組織的安全性狀態不是透過一次性工作來達成,它需要一致的評估和維護。 部署時被視為安全的系統很快就會被視為不安全,因為在不斷演進的威脅環境中,新發現弱點。 因此,系統和基準應該透過整個企業強制執行的標準化程式持續評估和更新。 Microsoft 365 會定期掃描其所有系統和適用的網路裝置是否有已知弱點,並在與其嚴重性直接相關的時間範圍內集中追蹤其補救。
掃描工具和方法
Microsoft 365 使用第三方掃描工具,利用三種不同的技術來確保其資產的完整涵蓋範圍:主機型、網路型和容器映像設定掃描。
對於能夠執行主機代理程式的所有伺服器和網路可存取裝置,第一方代理程式會用來擷取主機層級快照集,該快照集會上傳至中央位置以進行評量。 此代理程式會以整體方式部署為 Microsoft 365 服務上線程式的一部分,並每日計算驗證率,以確保資產掃描涵蓋範圍的驗證率目標為 95%。 包含元數據的主機快照集會建立並儲存在沙箱環境中,以評估其弱點。 藉由在沙盒環境中執行掃描,而不是在主計算機上執行掃描,我們可降低攻擊者可能執行供應鏈攻擊的風險。
網路掃描工具會擷取無法執行本機代理程序的資產,例如網路裝置和裸機伺服器的小型子集。
最後,容器映像設定會列在中央登錄中,並掃描是否有任何弱點。 如果進行任何變更,新的映像會部署到所有作用中的實例。
掃描會使用來自業界來源的最新弱點資訊,例如 Microsoft 資訊安全回應中心 (MSRC) 、 NIST 國家弱點資料庫,以及 MITRE 常見弱點和洩漏資料庫,來評估遺失修補程式、設定問題和應用程式弱點的資產。
主機型掃描會每天執行,每周執行網路掃描,且每個掃描都設定為搜尋簽章資料庫中的所有已知弱點。 掃描程式包含檢查,以確保簽章更新已發生,並將結果傳送至 Azure 數據總管以進行集中記憶體。 掃描結果會從該處匯總、排定分級的優先順序,並透過內部開發的儀錶板報告。
報告
Microsoft 365 安全性會使用自動化報告來比較一段時間的掃描結果,在找到時顯示新的弱點。 這些報告會每天更新,並可透過 TVR) 儀錶板 (威脅與弱點報告,提供給授權的人員使用。 TVR 儀錶板是追蹤和報告所有 Microsoft 365 弱點數據的真實來源。
儀錶板會顯示:
- 即時弱點計量,包括主機計數。
- 服務小組的建議解決方案
- 掃描品質和符合補救需求的計量
- 所有作用中弱點的清單。
補救
擁有具有偵測之資產的服務小組會負責補救已識別的弱點。 他們可以視需要追蹤補救,但在透過清除掃描反映在 TVR 儀錶板中之前,不會將弱點視為已解決。
弱點補救會有所不同,可能包括對基底映像組態進行更新、套用修補程式,以及移除有問題的元件等動作。 必須分別在 30、90 和 180 天內針對高、中和低弱點完成補救。
如果弱點為誤判,Microsoft 365 工程團隊也可以針對弱點提出例外狀況、如果 Microsoft 已降低弱點嚴重性的控制措施,或是尚未釋出解決問題的修補程式。 Microsoft 365 TVR 例外狀況檢閱委員會接著會檢閱這些要求,並根據安全性和合規性需求來核准或拒絕這些要求。 如果遭到拒絕,服務小組會繼續進行補救程式。 如果已接受,則會處理例外狀況,以便在未來掃描期間不會為該系統標幟例外狀況。
資產涵蓋範圍
為了確保 Microsoft 365 中所有系統的補救,TVR 會將其結果與所有實體和虛擬資產的完整清查進行比較。
虛擬資產清單會在內部 Azure 工具中維護,當建立和部署新資產時會自動更新。 實體資產是由擁有實體資產的個別服務小組維護。
TVR 會使用自動化腳本和查詢,將清查數據集中至 TVR 工具,並進行每月檢閱,以確保腳本能繼續擷取完整且精確的清單。 這可讓 TVR 小組追蹤修補涵蓋範圍,並確保弱點補救是完整的。