Имитация атаки в Microsoft 365
Корпорация Майкрософт постоянно отслеживает и явным образом проверяет уязвимости и уязвимости в границах клиента, включая мониторинг вторжений, попыток нарушения разрешений и нехватки ресурсов. Мы также используем несколько внутренних систем для постоянного мониторинга недопустимого использования ресурсов, что в случае обнаружения активирует встроенное регулирование.
В Microsoft 365 есть внутренние системы мониторинга, которые постоянно отслеживают любые сбои и поддерживают автоматическое восстановление при обнаружении сбоя. Системы Microsoft 365 анализируют отклонения в поведении службы и инициируют процессы самовосстановления, встроенные в систему. Microsoft 365 также использует внешний мониторинг, при котором мониторинг выполняется из нескольких расположений как из доверенных сторонних служб (для независимой проверки соглашения об уровне обслуживания), так и из наших собственных центров обработки данных для создания оповещений. Для диагностики у нас есть обширные возможности ведения журнала, аудита и трассировки. Детализированные трассировка и мониторинг помогают изолировать проблемы и выполнять быстрый и эффективный анализ первопричин.
Хотя Microsoft 365 по возможности автоматизирует действия по восстановлению, инженеры по вызову Майкрософт доступны в режиме 24x7 для изучения всех эскалаций безопасности уровня "Серьезность 1", а последующие проверки каждого инцидента службы способствуют непрерывному обучению и улучшению. В эту группу входят инженеры службы поддержки, разработчики продуктов, руководители программ, менеджеры по продуктам и старшие руководители. Наши специалисты по вызову обеспечивают время резервного копирования и часто могут автоматизировать действия по восстановлению, чтобы в следующий раз событие можно было самостоятельно исправлять.
Корпорация Майкрософт выполняет тщательную проверку после инцидента каждый раз, когда происходит инцидент безопасности Microsoft 365 независимо от масштаба влияния. Проверка после инцидента состоит из анализа того, что произошло, как мы ответили и как предотвратить аналогичные инциденты в будущем. В целях прозрачности и отчетности мы совместно используем проверки после инцидентов для всех основных инцидентов службы с затронутыми клиентами. Дополнительные сведения см. в разделе "Управление инцидентами безопасности Майкрософт".
Предполагаемая методология нарушения безопасности
Основываясь на подробном анализе тенденций безопасности, корпорация Майкрософт выступает за и выделяет необходимость в других инвестициях в процессы и технологии реактивной безопасности, которые ориентированы на обнаружение и реагирование на возникающие угрозы, а не только на предотвращение этих угроз. Из-за изменений в ландшафте угроз и подробном анализе корпорация Майкрософт уточнила свою стратегию безопасности, не просто предотвращая бреши в системе безопасности, чтобы лучше справиться с бреши в системе безопасности, когда они происходят; стратегия, которая рассматривает основные события безопасности не в зависимости от того, если, а когда.
Хотя корпорация Майкрософт предполагает, что методы нарушения безопасности применяются в течение многих лет, многие клиенты не знают о выполняемой в фоновом режиме работе по усилению защиты облака Майкрософт. Предполагается, что нарушение безопасности — это установка, которая определяет инвестиции в безопасность, проектные решения и рабочие методы безопасности. Предполагается, что нарушение безопасности ограничивает доверие, размещенному в приложениях, службах, удостоверениях и сетях, рассматривая их все (внутренние и внешние) как небезопасные и уже скомпрометированные. Хотя предполагается, что стратегия нарушения безопасности не была вызвана фактическим нарушением каких-либо корпоративных или облачных служб Майкрософт, было распознано, что многие организации в отрасли были нарушены несмотря на все попытки предотвратить это. Хотя предотвращение нарушений является критически важной частью операций любой организации, эти методы должны постоянно тестироваться и дополняться для эффективного устранения современных злоумышленников и сложных постоянных угроз. Для подготовки любой организации к нарушению безопасности необходимо сначала создать и поддерживать надежные, повторяемые и тщательно протестированные процедуры реагирования на угрозы.
Хотя процессы защиты от нарушений безопасности, такие как моделирование угроз, проверки кода и тестирование безопасности, очень полезны в рамках жизненного цикла разработки по обеспечению безопасности, предполагается, что бреши предоставляют множество преимуществ, которые помогают реагировать на общую безопасность, используя и измеряя реактивные возможности в случае нарушения безопасности.
Корпорация Майкрософт планирует сделать это с помощью текущих упражнений по war-играм и тестирования на проникновение веб-сайтов в наших планах реагирования на угрозы с целью улучшения возможностей обнаружения и реагирования. Корпорация Майкрософт регулярно имитирует реальные нарушения безопасности, проводит непрерывный мониторинг безопасности и проводит методы управления инцидентами безопасности для проверки и повышения безопасности Microsoft 365, Azure и других облачных служб Майкрософт.
Корпорация Майкрософт выполняет стратегию безопасности предполагаемого нарушения безопасности с помощью двух основных групп:
- Red Teams (злоумышленники)
- Blue Teams (defenders)
Сотрудники Microsoft Azure и Microsoft 365 отделяют полные команды Red Teams и Blue Teams.
Такой подход называется "красной командой", и он заключается в проверке систем и операций Azure и Microsoft 365 с использованием тех же тактик, методов и процедур, что и реальные злоумышленники, для активной производственной инфраструктуры без наступающего уровня команд инженеров или эксплуатации. Это позволяет проверить возможности обнаружения безопасности и реагирования корпорации Майкрософт, а также выявлять уязвимости в рабочей среде, ошибки конфигурации, недопустимые предположения и другие проблемы безопасности контролируемым образом. За каждым нарушением красной команды следует полное раскрытие информации между обеими командами для выявления пробелов, устранения обнаруженных проблем и улучшения реагирования на нарушения.
ПРИМЕЧАНИЕ. Никакие данные клиентов не предназначены специально во время red Teaming или динамического тестирования на проникновение сайта. Тесты выполняются для инфраструктуры и платформ Microsoft 365 и Azure, а также для собственных клиентов, приложений и данных Майкрософт. Клиенты, приложения и содержимое, размещенные в Microsoft 365 или Azure, никогда не являются целевыми.
Красные команды
Красная команда — это группа штатных сотрудников корпорации Майкрософт, которая сосредоточена на нарушении инфраструктуры, платформы и собственных клиентов и приложений Майкрософт. Это выделенный злоумышленник (группа этиковых злоумышленников), который выполняет целевые и постоянные атаки на веб-службы (инфраструктуру, платформы и приложения Майкрософт, но не приложения или содержимое конечных клиентов).
Роль красной команды — атака и атака сред с помощью тех же действий, что и злоумышленник:
Помимо других функций, красные команды специально пытаются нарушения границ изоляции клиента, чтобы найти ошибки или пробелы в проектировании изоляции.
Чтобы помочь масштабировать моделирование атак, красная команда создала автоматизированное средство эмуляции атак, которое безопасно работает в определенных средах Microsoft 365 на регулярной основе. Это средство имеет широкий спектр предопределенных атак, которые постоянно расширяются и улучшаются, чтобы отразить развивающийся ландшафт угроз. Помимо расширения возможностей тестирования красной команды, она помогает синей команде проверять и улучшать логику мониторинга безопасности. Регулярное постоянное эмуляция атак предоставляет синей команде согласованный и разнообразный поток сигналов, которые сравниваются и проверяются на соответствие ожидаемым ответам. Это помогает улучшить логику мониторинга безопасности и возможности реагирования Microsoft 365.
Blue Teams
Синяя команда состоит из выделенного набора сотрудников службы реагирования на угрозы или участников из разных организаций по реагированию на инциденты безопасности, проектирования и эксплуатации. Независимо от их создания, они независимы и работают отдельно от красной команды. Синяя команда следует установленным процессам безопасности и использует новейшие средства и технологии для обнаружения и реагирования на атаки и проникновение. Как и реальные атаки, синяя команда не знает, когда и как будут происходить атаки красной команды или какие методы могут использоваться. Их задача , будь то атака красной команды или фактическая атака, — обнаружение всех инцидентов безопасности и реагирование на них. По этой причине "синяя команда" постоянно вызывается и должна реагировать на бреши красной команды так же, как при любых других нарушениях.
Если злоумышленник, например красная команда, взломал среду, "синяя команда" должна:
- Сбор свидетельства, оставленного злоумышленником
- Обнаружение свидетельства как признака компрометации
- Оповещение соответствующих команд инженеров и эксплуатации
- Рассмотрение оповещений, чтобы определить, требуют ли они дальнейшего исследования
- Сбор контекста из среды для области нарушения безопасности
- Создание плана исправления для размещения или вытеснения злоумышленника
- Выполнение плана исправления и восстановление после бреши
Эти действия формируют реагирование на инциденты безопасности, выполняемые параллельно злоумышленнику, как показано ниже:
Нарушения безопасности красной команды позволяют "синей команде" обнаруживать реальные атаки и реагировать на них. Что самое важное, он позволяет отчитываться от инцидентов безопасности до действительного нарушения безопасности. Кроме того, из-за брешей красной команды "синяя команда" повышает осведомленность о ситуации, что может быть полезно при устранении будущих нарушений (от красной команды или другого злоумышленника). В процессе обнаружения и реагирования синяя команда создает практические аналитические данные и получает представление о фактических условиях среды, которую они пытаются защитить. Часто это достигается с помощью анализа данных и экспертизы, выполняемой синей командой при реагировании на атаки красной команды и путем установки индикаторов угроз, таких как индикаторы компрометации. Как и в случае с определением пробелов в истории безопасности красной командой, синие команды выявляют пробелы в их способности обнаруживать и реагировать на них. Кроме того, так как красные команды моделиют реальные атаки, "синяя команда" может быть точно оценена по их способности или невозможности справиться с определенными и постоянными злоумышленниками. Наконец, нарушения безопасности красной команды измеряют готовность и последствия нашего реагирования на нарушение безопасности.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по