Microsoft 365 中的攻击模拟

基于对安全趋势的详细分析,Microsoft 主张并强调需要对反应性安全流程和技术进行其他投资,这些流程和技术侧重于检测和响应新出现的威胁,而不仅仅是预防这些威胁。 由于威胁形势的变化和深入分析,Microsoft 已经优化了其安全策略,而不仅仅是防止安全漏洞,以更好地应对违规事件。一种策略,该策略将重大安全事件视为不是是否,而是考虑何时发生。

虽然 Microsoft 的假设违规 做法已实施多年,但许多客户并不知道在后台为强化 Microsoft 云所做的工作。 假设漏洞是一种指导安全投资、设计决策和运营安全做法的思维模式。 假设泄露会限制对应用程序、服务、标识和网络的信任,方法是将其全部(内部和外部)视为不安全且已遭到入侵。 尽管假设违规策略并非源于任何 Microsoft 企业或云服务的实际违规行为,但人们认识到,尽管已尝试阻止,但整个行业的许多组织都遭到了攻击。 虽然防止违规是任何组织运营的关键部分,但必须持续测试和增强这些做法,以有效应对现代攻击者和高级持续威胁。 对于任何组织为违规做好准备,他们必须首先构建和维护可靠、可重复且经过全面测试的安全响应过程。

虽然在安全 开发生命周期中预防漏洞安全过程(如威胁建模、代码评审和安全测试)非常有用,但假设违规提供了许多优势,通过在发生违规时行使和测量反应能力来帮助考虑整体安全性。

在 Microsoft,我们开始通过持续的战争游戏演习和实时站点渗透测试我们的安全响应计划来实现这一点,目的是提高我们的检测和响应能力。 Microsoft 定期模拟实际漏洞,进行持续安全监视,并实施安全事件管理,以验证和改进 Microsoft 365、Azure 和其他 Microsoft 云服务的安全性。

Microsoft 使用两个核心组执行假设漏洞安全策略:

  • Red Teams (攻击者)
  • 蓝队 (后卫)

Microsoft Azure 和 Microsoft 365 员工将全职 Red Teams 和 Blue Teams 分开。

称为“红队”的方法是,使用与真实攻击者相同的策略、技术和过程来测试 Azure 和 Microsoft 365 系统和操作,而无需工程或运营团队的预知。 这将测试 Microsoft 的安全检测和响应功能,并有助于以受控方式识别生产漏洞、配置错误、无效假设和其他安全问题。 每次红队违规后,两个团队之间都会进行全面披露,以识别差距、解决发现结果并改进违规响应。

注意

在 Red Teaming 或实时站点渗透测试期间,没有任何客户租户、数据或应用程序是故意针对的。 此测试针对 Microsoft 365、Azure 基础结构和平台,以及 Microsoft 自己的租户、应用程序和数据。

Red Teams

红队是 Microsoft 内部的一组全职员工,专注于破坏 Microsoft 的基础结构、平台以及 Microsoft 自己的租户和应用程序。 他们是一群道德黑客 (专用攻击者,) 对 Microsoft 基础结构、平台和应用程序 (Online Services 执行有针对性的持续攻击,而不是最终客户的应用程序或内容) 。

红队的作用是使用与对手相同的步骤攻击和渗透环境:

违规阶段。

在其他功能中,红色团队专门尝试突破租户隔离边界,以查找隔离设计中的 bug 或差距。

为了帮助扩展测试工作,红队创建了一个自动攻击模拟工具,该工具可定期在特定 Microsoft 365 环境中安全运行。 该工具具有各种预定义攻击,这些攻击会不断扩展和改进,以帮助反映不断变化的威胁形势。 除了扩大红队测试的覆盖范围外,它还可帮助蓝队验证和改进其安全监视逻辑。 定期的、持续的攻击模拟为蓝队提供了一致且多样化的信号流,这些信号流根据预期响应进行比较和验证。 这会导致 Microsoft 365 的安全监视逻辑和响应功能的改进。

Blue Teams

蓝色团队由一组专门的安全响应人员或来自安全事件响应、工程和运营组织的成员组成。 无论化妆如何,他们都是独立的,独立于红队运作。 蓝色团队遵循既定的安全流程,并使用最新的工具和技术来检测和响应攻击和渗透。 就像现实世界的攻击一样,蓝队不知道红队的攻击何时发生或如何发生,也不知道可以使用哪些方法。 他们的工作,无论是红队攻击还是实际攻击,都是检测和响应所有安全事件。 因此,蓝队持续待命,必须以与任何其他违规行为相同的方式对红队违规做出反应。

当对手(如红队)违反环境时,蓝队必须:

  • 收集对手留下的证据
  • 检测证据作为泄露的指示
  • () 向相应的工程和运营团队发出警报
  • 会审警报以确定它们是否需要进一步调查
  • 从环境中收集上下文以限定违规范围
  • 制定修正计划以遏制或驱逐对手
  • 执行修正计划并从违规中恢复

这些步骤构成了与攻击者并行运行的安全事件响应,如下所示:

违规响应阶段。

红队违规使蓝队能够端到端地检测和应对真实攻击。 最重要的是,它允许在出现真正的违规行为之前进行安全事件响应。 此外,由于红队的违规行为,蓝队增强了他们的形势意识,这在处理未来的违规行为时可能很有价值, (无论是来自红队还是来自其他对手的) 。 在整个检测和响应过程中,蓝队会生成可操作的情报,并了解他们试图防御的环境 () 的实际情况。 这通常通过数据分析和取证来实现,蓝队在响应红队攻击时执行,并通过建立威胁指标(如入侵指标)来完成。 与红队识别安全案例中的差距非常类似,蓝色团队识别其检测和响应能力的差距。 此外,由于红队的模型是真实的攻击,蓝队可以准确地评估他们应对坚定和顽强的对手的能力。 最后,红队违规行为衡量我们违规响应的准备情况和影响。