威胁和漏洞管理概述
Microsoft联机服务如何进行漏洞管理?
无论系统设计得如何,其安全状况都会随时间推移而下降。 计算机可能未打补丁,可能无意引入配置更改,安全代码回归可能会累积。 所有这些问题都可能使系统的安全性低于最初部署的时间。 Microsoft 构建了自动化来持续评估系统是否存在这种降级,使能够立即采取行动来更正安全状况中的问题。
Microsoft联机服务使用计算机状态扫描来确保构成基础结构的计算机具有最新修补程序,并且其基本配置与相关框架正确一致。 计算机状态扫描使用修补、反恶意软件、漏洞扫描和配置扫描。 Microsoft联机服务通过在部署期间在每个资产上安装自定义安全代理来应用有效的扫描。 此安全代理支持计算机状态扫描,并向我们的服务团队报告结果。
Microsoft联机服务如何确保服务基础结构与最新的安全修补程序保持最新?
修补程序管理可确保Microsoft联机服务系统在发布后跨适用系统进行一致更新,从而缓解漏洞。 Microsoft根据风险确定新安全修补程序和其他安全更新的优先级。 Microsoft联机服务安全团队会分析可用的安全修补程序,以确定它们在生产环境中的风险级别。 分析包括基于常见漏洞评分系统 (CVSS) 的严重性分数,以及其他风险因素。
Microsoft服务团队查看安全团队的分析,并在适当的修正时间内使用适用的修补程序更新其服务组件和基线映像。 安全修补程序受变更管理流程约束,以确保在部署到生产环境之前进行充分的测试,并获得管理批准。 如果安全修补程序出现意外问题,安全修补程序会分阶段部署,以启用回滚。
服务团队使用漏洞扫描结果,以验证适用系统组件上的安全修补程序部署。 任何过期的漏洞每天报告一次,并由管理层每月审查一次,以衡量整个环境中的修补程序覆盖范围的广度和深度,并追究自己及时修补的责任。
Microsoft如何进行漏洞和配置扫描?
Microsoft的安全代理在资产部署期间安装,可实现完全自动化的漏洞和配置扫描。 安全代理使用行业标准工具来检测已知漏洞和安全错误配置。 每天安排生产资产,使用最新的漏洞签名进行自动扫描。 这些扫描的结果收集在安全的中央存储服务中,自动报告使结果可供服务团队使用。
服务团队使用用于报告聚合扫描结果的仪表板查看扫描结果,以提供全面的报告和趋势分析。 在这些报告中跟踪扫描中检测到的漏洞,直到它们得到修正。 当漏洞扫描指示环境中缺少修补程序、安全配置错误或其他漏洞时,服务团队会使用这些报告以受影响的组件为目标进行修正。 根据通过扫描发现的漏洞的 CVSS 分数和其他相关风险因素,优先进行修正。
Microsoft如何防范恶意软件?
Microsoft使用全面的反恶意软件来保护Microsoft联机服务免受病毒和其他恶意软件的侵害。 Microsoft联机服务使用的基线操作系统映像包括此软件,可最大程度地覆盖整个环境。
Microsoft联机服务中的每个终结点至少每周执行一次完整的反恶意软件扫描。 下载、打开或执行文件时,将对所有文件执行其他实时扫描。 这些扫描使用已知的恶意软件签名,检测恶意软件并防止恶意软件执行。 Microsoft的反恶意软件配置为每天下载最新的恶意软件签名,以确保使用最新信息进行扫描。 除了基于签名的扫描之外,Microsoft反恶意软件还使用基于模式的识别来检测和防止可疑或异常的程序行为。
当我们的反恶意软件产品检测到病毒或其他恶意软件时,它们会自动为Microsoft安全响应团队生成警报。 在许多情况下,反恶意软件在无需人工干预的情况下,可以防止实时执行病毒和其他恶意软件。 如果无法进行这种防护,Microsoft安全响应团队使用安全事件响应过程解决恶意软件事件。
Microsoft如何检测新的或未报告的漏洞?
Microsoft通过复杂的机器学习补充自动扫描,以帮助检测可能指示存在未知漏洞的可疑活动。 内部Microsoft团队和独立审核员的定期渗透测试提供了一种额外的机制,用于在漏洞被实际攻击者利用之前发现和修正漏洞。 Microsoft使用Microsoft道德黑客的“红队”进行内部渗透测试。 客户系统和数据从来不是渗透测试的目标,但从渗透测试中吸取的经验教训有助于Microsoft验证其安全控制措施并抵御新型攻击。 Microsoft还使用 bug 奖励计划来激励披露新漏洞,从而尽快缓解这些漏洞。
相关的外部法规 & 认证
Microsoft的在线服务定期接受外部法规和认证的合规性审核。 有关与威胁和漏洞管理相关的控制措施的验证,请参阅下表。
Azure 和 Dynamics 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
| ISO 27001 适用性声明 证书 |
A.12.6.1:管理技术漏洞 | 2024 年 4 月 8 日 |
| ISO 27017 适用性声明 证书 |
A.12.6.1:管理技术漏洞 | 2024 年 4 月 8 日 |
| ISO 27018 适用性声明 证书 |
A.12.6.1:管理技术漏洞 | 2024 年 4 月 8 日 |
| SOC 1 SOC 2 SOC 3 |
VM-3:反恶意软件监视 VM-5:修补 VM-6:漏洞扫描 |
2024 年 5 月 20 日 |
Microsoft 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
| FedRAMP (Office 365) | CA-7:持续监视 CA-8:渗透测试 RA-3:风险评估 RA-5:漏洞扫描 SI-2:缺陷修正 SI-5:安全警报、公告和指令 |
2023 年 7 月 31 日 |
| ISO 27001/27017 适用性声明 认证 (27001) 认证 (27017) |
A.12.6.1:管理技术漏洞 | 2024 年 3 月 |
| SOC 1 | CA-27:漏洞扫描 | 2024 年 1 月 23 日 |
| SOC 2 | CA-24:内部风险评估 CA-27:漏洞扫描 |
2024 年 1 月 23 日 |
资源
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈