Simulación de ataques en Microsoft 365
Microsoft supervisa y comprueba explícitamente si hay puntos débiles y vulnerabilidades en los límites del inquilino, incluida la supervisión de intrusiones, intentos de infracción de permisos y falta de recursos. También usamos varios sistemas internos para supervisar continuamente el uso inadecuado de recursos, lo que, si se detecta, desencadena una limitación integrada.
Microsoft 365 tiene sistemas de supervisión internos que supervisan continuamente cualquier error e impulsan la recuperación automatizada cuando se detecta un error. Los sistemas de Microsoft 365 analizan las desviaciones en el comportamiento del servicio e inician procesos de recuperación automática integrados en el sistema. Microsoft 365 también usa la supervisión externa en la que la supervisión se realiza desde varias ubicaciones, tanto desde servicios de terceros de confianza (para la verificación independiente del Acuerdo de Nivel de Servicio) como desde nuestros propios centros de datos para generar alertas. Para diagnósticos, tenemos un amplio registro, auditoría y seguimiento. El seguimiento y la supervisión pormenorizadas nos ayudan a aislar los problemas y a realizar un análisis rápido y eficaz de la causa principal.
Aunque Microsoft 365 tiene acciones de recuperación automatizadas siempre que sea posible, los ingenieros de llamada de Microsoft están disponibles 24x7 para investigar todas las escalaciones de seguridad de gravedad 1, y las revisiones posteriores a la mortem de cada incidente de servicio contribuyen al aprendizaje y la mejora continuos. Este equipo incluye ingenieros de soporte técnico, desarrolladores de productos, administradores de programas, administradores de productos y directivos sénior. Nuestros profesionales de guardia proporcionan copias de seguridad oportunas y, a menudo, pueden automatizar las acciones de recuperación, de modo que la próxima vez que se produzca un evento, se pueda sanar automáticamente.
Microsoft realiza una revisión exhaustiva después del incidente cada vez que se produce un incidente de seguridad de Microsoft 365, independientemente de la magnitud del impacto. Una revisión posterior al incidente consiste en un análisis de lo que ha ocurrido, cómo hemos respondido y cómo se evitan incidentes similares en el futuro. En interés de la transparencia y la responsabilidad, compartimos las revisiones posteriores a los incidentes de cualquier incidente de servicio importante con los clientes afectados. Para obtener detalles específicos, consulte Administración de incidentes de seguridad de Microsoft.
Asumir la metodología de infracción
Basándose en un análisis detallado de las tendencias de seguridad, Microsoft aboga y resalta la necesidad de otras inversiones en procesos y tecnologías de seguridad reactivos que se centran en la detección y respuesta a amenazas emergentes, en lugar de exclusivamente en la prevención de esas amenazas. Debido a los cambios en el panorama de amenazas y el análisis en profundidad, Microsoft refinó su estrategia de seguridad más allá de evitar simplemente las infracciones de seguridad a uno mejor equipado para hacer frente a las infracciones cuando se producen; una estrategia que tenga en cuenta los principales eventos de seguridad no como cuestión de si, sino cuándo.
Aunque microsoft asume que las prácticas de infracción han estado en vigor durante muchos años, muchos clientes no son conscientes del trabajo que se realiza en segundo plano para proteger la nube de Microsoft. Supongamos que la vulneración es una mentalidad que guía las inversiones en seguridad, las decisiones de diseño y las prácticas de seguridad operativa. Suponga que la vulneración limita la confianza depositada en las aplicaciones, los servicios, las identidades y las redes al tratarlas todas (internas y externas) como inseguras y ya en peligro. Aunque se supone que la estrategia de vulneración no se derivaba de una vulneración real de ningún servicio empresarial o en la nube de Microsoft, se reconoció que muchas organizaciones, en todo el sector, se estaban infringiendo a pesar de todos los intentos de impedirla. Aunque la prevención de infracciones es una parte fundamental de las operaciones de cualquier organización, estas prácticas deben probarse y aumentarse continuamente para abordar de forma eficaz los adversarios modernos y las amenazas persistentes avanzadas. Para que cualquier organización se prepare para una infracción, primero debe compilar y mantener procedimientos de respuesta de seguridad sólidos, repetibles y probados exhaustivamente.
Aunque los procesos de seguridad de prevención de infracciones, como el modelado de amenazas, las revisiones de código y las pruebas de seguridad son muy útiles como parte del ciclo de vida de desarrollo de seguridad, suponer que la vulneración proporciona numerosas ventajas que ayudan a tener en cuenta la seguridad general mediante el ejercicio y la medición de capacidades reactivas en caso de infracción.
En Microsoft, nos disponemos a hacerlo a través de ejercicios de juegos de guerra en curso y pruebas de penetración de sitios en vivo de nuestros planes de respuesta de seguridad con el objetivo de mejorar nuestra capacidad de detección y respuesta. Microsoft simula periódicamente infracciones del mundo real, realiza una supervisión de seguridad continua y practica la administración de incidentes de seguridad para validar y mejorar la seguridad de Microsoft 365, Azure y otros servicios en la nube de Microsoft.
Microsoft ejecuta su estrategia de seguridad de asumir infracciones mediante dos grupos principales:
- Red Teams (atacantes)
- Equipos azules (defensores)
Tanto el personal de Microsoft Azure como el de Microsoft 365 separan Red Teams a tiempo completo y Blue Teams.
Conocido como "Equipo rojo", el enfoque consiste en probar sistemas y operaciones de Azure y Microsoft 365 con las mismas tácticas, técnicas y procedimientos que los adversarios reales, en contra de la infraestructura de producción en vivo, sin el conocimiento previo de los equipos de ingeniería o operaciones. Esto prueba las funcionalidades de detección y respuesta de seguridad de Microsoft y ayuda a identificar vulnerabilidades de producción, errores de configuración, suposiciones no válidas y otros problemas de seguridad de forma controlada. Cada infracción del equipo rojo va seguida de la divulgación completa entre ambos equipos para identificar brechas, abordar los resultados y mejorar la respuesta a las infracciones.
NOTA: No hay datos de clientes dirigidos deliberadamente durante la formación de equipos rojos o las pruebas de penetración del sitio en directo. Las pruebas se realizan en plataformas e infraestructura de Microsoft 365 y Azure, así como en los propios inquilinos, aplicaciones y datos de Microsoft. Los inquilinos del cliente, las aplicaciones y el contenido hospedados en Microsoft 365 o Azure nunca tienen como destino.
Equipos rojos
El equipo rojo es un grupo de personal a tiempo completo dentro de Microsoft que se centra en vulnerar la infraestructura, la plataforma y las propias aplicaciones de Microsoft. Son el adversario dedicado (un grupo de hackers éticos) que realiza ataques dirigidos y persistentes contra Los Servicios en línea (infraestructura de Microsoft, plataformas y aplicaciones, pero no las aplicaciones o el contenido de los clientes finales).
El rol del equipo rojo es atacar y penetrar entornos con los mismos pasos que un adversario:
Entre otras funciones, los equipos rojos intentan específicamente vulnerar los límites de aislamiento de inquilinos para encontrar errores o brechas en nuestro diseño de aislamiento.
Para ayudar a escalar los esfuerzos de simulación de ataques, el equipo rojo ha creado una herramienta de emulación de ataques automatizada que se ejecuta de forma segura en entornos específicos de Microsoft 365 de forma periódica. La herramienta tiene una amplia variedad de ataques predefinidos que se expanden y mejoran constantemente para ayudar a reflejar el panorama de amenazas en constante evolución. Además de ampliar la cobertura de las pruebas de Red Team, ayuda al equipo azul a validar y mejorar su lógica de supervisión de seguridad. La emulación de ataque regular y continua proporciona al equipo azul un flujo coherente y diverso de señales que se comparan y validan con respecto a las respuestas esperadas. Esto ayuda a mejorar las funcionalidades de respuesta y lógica de supervisión de seguridad de Microsoft 365.
Equipos azules
El equipo azul se compone de un conjunto dedicado de respondedores de seguridad o miembros de las organizaciones de respuesta a incidentes de seguridad, ingeniería y operaciones. Independientemente de su maquillaje, son independientes y operan por separado del Equipo Rojo. Blue Team sigue los procesos de seguridad establecidos y usa las herramientas y tecnologías más recientes para detectar y responder a ataques y penetración. Al igual que los ataques del mundo real, el equipo azul no sabe cuándo o cómo se producirán los ataques del equipo rojo ni qué métodos se pueden usar. Su trabajo, ya sea un ataque de equipo rojo o un ataque real, es detectar y responder a todos los incidentes de seguridad. Por este motivo, el equipo azul está continuamente de guardia y debe reaccionar ante las infracciones del equipo rojo de la misma manera que lo haría para cualquier otra infracción.
Cuando un adversario, como un equipo rojo, ha infringido un entorno, el equipo azul debe:
- Recopilación de pruebas que dejó el adversario
- Detección de la evidencia como una indicación de peligro
- Alertar a los equipos de ingeniería y operación adecuados
- Evaluar las alertas para determinar si justifican una investigación adicional
- Recopilación del contexto del entorno para limitar la infracción
- Formulario de un plan de corrección para contener o expulsar al adversario
- Ejecutar el plan de corrección y recuperarse de una infracción
Estos pasos forman la respuesta a incidentes de seguridad que se ejecuta en paralelo a la del adversario, como se muestra a continuación:
Las infracciones del equipo rojo permiten ejercer la capacidad del equipo azul de detectar y responder a ataques del mundo real de un extremo a otro. Lo más importante es que permite la respuesta a incidentes de seguridad practicada antes de una infracción real. Además, debido a las infracciones del equipo rojo, el equipo azul mejora su conciencia situacional, lo que puede ser valioso al tratar con futuras infracciones (ya sea del equipo rojo u otro adversario). A lo largo del proceso de detección y respuesta, Blue Team genera inteligencia accionable y obtiene visibilidad sobre las condiciones reales de los entornos que intentan defender. Con frecuencia, esto se logra a través de análisis de datos y análisis forenses, realizados por el equipo azul, al responder a ataques del equipo rojo y mediante el establecimiento de indicadores de amenazas, como indicadores de riesgo. De forma muy similar a cómo el equipo rojo identifica las brechas en la historia de seguridad, los equipos azules identifican brechas en su capacidad de detectar y responder. Además, dado que los equipos rojos modelan ataques del mundo real, el equipo azul puede evaluarse con precisión sobre su capacidad o incapacidad para enfrentarse a adversarios determinados y persistentes. Por último, las infracciones del equipo rojo miden tanto la preparación como el impacto de nuestra respuesta a las infracciones.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de