Compartilhar via


Gerenciamento de incidentes de segurança da Microsoft: preparação

Treinamento e verificações em segundo plano

Cada funcionário que trabalha na Microsoft serviços online recebe treinamento sobre incidentes de segurança e procedimentos de resposta apropriados para sua função. Cada funcionário da Microsoft recebe treinamento ao ingressar e treinamento anual de atualização todos os anos depois. O treinamento foi projetado para fornecer ao funcionário uma compreensão básica da abordagem de segurança da Microsoft para que, após a conclusão do treinamento, todos os funcionários entendam:

  • A definição de um incidente de segurança
  • A responsabilidade de todos os funcionários de relatar incidentes de segurança
  • Como escalar um possível incidente de segurança para a equipe de resposta de segurança da Microsoft apropriada
  • Como as equipes de resposta a incidentes de segurança da Microsoft respondem a incidentes de segurança
  • Preocupações especiais com relação à privacidade, especialmente à privacidade do cliente
  • Onde encontrar informações adicionais sobre segurança e privacidade e contatos de escalonamento
  • Quaisquer outras áreas de segurança relevantes (conforme necessário)

Os funcionários apropriados recebem treinamento de atualização sobre segurança anualmente. O treinamento anual de atualização se concentra em:

  • Quaisquer alterações feitas nos procedimentos operacionais padrão no ano anterior
  • A responsabilidade de todos relatar incidentes de segurança e como fazê-lo
  • Onde encontrar informações adicionais sobre segurança e privacidade e contatos de escalonamento
  • Quaisquer outras áreas de foco de segurança que possam ser relevantes a cada ano

Cada funcionário que trabalha na Microsoft serviços online está sujeito a uma marcar de fundo apropriada e completa que inclui a educação, o emprego, o histórico criminal e outras informações específicas por Estados Unidos regulamentos como HIPAA (Health Insurance Portability e Accountability Act), ITAR (International Traffic in Arms Regulations), Federal Risk e Programa de Gerenciamento de Autorização (FedRAMP) e outros.

As verificações em segundo plano são obrigatórias para todos os funcionários que trabalham na engenharia da Microsoft. Alguns ambientes de serviço online da Microsoft e funções de operador também podem exigir impressões digitais completas, requisitos de cidadania, requisitos de liberação do governo e outros controles mais rigorosos. Além disso, algumas equipes de serviço e funções podem passar por treinamento especializado em segurança, conforme necessário. Por fim, os próprios membros da equipe de segurança recebem treinamento especializado e participação em conferências relacionadas diretamente à segurança. Esse treinamento varia de acordo com a necessidade da equipe e do funcionário, mas inclui coisas como conferências do setor, conferências internas da Microsoft Security e cursos de treinamento externos por meio de fornecedores conhecidos de treinamento de segurança no setor. Também temos artigos de treinamento de segurança dedicados publicados ao longo do ano para a comunidade de segurança em toda a Microsoft e especializados no Microsoft serviços online regularmente.

Avaliação de & de teste de penetração

A Microsoft trabalha com vários órgãos do setor e especialistas em segurança para entender novas ameaças e tendências em evolução. A Microsoft avalia continuamente seus próprios sistemas para vulnerabilidades e contratos com vários especialistas independentes e externos que fazem o mesmo.

Os testes realizados para o endurecimento de serviço no Microsoft serviços online podem ser agrupados em quatro categorias gerais:

  1. Teste de segurança automatizado: O pessoal interno e externo verifica regularmente os ambientes de serviço online da Microsoft com base nas práticas do Microsoft SDL, no Open Web Application Security Project (OWASP) nos 10 principais riscos e nas ameaças emergentes relatadas por diferentes órgãos do setor.
  2. Avaliações de vulnerabilidade: Compromissos formais com testadores independentes de terceiros regularmente validam se os principais controles lógicos estão operando efetivamente para cumprir as obrigações de serviço de vários órgãos reguladores. As avaliações são realizadas pelo pessoal certificado pelo Council of Registered Ethical Security Testers (CREST) e se baseiam nos 10 principais riscos do OWASP e em outras ameaças aplicáveis ao serviço. Todas as ameaças encontradas são rastreadas até o fechamento.
  3. Teste contínuo de vulnerabilidade do sistema: A Microsoft realiza testes regulares nos quais as equipes tentam violar o sistema usando ameaças emergentes, ameaças misturadas e/ou ameaças persistentes avançadas, enquanto outras equipes tentam bloquear tais tentativas de violação.
  4. Programa de Recompensa de Bugs dos Serviços Online da Microsoft: este programa opera uma política de permitir avaliações limitadas, originadas pelo cliente e vulnerabilidades no Microsoft serviços online. Para obter mais informações, consulte Termos de Recompensa de Bugs dos Serviços Online da Microsoft.

As equipes de engenharia do Microsoft serviços online publicam periodicamente vários documentos de conformidade. Vários desses documentos estão disponíveis sob um contrato de não divulgação do Portal de Confiança do Serviço de Nuvem da Microsoft ou da área do Service Assurance do portal de conformidade do Microsoft Purview

Simulação de ataque

A Microsoft se envolve em exercícios de simulação de ataque contínuos e testes de penetração em sites ao vivo de nossos planos de segurança e resposta com a intenção de melhorar a capacidade de detecção e resposta. A Microsoft simula regularmente violações do mundo real, realiza monitoramento contínuo de segurança e pratica a resposta a incidentes de segurança para validar e melhorar a segurança do Microsoft serviços online.

A Microsoft executa uma estratégia de segurança de violação presumida usando duas equipes principais:

Equipes vermelhas

As equipes do Microsoft Red são grupos de funcionários em tempo integral na Microsoft que se concentram em violar a infraestrutura, a plataforma e os próprios locatários e aplicativos da Microsoft. Eles são o adversário dedicado (um grupo de hackers éticos) que executa ataques direcionados e persistentes contra serviços online (mas não aplicativos ou dados de clientes). Eles fornecem validação contínua de "espectro completo" (por exemplo, controles técnicos, política de papel, resposta humana etc.) de recursos de resposta a incidentes de serviço.

Equipes azuis

As equipes do Microsoft Blue são compostas por conjuntos dedicados de respondentes de segurança e membros de todas as equipes de resposta a incidentes de segurança, engenharia e operações. Eles são independentes e operam separadamente das equipes vermelhas. As equipes Azul seguem processos de segurança estabelecidos e usam as ferramentas e tecnologias mais recentes para detectar e responder a ataques e tentativas de penetração. Assim como os ataques do mundo real, as equipes azuis não sabem quando ou como os ataques da equipe Vermelha ocorrerão ou quais métodos podem ser usados. Seu trabalho, seja um ataque da equipe vermelha ou um ataque real, é detectar e responder a todos os incidentes de segurança. Por esse motivo, as equipes Azuis estão continuamente de plantão e devem reagir às violações da equipe vermelha da mesma maneira que fariam para qualquer outro adversário.

Os funcionários da Microsoft separam equipes vermelhas em tempo integral e equipes azuis em toda a Microsoft em várias divisões que conduzem operações entre serviços e dentro delas. Conhecida como Red Teaming, a abordagem é testar os sistemas e operações dos serviços da Microsoft usando as mesmas táticas, técnicas e procedimentos que adversários reais, em relação à infraestrutura de produção ao vivo, sem o conhecimento prévio das equipes de infraestrutura e engenharia de plataforma ou operações. Isso testa os recursos de detecção e resposta de segurança e ajuda a identificar vulnerabilidades de produção, erros de configuração, suposições inválidas ou outros problemas de segurança de maneira controlada. Cada violação da equipe Vermelha é seguida pela divulgação completa entre a equipe Vermelha e a equipe Azul, incluindo equipes de serviço, para identificar lacunas, abordar descobertas e melhorar significativamente a resposta à violação.

Observação

Nenhum dado do cliente é direcionado durante o Red Teaming ou exercícios de penetração de site ao vivo. Os testes são contra a infraestrutura e plataformas do Microsoft 365 e do Azure, bem como os próprios locatários, aplicativos e dados da Microsoft. Locatários, aplicativos e dados do cliente hospedados no Azure, Dynamics 365 ou Microsoft 365 nunca são direcionados de acordo com as regras de engajamento acordadas.

Exercícios conjuntos

Às vezes, as equipes Microsoft Blue e Red realizarão operações conjuntas em que a relação durante a operação é mais parceira do que adversária com um conjunto seleto de funcionários de cada equipe. Esses exercícios são bem coordenados entre as equipes para impulsionar um conjunto mais direcionado de resultados por meio da colaboração em tempo real entre hackers éticos e respondentes. Esses exercícios de "equipe roxa" são altamente personalizados para cada operação maximizar a oportunidade, mas fundamental para cada operação é o compartilhamento de informações de alta largura de banda e a parceria para alcançar os objetivos.