Vue d'ensemble de la gestion des menaces et des vulnérabilités
Comment Microsoft services en ligne gérer les vulnérabilités ?
Quelle que soit la conception d’un système, les conditions de sécurité peuvent se détériorer au fil du temps. Les ordinateurs peuvent être dépourvus de correctifs, des modifications de configuration peuvent être involontairement incluses et des régressions du code de sécurité peuvent s’accumuler. Tous ces problèmes peuvent rendre un système moins sécurisé que lors du déploiement initial. Microsoft a conçu une automatisation pour évaluer en permanence ses systèmes dans le cadre de ce type de dégradation, nous permettant de corriger des problèmes liés aux conditions de sécurité.
Microsoft services en ligne utiliser l’analyse de l’état de la machine pour s’assurer que les machines qui composent notre infrastructure sont à jour avec les derniers correctifs et que leurs configurations de base s’alignent correctement sur les frameworks appropriés. L’analyse de l’état de la machine utilise la mise à jour corrective, la protection contre les programmes malveillants, l’analyse des vulnérabilités et l’analyse de la configuration (PAVC). Microsoft services en ligne appliquer un PAVC effectif en installant un agent de sécurité personnalisé sur chaque ressource pendant le déploiement. Cet agent de sécurité permet l’analyse de l’état de la machine et signale les résultats à nos équipes de service.
Comment Microsoft services en ligne s’assurer que l’infrastructure de service est à jour avec les derniers correctifs de sécurité ?
La gestion des correctifs atténue les vulnérabilités en garantissant que les systèmes Microsoft services en ligne sont mis à jour rapidement lorsque de nouveaux correctifs de sécurité sont publiés. Microsoft hiérarchise les nouveaux correctifs de sécurité et autres mises à jour de sécurité en fonction des risques. Les équipes de sécurité des services en ligne Microsoft analysent les correctifs de sécurité disponibles pour déterminer leur niveau de risque dans le contexte de nos environnements de production. Leur analyse inclut des scores de gravité basés sur le système de notation des vulnérabilités courantes (CVSS) ainsi que d’autres facteurs de risque.
Les équipes de service Microsoft passent en revue l’analyse de l’équipe de sécurité et mettent à jour leurs composants de service et leurs images de base avec les correctifs applicables dans le délai de correction approprié. Les correctifs de sécurité sont soumis au processus de gestion des modifications afin de garantir une approbation adéquate des tests et de la gestion avant leur déploiement dans les environnements de production. Le déploiement de correctifs de sécurité se produit par étapes permettant d’activer la restauration si un correctif de sécurité provoque des problèmes inattendus.
Les équipes de service utilisent les résultats de l’analyse des vulnérabilités pour valider le déploiement des correctifs de sécurité sur les composants système applicables. Toutes les vulnérabilités en retard sont signalées quotidiennement et examinées chaque mois par la direction pour mesurer l’étendue et la profondeur de la couverture des correctifs dans l’environnement et nous tenir responsables de la mise à jour corrective en temps voulu.
Comment Microsoft effectue-t-il l’analyse des vulnérabilités et de la configuration ?
L’agent de sécurité de Microsoft est installé pendant le déploiement des ressources et permet une analyse des vulnérabilités et de la configuration entièrement automatisée. L'agent de sécurité utilise des outils standard pour détecter les vulnérabilités connues et les problèmes de configuration de la sécurité. Les biens de production sont planifiés pour des analyses quotidiennes automatiques avec les signatures de vulnérabilités les plus récentes. Les résultats de ces analyses sont collectés dans un service de stockage central sécurisé et la création de rapports automatisés rend les résultats accessibles aux équipes de service.
Les équipes de service consultent les résultats de l’analyse à l’aide de tableaux de bord qui signalent les résultats d’analyse globaux afin d’offrir une analyse complète. Les vulnérabilités détectées dans les analyses sont suivies dans ces rapports jusqu’à ce qu’elles soient corrigées. Lorsque des analyses de vulnérabilité indiquent des correctifs manquants, des problèmes de configuration de la sécurité ou d’autres vulnérabilités de l’environnement, les équipes de service utilisent ces rapports pour cibler les composants concernés pour la correction. Les vulnérabilités découvertes par le biais de l'analyse sont classées par ordre de priorité pour la correction en fonction des scores du système commun de score de vulnérabilité (CVSS) et d'autres facteurs de risque pertinents.
Comment Microsoft se défend-il contre les logiciels malveillants ?
Microsoft utilise un logiciel anti-programme malveillant complet pour protéger Microsoft services en ligne contre les virus et autres programmes malveillants. Les images de système d’exploitation de base utilisées par Microsoft services en ligne incluent ce logiciel pour optimiser la couverture dans l’environnement.
Chaque point de terminaison dans Microsoft services en ligne effectue une analyse anti-programme malveillant complète au moins une fois par semaine. Des analyses en temps réel supplémentaires sont effectuées sur tous les fichiers à mesure qu’ils sont téléchargés, ouverts ou exécutés. Ces analyses utilisent des signatures de programmes malveillants connus pour détecter les programmes malveillants et empêcher l’exécution de programmes malveillants. Le logiciel anti-programme malveillant de Microsoft est configuré pour télécharger quotidiennement les signatures de programmes malveillants les plus récentes afin de s’assurer que les analyses sont effectuées avec les informations les plus récentes. En plus des analyses basées sur la signature, le logiciel anti-programme malveillant Microsoft utilise la reconnaissance basée sur des modèles pour détecter et prévenir les comportements suspects ou anormaux des programmes.
Lorsque nos produits anti-programme malveillant détectent des virus ou d’autres programmes malveillants, ils génèrent automatiquement une alerte pour les équipes de réponse de sécurité Microsoft. Dans de nombreux cas, nos logiciels de protection contre les programmes malveillants peuvent empêcher l’exécution de virus et autres programmes malveillants en temps réel sans intervention humaine. Lorsque cette prévention n’est pas possible, les équipes de réponse de sécurité Microsoft résolvent les incidents liés aux programmes malveillants à l’aide du processus de réponse aux incidents de sécurité.
Comment Microsoft détecte-t-il les vulnérabilités nouvelles ou non signalées ?
Microsoft complète l’analyse automatisée par le Machine Learning sophistiqué pour aider à détecter les activités suspectes susceptibles d’indiquer la présence de vulnérabilités inconnues. Des tests d’intrusion réguliers par des équipes Microsoft internes et des auditeurs indépendants fournissent un mécanisme supplémentaire pour détecter et corriger les vulnérabilités avant qu’elles ne puissent être exploitées par des attaquants réels. Microsoft effectue des tests d’intrusion internes à l’aide de « Red Teams » de pirates informatiques éthiques Microsoft. Les systèmes et les données des clients ne sont jamais les cibles des tests d’intrusion, mais les leçons tirées des tests d’intrusion aident Microsoft à valider ses contrôles de sécurité et à se défendre contre de nouveaux types d’attaques. Microsoft utilise également des programmes de primes aux bogues pour encourager la divulgation de nouvelles vulnérabilités, ce qui leur permet d’être atténuées dès que possible.
Réglementations externes connexes & certifications
Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à Gestion des menaces et des vulnérabilités.
Azure et Dynamics 365
| Audits externes | Section | Date du dernier rapport |
|---|---|---|
| ISO 27001/27002 Déclaration d’applicabilité Certificat |
A.12.6.1 : Gestion des vulnérabilités techniques | 6 novembre 2023 |
| ISO 27017 Déclaration d’applicabilité Certificat |
A.12.6.1 : Gestion des vulnérabilités techniques | 6 novembre 2023 |
| ISO 27018 Déclaration d’applicabilité Certificat |
A.12.6.1 : Gestion des vulnérabilités techniques | 6 novembre 2023 |
| SOC 1 SOC 2 SOC 3 |
VM-3 : Surveillance anti-programme malveillant VM-5 : Mise à jour corrective VM-6 : Analyse des vulnérabilités |
17 novembre 2023 |
Microsoft 365
| Audits externes | Section | Date du dernier rapport |
|---|---|---|
| FedRAMP (Office 365) | CA-7 : Surveillance continue CA-8 : Tests d’intrusion RA-3 : Évaluation des risques RA-5 : Analyse des vulnérabilités SI-2 : Correction des défauts SI-5 : Alertes de sécurité, avis et directives |
31 juillet 2023 |
| ISO 27001/27002/27017 Déclaration d’applicabilité Certification (27001/27002) Certification (27017) |
A.12.6.1 : Gestion des vulnérabilités techniques | Mars 2024 |
| SOC 1 | CA-27 : Analyse des vulnérabilités | 23 janvier 2024 |
| SOC 2 | CA-24 : Évaluation interne des risques CA-27 : Analyse des vulnérabilités |
23 janvier 2024 |
Ressources
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour