Compartilhar via

Gestão de incidentes de segurança da Microsoft: Preparação

Verificações de preparação e em segundo plano

Cada funcionário que trabalha no Microsoft serviços online é fornecido com formação sobre incidentes de segurança e procedimentos de resposta adequados à sua função. Todos os colaboradores da Microsoft recebem formação após a adesão e formação anual de atualização todos os anos a partir daí. A formação foi concebida para fornecer ao colaborador uma compreensão básica da abordagem da Microsoft à segurança para que, após a conclusão da formação, todos os funcionários compreendam:

  • A definição de um incidente de segurança
  • A responsabilidade de todos os funcionários reportarem incidentes de segurança
  • Como escalar um possível incidente de segurança para a equipa de resposta de segurança da Microsoft adequada
  • Como as equipas de resposta a incidentes de segurança da Microsoft respondem a incidentes de segurança
  • Preocupações especiais relacionadas com a privacidade, particularmente a privacidade dos clientes
  • Onde encontrar informações adicionais sobre segurança e privacidade e contactos de escalamento
  • Quaisquer outras áreas de segurança relevantes (conforme necessário)

Os funcionários adequados recebem anualmente formação de atualização sobre segurança. A formação anual do atualizador centra-se em:

  • Quaisquer alterações efetuadas aos procedimentos operacionais padrão no ano anterior
  • A responsabilidade de todos reportarem incidentes de segurança e como fazê-lo
  • Onde encontrar informações adicionais sobre segurança e privacidade e contactos de escalamento
  • Quaisquer outras áreas de foco de segurança que possam ser relevantes todos os anos

Cada funcionário que trabalha no Microsoft serviços online está sujeito a um fundo adequado e minucioso marcar que inclui a educação, o emprego, o histórico criminal e outras informações específicas por Estados Unidos regulamentos como a Health Insurance Portability and Accountability Act (HIPAA), International Traffic in Arms Regulations (ITAR), Federal Risk and Federal Risk and Accountability Act (HIPAA), International Traffic in Arms Regulations (ITAR), Federal Risk e Programa de Gestão de Autorizações (FedRAMP), entre outros.

As verificações em segundo plano são obrigatórias para todos os funcionários que trabalham em engenharia da Microsoft. Alguns ambientes de serviço online da Microsoft e funções de operador também podem exigir a identificação digital completa, requisitos de cidadania, requisitos de autorização governamental e outros controlos mais rigorosos. Além disso, algumas equipas de serviço e funções podem passar por uma formação de segurança especializada, conforme necessário. Por fim, os próprios membros da equipa de segurança recebem formação especializada e participação em conferências relacionadas diretamente com a segurança. Esta formação varia consoante a necessidade da equipa e dos colaboradores, mas inclui elementos como conferências do setor, conferências internas da Microsoft Security e cursos de formação externa através de fornecedores de formação de segurança conhecidos no setor. Também temos artigos de formação de segurança dedicados publicados ao longo do ano para a comunidade de segurança em toda a Microsoft e especializados na Microsoft serviços online regularmente.

Teste de penetração & avaliação

A Microsoft trabalha com vários organismos do setor e especialistas em segurança para compreender novas ameaças e tendências em evolução. A Microsoft avalia continuamente os seus próprios sistemas relativamente a vulnerabilidades e contratos com vários especialistas externos independentes que fazem o mesmo.

Os testes realizados para proteção de serviços no Microsoft serviços online podem ser agrupados em quatro categorias gerais:

  1. Testes de segurança automatizados: O pessoal interno e externo analisa regularmente os ambientes de serviço online da Microsoft com base nas práticas do SDL da Microsoft, nos 10 principais riscos do Open Web Application Security Project (OWASP) e nas ameaças emergentes reportadas por diferentes entidades do setor.
  2. Avaliações de vulnerabilidades: Os compromissos formais com técnicos de teste independentes e de terceiros validam regularmente se os controlos lógicos fundamentais estão a funcionar eficazmente para cumprir as obrigações de serviço de várias entidades reguladoras. As avaliações são realizadas pelo pessoal certificado pelo Conselho dos Testadores de Segurança Ética Registados (CREST) e baseiam-se nos 10 principais riscos da OWASP e outras ameaças aplicáveis ao serviço. Todas as ameaças encontradas são registadas até ao encerramento.
  3. Teste contínuo de vulnerabilidades do sistema: A Microsoft realiza testes regulares em que as equipas tentam violar o sistema através de ameaças emergentes, ameaças combinadas e/ou ameaças persistentes avançadas, enquanto outras equipas tentam bloquear tais tentativas de violação.
  4. Programa Microsoft Online Services Bug Bounty: este programa opera uma política de permitir avaliações de vulnerabilidade limitadas, originadas pelo cliente no Microsoft serviços online. Para obter mais informações, consulte Termos de Recompensa por Erros do Microsoft Online Services.

As equipas de engenharia do Microsoft serviços online publicam periodicamente vários documentos de conformidade. Vários desses documentos estão disponíveis ao abrigo de um contrato de não divulgação do Portal de Confiança do Serviço Cloud da Microsoft ou da área Service Assurance do portal do Microsoft Purview

Simulação de Ataque

A Microsoft dedica-se a exercícios de simulação de ataques em curso e testes de penetração em sites em direto dos nossos planos de segurança e resposta com o objetivo de melhorar a capacidade de deteção e resposta. A Microsoft simula regularmente falhas no mundo real, realiza monitorização de segurança contínua e pratica a resposta a incidentes de segurança para validar e melhorar a segurança do Microsoft serviços online.

A Microsoft executa uma estratégia de segurança de falha de segurança assumida com duas equipas principais:

Equipas vermelhas

As equipas do Microsoft Red são grupos de funcionários a tempo inteiro dentro da Microsoft que se concentram em violar a infraestrutura, a plataforma e os próprios inquilinos e aplicações da Microsoft. São o adversário dedicado (um grupo de hackers éticos) que realiza ataques direcionados e persistentes contra serviços online (mas não aplicações ou dados de clientes). Fornecem validação contínua de "espetro completo" (por exemplo, controlos técnicos, política em papel, resposta humana, etc.) de capacidades de resposta a incidentes de serviço.

Equipas azuis

As equipas Microsoft Blue são compostas por conjuntos dedicados de socorristas de segurança e membros de todas as equipas de resposta a incidentes de segurança, engenharia e operações. São independentes e operam separadamente das equipas vermelhas. As equipas Azuis seguem os processos de segurança estabelecidos e utilizam as ferramentas e tecnologias mais recentes para detetar e responder a ataques e tentativas de penetração. Tal como acontece com os ataques do mundo real, as equipas Azuis não sabem quando ou como os ataques da equipa Vermelha irão ocorrer ou que métodos podem ser utilizados. O seu trabalho, seja um ataque da equipa Vermelha ou um ataque real, é detectar e responder a todos os incidentes de segurança. Por esta razão, as equipas Azuis estão continuamente de serviço e têm de reagir a falhas da equipa vermelha da mesma forma que para qualquer outro adversário.

Os funcionários da Microsoft separam equipas vermelhas a tempo inteiro e equipas azuis em toda a Microsoft em várias divisões que realizam operações tanto em serviços como dentro delas. Referida como Agrupamento Vermelho, a abordagem consiste em testar os sistemas e operações dos serviços Microsoft com as mesmas táticas, técnicas e procedimentos que adversários reais, contra a infraestrutura de produção em direto, sem o conhecimento prévio das equipas de engenharia ou operações de plataformas e infraestruturas. Isto testa as capacidades de deteção e resposta de segurança e ajuda a identificar vulnerabilidades de produção, erros de configuração, pressupostos inválidos ou outros problemas de segurança de forma controlada. Todas as falhas de equipa do Red são seguidas pela divulgação completa entre a equipa Vermelha e a equipa Azul, incluindo as equipas de serviço, para identificar lacunas, resolver resultados e melhorar significativamente a resposta a falhas de segurança.

Observação

Nenhum dado do cliente é direcionado durante os exercícios de penetração do Red Teaming ou do site em direto. Os testes destinam-se à infraestrutura e plataformas do Microsoft 365 e do Azure, bem como aos próprios inquilinos, aplicações e dados da Microsoft. Os inquilinos, aplicações e dados do cliente alojados no Azure, Dynamics 365 ou Microsoft 365 nunca são visados de acordo com as regras de cativação acordadas.

Exercícios conjuntos

Por vezes, as equipas Microsoft Blue e Red irão realizar operações conjuntas em que a relação durante a operação é mais parceira do que adversa com um conjunto selecionado de funcionários de cada equipa. Estes exercícios são bem coordenados entre as equipas para impulsionar um conjunto mais direcionado de resultados através da colaboração em tempo real entre hackers éticos e socorristas. Estes exercícios de "equipa roxa" são altamente adaptados para cada operação para maximizar a oportunidade, mas fundamental para cada operação é a partilha de informações de alta largura de banda e a parceria para alcançar os objetivos.