Microsoft 365 の攻撃シミュレータ

Microsoft は、セキュリティ傾向の詳細な分析に基づいて、これらの脅威の防止だけではなく、新たな脅威に対する検出と対応に焦点を当てた反応性セキュリティ プロセスとテクノロジへの他の投資の必要性を提唱し、強調しています。 脅威の状況の変化と詳細な分析により、Microsoft はセキュリティ侵害を防止するだけでなく、セキュリティ戦略を強化し、侵害が発生した場合に対処するためのより適切な機能を備えています。は、主要なセキュリティ イベントを if ではなく、いつの問題と見なす戦略です。

Microsoft の 想定される侵害 プラクティスは長年にわたって実施されていますが、多くのお客様は、Microsoft クラウドを強化するためにバックグラウンドで行われている作業を認識しません。 侵害は、セキュリティ投資、設計上の決定、運用上のセキュリティ プラクティスをガイドする考え方であると想定します。 侵害によって、アプリケーション、サービス、ID、およびネットワークに配置される信頼が、内部と外部のすべてで安全ではなく、既に侵害されたものとして扱われると想定します。 想定侵害戦略は、Microsoft のエンタープライズまたはクラウド サービスの実際の侵害から生まれたわけではありませんが、業界全体の多くの組織が侵害を受けていると認識されました。 侵害の防止は、organizationの運用の重要な部分ですが、最新の敵対者や高度な永続的な脅威に効果的に対処するために、これらのプラクティスを継続的にテストして強化する必要があります。 organizationが侵害に備えるためには、まず、堅牢で反復可能で徹底的にテストされたセキュリティ対応手順を構築し、維持する必要があります。

脅威モデリング、コード レビュー、セキュリティ テストなどの侵害セキュリティ プロセスは、 セキュリティ開発ライフサイクルの一部として役立ちますが、侵害が発生した場合の対応機能を行使して測定することで、全体的なセキュリティを考慮するのに役立つ多数の利点があると想定します。

Microsoft では、検出と対応機能の向上を目的として、現在進行中の戦争ゲーム演習とセキュリティ対応計画のライブ サイト侵入テストを通じてこれを達成することにしました。 Microsoft は、実際の侵害を定期的にシミュレートし、継続的なセキュリティ監視を実施し、セキュリティ インシデント管理を実施して、Microsoft 365、Azure、およびその他の Microsoft クラウド サービスのセキュリティを検証および改善します。

Microsoft は、次の 2 つのコア グループを使用して、侵害を想定したセキュリティ戦略を実行します。

• Red Teams (攻撃者)
• Blue Teams (Defenders)

Microsoft Azure と Microsoft 365 の両方のスタッフは、フルタイムの Red Teams と Blue Teams を分離しています。

"Red Teaming" と呼ばれるアプローチは、実際の敵対者と同じ戦術、手法、手順を使用して Azure と Microsoft 365 のシステムと運用を、エンジニアリングチームや運用チームの予知なしに、ライブ運用インフラストラクチャに対してテストすることです。 これにより、Microsoft のセキュリティ検出と対応機能がテストされ、運用環境の脆弱性、構成エラー、無効な前提条件、およびその他のセキュリティの問題を制御された方法で特定するのに役立ちます。 すべての Red Team 侵害の後に、ギャップを特定し、結果に対処し、侵害対応を改善するために、両方のチーム間で完全な開示が行われます。

注:

顧客テナント、データ、またはアプリケーションは、Red Teaming またはライブ サイト侵入テスト中に意図的に対象とされません。 テストは、Microsoft 365 と Azure のインフラストラクチャとプラットフォーム、および Microsoft 独自のテナント、アプリケーション、データに対するものです。

Red Teams

Red Team は、Microsoft のインフラストラクチャ、プラットフォーム、および Microsoft 独自のテナントとアプリケーションに対する侵害に焦点を当てた、Microsoft 内のフルタイム スタッフのグループです。 これらは、オンライン サービス (Microsoft インフラストラクチャ、プラットフォーム、アプリケーション) に対して標的型および永続的な攻撃を実行する専用の敵対者 (倫理的ハッカーのグループ) ですが、エンド カスタマーのアプリケーションやコンテンツではありません。

Red Team の役割は、敵対者と同じ手順を使用して環境を攻撃し、侵入することです。

その他の機能の中でも、赤いチームは特にテナントの分離境界に違反して、分離設計のバグやギャップを見つけようとします。

Red Team は、テスト作業の規模を拡大するために、特定の Microsoft 365 環境で定期的に安全に実行される自動攻撃シミュレーション ツールを作成しました。 このツールには、進化する脅威の状況を反映するために常に拡張および改善される、さまざまな定義済みの攻撃があります。 Red Team テストの対象範囲を広げるだけでなく、Blue Team がセキュリティ監視ロジックを検証して改善するのに役立ちます。 継続的な定期的な攻撃エミュレーションにより、Blue Team は、予想される応答と比較および検証される、一貫した多様なシグナル ストリームを提供します。 これにより、Microsoft 365 のセキュリティ監視ロジックと応答機能が向上します。

Blue Teams

Blue Team は、セキュリティ インシデント対応、エンジニアリング、運用の各組織の専用のセキュリティ レスポンダーまたはメンバーで構成されています。 彼らのメイクに関係なく、彼らは独立しており、レッドチームとは別に運営しています。 Blue Team は、確立されたセキュリティ プロセスに従い、最新のツールとテクノロジを使用して、攻撃と侵入を検出して対応します。 実際の攻撃と同様に、Blue Team では、Red チームの攻撃がいつ、どのように行われるか、どのような方法が使用されるかはわかりません。 Red Team 攻撃であれ、実際の攻撃であれ、彼らの仕事は、すべてのセキュリティ インシデントを検出して対応することです。 そのため、Blue Team は継続的にオンコールしており、Red Team の違反に対する対応は、他の違反と同じように行う必要があります。

Red Team などの敵対者が環境に違反した場合、ブルー チームは次の作業を行う必要があります。

• 敵対者が残した証拠を収集する
• 侵害の兆候として証拠を検出する
• 適切なエンジニアリングおよび運用チームにアラートを送信する
• アラートをトリアージして、さらなる調査が必要かどうかを判断する
• 環境からコンテキストを収集して侵害のスコープを設定する
• 敵対者を含める、または削除する修復計画を形成する
• 修復計画を実行し、侵害から復旧する

これらの手順は、次に示すように、敵対者と並行して実行されるセキュリティ インシデント対応を形成します。

Red Team の違反により、Blue Team の実際の攻撃をエンドツーエンドで検出して対応する能力を行使できます。 最も重要なのは、本物の侵害の前に、実際のセキュリティ インシデント対応を可能にすることです。 さらに、Red Team の違反により、ブルー チームは状況認識を強化します。これは、将来の侵害 (レッド チームや他の敵対者からのもの) に対処する際に価値がある可能性があります。 検出と対応のプロセスを通じて、Blue Team は実用的なインテリジェンスを生成し、防御しようとしている環境の実際の状態を可視化します。 多くの場合、これはデータ分析とフォレンジックによって実現されます。これは、Blue Team によって実行され、Red Team 攻撃に対応するとき、および侵害のインジケーターなどの脅威インジケーターを確立することによって行われます。 Red Team がセキュリティ ストーリーのギャップを特定する方法と同様に、ブルー チームは検出と対応能力のギャップを特定します。 さらに、レッドチームのモデルの現実世界の攻撃以来、ブルーチームは、決定された永続的な敵対者に対処する能力を正確に評価することができます。 最後に、Red Team の侵害は、Microsoft の侵害対応の準備と影響の両方を測定します。