Microsoft 365 の攻撃シミュレータ

  • [アーティクル]

Microsoft は、侵入、アクセス許可違反の試行、リソース不足の監視など、テナント境界の弱点と脆弱性を継続的に監視し、明示的にテストします。 また、複数の内部システムを使用して、不適切なリソース使用率を継続的に監視します。検出されると、組み込みの調整がトリガーされます。

Microsoft 365 には、障害を継続的に監視し、障害が検出されたときに自動復旧を推進する内部監視システムがあります。 Microsoft 365 システムは、サービス動作の逸脱を分析し、システムに組み込まれている自己修復プロセスを開始します。 Microsoft 365 では、外部監視も使用しています。この監視は、信頼されたサード パーティのサービス (独立した SLA 検証用) と独自のデータセンターの両方から複数の場所から監視が実行され、アラートが発生します。 診断には、広範なログ記録、監査、トレースが用意されています。 詳細なトレースと監視は、問題を分離し、迅速かつ効果的な根本原因分析を実行するのに役立ちます。

Microsoft 365 には可能な限り自動復旧アクションがありますが、Microsoft のオンコール エンジニアは 24 時間 365 日利用可能であり、重大度 1 のすべてのセキュリティ エスカレーションを調査し、すべてのサービス インシデントの事後レビューが継続的な学習と改善に役立ちます。 このチームには、サポート エンジニア、製品開発者、プログラム マネージャー、製品マネージャー、シニア リーダーシップが含まれます。 オンコールのプロフェッショナルは、タイムリーなバックアップを提供し、多くの場合、復旧アクションを自動化して、次回イベントが発生したときに自己修復できるようにします。

Microsoft は、影響の大きさに関係なく、Microsoft 365 セキュリティ インシデントが発生するたびに、インシデント後の徹底的なレビューを実行します。 インシデント後のレビューは、何が起こったのか、どのように対応したか、今後同様のインシデントを防ぐ方法の分析で構成されます。 透明性と説明責任を考慮して、重大なサービス インシデントのインシデント後のレビューを影響を受けるお客様と共有しています。 具体的な詳細については、 Microsoft セキュリティ インシデント管理に関するページを参照してください。

侵害の手法を想定する

Microsoft は、セキュリティの傾向の詳細な分析に基づいて、その脅威の防止だけではなく、新たな脅威の検出と対応に重点を置く事後対応型のセキュリティ プロセスとテクノロジに対する他の投資の必要性を主張し、強調しています。 脅威の状況と詳細な分析の変化により、Microsoft はセキュリティ侵害を防ぐだけでなく、セキュリティ戦略を強化し、発生した場合に侵害に対処するためのより適切な機能を備えたものにしました。は、主要なセキュリティ イベントをかどうかではなく、いつ考慮する戦略です。

Microsoft では 、長年にわたって侵害 行為が行われていると見なされていますが、多くのお客様は、Microsoft クラウドを強化するためにバックグラウンドで行われている作業に気づいていません。 侵害は、セキュリティへの投資、設計上の決定、運用上のセキュリティプラクティスを導く考え方であるとします。 侵害によって、アプリケーション、サービス、ID、およびネットワークに配置される信頼が、内部と外部のすべてで安全ではなく、既に侵害されたものとして扱われると仮定します。 侵害戦略は、Microsoft エンタープライズまたはクラウド サービスの実際の侵害から生まれたものではありませんが、それを防ぐためのすべての試みにもかかわらず、業界全体の多くの組織が侵害されていることが認識されました。 侵害を防ぐことは組織の運用の重要な部分ですが、これらのプラクティスを継続的にテストし、拡張して、現代の敵対者や高度な永続的な脅威に効果的に対処する必要があります。 すべての組織が侵害に備えるには、まず堅牢で繰り返し可能で、徹底的にテストされたセキュリティ対応手順を構築し、維持する必要があります。

セキュリティ 開発ライフサイクルの一環として、脅威モデリング、コード レビュー、セキュリティ テストなどの侵害セキュリティ プロセスを防ぐことは非常に役立ちますが、侵害が発生した場合に事後対応機能を実行して測定することで、全体的なセキュリティを考慮するのに役立つ多数の利点があると見なします。

Microsoft では、検出と対応機能の向上を目的として、継続的な戦争ゲーム演習とセキュリティ対応計画のライブ サイト侵入テストを通じてこれを実現することに着手しました。 Microsoft は、実際の侵害を定期的にシミュレートし、継続的なセキュリティ監視を実施し、セキュリティ インシデント管理を実施して、Microsoft 365、Azure、およびその他の Microsoft クラウド サービスのセキュリティを検証し、改善します。

Microsoft は、次の 2 つのコア グループを使用して、侵害を想定したセキュリティ戦略を実行します。

  • Red Teams (攻撃者)
  • Blue Teams (Defenders)

Microsoft Azure と Microsoft 365 の両方のスタッフが、フルタイムの Red Teams と Blue Teams を分離します。

"Red Teaming" と呼ばれるこのアプローチでは、エンジニアリング チームや運用チームが認識することなく、実際の運用インフラストラクチャに対して、実際の敵対者と同じ戦術、手法、手順を使用して Azure と Microsoft 365 のシステムと運用をテストします。 これにより、Microsoft のセキュリティ検出機能と対応機能がテストされ、運用の脆弱性、構成エラー、無効な想定、その他のセキュリティの問題を制御された方法で特定できます。 すべての Red Team 侵害の後に、ギャップを特定し、結果に対処し、違反対応を改善するために、両方のチーム間で完全な開示が行われます。

: Red Teaming またはライブ サイトの侵入テスト中に意図的に対象となる顧客データはありません。 テストは、Microsoft 365 と Azure のインフラストラクチャとプラットフォーム、および Microsoft 独自のテナント、アプリケーション、データに対して行われます。 Microsoft 365 または Azure でホストされている顧客テナント、アプリケーション、およびコンテンツは、決してターゲットにされません。

赤いチーム

Red Team は、Microsoft 内のフルタイムスタッフのグループであり、Microsoft のインフラストラクチャ、プラットフォーム、および Microsoft 独自のテナントとアプリケーションの侵害に焦点を当てています。 これらは、オンライン サービス (Microsoft インフラストラクチャ、プラットフォーム、およびアプリケーション) に対する標的型および永続的な攻撃を実行する専用の敵対者 (倫理的ハッカーのグループ) ですが、エンド カスタマーのアプリケーションやコンテンツではありません。

Red Team の役割は、敵対者と同じ手順を使用して環境を攻撃し、侵入することです。

侵害ステージ。

その他の機能の中でも、赤いチームは特に、分離設計のバグやギャップを見つけるためにテナント分離の境界を超えようとします。

攻撃シミュレーションの取り組みをスケーリングするために、Red Team は、定期的に特定の Microsoft 365 環境で安全に実行される自動攻撃エミュレーション ツールを作成しました。 このツールには、進化する脅威の状況を反映するために絶えず拡張および改善される、さまざまな定義済みの攻撃があります。 Red Team テストの対象範囲を広げることに加えて、Blue Team がセキュリティ監視ロジックを検証し、改善するのに役立ちます。 定期的な継続的な攻撃エミュレーションにより、ブルー チームは、予想される応答と比較および検証される一貫した多様なシグナル ストリームを提供します。 これにより、Microsoft 365 のセキュリティ監視ロジックと応答機能が向上します。

Blue Teams

Blue Team は、セキュリティ インシデント対応、エンジニアリング、運用の各組織の専用のセキュリティ レスポンダーまたはメンバーで構成されています。 構成に関係なく、チームは独立しており、Red Team とは別に動作します。 Blue Team は、確立されたセキュリティ プロセスに従い、最新のツールとテクノロジを使用して、攻撃と侵入を検出して対応します。 実際の攻撃と同様に、ブルー チームは、レッド チームの攻撃がいつどのように発生するか、どのような方法を使用できるかを知りません。 レッド チームの攻撃であれ、実際の攻撃であれ、彼らの仕事は、すべてのセキュリティ インシデントを検出して対応することです。 このため、ブルー チームは継続的にオンコールであり、他の違反と同じ方法で Red Team の違反に対応する必要があります。

Red Team などの敵対者が環境に違反した場合、ブルー チームは次の作業を行う必要があります。

  • 敵対者によって残された証拠を収集する
  • 侵害の兆候として証拠を検出する
  • 適切なエンジニアリングチームと運用チームにアラートを送信する
  • アラートをトリアージして、さらに調査する必要があるかどうかを判断する
  • 環境からコンテキストを収集して侵害の範囲を設定する
  • 敵対者を封じ込めるか削除する修復計画を形成する
  • 修復計画を実行し、侵害から回復する

これらの手順は、次に示すように、敵対者と並行して実行されるセキュリティ インシデント対応を形成します。

違反の応答ステージ。

Red Team の違反により、ブルー チームが現実世界の攻撃をエンドツーエンドで検出して対応する能力を発揮できます。 最も重要なのは、真の違反の前に、実際のセキュリティ インシデント対応を可能にすることです。 さらに、Red Team の違反により、ブルー チームは状況認識を強化します。これは、将来の違反 (レッド チームまたは別の敵対者から) に対処する際に役立つ可能性があります。 検出と応答プロセス全体を通じて、Blue Team は実用的なインテリジェンスを生成し、防御しようとしている環境の実際の状態を可視化します。 多くの場合、これは、ブルー チームによって実行されるデータ分析とフォレンジックを介して、Red Team 攻撃に対応するとき、および侵害のインジケーターなどの脅威インジケーターを確立することによって行われます。 Red Team がセキュリティ ストーリーのギャップを識別する方法と同様に、ブルー チームは検出と対応の能力のギャップを特定します。 さらに、赤いチームは現実世界の攻撃をモデル化するため、ブルー チームは、決定された永続的な敵対者に対処する能力、またはできないことを正確に評価できます。 最後に、Red Team の違反は、違反対応の準備と影響の両方を測定します。