδικευμένων εργαλείων. Οι δοκιμές μαύρων πλαισίων δεν χρειάζονται χρόνο για την κλιμάκωση, αλλά ενδεχομένως να μην είναι τόσο αποτελεσματικές. Ίσως χρειαστεί να κάνετε επιπλέον προσπάθεια για να ανακαλύψετε προβλήματα. Πρόκειται για μια ανταλλαγή επενδύσεων.

Δοκιμές προσομοίωσης επιθέσεων μέσω δοκιμών διείσδυσης

Οι ειδικοί ασφαλείας που δεν συμμετέχουν στο τμήμα IT ή στις ομάδες εφαρμογών του οργανισμού διεξάγουν δοκιμές δοκιμής διείσδυσης ή αλλιώς pentesting. Εξετάζουν το σύστημα με τον τρόπο που οι εισβολείς προετοιμάζουν μια επίθεση. Ο στόχος τους είναι να βρουν κενά ασφαλείας, συλλέγοντας πληροφορίες, αναλύοντας σημεία ευπάθειας και κάνοντας αναφορά των αποτελεσμάτων.

Ανταλλαγή: Οι δοκιμές διείσδυσης είναι αυτοσχέδιες και μπορεί να είναι ακριβές όσον αφορά τις διακοπές και τις χρηματικές επενδύσεις, επειδή η διείσδυση είναι συνήθως μια πληρωμένη προσφορά από τρίτους επαγγελματίες.

Κίνδυνος: Μια άσκηση pentesting μπορεί να επηρεάσει το περιβάλλον χρόνου εκτέλεσης και να διαταράξει τη διαθεσιμότητα για κανονική κυκλοφορία.

Οι ειδικοί ενδέχεται να χρειάζονται πρόσβαση σε ευαίσθητα δεδομένα σε ολόκληρο τον οργανισμό. Ακολουθήστε τους κανόνες δέσμευσης για να εξασφαλίσετε ότι δεν γίνεται λανθασμένη χρήση της πρόσβασης. Δείτε τους πόρους που παρατίθενται στο θέμα Δείτε επίσης.

Δοκιμές προσομοίωσης επιθέσεων μέσω ασκήσεων παιχνιδιού

Σε αυτήν τη μεθοδολογία των προσομοιώσεων επιθέσεων, υπάρχουν δύο ομάδες:

  • Η κόκκινη ομάδα είναι ο αντίπαλος που προσπαθεί να μοντελοποιήσει επιθέσεις πραγματικού κόσμου. Εάν πετύχει, θα βρείτε κενά στον σχεδιασμό ασφαλείας σας και θα πρέπει να αξιολογήσετε τον πολύ μεγάλο περιορισμό των παραβιάσεω τους.
  • Η μπλε ομάδα είναι η ομάδα φόρτου εργασίας που υποστηρίζει τις επιθέσεις. Δοκιμάζουν τη δυνατότητά τους να εντοπίζουν, να απαντούν και να διορθώνουν τις επιθέσεις. Επικυρώνουν τις άμυνες που έχουν υλοποιηθεί για την προστασία των πόρων φόρτου εργασίας.

Εάν πραγματοποιούνται ως δοκιμές ρουτίνας, οι ασκήσεις παιχνιδιού μπορούν να παρέχουν συνεχή ορατότητα και διαβεβαίωση ότι οι άμυνές σας λειτουργούν όπως έχουν σχεδιαστεί. Οι ασκήσεις παιχνιδιού μπορούν ενδεχομένως να δοκιμάσουν όλα τα επίπεδα εντός του φόρτου εργασίας σας.

Μια δημοφιλής επιλογή για την προσομοίωση ρεαλιστικών σεναρίων επίθεσης είναι το Microsoft Defender για Office 365 Εκπαίδευση στην προσομοίωση επιθέσεων.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Πληροφορίες και αναφορές για εκπαίδευση στην προσομοίωση επίθεσης.

Για πληροφορίες σχετικά με τη ρύθμιση της κόκκινης ομάδας και της μπλε ομάδας, ανατρέξτε στην τοποθεσία Κόκκινη ομάδα Microsoft Cloud.

Διευκόλυνση Power Platform

Η λύση Microsoft Sentinel για το Microsoft Power Platform επιτρέπει στους πελάτες να εντοπίζουν διάφορες δραστηριότητες παρακολούθησης, όπως:

  • Η εκτέλεση του Power Apps από μη εξουσιοδοτημένες γεωγραφίες
  • Ύποπτη καταστροφή δεδομένων με το Power Apps
  • Μαζική διαγραφή του Power Apps
  • Επιθέσεις ηλεκτρονικού "ψαρέματος" μέσω Power Apps
  • Ροές δραστηριότητας Power Automate από αποχωρούντες υπαλλήλους
  • Συνδέσεις Microsoft Power Platform που προστίθενται σε ένα περιβάλλον
  • Ενημέρωση ή κατάργηση των πολιτικών αποτροπής απώλειας δεδομένων Microsoft Power Platform

Για περισσότερες πληροφορίες, ανατρέξτε στη λύση Microsoft Sentinel για την επισκόπηση Microsoft Power Platform.

Για τεκμηρίωση προϊόντος, ανατρέξτε στις Δυνατότητες στο Microsoft Sentinel.

Το Microsoft Cloud προσφέρει σάρωση ευπάθειας για διάφορους τομείς τεχνολογίας. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ενεργοποίηση σάρωσης ευπάθειας με τη Διαχείριση ευπάθειας Microsoft Defender.

Η πρακτική του DevSecOps ενοποιεί τις δοκιμές ασφαλείας ως μέρος μιας τρέχουσας και συνεχούς βελτίωσης. Οι ασκήσεις παιχνιδιού είναι μια συνήθης πρακτική που ενσωματώνεται στην επιχειρηματική δραστηριότητα στη Microsoft. Για περισσότερες πληροφορίες δείτε Ασφάλεια στο DevOps (DevSecOps).

Το Azure DevOps υποστηρίζει εργαλεία τρίτων, τα οποία μπορούν να αυτοματοποιηθούν ως μέρος των διοχετεύσεων συνεχούς ενοποίησης/συνεχούς ανάπτυξης (CI/CD). Για περισσότερες πληροφορίες, ανατρέξτε στην Ενεργοποίηση DevSecOps με Azure και GitHub.

Δείτε επίσης

Μπορείτε να βρείτε τις πιο πρόσφατες δοκιμές διείσδυσης και αξιολογήσεις ασφάλειας στην Πύλη αξιοπιστίας υπηρεσίας Microsoft.

Η Microsoft πραγματοποιεί εκτεταμένες δοκιμές στις υπηρεσίες Microsoft Cloud. Αυτές οι δοκιμές περιλαμβάνουν δοκιμές διείσδυσης με τα αποτελέσματα να δημοσιεύονται στην Πύλη αξιοπιστίας υπηρεσίας του οργανισμού σας. Ο οργανισμός σας μπορεί να πραγματοποιήσει τη δική σας δοκιμή διείσδυσης στο Microsoft Power Platform και στις υπηρεσίες Microsoft Dynamics 365. Όλες οι δοκιμές διείσδυσης πρέπει να ακολουθούν τους Κανόνες δοκιμής δέσμευσης διείσδυσης Microsoft Cloud. Είναι σημαντικό να θυμάστε ότι σε πολλές περιπτώσεις, το Microsoft Cloud χρησιμοποιεί κοινόχρηστη υποδομή για τη φιλοξενία των στοιχείων και των στοιχείων σας που ανήκουν σε άλλους πελάτες. Πρέπει να περιορίσετε όλες τις δοκιμές διείσδυσης στα στοιχεία σας και να αποφύγετε ακούσιες συνέπειες για άλλους πελάτες γύρω σας.

Ακολουθήστε τους κανόνες δέσμευσης για να εξασφαλίσετε ότι δεν γίνεται λανθασμένη χρήση της πρόσβασης. Για οδηγίες σχετικά με το σχεδιασμό και την εκτέλεση προσομοίωσης επιθέσεων, ανατρέξτε στο θέμα:

Μπορείτε να κάνετε προσομοίωση της άρνησης υπηρεσίας (DoS) στο Azure. Φροντίστε να ακολουθήσετε τις πολιτικές που καθορίζονται στη Δοκιμή προσομοίωσης προστασίας Azure DDoS.

Λίστα ελέγχου ασφαλείας

Ανατρέξτε στο πλήρες σύνολο συστάσεων.

Λίστα ελέγχου ασφαλείας