Analisi e correzione delle vulnerabilità di Microsoft 365

Il comportamento di sicurezza di un'organizzazione non viene raggiunto con un unico sforzo, ma richiede una valutazione e una manutenzione coerenti. I sistemi considerati sicuri al momento della distribuzione vengono presto considerati insicuri a causa di vulnerabilità appena identificate nel panorama delle minacce in continua evoluzione. Per questo motivo, i sistemi e le baseline devono essere costantemente valutati e aggiornati tramite processi standardizzati applicati in tutta l'azienda. Microsoft 365 analizza regolarmente tutti i sistemi e i dispositivi di rete applicabili alla ricerca di vulnerabilità note e tiene traccia centralizzata della correzione in un intervallo di tempo direttamente correlato alla gravità.

Strumenti di analisi e approccio

Microsoft 365 usa uno strumento di analisi di terze parti che usa tre tecniche diverse per garantire la copertura completa degli asset: analisi di configurazione delle immagini basate su host, basate su rete e contenitori.

Per tutti i server e i dispositivi accessibili alla rete in grado di eseguire un agente host, viene usato un agente di prima parte per creare uno snapshot a livello di host, caricato in una posizione centrale per la valutazione. Questo agente viene distribuito in modo olistico come parte del processo di onboarding del servizio Microsoft 365 e le tariffe di autenticazione vengono calcolate quotidianamente per garantire la copertura dell'analisi degli asset con un obiettivo di velocità di autenticazione del 95%. Uno snapshot dell'host contenente i metadati viene creato e archiviato in un ambiente sandbox in cui viene valutato per le vulnerabilità. Eseguendo l'analisi in un ambiente sandbox anziché nei computer host, si attenua il rischio che un utente malintenzionato possa eseguire un attacco alla supply chain.

Gli asset che non possono eseguire l'agente locale, ad esempio i dispositivi di rete e un piccolo subset di server bare metal, vengono acquisiti dagli strumenti di analisi di rete.

Infine, le configurazioni delle immagini del contenitore sono elencate in un registro centrale e analizzate per individuare eventuali vulnerabilità. Se vengono apportate modifiche, la nuova immagine viene distribuita in tutte le istanze attive.

Le analisi valutano gli asset per individuare le patch mancanti, i problemi di configurazione e le vulnerabilità delle applicazioni usando informazioni aggiornate sulle vulnerabilità provenienti da origini del settore, ad esempio Microsoft Security Response Center (MSRC), il database nazionale delle vulnerabilità NIST e il database mitre common vulnerabilities and disclosures.

Le analisi basate su host vengono eseguite quotidianamente, le analisi di rete vengono eseguite settimanalmente e ognuna è configurata per cercare tutte le vulnerabilità note nel database di firma. I processi di analisi includono un controllo per verificare che si siano verificati aggiornamenti delle firme e che i risultati vengano inviati ad Esplora dati di Azure per l'archiviazione centrale. Da qui, i risultati dell'analisi vengono aggregati, classificati in ordine di priorità per la valutazione e segnalati tramite dashboard sviluppati internamente.

Creazione di report

Microsoft 365 Security usa la creazione automatica di report per confrontare i risultati dell'analisi nel tempo, visualizzando nuove vulnerabilità quando vengono trovati. Questi report vengono aggiornati quotidianamente e sono disponibili per il personale autorizzato tramite il dashboard di Segnalazione minacce e vulnerabilità (TVR). Il dashboard TVR è l'origine della verità per il rilevamento e la segnalazione di tutti i dati sulla vulnerabilità di Microsoft 365.

Il dashboard visualizza:

• Metriche di vulnerabilità in tempo reale, inclusi i conteggi degli host.
• Soluzioni consigliate per i team di servizio
• Metriche per la qualità dell'analisi e la conformità ai requisiti di correzione
• Elenco di tutte le vulnerabilità attive.

Bonifica

I team di servizio proprietari degli asset con rilevamenti sono responsabili della correzione delle vulnerabilità identificate. Possono tenere traccia della correzione come vogliono, ma la vulnerabilità non verrà considerata risolta fino a quando non viene riflessa nel dashboard di TVR tramite un'analisi chiara.

La correzione delle vulnerabilità varia e può includere azioni quali l'aggiornamento delle configurazioni delle immagini di base, l'applicazione di patch e la rimozione di componenti problematici. La correzione deve essere eseguita per vulnerabilità elevate, moderate e basse rispettivamente entro 30, 90 e 180 giorni.

I team di progettazione di Microsoft 365 possono anche presentare eccezioni per le vulnerabilità se si tratta di falsi positivi, se Microsoft dispone di controlli di mitigazione che riducono la gravità della vulnerabilità o se le patch che rimettono il problema non sono ancora state rilasciate. Il Comitato di revisione delle eccezioni di Microsoft 365 TVR esamina quindi queste richieste e le approva o le rifiuta in base alle esigenze di sicurezza e conformità. Se rifiutato, i team di servizio continuano con il processo di correzione. Se accettata, l'eccezione viene elaborata in modo che non venga contrassegnata per il sistema durante le analisi future.

Copertura degli asset

Per garantire la correzione in tutti i sistemi in Microsoft 365, TVR confronta i risultati con un inventario completo di tutti gli asset fisici e virtuali.

Un elenco di asset virtuali viene gestito in uno strumento di Azure interno che viene aggiornato automaticamente quando vengono creati e distribuiti nuovi asset. Gli asset fisici vengono gestiti dai singoli team di servizio proprietari.

TVR usa script e query automatizzati per centralizzare i dati di inventario in strumenti TVR e esegue una revisione mensile per garantire che gli script continuino a acquisire un elenco completo e accurato. In questo modo il team di TVR può tenere traccia della copertura delle patch e assicurarsi che le correzioni delle vulnerabilità siano complete.