Microsoft 365 中的攻击模拟

  • 项目

Microsoft 持续监视和显式测试租户边界中的弱点和漏洞,包括监视入侵、权限冲突尝试和资源缺乏。 我们还使用多个内部系统持续监视资源利用率不当的情况,如果检测到,会触发内置限制。

Microsoft 365 具有内部监视系统,可持续监视任何故障,并在检测到故障时推动自动恢复。 Microsoft 365 系统分析服务行为中的偏差,并启动内置于系统中的自我修复过程。 Microsoft 365 还使用外部监视,从受信任的第三方服务 (的多个位置执行监视,以便进行独立的 SLA 验证) 和我们自己的数据中心发出警报。 对于诊断,我们进行了广泛的日志记录、审核和跟踪。 精细跟踪和监视可帮助我们隔离问题并执行快速有效的根本原因分析。

虽然 Microsoft 365 尽可能自动执行恢复操作,但 Microsoft 随叫工程师可以使用 24x7 来调查所有严重性 1 安全升级,而对每个服务事件的事后审查有助于持续学习和改进。 此团队包括支持工程师、产品开发人员、项目经理、产品经理和高级领导。 我们的随叫随到的专业人员提供及时的备份,并且通常可以自动执行恢复操作,以便下次事件发生时,可以自我治愈。

每次发生 Microsoft 365 安全事件时,无论影响大小如何,Microsoft 都会执行彻底的事后审查。 事后审查包括对所发生情况、我们的反应方式以及我们今后如何防止类似事件的分析。 为了提高透明度和问责制,我们与受影响的客户共享任何重大服务事件的事后审查。 有关具体详细信息,请参阅 Microsoft 安全事件管理

假定违规方法

根据对安全趋势的详细分析,Microsoft 提倡并强调需要对反应性安全流程和技术进行其他投资,这些投资侧重于检测和应对新出现的威胁,而不是仅仅预防这些威胁。 由于威胁环境的变化和深入分析,Microsoft 优化了其安全策略,而不仅仅是防止安全漏洞,更有能力在发生违规时处理违规:将重大安全事件视为“是否”,而是“何时”的策略。

虽然 Microsoft 假 定违规 做法已经实施多年,但许多客户并不知道在幕后为强化 Microsoft 云所做的工作。 假定违规是一种指导安全投资、设计决策和操作安全做法的思维模式。 假定泄露通过将应用程序、服务、标识和网络中的信任视为不安全且已遭到入侵,从而限制了对应用程序、服务、标识和网络的信任。 尽管假定违规策略并非由任何 Microsoft 企业或云服务的实际违规所承担,但人们认识到,尽管所有阻止操作都试图阻止,但整个行业的许多组织都遭到违反。 虽然防止违规是任何组织运营的关键部分,但必须持续测试和增强这些做法,以有效应对现代对手和高级持续威胁。 任何组织若要为违规做好准备,必须首先构建并维护可靠、可重复且经过全面测试的安全响应过程。

虽然在 安全开发生命周期中,防止泄露安全过程(如威胁建模、代码评审和安全测试)非常有用,但假定漏洞提供了许多优势,通过在发生泄露时行使和测量反应能力来考虑整体安全性。

在 Microsoft,我们着手通过正在进行的战争游戏演习和针对安全响应计划的实时站点渗透测试来实现此目的,目的是提高检测和响应能力。 Microsoft 定期模拟实际漏洞,进行持续的安全监视,并实施安全事件管理,以验证和提高 Microsoft 365、Azure 和其他 Microsoft 云服务的安全性。

Microsoft 使用两个核心组执行其假定违规安全策略:

  • 红色 Teams (攻击者)
  • 蓝队 (后卫)

Microsoft Azure 和 Microsoft 365 员工将全职 Red Teams 和 Blue Teams 分开。

被称为“红色组合”,方法是测试 Azure 和 Microsoft 365 系统和操作使用相同的战术,技术和过程作为真正的对手,对实时生产基础结构,没有工程或运营团队的先知。 这会测试 Microsoft 的安全检测和响应功能,并帮助以受控方式识别生产漏洞、配置错误、无效假设和其他安全问题。 每一次红队违规后,两个团队之间都会进行全面披露,以查明差距、解决调查结果并改进违规响应。

注意:在 Red Teaming 或实时站点渗透测试期间,不会故意针对任何客户数据。 此测试针对 Microsoft 365、Azure 基础结构和平台,以及 Microsoft 自己的租户、应用程序和数据。 在 Microsoft 365 或 Azure 中托管的客户租户、应用程序和内容永远不会成为目标。

红色 Teams

Red Team 是 Microsoft 内部的一组全职员工,专注于破坏 Microsoft 的基础结构、平台以及 Microsoft 自己的租户和应用程序。 他们是 (一群道德黑客的专用攻击者,) 对 Microsoft 基础结构、平台和应用程序 (联机服务进行有针对性和持久的攻击,但不针对最终客户的应用程序或内容) 。

红队的作用是使用与对手相同的步骤攻击和穿透环境:

违规阶段。

在其他函数中,红色团队特别尝试违反租户隔离边界,以查找隔离设计中的 bug 或漏洞。

为了帮助缩放攻击模拟工作,红色团队创建了一个自动攻击模拟工具,可在特定的 Microsoft 365 环境中定期安全运行。 该工具具有各种预定义攻击,这些攻击不断扩展和改进,以帮助反映不断变化的威胁环境。 除了扩大红队测试的覆盖面外,它还有助于蓝队验证和改进其安全监视逻辑。 定期的持续攻击模拟为蓝队提供了一致且多样化的信号流,这些信号流根据预期的响应进行比较和验证。 这有助于改进 Microsoft 365 的安全监视逻辑和响应功能。

蓝色 Teams

蓝团队由一组专门的安全响应者或来自安全事件响应、工程和运营组织的成员组成。 无论他们的化妆如何,他们都是独立的,与红队分开运作。 蓝团队遵循既定的安全流程,并使用最新的工具和技术来检测和响应攻击和渗透。 和真实攻击一样,蓝队不知道红队攻击的时间或方式,也不知道红队会使用哪些方法。 无论是红队攻击还是实际攻击,蓝队的职责都是检测并响应所有安全事件。 因此,蓝队不断待命,必须像对任何其他违规事件一样对红队违规做出反应。

当对手(如红队)破坏环境时,蓝队必须:

  • 收集对手留下的证据
  • 检测证据作为妥协的迹象
  • 提醒适当的工程和操作团队 ()
  • 对警报进行会审以确定它们是否值得进一步调查
  • 从环境中收集上下文以限制违规范围
  • 形成修正计划,以包含或逐出攻击者
  • 执行修正计划并从违规中恢复

这些步骤构成与攻击者并行运行的安全事件响应,如下所示:

违规响应阶段。

红队违规让蓝队能够端到端地检测和应对真实攻击。 最重要的是,它允许在发生真正的违规之前执行安全事件响应。 此外,由于红队违规,蓝队提高了他们的情境意识,这在处理未来的违规 (,无论是从红队还是另一个对手) 时都是有价值的。 在整个检测和响应过程中,蓝色团队生成可操作的智能,并 (试图防御的环境) 的实际情况中获得可见性。 通常,这是通过数据分析和取证来实现的,这些分析和取证由蓝队执行,在响应红队攻击时,通过建立威胁指示器(如妥协指标)来实现。 就像红队如何识别安全方面的差距一样,蓝色团队识别出他们检测和响应能力方面的差距。 此外,由于红队模拟了真实的进攻,因此可以准确评估蓝队处理坚定和持久对手的能力或能力。 最后,红队违规事件可以衡量我们违规响应的准备情况和影响。