Administración de incidentes de seguridad de Microsoft: Preparación

Comprobaciones de aprendizaje y antecedentes

A cada empleado que trabaja en Microsoft servicios en línea se le proporciona formación sobre incidentes de seguridad y procedimientos de respuesta que son adecuados para su rol. Todos los empleados de Microsoft reciben formación al unirse y formación anual de actualización cada año a partir de entonces. El entrenamiento está diseñado para proporcionar al empleado una comprensión básica del enfoque de seguridad de Microsoft para que, al finalizar el entrenamiento, todos los empleados comprendan lo siguiente:

  • Definición de un incidente de seguridad
  • La responsabilidad de todos los empleados de notificar incidentes de seguridad
  • Cómo escalar un posible incidente de seguridad al equipo de respuesta de seguridad de Microsoft adecuado
  • Respuesta de los equipos de respuesta a incidentes de seguridad de Microsoft ante incidentes de seguridad
  • Preocupaciones especiales con respecto a la privacidad, especialmente la privacidad del cliente
  • Dónde encontrar información adicional sobre seguridad y privacidad, y contactos de escalación
  • Cualquier otra área de seguridad pertinente (según sea necesario)

Los empleados adecuados reciben cursos de actualización sobre seguridad anualmente. El entrenamiento anual del actualizador se centra en:

  • Cualquier cambio realizado en los procedimientos operativos estándar del año anterior
  • La responsabilidad de todos los usuarios de notificar incidentes de seguridad y cómo hacerlo
  • Dónde encontrar información adicional sobre seguridad y privacidad, y contactos de escalación
  • Cualquier otra área de enfoque de seguridad que pueda ser relevante cada año

Cada empleado que trabaja en Microsoft servicios en línea está sujeto a una comprobación de antecedentes adecuada y exhaustiva que incluye la educación, el empleo, la historia criminal del candidato y otra información específica por Estados Unidos regulaciones como la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA), las Regulaciones internacionales de tráfico de armas (ITAR), la administración federal de riesgos y autorización (FedRAMP) y otros.

Las comprobaciones en segundo plano son obligatorias para todos los empleados que trabajan en la ingeniería de Microsoft. Algunos entornos de servicio en línea de Microsoft y roles de operador también pueden requerir la huella digital completa, los requisitos de ciudadanía, los requisitos de autorización gubernamental y otros controles más estrictos. Además, algunos equipos y roles de servicio pueden pasar por un entrenamiento de seguridad especializado según sea necesario. Por último, los propios miembros del equipo de seguridad obtienen formación especializada y participación en conferencias relacionadas directamente con la seguridad. Este entrenamiento varía según la necesidad del equipo y del empleado, pero incluye aspectos como conferencias del sector, conferencias internas de seguridad de Microsoft y cursos de formación externos a través de proveedores de capacitación de seguridad conocidos del sector. También tenemos artículos de entrenamiento de seguridad dedicados publicados a lo largo del año para la comunidad de seguridad de Microsoft y especializados en Microsoft servicios en línea regularmente.

Evaluación de & de pruebas de penetración

Microsoft trabaja con diversos organismos del sector y expertos en seguridad para comprender las nuevas amenazas y las tendencias en constante evolución. Microsoft evalúa continuamente sus propios sistemas en busca de vulnerabilidades y contrata a varios expertos externos independientes que hacen lo mismo.

Las pruebas realizadas para la protección del servicio dentro de Microsoft servicios en línea se pueden agrupar en cuatro categorías generales:

  1. Pruebas de seguridad automatizadas: El personal interno y externo examina periódicamente los entornos de servicio en línea de Microsoft en función de las prácticas de SDL de Microsoft, los 10 principales riesgos de Open Web Application Security Project (OWASP) y las amenazas emergentes notificadas por diferentes organismos del sector.
  2. Evaluaciones de vulnerabilidades: Las interacciones formales con evaluadores independientes y de terceros validan periódicamente si los controles lógicos clave funcionan de forma eficaz para cumplir las obligaciones de servicio de diversos organismos reguladores. Las evaluaciones las lleva a cabo el personal certificado por el Consejo de Evaluadores de Seguridad Ética Registrados (CREST) y se basan en los 10 riesgos principales de OWASP y otras amenazas aplicables al servicio. Se realiza un seguimiento de todas las amenazas encontradas hasta su cierre.
  3. Pruebas continuas de vulnerabilidades del sistema: Microsoft lleva a cabo pruebas periódicas en las que los equipos intentan vulnerar el sistema mediante amenazas emergentes, amenazas mezcladas o amenazas persistentes avanzadas, mientras que otros equipos intentan bloquear dichos intentos de vulneración.
  4. Programa de recompensas por errores de Microsoft Online Services: este programa opera una directiva de permitir evaluaciones de vulnerabilidades limitadas, originadas por el cliente en Microsoft servicios en línea. Para obtener más información, consulte Términos de recompensas de errores de Microsoft Online Services.

Los equipos de ingeniería de Microsoft servicios en línea publican periódicamente varios documentos de cumplimiento. Varios de esos documentos están disponibles en virtud de un acuerdo de no divulgación del Portal de confianza de Microsoft Cloud Service o del área de Service Assurance del portal de cumplimiento Microsoft Purview

Simulación de ataque

Microsoft participa en ejercicios continuos de simulación de ataques y pruebas de penetración en el sitio en vivo de nuestros planes de seguridad y respuesta con la intención de mejorar la capacidad de detección y respuesta. Microsoft simula periódicamente infracciones del mundo real, realiza una supervisión de seguridad continua y practica la respuesta a incidentes de seguridad para validar y mejorar la seguridad de Microsoft servicios en línea.

Microsoft ejecuta una estrategia de seguridad de asumir infracciones mediante dos equipos principales:

Equipos rojos

Los equipos de Microsoft Red son grupos de personal a tiempo completo dentro de Microsoft que se centran en vulnerar la infraestructura, la plataforma y las propias aplicaciones y inquilinos de Microsoft. Son el adversario dedicado (un grupo de hackers éticos) que realiza ataques dirigidos y persistentes contra servicios en línea (pero no las aplicaciones ni los datos de los clientes). Proporcionan validación continua de "espectro completo" (por ejemplo, controles técnicos, directivas de papel, respuesta humana, etc.) de las capacidades de respuesta a incidentes del servicio.

Equipos azules

Los equipos azules de Microsoft se componen de conjuntos dedicados de respondedores de seguridad y miembros de todos los equipos de respuesta a incidentes de seguridad, ingeniería y operaciones. Son independientes y operan por separado de los equipos rojos. Los equipos azules siguen los procesos de seguridad establecidos y usan las herramientas y tecnologías más recientes para detectar y responder a ataques e intentos de penetración. Al igual que los ataques del mundo real, los equipos azules no saben cuándo o cómo se producirán los ataques del equipo rojo ni qué métodos se pueden usar. Su trabajo, ya sea un ataque de equipo rojo o un ataque real, es detectar y responder a todos los incidentes de seguridad. Por esta razón, los equipos azules están continuamente de guardia y deben reaccionar ante las infracciones del equipo rojo de la misma manera que lo harían para cualquier otro adversario.

El personal de Microsoft separa equipos rojos a tiempo completo y equipos azules de Microsoft en varias divisiones que realizan operaciones entre servicios y dentro de ellos. Conocido como formación de equipos rojos, el enfoque consiste en probar los sistemas y las operaciones de los servicios de Microsoft con las mismas tácticas, técnicas y procedimientos que los adversarios reales, en contra de la infraestructura de producción en vivo, sin el conocimiento previo de los equipos de ingeniería o operaciones de la infraestructura y la plataforma. Esto prueba las funcionalidades de detección y respuesta de seguridad y ayuda a identificar vulnerabilidades de producción, errores de configuración, suposiciones no válidas u otros problemas de seguridad de forma controlada. Cada infracción del equipo rojo va seguida de la divulgación completa entre el equipo rojo y el equipo azul, incluidos los equipos de servicio, para identificar brechas, abordar los hallazgos y mejorar significativamente la respuesta a las infracciones.

Nota:

No se ha dirigido a datos de clientes durante los ejercicios de penetración de red teaming o sitio en directo. Las pruebas se realizan en plataformas e infraestructura de Microsoft 365 y Azure, así como en los propios inquilinos, aplicaciones y datos de Microsoft. Los inquilinos de clientes, las aplicaciones y los datos hospedados en Azure, Dynamics 365 o Microsoft 365 nunca tienen como destino las reglas de compromiso acordadas.

Ejercicios conjuntos

En ocasiones, los equipos Azul y Rojo de Microsoft realizarán operaciones conjuntas en las que la relación durante la operación sea más asociada que adversaria con un conjunto selecto de empleados de cada equipo. Estos ejercicios están bien coordinados entre los equipos para impulsar un conjunto más específico de resultados a través de la colaboración en tiempo real entre hackers éticos y respondedores. Estos ejercicios de "equipo púrpura" están altamente adaptados para cada operación para maximizar la oportunidad, pero fundamental para cada operación es el uso compartido de información de ancho de banda alto y la asociación para lograr los objetivos.