위협 및 취약성 관리 개요
Microsoft 온라인 서비스 취약성 관리를 어떻게 수행합니까?
시스템이 얼마나 잘 설계되었는지에 관계없이 시간이 지남에 따라 보안 상태는 저하할 수 있습니다. 시스템이 패치되지 않고 의도하지 않은 구성 변경 사항이 발생할 수 있으며 보안 코드로 회귀할 수 있습니다. 이러한 모든 문제는 처음 배포되었을 때보다 시스템을 덜 안전하게 만들 수 있습니다. Microsoft는 이러한 성능 저하에 대한 머신을 지속적으로 평가하기 위한 자동화를 구축하여 보안 상태의 문제를 즉시 해결할 수 있도록 지원합니다.
Microsoft 온라인 서비스 컴퓨터 상태 검사를 사용하여 인프라를 구성하는 컴퓨터가 최신 패치로 최신 상태이고 기본 구성이 관련 프레임워크와 올바르게 일치하는지 확인합니다. 컴퓨터 상태 검사는 패치, 맬웨어 방지, 취약성 검사 및 PAVC(구성 검사)를 사용합니다. Microsoft 온라인 서비스 배포하는 동안 각 자산에 사용자 지정 보안 에이전트를 설치하여 효과적인 PAVC를 적용합니다. 이 보안 에이전트는 컴퓨터 상태 검사를 사용하도록 설정하고 결과를 서비스 팀에 보고합니다.
Microsoft 온라인 서비스 최신 보안 패치로 서비스 인프라를 최신 상태로 유지하려면 어떻게 해야 할까요?
패치 관리는 새 보안 패치가 릴리스될 때 Microsoft 온라인 서비스 시스템이 신속하게 업데이트되도록 하여 취약성을 완화합니다. Microsoft는 위험에 따라 새로운 보안 패치 및 기타 보안 업데이트의 우선 순위를 지정합니다. Microsoft 온라인 서비스 보안 팀은 사용 가능한 보안 패치를 분석하여 프로덕션 환경의 컨텍스트에서 위험 수준을 결정합니다. 해당 분석에는 CVSS(Common Vulnerability Scoring System)를 기반으로 하는 심각도 점수와 기타 위험 요소가 포함됩니다.
Microsoft 서비스 팀은 보안 팀의 분석을 검토하고 적절한 수정 기간 내에 해당 패치를 사용하여 서비스 구성 요소 및 기준 이미지를 업데이트합니다. 보안 패치는 프로덕션 환경에 배포하기 전에 적절한 테스트 및 관리 승인을 보장하기 위해 변경 관리 프로세스의 적용을 받습니다. 보안 패치의 배포는 보안 패치로 인해 예기치 않은 문제가 발생하는 경우 롤백을 사용하도록 단계별로 수행됩니다.
서비스 팀은 취약성 검사 결과를 사용하여 적용 가능한 시스템 구성 요소에 대한 보안 패치 배포의 유효성을 검사합니다. 연체된 취약성은 매일 보고되고 관리에서 매월 검토하여 환경 전체의 패치 범위와 깊이를 측정하고 시기 적절한 패치에 대한 책임을 집니다.
Microsoft는 취약성 및 구성 검사를 어떻게 수행하나요?
Microsoft의 보안 에이전트는 자산 배포 중에 설치되며 완전히 자동화된 취약성 및 구성 검사를 가능하게 합니다. 보안 에이전트는 업계 표준 도구를 사용하여 알려진 취약성 및 보안 구성 오류를 감지합니다. 프로덕션 자산은 최신 취약성 서명과 함께 매일 자동 검사되도록 예약됩니다. 이러한 검사의 결과는 안전한 중앙 스토리지 서비스에 수집되며, 자동화된 보고를 통해 서비스팀이 결과를 사용할 수 있습니다.
서비스팀은 집계 검사 결과를 보고하는 대시보드를 사용하여 검사 결과를 검토하여 포괄적인 보고 및 추세 분석을 제공합니다. 검사에서 검색된 취약성은 수정될 때까지 이러한 보고서에서 추적됩니다. 취약성 검사에서 누락된 패치, 보안 구성 오류 또는 환경의 기타 취약성을 나타내는 경우 서비스팀은 이러한 보고서를 사용하여 영향을 받는 구성 요소를 수정 대상으로 지정합니다. 검사를 통해 발견된 취약성은 CVSS(Common Vulnerability Scoring System) 점수 및 기타 관련 위험 요인에 따라 수정을 위해 우선순위가 지정됩니다.
Microsoft는 맬웨어를 어떻게 방어하나요?
Microsoft는 포괄적인 맬웨어 방지 소프트웨어를 사용하여 바이러스 및 기타 맬웨어로부터 Microsoft 온라인 서비스 보호합니다. Microsoft 온라인 서비스 사용하는 기준 운영 체제 이미지에는 환경 전체에서 적용 범위를 최대화하기 위해 이 소프트웨어가 포함되어 있습니다.
Microsoft 온라인 서비스 모든 엔드포인트는 적어도 매주 전체 맬웨어 방지 검사를 수행합니다. 추가 실시간 검사는 다운로드, 열기 또는 실행될 때 모든 파일에 대해 수행됩니다. 이러한 검사는 알려진 맬웨어 서명을 사용하여 맬웨어를 탐지하고 맬웨어 실행을 방지합니다. Microsoft의 맬웨어 방지 소프트웨어는 최신 정보로 검사가 수행되도록 매일 최신 맬웨어 서명을 다운로드하도록 구성됩니다. 서명 기반 검사 외에도 Microsoft 맬웨어 방지 소프트웨어는 패턴 기반 인식을 사용하여 의심스럽거나 비정상적인 프로그램 동작을 감지하고 방지합니다.
맬웨어 방지 제품은 바이러스 또는 기타 맬웨어를 감지하면 Microsoft 보안 대응 팀에 대한 경고를 자동으로 생성합니다. 대부분의 경우 맬웨어 방지 소프트웨어는 사람의 개입 없이 실시간으로 바이러스 및 기타 맬웨어의 실행을 방지할 수 있습니다. 이 방지가 불가능한 경우 Microsoft 보안 대응 팀은 보안 인시던트 대응 프로세스를 사용하여 맬웨어 인시던트 resolve.
Microsoft는 신규 또는 보고되지 않은 취약성을 어떻게 감지하나요?
Microsoft는 정교한 기계 학습을 사용하여 자동화된 검사를 보완하여 알 수 없는 취약성이 있음을 나타낼 수 있는 의심스러운 활동을 검색하는 데 도움을 줍니다. 내부 Microsoft 팀과 독립 감사자가 정기적으로 침투하는 테스트는 실제 공격자가 악용하기 전에 취약성을 검색하고 수정하기 위한 추가 메커니즘을 제공합니다. Microsoft는 Microsoft 윤리적 해커의 "레드 팀"을 사용하여 내부 침투 테스트를 수행합니다. 고객 시스템과 데이터는 침투 테스트의 대상이 아니지만 침투 테스트에서 배운 교훈은 Microsoft가 보안 제어의 유효성을 검사하고 새로운 종류의 공격을 방어하는 데 도움이 됩니다. 또한 Microsoft는 버그 현상금 프로그램을 사용하여 새로운 취약성의 공개를 장려하여 가능한 한 빨리 완화할 수 있도록 합니다.
관련 외부 규정 & 인증
Microsoft의 온라인 서비스 외부 규정 및 인증 준수에 대해 정기적으로 감사됩니다. 위협 및 취약성 관리 관련된 컨트롤의 유효성 검사는 다음 표를 참조하세요.
Azure 및 Dynamics 365
| 외부 감사 | 섹션 | 최신 보고서 날짜 |
|---|---|---|
| ISO 27001/27002 적용 가능성 설명 인증서 |
A.12.6.1: 기술 취약성 관리 | 2023년 11월 6일 |
| ISO 27017 적용 가능성 설명 인증서 |
A.12.6.1: 기술 취약성 관리 | 2023년 11월 6일 |
| ISO 27018 적용 가능성 설명 인증서 |
A.12.6.1: 기술 취약성 관리 | 2023년 11월 6일 |
| SOC 1 SOC 2 SOC 3 |
VM-3: 맬웨어 방지 모니터링 VM-5: 패치 VM-6: 취약성 검사 |
2023년 11월 17일 |
Microsoft 365
| 외부 감사 | 섹션 | 최신 보고서 날짜 |
|---|---|---|
| FedRAMP(Office 365) | CA-7: 지속적인 모니터링 CA-8: 침투 테스트 RA-3: 위험 평가 RA-5: 취약성 검사 SI-2: 결함 수정 SI-5: 보안 경고, 권고 및 지시문 |
2023년 7월 31일 |
| ISO 27001/27002/27017 적용 가능성 설명 인증(27001/27002) 인증(27017) |
A.12.6.1: 기술 취약성 관리 | 2024년 3월 |
| SOC 1 | CA-27: 취약성 검사 | 2024년 1월 23일 |
| SOC 2 | CA-24: 내부 위험 평가 CA-27: 취약성 검사 |
2024년 1월 23일 |
리소스
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기