Microsoft 365의 공격 시뮬레이션

Microsoft는 침입 모니터링, 권한 위반 시도 및 리소스 부족 등 테넌트 경계의 약점 및 취약성을 지속적으로 모니터링하고 명시적으로 테스트합니다. 또한 여러 내부 시스템을 사용하여 부적절한 리소스 사용률을 지속적으로 모니터링하며, 감지되면 기본 제공 제한을 트리거합니다.

Microsoft 365에는 오류를 지속적으로 모니터링하고 오류가 감지될 때 자동화된 복구를 구동하는 내부 모니터링 시스템이 있습니다. Microsoft 365 시스템은 서비스 동작의 편차를 분석하고 시스템에 기본 제공되는 자동 복구 프로세스를 시작합니다. 또한 Microsoft 365는 신뢰할 수 있는 타사 서비스(독립적인 SLA 확인용)와 자체 데이터 센터에서 여러 위치에서 모니터링이 수행되는 외부 모니터링을 사용하여 경고를 발생합니다. 진단의 경우 광범위한 로깅, 감사 및 추적이 있습니다. 세분화된 추적 및 모니터링을 통해 문제를 격리하고 빠르고 효과적인 근본 원인 분석을 수행할 수 있습니다.

Microsoft 365에는 가능한 경우 자동화된 복구 작업이 있지만 Microsoft 온콜 엔지니어는 24x7을 사용하여 모든 심각도 1 보안 에스컬레이션을 조사할 수 있으며, 모든 서비스 인시던트에 대한 사후 검토는 지속적인 학습 및 개선에 기여합니다. 이 팀에는 지원 엔지니어, 제품 개발자, 프로그램 관리자, 제품 관리자 및 고위 경영진이 포함됩니다. 온-콜 전문가는 적시에 백업을 제공하며 종종 복구 작업을 자동화할 수 있으므로 다음에 이벤트가 발생할 때 자체 복구할 수 있습니다.

Microsoft는 영향 규모에 관계없이 Microsoft 365 보안 인시던트가 발생할 때마다 철저한 인시던트 후 검토를 수행합니다. 인시던트 후 검토는 발생한 일, 대응 방법 및 향후 유사한 인시던트를 방지하는 방법에 대한 분석으로 구성됩니다. 투명성과 책임을 위해 주요 서비스 인시던트에 대한 인시던트 후 검토를 영향을 받는 고객과 공유합니다. 자세한 내용은 Microsoft 보안 인시던트 관리를 참조하세요.

위반 방법론 가정

Microsoft는 보안 추세에 대한 자세한 분석을 기반으로 이러한 위협을 방지하는 것이 아니라 새로운 위협에 대한 탐지 및 대응에 초점을 맞춘 사후 보안 프로세스 및 기술에 대한 다른 투자의 필요성을 옹호하고 강조합니다. 위협 환경 및 심층 분석의 변화로 인해 Microsoft는 보안 위반을 방지하는 것 외에도 보안 위반이 발생할 때 더 잘 처리할 수 있는 보안 전략을 개선했습니다. 주요 보안 이벤트를 고려한 전략이 아닌 시기의 문제입니다.

Microsoft는 수년 동안 위반 사례가 적용되었다고 가정하지만, 많은 고객은 Microsoft 클라우드를 강화하기 위해 백그라운드에서 수행되는 작업을 인식하지 못합니다. 보안 위반이 보안 투자, 설계 결정 및 운영 보안 관행을 안내하는 사고 방식이라고 가정합니다. 위반이 애플리케이션, 서비스, ID 및 네트워크에 있는 트러스트를 모두 내부 및 외부로 안전하지 않고 이미 손상된 것으로 간주하여 제한한다고 가정합니다. Microsoft 엔터프라이즈 또는 클라우드 서비스의 실제 위반으로 인해 위반 전략이 발생하지 않았다고 가정하지만, 이를 방지하려는 모든 시도에도 불구하고 업계 전반의 많은 조직이 위반된 것으로 인식되었습니다. 위반 방지는 조직의 운영에서 중요한 부분이지만, 최신 악의적 사용자 및 고급 영구 위협을 효과적으로 해결하기 위해 이러한 사례를 지속적으로 테스트하고 보강해야 합니다. 모든 조직이 위반에 대비하려면 먼저 강력하고 반복 가능하며 철저하게 테스트된 보안 대응 절차를 빌드하고 유지 관리해야 합니다.

위협 모델링, 코드 검토 및 보안 테스트와 같은 위반 보안 프로세스를 방지하는 것은 보안 개발 수명 주기의 일부로 매우 유용하지만 위반이 발생할 경우 대응 기능을 행사하고 측정하여 전반적인 보안을 설명하는 데 도움이 되는 수많은 이점을 제공한다고 가정합니다.

Microsoft에서는 탐지 및 대응 기능을 개선하기 위해 지속적인 전쟁 게임 연습과 보안 대응 계획의 라이브 사이트 침투 테스트를 통해 이를 달성하기 시작했습니다. Microsoft는 정기적으로 실제 위반을 시뮬레이션하고, 지속적인 보안 모니터링을 수행하며, 보안 인시던트 관리를 수행하여 Microsoft 365, Azure 및 기타 Microsoft 클라우드 서비스의 보안을 검증하고 개선합니다.

Microsoft는 다음 두 가지 핵심 그룹을 사용하여 보안 위험 가정 전략을 실행합니다.

• Red Teams(공격자)
• Blue Teams(수비수)

Microsoft Azure와 Microsoft 365 직원은 모두 전임 Red Teams와 Blue Teams를 분리합니다.

"레드 팀"이라고 하는 이 접근 방식은 엔지니어링 또는 운영 팀의 예시 없이 라이브 프로덕션 인프라에 대해 실제 악의적 사용자와 동일한 전술, 기술 및 절차를 사용하여 Azure 및 Microsoft 365 시스템 및 작업을 테스트하는 것입니다. Microsoft의 보안 검색 및 응답 기능을 테스트하고 프로덕션 취약성, 구성 오류, 잘못된 가정 및 기타 보안 문제를 제어된 방식으로 식별하는 데 도움이 됩니다. 모든 레드 팀 위반은 간격을 식별하고, 결과를 해결하고, 위반 대응을 개선하기 위해 양 팀 간에 전체 공개가 수행됩니다.

참고: 레드 팀 또는 라이브 사이트 침투 테스트 중에 의도적으로 대상으로 지정된 고객 데이터는 없습니다. 테스트는 Microsoft 365 및 Azure 인프라 및 플랫폼뿐만 아니라 Microsoft의 자체 테넌트, 애플리케이션 및 데이터에 대한 것입니다. Microsoft 365 또는 Azure에서 호스트되는 고객 테넌트, 애플리케이션 및 콘텐츠는 대상으로 지정되지 않습니다.

레드 팀

Red Team은 Microsoft의 인프라, 플랫폼 및 Microsoft 자체 테넌트 및 애플리케이션 위반에 중점을 둔 Microsoft 내의 전임 직원 그룹입니다. 이들은 온라인 서비스(Microsoft 인프라, 플랫폼 및 애플리케이션에 대해 표적적이고 지속적인 공격을 수행하지만 최종 고객의 애플리케이션 또는 콘텐츠는 아님)를 수행하는 전담 악의적 사용자(윤리적 해커 그룹)입니다.

레드 팀의 역할은 악의적인 사용자와 동일한 단계를 사용하여 환경을 공격하고 침투하는 것입니다.

다른 기능 중에서 레드 팀은 특히 격리 디자인에서 버그 또는 간격을 찾기 위해 테넌트 격리 경계를 위반하려고 시도합니다.

공격 시뮬레이션 작업의 크기를 조정하기 위해 Red Team은 특정 Microsoft 365 환경에서 반복적으로 안전하게 실행되는 자동화된 공격 에뮬레이션 도구를 만들었습니다. 이 도구에는 진화하는 위협 환경을 반영하기 위해 지속적으로 확장되고 개선되는 다양한 미리 정의된 공격이 있습니다. Red Team 테스트의 범위를 넓히는 것 외에도 Blue Team은 보안 모니터링 논리의 유효성을 검사하고 개선하는 데 도움이 됩니다. 정기적으로 진행 중인 공격 에뮬레이션은 Blue Team에 예상 응답에 대해 비교 및 유효성을 검사하는 일관되고 다양한 신호 스트림을 제공합니다. 이렇게 하면 Microsoft 365의 보안 모니터링 논리 및 응답 기능이 향상됩니다.

Blue Teams

Blue Team은 보안 인시던트 대응, 엔지니어링 및 운영 조직 전체의 전용 보안 응답자 또는 구성원으로 구성됩니다. 그들의 메이크업에 관계없이, 그들은 독립적이며 레드 팀과 별도로 운영됩니다. Blue Team은 설정된 보안 프로세스를 따르고 최신 도구와 기술을 사용하여 공격 및 침투를 감지하고 대응합니다. 실제 공격과 마찬가지로 블루 팀은 레드 팀의 공격이 언제, 어떻게 발생하는지 또는 어떤 방법을 사용할 수 있는지 알지 못합니다. 레드 팀 공격이든 실제 공격이든, 그들의 임무는 모든 보안 인시던트를 감지하고 대응하는 것입니다. 이러한 이유로 블루 팀은 지속적으로 통화 중이며 다른 위반과 동일한 방식으로 레드 팀 위반에 대응해야 합니다.

레드 팀과 같은 악의적 사용자가 환경을 위반하는 경우 블루 팀은 다음을 수행해야 합니다.

• 악의적 사용자가 남긴 증거 수집
• 증거를 손상의 표시로 검색
• 적절한 엔지니어링 및 운영 팀에 경고
• 경고를 심사하여 추가 조사를 보증하는지 여부를 확인합니다.
• 환경에서 컨텍스트를 수집하여 위반 범위 지정
• 악의적 사용자 포함 또는 제거를 위한 수정 계획 구성
• 수정 계획 실행 및 위반으로부터 복구

이러한 단계는 아래와 같이 악의적 사용자와 병렬로 실행되는 보안 인시던트 응답을 형성합니다.

레드 팀 위반은 블루 팀이 실제 공격을 엔드 투 엔드(end-to-end)로 감지하고 대응하는 능력을 발휘할 수 있도록 합니다. 가장 중요한 것은 실제 위반 이전에 보안 인시던트 대응을 연습할 수 있도록 허용합니다. 또한 레드 팀 위반으로 인해 Blue 팀은 상황 인식을 향상시켜 향후 위반(레드 팀 또는 다른 악의적 사용자)을 처리할 때 유용할 수 있습니다. 감지 및 응답 프로세스 전체에서 Blue Team은 실행 가능한 인텔리전스를 생성하고 방어하려는 환경의 실제 조건에 대한 가시성을 얻습니다. 이 작업은 Blue Team에서 수행하는 데이터 분석 및 포렌식, 레드 팀 공격에 대응하는 경우 및 손상 지표와 같은 위협 지표를 설정하여 수행하는 경우가 많습니다. 레드 팀이 보안 스토리의 격차를 식별하는 방식과 마찬가지로 블루 팀은 감지하고 대응하는 능력의 차이를 식별합니다. 또한 레드 팀이 실제 공격을 모델링하기 때문에 블루 팀은 결정적이고 지속적인 적을 상대할 수 있는 능력이나 무능력에 대해 정확하게 평가할 수 있습니다. 마지막으로 레드 팀 위반은 보안 위험 대응의 준비 상태와 영향을 모두 측정합니다.