Microsoft 365의 공격 시뮬레이션
보안 추세에 대한 자세한 분석을 기반으로 Microsoft는 이러한 위협을 방지하는 것이 아니라 새로운 위협에 대한 탐지 및 대응에 초점을 맞춘 반응형 보안 프로세스 및 기술에 대한 다른 투자의 필요성을 옹호하고 강조합니다. 위협 환경의 변화와 심층 분석으로 인해 Microsoft는 보안 위반 방지를 넘어 보안 위반이 발생할 때 더 잘 처리할 수 있는 보안 전략을 개선했습니다. 주요 보안 이벤트를 가 아닌 시기의 문제로 간주하는 전략입니다.
Microsoft는 수년 동안 위반 관행이 시행되었다고 가정하지만, 많은 고객은 Microsoft 클라우드를 강화하기 위해 백그라운드에서 수행되는 작업을 인식하지 못합니다. 위반이 보안 투자, 설계 결정 및 운영 보안 관행을 안내하는 사고방식이라고 가정합니다. 위반이 애플리케이션, 서비스, ID 및 네트워크에 있는 트러스트를 내부 및 외부 모두 안전하지 않고 이미 손상된 것으로 처리하여 제한된다고 가정합니다. Microsoft 엔터프라이즈 또는 클라우드 서비스의 실제 위반으로 인한 위반 전략은 아니지만, 이를 방지하려는 모든 시도에도 불구하고 업계 전반의 많은 조직이 위반되고 있음을 인식했습니다. 위반 방지는 organization 운영의 중요한 부분이지만, 이러한 관행은 최신 악의적 사용자와 고급 영구 위협을 효과적으로 해결하기 위해 지속적으로 테스트되고 보강되어야 합니다. 위반에 대비하기 위해 모든 organization 먼저 강력하고 반복 가능하며 철저히 테스트된 보안 대응 절차를 빌드하고 유지 관리해야 합니다.
위협 모델링, 코드 검토 및 보안 테스트와 같은 위반 보안 프로세스를 방지하는 것은 보안 개발 수명 주기의 일부로 유용하지만 위반이 발생할 경우 사후 대응 기능을 실행하고 측정하여 전반적인 보안을 설명하는 데 도움이 되는 수많은 이점을 제공한다고 가정합니다.
Microsoft는 탐지 및 대응 기능을 개선하기 위해 지속적인 전쟁 게임 연습과 보안 대응 계획의 라이브 사이트 침투 테스트를 통해 이를 수행하기 시작했습니다. Microsoft는 정기적으로 실제 위반을 시뮬레이션하고, 지속적인 보안 모니터링을 수행하고, 보안 인시던트 관리를 수행하여 Microsoft 365, Azure 및 기타 Microsoft 클라우드 서비스의 보안을 검증하고 개선합니다.
Microsoft는 다음 두 가지 핵심 그룹을 사용하여 보안 위반 가정 전략을 실행합니다.
- 레드 팀(공격자)
- 블루 Teams(수비수)
Microsoft Azure와 Microsoft 365 직원은 모두 풀 타임 레드 팀과 블루 팀을 분리합니다.
"레드 팀"이라고 하는 이 접근 방식은 엔지니어링 또는 운영 팀의 미리 알지 못한 채 실제 프로덕션 인프라에 대해 실제 악의적 사용자와 동일한 전술, 기술 및 절차를 사용하여 Azure 및 Microsoft 365 시스템 및 작업을 테스트하는 것입니다. Microsoft의 보안 검색 및 대응 기능을 테스트하고 프로덕션 취약성, 구성 오류, 잘못된 가정 및 기타 보안 문제를 제어된 방식으로 식별하는 데 도움이 됩니다. 모든 레드 팀 위반은 두 팀 간에 완전히 공개되어 격차를 식별하고, 결과를 해결하고, 위반 대응을 개선합니다.
참고
레드 팀 또는 라이브 사이트 침투 테스트 중에 의도적으로 대상으로 지정된 고객 테넌트, 데이터 또는 애플리케이션은 없습니다. 테스트는 Microsoft 365 및 Azure 인프라 및 플랫폼뿐만 아니라 Microsoft의 자체 테넌트, 애플리케이션 및 데이터에 대한 것입니다.
레드 팀
Red Team은 Microsoft의 인프라, 플랫폼 및 Microsoft 자체 테넌트 및 애플리케이션 위반에 중점을 둔 Microsoft 내의 전임 직원 그룹입니다. 온라인 서비스(Microsoft 인프라, 플랫폼 및 애플리케이션)에 대한 표적 및 지속적인 공격을 수행하는 전담 적대자(윤리적 해커 그룹)이지만 최종 고객의 애플리케이션이나 콘텐츠는 수행하지 않습니다.
레드 팀의 역할은 적과 동일한 단계를 사용하여 환경을 공격하고 침투하는 것입니다.
다른 기능 중에서 레드 팀은 특히 격리 디자인에서 버그 또는 격차를 찾기 위해 테넌트 격리 경계를 위반하려고 시도합니다.
레드 팀은 테스트 노력을 확장하기 위해 특정 Microsoft 365 환경에서 반복적으로 안전하게 실행되는 자동화된 공격 시뮬레이션 도구를 만들었습니다. 이 도구에는 진화하는 위협 환경을 반영하기 위해 지속적으로 확장되고 개선되는 다양한 미리 정의된 공격이 있습니다. Red Team 테스트의 적용 범위를 넓히는 것 외에도 Blue Team이 보안 모니터링 논리의 유효성을 검사하고 개선하는 데 도움이 됩니다. 정기적인 지속적인 공격 에뮬레이션은 Blue Team에 예상 응답에 대해 비교되고 유효성을 검사하는 일관되고 다양한 신호 스트림을 제공합니다. 이로 인해 Microsoft 365의 보안 모니터링 논리 및 응답 기능이 향상됩니다.
Blue Teams
Blue Team은 보안 인시던트 대응, 엔지니어링 및 운영 조직 전반의 전담 보안 응답자 또는 구성원으로 구성됩니다. 메이크업에 관계없이, 그들은 독립적이며 레드 팀과 별도로 운영됩니다. Blue Team은 확립된 보안 프로세스를 따르고 최신 도구와 기술을 사용하여 공격 및 침투를 감지하고 대응합니다. 실제 공격과 마찬가지로 블루 팀은 레드 팀의 공격이 언제, 어떻게 발생하거나 어떤 방법을 사용할 수 있는지 알지 못합니다. 레드 팀 공격이든 실제 공격이든, 그들의 임무는 모든 보안 인시던트를 감지하고 대응하는 것입니다. 이러한 이유로 블루 팀은 지속적으로 전화를 받고 있으며 레드 팀 위반에 다른 위반과 동일한 방식으로 대응해야 합니다.
레드 팀과 같은 악의적 사용자가 환경을 위반하는 경우 블루 팀은 다음을 수행해야 합니다.
- 악의적 사용자가 남긴 증거 수집
- 증거를 손상의 표시로 검색
- 적절한 엔지니어링 및 운영 팀에 경고
- 경고를 심사하여 추가 조사를 보증하는지 여부를 확인합니다.
- 환경에서 컨텍스트를 수집하여 위반 scope
- 악의적 사용자를 포함하거나 제거할 수정 계획을 수립합니다.
- 수정 계획 실행 및 위반 복구
다음 단계는 아래와 같이 악의적 사용자와 병렬로 실행되는 보안 인시던트 대응을 형성합니다.
레드 팀 위반은 블루 팀이 실제 공격을 엔드투엔드에서 감지하고 대응하는 능력을 발휘할 수 있도록 합니다. 가장 중요한 것은 진정한 위반 이전에 연습된 보안 인시던트 대응을 허용합니다. 또한 레드 팀 위반으로 인해 블루 팀은 상황 인식을 향상시켜 향후 위반(레드 팀 또는 다른 악의적 사용자)을 처리할 때 유용할 수 있습니다. 탐지 및 대응 프로세스 전반에 걸쳐 Blue Team은 실행 가능한 인텔리전스를 생성하고 방어하려는 환경의 실제 조건에 대한 가시성을 얻습니다. 이 작업은 블루 팀에서 수행하는 데이터 분석 및 포렌식, 레드 팀 공격에 대응하고 손상 지표와 같은 위협 지표를 설정하여 수행하는 경우가 많습니다. 레드 팀이 보안 스토리의 격차를 식별하는 방식과 마찬가지로 블루 팀은 감지하고 대응하는 능력의 격차를 식별합니다. 또한 레드 팀의 실제 공격을 모델링하기 때문에 블루 팀은 결정적이고 지속적인 적을 상대하는 능력에 대해 정확하게 평가할 수 있습니다. 마지막으로 레드 팀 위반은 보안 위반 대응의 준비 상태와 영향을 모두 측정합니다.