다음을 통해 공유

Microsoft 보안 인시던트 관리: 준비

  • 아티클

학습 및 배경 검사

Microsoft 온라인 서비스 근무하는 각 직원은 자신의 역할에 적합한 보안 인시던트 및 대응 절차에 대한 교육을 제공합니다. 모든 Microsoft 직원은 참가 시 교육을 받고 그 이후에는 매년 연간 재교육 교육을 받습니다. 교육은 교육이 완료되면 모든 직원이 다음을 이해할 수 있도록 직원에게 Microsoft의 보안 접근 방식에 대한 기본적인 이해를 제공하도록 설계되었습니다.

  • 보안 인시던트 정의
  • 보안 인시던트 보고에 대한 모든 직원의 책임
  • 잠재적인 보안 인시던트 를 적절한 Microsoft 보안 대응 팀으로 에스컬레이션하는 방법
  • Microsoft 보안 인시던트 대응 팀이 보안 인시던트에 대응하는 방법
  • 개인 정보 보호, 특히 고객 개인 정보 보호와 관련된 특별한 문제
  • 보안 및 개인 정보 보호 및 에스컬레이션 연락처에 대한 추가 정보를 찾을 수 있는 위치
  • 기타 관련 보안 영역(필요에 따라)

적절한 직원은 매년 보안에 대한 새로 고침 교육을 받습니다. 연간 리프레셔 교육은 다음 사항에 중점을 둡니다.

  • 이전 연도의 표준 운영 프로시저에 대한 모든 변경 내용
  • 보안 인시던트 보고에 대한 모든 사람의 책임 및 이 작업을 수행하는 방법
  • 보안 및 개인 정보 보호 및 에스컬레이션 연락처에 대한 추가 정보를 찾을 수 있는 위치
  • 매년 관련될 수 있는 다른 모든 보안 포커스 영역

Microsoft 온라인 서비스 근무하는 각 직원은 후보자의 교육, 고용, 범죄 기록 및 HIPAA(건강 보험 이식성 및 책임법), ITAR(국제 무기 규정), FedRAMP(Federal Risk and Authorization Management Program) 및 같은 미국 규정당 기타 특정 정보를 포함하는 적절하고 철저한 배경 검사 적용됩니다. 다른.

백그라운드 검사는 Microsoft 엔지니어링 내에서 일하는 모든 직원에게 필수입니다. 일부 Microsoft 온라인 서비스 환경 및 운영자 역할에는 전체 지문, 시민권 요구 사항, 정부 허가 요구 사항 및 기타 더 엄격한 제어가 필요할 수도 있습니다. 또한 일부 서비스 팀과 역할은 필요에 따라 특수 보안 교육을 거치게 될 수 있습니다. 마지막으로 보안 팀 구성원은 보안과 직접 관련된 전문 교육 및 회의 참여를 받습니다. 이 교육은 팀과 직원의 필요에 따라 다르지만 업계 회의, 내부 Microsoft 보안 회의 및 업계에서 잘 알려진 보안 교육 공급업체를 통한 외부 교육 과정과 같은 사항을 포함합니다. 또한 Microsoft 전체의 보안 커뮤니티를 위해 일년 내내 게시되고 Microsoft 온라인 서비스 정기적으로 전문화된 전용 보안 교육 문서도 있습니다.

침투 테스트 & 평가

Microsoft는 다양한 업계 기관 및 보안 전문가와 협력하여 새로운 위협과 진화하는 추세를 이해합니다. Microsoft는 자체 시스템에서 취약성을 지속적으로 평가하고, 동일한 작업을 수행하는 다양한 독립 외부 전문가와 계약을 체결합니다.

Microsoft 온라인 서비스 내에서 서비스 강화를 위해 수행된 테스트는 다음 네 가지 일반적인 범주로 그룹화할 수 있습니다.

  1. 자동화된 보안 테스트: 내부 및 외부 담당자는 Microsoft SDL 사례, OWASP(Open Web Application Security Project) 상위 10가지 위험 및 다양한 업계 기관에서 보고한 새로운 위협에 따라 Microsoft 온라인 서비스 환경을 정기적으로 검사합니다.
  2. 취약성 평가: 독립적인 타사 테스터와의 공식적인 참여는 주요 논리적 제어가 다양한 규제 기관의 서비스 의무를 이행하기 위해 효과적으로 운영되는지 여부를 정기적으로 확인합니다. 평가는 CREST(등록 윤리적 보안 테스터) 인증 담당자 위원회에 의해 수행되며 OWASP 상위 10가지 위험 및 기타 서비스 적용 가능한 위협을 기반으로 합니다. 발견된 모든 위협은 폐쇄로 추적됩니다.
  3. 지속적인 시스템 취약성 테스트: Microsoft는 팀이 새로운 위협, 혼합된 위협 및/또는 고급 영구 위협을 사용하여 시스템을 위반하려고 시도하는 정기적인 테스트를 수행하는 반면, 다른 팀은 이러한 위반 시도를 차단하려고 시도합니다.
  4. Microsoft Online Services 버그 현상금 프로그램: 이 프로그램은 Microsoft 온라인 서비스 제한된 고객 기반 취약성 평가를 허용하는 정책을 운영합니다. 자세한 내용은 Microsoft Online Services 버그 현상금 약관을 참조하세요.

Microsoft 온라인 서비스 엔지니어링 팀은 다양한 규정 준수 문서를 주기적으로 게시합니다. 이러한 문서 중 일부는 Microsoft Cloud Service 트러스트 포털 또는 Microsoft Purview 규정 준수 포털 Service Assurance 영역에서 비밀 유지 계약에 따라 사용할 수 있습니다.

공격 시뮬레이션

Microsoft는 탐지 및 대응 기능을 개선하기 위해 보안 및 대응 계획의 지속적인 공격 시뮬레이션 연습 및 라이브 사이트 침투 테스트에 참여하고 있습니다. Microsoft는 정기적으로 실제 위반을 시뮬레이션하고, 지속적인 보안 모니터링을 수행하며, 보안 인시던트 대응을 수행하여 Microsoft 온라인 서비스 보안의 유효성을 검사하고 개선합니다.

Microsoft는 다음 두 가지 핵심 팀을 사용하여 보안 위반 가정 전략을 실행합니다.

레드 팀

Microsoft Red 팀은 Microsoft의 인프라, 플랫폼 및 Microsoft 자체 테넌트 및 애플리케이션 위반에 초점을 맞춘 Microsoft 내의 전임 직원 그룹입니다. 이들은 온라인 서비스 대한 표적적이고 지속적인 공격을 수행하는 전담 적대자(윤리적 해커 그룹)입니다(고객 애플리케이션이나 데이터는 아님). 서비스 인시던트 대응 기능의 지속적인 '전체 스펙트럼' 유효성 검사(예: 기술 제어, 종이 정책, 인간 대응 등)를 제공합니다.

블루 팀

Microsoft Blue 팀은 보안 인시던트 대응, 엔지니어링 및 운영 팀의 전담 보안 응답자 집합과 구성원으로 구성됩니다. 그들은 독립적이며 레드 팀과 별도로 운영됩니다. Blue 팀은 확립된 보안 프로세스를 따르고 최신 도구와 기술을 사용하여 공격 및 침투 시도를 감지하고 대응합니다. 실제 공격과 마찬가지로 Blue 팀은 Red 팀의 공격이 언제, 어떻게 발생할지 또는 어떤 방법을 사용할지 알지 못합니다. 레드 팀 공격이든 실제 공격이든, 그들의 임무는 모든 보안 인시던트를 감지하고 대응하는 것입니다. 이러한 이유로 Blue 팀은 지속적으로 대기하고 있으며 다른 악의적 사용자와 동일한 방식으로 레드 팀 위반에 대응해야 합니다.

Microsoft 직원은 서비스 전반과 해당 부서에서 작업을 수행하는 다양한 부서에서 Microsoft 전체의 전임 레드 팀과 블루 팀을 구분합니다. 레드 팀이라고 하는 이 접근 방식은 인프라 및 플랫폼 엔지니어링 또는 운영 팀의 미리 알지 못한 채 실제 프로덕션 인프라에 대해 실제 적과 동일한 전술, 기술 및 절차를 사용하여 Microsoft 서비스의 시스템 및 운영 전반에서 테스트하는 것입니다. 이 테스트는 보안 검색 및 응답 기능을 테스트하고 프로덕션 취약성, 구성 오류, 잘못된 가정 또는 기타 보안 문제를 제어된 방식으로 식별하는 데 도움이 됩니다. 모든 레드 팀 위반은 레드 팀과 서비스 팀을 포함한 Blue 팀 간에 전체 공개를 통해 격차를 식별하고, 결과를 해결하고, 위반 대응을 크게 개선합니다.

참고

레드 팀 또는 라이브 사이트 침투 연습 중에는 고객 데이터가 대상으로 지정되지 않습니다. 테스트는 Microsoft 365 및 Azure 인프라 및 플랫폼뿐만 아니라 Microsoft의 자체 테넌트, 애플리케이션 및 데이터에 대한 것입니다. Azure, Dynamics 365 또는 Microsoft 365에서 호스트되는 고객 테넌트, 애플리케이션 및 데이터는 합의된 참여 규칙에 따라 타겟팅되지 않습니다.

합동 연습

때때로 Microsoft Blue 및 Red 팀은 작업 중 관계가 각 팀의 일부 직원과 적대적 관계보다 더 많은 파트너인 공동 작업을 수행합니다. 이러한 연습은 윤리적 해커와 응답자 간의 실시간 협업을 통해 보다 타겟팅된 결과 집합을 추진하기 위해 팀 간에 잘 조정됩니다. 이러한 '자주색 팀' 연습은 기회를 최대화하기 위해 각 작업에 맞게 고도로 조정되지만 각 작업의 기본은 목표를 달성하기 위한 높은 대역폭 정보 공유 및 파트너십입니다.