Simulation d’attaques dans Microsoft 365
Microsoft surveille et teste explicitement les faiblesses et les vulnérabilités dans les limites des locataires, y compris la surveillance des intrusions, des tentatives de violation d’autorisation et de la pénurie de ressources. Nous utilisons également plusieurs systèmes internes pour surveiller en permanence l’utilisation inappropriée des ressources, qui, si elle est détectée, déclenche une limitation intégrée.
Microsoft 365 dispose de systèmes de supervision internes qui surveillent en permanence les défaillances et entraînent une récupération automatisée en cas de défaillance détectée. Les systèmes Microsoft 365 analysent les écarts dans le comportement du service et lancent des processus d’auto-réparation intégrés au système. Microsoft 365 utilise également une surveillance externe dans laquelle la surveillance est effectuée à partir de plusieurs emplacements à la fois à partir de services tiers approuvés (pour la vérification du contrat SLA indépendant) et de nos propres centres de données pour déclencher des alertes. Pour les diagnostics, nous disposons d’une journalisation, d’un audit et d’un suivi étendus. Le suivi et la surveillance granulaires nous aident à isoler les problèmes et à effectuer une analyse rapide et efficace de la cause racine.
Bien que Microsoft 365 dispose d’actions de récupération automatisées lorsque cela est possible, les ingénieurs sur appel de Microsoft sont disponibles 24 heures sur 24 et 7 j/7 pour examiner toutes les escalades de sécurité de gravité 1, et les examens post mortem de chaque incident de service contribuent à l’apprentissage et à l’amélioration continus. Cette équipe comprend des ingénieurs du support technique, des développeurs de produits, des responsables de programme, des chefs de produit et des cadres supérieurs. Nos professionnels sur appel fournissent une sauvegarde en temps opportun et peuvent souvent automatiser les actions de récupération, afin que la prochaine fois qu’un événement se produise, il puisse être auto-guéri.
Microsoft effectue une révision approfondie après incident chaque fois qu’un incident de sécurité Microsoft 365 se produit, quelle que soit l’ampleur de l’impact. Un examen post-incident consiste en une analyse de ce qui s’est passé, de la façon dont nous avons répondu et de la façon dont nous prévenons des incidents similaires à l’avenir. Dans l’intérêt de la transparence et de la responsabilité, nous partageons des examens post-incident pour tous les incidents de service majeurs avec les clients affectés. Pour plus d’informations, consultez la gestion des incidents de sécurité Microsoft.
Supposez la méthodologie de violation
Sur la base d’une analyse détaillée des tendances de sécurité, Microsoft préconise et met en évidence la nécessité d’autres investissements dans les processus et technologies de sécurité réactifs qui se concentrent sur la détection et la réponse aux menaces émergentes, plutôt que sur la seule prévention de ces menaces. En raison des changements apportés au paysage des menaces et de l’analyse approfondie, Microsoft a affiné sa stratégie de sécurité au-delà de la simple prévention des violations de sécurité à une stratégie mieux adaptée aux violations lorsqu’elles se produisent; une stratégie qui considère les événements de sécurité majeurs non pas comme une question de si, mais de quand.
Bien que les pratiques de violation supposées de Microsoft soient en place depuis de nombreuses années, de nombreux clients ne sont pas conscients du travail effectué en arrière-plan pour renforcer le cloud Microsoft. Supposons que la violation est un état d’esprit qui guide les investissements en matière de sécurité, les décisions de conception et les pratiques de sécurité opérationnelle. Supposons que la violation limite l’approbation placée dans les applications, les services, les identités et les réseaux en les traitant tous , internes et externes, comme non sécurisés et déjà compromis. Bien que la stratégie de violation supposée n’ait pas été prise en charge par une violation réelle d’une entreprise Microsoft ou de services cloud, il a été reconnu que de nombreuses organisations, dans l’ensemble du secteur, étaient violées malgré toutes les tentatives visant à l’empêcher. Bien que la prévention des violations soit une partie essentielle des opérations d’une organisation, ces pratiques doivent être testées en continu et augmentées pour traiter efficacement les adversaires modernes et les menaces persistantes avancées. Pour que toute organisation se prépare à une violation, elle doit d’abord créer et maintenir des procédures de réponse de sécurité robustes, reproductibles et soigneusement testées.
Bien que la prévention des processus de sécurité de violation, tels que la modélisation des menaces, les révisions de code et les tests de sécurité soient très utiles dans le cadre du cycle de vie du développement de la sécurité, supposons que la violation offre de nombreux avantages qui contribuent à la sécurité globale en exerçant et en mesurant les capacités réactives en cas de violation.
Chez Microsoft, nous avons décidé d’y parvenir par le biais d’exercices de jeux de guerre en cours et de tests d’intrusion de site en direct de nos plans de réponse de sécurité dans le but d’améliorer notre capacité de détection et de réponse. Microsoft simule régulièrement des violations réelles, effectue une surveillance continue de la sécurité et pratique la gestion des incidents de sécurité pour valider et améliorer la sécurité de Microsoft 365, Azure et d’autres services cloud Microsoft.
Microsoft exécute sa stratégie de sécurité de violation supposée à l’aide de deux groupes principaux :
- Red Teams (attaquants)
- Équipes bleues (défenseurs)
Microsoft Azure et le personnel de Microsoft 365 séparent les Équipes Rouges et Les Équipes Bleues à temps plein.
Appelée « Red Teaming », l’approche consiste à tester les systèmes et opérations Azure et Microsoft 365 à l’aide des mêmes tactiques, techniques et procédures que de vrais adversaires, sur l’infrastructure de production en direct, sans l’autorisation des équipes d’ingénierie ou d’opérations. Cela teste les fonctionnalités de détection et de réponse de sécurité de Microsoft, et permet d’identifier de manière contrôlée les vulnérabilités de production, les erreurs de configuration, les hypothèses non valides et d’autres problèmes de sécurité. Chaque violation de l’équipe rouge est suivie d’une divulgation complète entre les deux équipes pour identifier les lacunes, corriger les conclusions et améliorer la réponse aux violations.
REMARQUE : Aucune donnée client n’est délibérément ciblée pendant le red teaming ou les tests d’intrusion de site en direct. Les tests concernent l’infrastructure et les plateformes Microsoft 365 et Azure, ainsi que les propres locataires, applications et données de Microsoft. Les locataires, applications et contenus clients hébergés dans Microsoft 365 ou Azure ne sont jamais ciblés.
Équipes rouges
L’équipe Rouge est un groupe de personnel à temps plein au sein de Microsoft qui se concentre sur la violation de l’infrastructure, de la plateforme et des propres locataires et applications de Microsoft. Ils sont l’adversaire dédié (un groupe de pirates éthiques) effectuant des attaques ciblées et persistantes contre les services en ligne (infrastructure, plateformes et applications Microsoft, mais pas les applications ou le contenu des clients finaux).
Le rôle de l’équipe rouge est d’attaquer et de pénétrer des environnements en suivant les mêmes étapes qu’un adversaire :
Entre autres fonctions, les équipes rouges tentent spécifiquement de violer les limites d’isolation des locataires pour rechercher des bogues ou des lacunes dans notre conception d’isolation.
Pour vous aider à mettre à l’échelle les efforts de simulation d’attaque, l’équipe Rouge a créé un outil d’émulation d’attaque automatisé qui s’exécute de façon récurrente dans des environnements Microsoft 365 spécifiques. L’outil a une grande variété d’attaques prédéfinies qui sont constamment développées et améliorées pour aider à refléter l’évolution du paysage des menaces. En plus d’élargir la couverture des tests Red Team, il permet à l’équipe Bleue de valider et d’améliorer sa logique de surveillance de la sécurité. L’émulation d’attaque régulière et continue fournit à l’équipe bleue un flux cohérent et diversifié de signaux qui sont comparés et validés par rapport aux réponses attendues. Cela permet d’améliorer les fonctionnalités de logique et de réponse de surveillance de la sécurité de Microsoft 365.
Équipes bleues
L’équipe bleue est composée d’un ensemble dédié d’intervenants de sécurité ou de membres de toutes les organisations de réponse aux incidents de sécurité, d’ingénierie et d’opérations. Quel que soit leur maquillage, ils sont indépendants et fonctionnent séparément de l’équipe Rouge. L’équipe bleue suit les processus de sécurité établis et utilise les outils et technologies les plus récents pour détecter et répondre aux attaques et à la pénétration. Tout comme les attaques réelles, l’équipe bleue ne sait pas quand ni comment les attaques de l’équipe Rouge se produisent ni quelles méthodes peuvent être utilisées. Leur travail, qu’il s’agisse d’une attaque de l’équipe rouge ou d’une attaque réelle, consiste à détecter et à répondre à tous les incidents de sécurité. Pour cette raison, l’équipe bleue est en permanence sur appel et doit réagir aux violations de l’équipe rouge de la même façon qu’elle le ferait pour toute autre violation.
Lorsqu’un adversaire, tel qu’une équipe rouge, a violé un environnement, l’équipe bleue doit :
- Recueillir les preuves laissées par l’adversaire
- Détecter les preuves comme une indication de compromission
- Alerter les équipes d’ingénierie et d’opération appropriées
- Trier les alertes pour déterminer si elles justifient une enquête plus approfondie
- Collecter le contexte de l’environnement pour étendre la violation
- Créer un plan de correction pour contenir ou évincer l’adversaire
- Exécuter le plan de correction et récupérer après une violation
Ces étapes constituent la réponse aux incidents de sécurité qui s’exécute en parallèle avec celle de l’adversaire, comme indiqué ci-dessous :
Les violations de l’équipe rouge permettent d’exercer la capacité de l’équipe bleue à détecter et à répondre aux attaques réelles de bout en bout. Plus important encore, il permet une réponse pratique aux incidents de sécurité avant une véritable violation. En outre, en raison de violations de l’équipe rouge, l’équipe bleue améliore sa prise en compte de la situation, ce qui peut être utile lors de la gestion des violations futures (que ce soit de l’équipe Rouge ou d’un autre adversaire). Tout au long du processus de détection et de réponse, l’équipe bleue produit une intelligence actionnable et gagne en visibilité sur les conditions réelles de l’environnement qu’elle tente de défendre. Souvent, cette opération est effectuée via l’analyse des données et les investigations, effectuées par l’équipe bleue, lors de la réponse aux attaques de l’équipe rouge et en établissant des indicateurs de menace, tels que des indicateurs de compromission. Tout comme la façon dont l’équipe rouge identifie les lacunes dans l’histoire de la sécurité, les équipes bleues identifient les lacunes dans leur capacité à détecter et à répondre. En outre, étant donné que les équipes rouges modélisent des attaques réelles, l’équipe bleue peut être évaluée avec précision sur sa capacité ou son incapacité à faire face à des adversaires déterminés et persistants. Enfin, les violations de l’équipe Rouge mesurent à la fois la préparation et l’impact de notre réponse aux violations.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour