威脅與弱點管理概觀
Microsoft在線服務如何進行弱點管理?
無論系統設計有多好,其安全性狀態都會隨著時間降低。 電腦可能會未進行修補、可能意外導入設定變更,且可能會累積安全性程式碼迴歸。 所有這些問題都可能會使系統比最初部署時更安全。 Microsoft 已建置自動化功能,以持續評估我們的系統是否發生這類降級,讓我們能夠立即採取行動,以修正安全性態勢中的問題。
Microsoft在線服務會使用機器狀態掃描來確保組成基礎結構的機器是最新的修補程式,而且其基本設定正確地與相關的架構一致。 機器狀態掃描會使用修補、反惡意代碼、弱點掃描和設定掃描。 Microsoft在線服務會在部署期間於每個資產上安裝自定義安全性代理程式,以套用有效的掃描。 此安全性代理程式可啟用機器狀態掃描,並將結果報告給我們的服務小組。
Microsoft在線服務如何確保服務基礎結構具有最新的安全性修補程式?
修補程式管理可藉由確保Microsoft在線服務系統在發行時在適用的系統之間一致地更新,來減輕弱點。 Microsoft會根據風險排定新安全性修補程式和其他安全性更新的優先順序。 Microsoft在線服務安全性小組會分析可用的安全性修補程式,以判斷其在生產環境中的風險層級。 其分析會包含根據常見的弱點評分系統 (CVSS) 的嚴重性分數,以及其他風險因素。
Microsoft服務小組會檢閱安全性小組的分析,並在適當的補救時間範圍內,使用適用的修補程式更新其服務元件和基準映像。 安全性修補程式受到變更管理程序的限制,以確保在部署到生產環境之前,經過適當的測試和管理核准。 安全性修補程式的部署會階段性進行,以在安全性修補程式造成未預期的問題時啟用復原。
服務小組會使用弱點掃描結果以驗證安全性修補程式部署是位於適當的系統元件上。 系統會每日報告任何逾期的弱點,並由管理每月進行檢閱,以測量整個環境修補程式涵蓋範圍的廣度和深度,並讓自己負責及時修補。
Microsoft如何進行弱點和設定掃描?
Microsoft的安全性代理程式會在資產部署期間安裝,並啟用完全自動化的弱點和設定掃描。 安全性代理程式會使用業界標準工具,來偵測已知弱點和安全性設定錯誤。 對於生產資產,會排程使用最新的弱點特徵進行每日自動掃描。 這些掃描的結果會收集在安全的集中式儲存服務中,且自動化報告會將結果提供給服務小組。
服務小組會使用儀表板來檢閱掃描結果,而儀表板可報告彙總掃描結果,以提供完整的報告和趨勢分析。 在這些報告中會追蹤掃描中偵測到的弱點,直到補救為止。 當弱點掃描指出環境中有遺漏的修補程式、安全性設定錯誤或其他弱點時,服務小組會使用這些報表對受影響的元件進行補救。 透過掃描探索到的弱點會根據其 CVSS 分數和其他相關風險因素,優先進行補救。
Microsoft如何防禦惡意代碼?
Microsoft使用完整的反惡意代碼軟體來保護Microsoft在線服務免於遭受病毒和其他惡意代碼的攻擊。 Microsoft在線服務所使用的基準操作系統映像包含此軟體,可將整個環境的涵蓋範圍最大化。
Microsoft在線服務中的每個端點至少每周都會執行完整的反惡意代碼掃描。 在下載、開啟或執行所有檔案時,會對所有檔案執行其他實時掃描。 這些掃描會使用已知的惡意程式碼簽章以偵測惡意程式碼並防止惡意程式碼執行。 Microsoft的反惡意代碼軟體設定為每天下載最新的惡意代碼簽章,以確保掃描會以最新的信息進行。 除了以簽章為基礎的掃描之外,Microsoft反惡意代碼軟體也會使用模式型辨識來偵測並防止可疑或異常的程序行為。
當我們的反惡意代碼產品偵測到病毒或其他惡意代碼時,它們會自動為Microsoft安全性回應小組產生警示。 在許多情況下,我們的反惡意程式碼軟體可以防止病毒和其他惡意程式碼即時執行,而不需要人為干預。 如果無法進行此防護,Microsoft安全性回應小組會使用安全性事件回應程式來解決惡意代碼事件。
Microsoft如何偵測新的或未回報的弱點?
Microsoft使用複雜的機器學習來補充自動化掃描,以協助偵測可能表示存在未知弱點的可疑活動。 內部Microsoft小組和獨立稽核員的一般滲透測試會提供額外的機制來探索和補救弱點,然後才能被真實世界的攻擊者利用。 Microsoft使用Microsoft道德駭客的“Red Teams” 進行內部滲透測試。 客戶系統和數據絕不會是滲透測試的目標,但從滲透測試中學習到的課程可協助Microsoft驗證其安全性控制,並防範新類型的攻擊。 Microsoft也會使用 Bug 賞金程式來協助揭露新的弱點,以便儘快減輕這些弱點。
相關外部法規 & 認證
Microsoft的在線服務會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與威脅和弱點管理相關的控件。
Azure 和 Dynamics 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| ISO 27001 適用性聲明 認證 |
A.12.6.1:管理技術弱點 | 2024年4月8日 |
| ISO 27017 適用性聲明 認證 |
A.12.6.1:管理技術弱點 | 2024年4月8日 |
| ISO 27018 適用性聲明 認證 |
A.12.6.1:管理技術弱點 | 2024年4月8日 |
| SOC 1 SOC 2 SOC 3 |
VM-3:反惡意代碼監視 VM-5:修補 VM-6:弱點掃描 |
2024 年 5 月 20 日 |
Microsoft 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| FedRAMP (Office 365) | CA-7:持續監視 CA-8:滲透測試 RA-3:風險評估 RA-5:弱點掃描 SI-2:瑕疵修復 SI-5:安全性警示、建議和指示詞 |
2023年7月31日 |
| ISO 27001/27017 適用性聲明 認證 (27001) 認證 (27017) |
A.12.6.1:管理技術弱點 | 2024 年 3 月 |
| SOC 1 | CA-27:弱點掃描 | 2024年1月23日 |
| SOC 2 | CA-24:內部風險評估 CA-27:弱點掃描 |
2024年1月23日 |
資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應