Microsoft 365 認證 - 範例辨識項指南
概觀
本指南的建立是為了為ISV提供每個 Microsoft 365 認證控件所需的辨識項類型和詳細層級範例。 本文件中共用的任何範例都不代表唯一可用來示範符合控件的辨識項,而只是做為所需辨識項類型的指導方針。
注意:用來滿足需求的實際介面、螢幕快照和文件會根據產品使用量、系統設定和內部程式而有所不同。 此外,請注意,需要原則或程序檔時,ISV 必須傳送 ACTUAL 檔,而不是螢幕快照,如某些範例所示。
認證中有兩個區段需要提交:
- 初始檔提交: 設定評量範圍所需的一小組高階檔。
- 辨識項提交: 認證評定範圍內每個控件所需的完整辨識項集合。
提示
試用 適用於 Microsoft 365 的應用程式合規性自動化工具 (ACAT) ,藉由自動化辨識項收集和控制驗證來達成加速路徑,以達成 Microsoft 365 認證。 深入瞭解 哪些控制項已由 ACAT 完全自動化。
結構
本檔會直接對應至您將在合作夥伴中心認證期間呈現的控件。 本檔中提供的指引詳述如下:
- 安全性網域:所有控件分組的三個安全性網域:應用程式安全性、作業安全性和數據安全性和隱私權。
- 控制 (的) : = 評定活動描述 - 這些控件 () 和相關聯的數位 (No.) 直接取自 Microsoft 365 認證檢查清單。
- 意圖:= 為何安全性控件包含在程式中的意圖,以及其旨在降低的特定風險。 希望這項資訊能為ISV提供控件背後的理由,以進一步瞭解需要收集的辨識項類型,以及ISV在產生辨識項時必須注意及了解的事項。
- 範例辨識項指導方針: = 為了協助引導 Microsoft 365 認證檢查列表電子表格上的辨識項集合工作,這可讓 ISV 清楚查看憑證分析人員可以使用的辨識項類型範例,而這些辨識項類型將使用它來確定控件已就緒並加以維護 ,這並不代表本質上的詳盡。
- 辨識項範例:= 本節提供針對 Microsoft 365 認證檢查列表電子表格內每個控件擷取之潛在辨識項的範例螢幕快照和影像,特別是針對電子錶格) 內的操作安全性和數據安全性與隱私權安全性網域 (索引卷標。 請注意,範例中含有紅色箭號和方塊的任何資訊,都可協助您進一步瞭解符合任何控制所需的需求。
安全性網域:應用程式安全性
控制元件 1 - 控制件 16:
應用程式安全性網域控制項可以滿足過去 12 個月內發出的滲透測試報告,其中顯示您的應用程式沒有未處理的弱點。 唯一需要的提交是由信譽良好的獨立公司所提供的全新報告。
安全性網域:作業安全性/安全開發
「作業安全性/安全開發」安全性網域的設計目的是要確保ISV針對活動群組所面臨的各種威脅,實作一組強大的安全性風險降低技術。 這是設計來保護作業環境和軟體開發程式,以建置安全的環境。
惡意代碼防護 - 防病毒軟體
控件 #1:提供控管防病毒軟體做法和程序的原則檔。
- 意圖:此控件的目的是要評估ISV在考慮來自計算機病毒的威脅時所遇到的問題。 ISV 藉由建立和使用業界最佳做法來開發防病毒軟體原則和程式,提供專為其組織降低惡意代碼所面臨風險的能力量身打造的資源,列出病毒偵測和消除的最佳做法,並證明記載的原則為組織及其員工提供建議的安全性指引。 藉由記錄ISV如何部署反惡意代碼宣告的原則和程式,這可確保這項技術的一致推出和維護,以降低惡意代碼對環境的風險。
- 範例辨識項指導方針:提供防病毒軟體/反惡意代碼原則的複本,其中詳細說明基礎結構內實作的程序和程式,以推廣防病毒軟體/惡意代碼最佳做法。 範例辨識項
- 範例辨識項:
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
控件 #2:提供可辨識的辨識,證明防病毒軟體正在所有取樣的系統元件上執行。
- 意圖:請務必讓防病毒軟體 (防病毒軟體) (或反惡意代碼防護) 在您的環境中執行,以防範網路安全性風險,因為可能造成損害的攻擊在複雜度和數目方面都會增加。 將AV部署到支援其使用的所有系統元件,有助於降低將反惡意代碼引入環境中的一些風險。 只有單一端點未受保護,才可能提供攻擊向量,讓活動群組取得環境的據點。 因此,AV 應該作為數個防禦層的其中一個,以防範這種類型的威脅。
- 範例辨識項指導方針:證明AV的作用中實例正在評估的環境中執行。 針對範例中支援使用防病毒軟體的 每個裝置 提供螢幕快照,其中顯示防病毒程式正在執行、防病毒軟體為作用中,或如果您有用於防病毒軟體的集中式管理控制台,您或許可以從該管理控制台示範它。 如果使用管理主控台,請務必在螢幕快照中證明取樣的裝置已連線並正常運作。
- 辨識項範例 1:下列螢幕快照取自 Azure 資訊安全中心;其中顯示已在名為 “MSPGPRODAZUR01” 的 VM 上部署反惡意代碼擴充功能。
- 辨識項範例 2
下列螢幕快照取自 Windows 10 裝置,顯示主機名 「CLARANET-SBU-WM」 已開啟「即時保護」。
控件 #3:提供可辨識的辨識項,證明所有環境中的防病毒軟體簽章在) 1 天內 (為最新狀態。
- 意圖:每天會識別數以十萬計的新惡意代碼和潛在的垃圾應用程式 (PUA) 。 若要針對新發行的惡意代碼提供適當的保護,必須定期更新防病毒軟體簽章,以考慮新發行的惡意代碼。
- 此控件的存在可確保ISV已考慮環境的安全性,以及過期的AV對安全性的影響。
- 範例辨識項指導方針:提供來自每個取樣裝置的防病毒記錄檔,顯示每天套用更新。
- 範例辨識項:下列螢幕快照顯示 Microsoft Defender 顯示更新的 「事件 2000,Windows Defender」,至少每日更新一次。 顯示主機名,顯示這是取自範圍內系統 「CLARANET-SBU-WM」。。
![顯示 [事件 2000, Windows Defender] 的螢幕快照,顯示至少每天更新 Microsoft Defender](../media/userguidephotos/control-no-3.png)
注意: 提供的辨識項必須包含記錄的導出,以顯示在較長時間內的每日更新。 某些防病毒軟體產品會產生更新記錄檔,因此應該提供這些檔案,或從 事件檢視器 匯出記錄檔。
控件 #4:提供可辨識的辨識項,證明防病毒軟體已設定為在所有取樣的系統元件上執行存取掃描或定期掃描。
注意: 如果未啟用存取掃描,則至少會啟用每日掃描和alerting_ 必須 _be啟用。
- 意圖:此控件的目的是要確保快速識別惡意代碼,以將這可能對環境的影響降到最低。 在進行存取掃描並結合自動封鎖惡意代碼的情況下,這有助於停止防病毒軟體已知的惡意代碼感染。 因為誤判造成服務中斷的風險而不需要存取掃描,適合每日 (或更多) 掃描和警示機制需要實作,以確保及時響應惡意代碼感染,以將損害降到最低。
- 範例辨識項指導方針:為支援防病毒軟體的範例中 的每部裝置 提供螢幕快照,其中顯示防病毒軟體正在裝置上執行,並已設定為存取 (實時掃描) 掃描, 或 提供螢幕快照,顯示已啟用每日掃描的定期掃描、已設定警示,以及範例中 每個裝置 的最後一個掃描日期。
- 範例辨識項:下列螢幕快照顯示主機 「CLARANET-SBU-WM」 已啟用即時保護。
控件 #5:提供可辨識的辨識項,證明防病毒軟體已設定為自動封鎖惡意代碼或隔離,並在所有取樣的系統元件上發出警示。
意圖:惡意代碼的複雜性會隨著其所能帶來的不同程度而不斷演進。 此控件的目的是要停止惡意代碼執行,因而阻止其執行其可能的承載,或是如果自動封鎖不是選項,限制惡意代碼可能破壞的時間量,方法是發出警示並立即回應潛在的惡意代碼感染。
範例辨識項指導方針:為範例中支援防病毒軟體 的每個裝置 提供螢幕快照,其中顯示防病毒軟體正在計算機上執行,且已設定為自動封鎖惡意代碼、警示或隔離和警示。
範例辨識項 1:下列螢幕快照顯示主機 「CLARANET-SBU-WM」 已針對 Microsoft Defender 防病毒軟體設定即時保護。 如設定所示,這會找出並阻止惡意代碼在裝置上安裝或執行。
控件 #6:提供可辨識的辨識項,證明應用程式會在部署之前獲得核准。
意圖:透過應用程控,組織會核准允許在操作系統上執行的每個應用程式/程式。 此控制項的目的是要確保核准程式已就緒,以授權哪些應用程式/進程可以執行。
範例辨識項指導方針:可以提供辨識項,顯示正在遵循核准程式。 這可以提供已簽署的檔、在變更控制系統內追蹤,或使用 Azure DevOps 或 JIRA 之類的專案來追蹤這些要求和授權。
範例辨識項:下列螢幕快照示範管理的核准,每個允許在環境中執行的應用程式都會遵循核准程式。 這是 Contoso 的紙張型程式,但可以使用其他機制。
控件 #7:提供可辨識的辨識項,證明具有商業理由的已核准應用程式完整清單存在並受到維護。
意圖:組織必須維護所有已核准應用程式的清單,以及應用程式/程式核准原因的相關信息。 這有助於確保設定保持最新狀態,並可根據基準進行檢閱,以確保未設定未經授權的應用程式/進程。
範例辨識項指導方針:提供已核准應用程式/程式的檔案清單以及業務理由。
範例辨識項:下列螢幕快照列出具有業務理由的已核准應用程式。
注意: 此螢幕快照顯示檔,預期ISV會共用實際的支援檔,而不是提供螢幕快照。
控件 #8:提供支援檔,詳細說明應用程控軟體已設定為符合特定應用程控機制。
意圖:應用程控技術的設定應該與如何維護技術的程式一起記錄,也就是新增和刪除應用程式/進程。 在本檔中,應該針對每個應用程式/進程詳細說明所使用的機制類型。 這會饋送至下一個控件,以確保技術已設定為已記載。
範例辨識項指導方針:提供支援檔,詳細說明如何設定應用程控,以及如何在技術內設定每個應用程式/程式。
範例辨識項:下列螢幕快照列出用來實作應用程控的控件機制。 您可以在下面看到 1 個應用程式正在使用憑證控制項,而其他應用程式則使用檔案路徑。
注意: 此螢幕快照顯示檔,預期ISV會共用實際的支援檔,而不是提供螢幕快照。
控件 #9:提供可辨識的辨識項,證明應用程控已設定為所有取樣系統元件所記載。
意圖:其目的是要根據文件驗證應用程式控制項是否已在範例中設定。
範例辨識項指導方針:提供範例中 每個裝置 的螢幕快照,以顯示其已設定和啟用應用程式控制件。 這應該會顯示計算機名稱、其所屬的群組,以及套用至這些群組和機器的應用程控原則。
辨識項範例:下列螢幕快照顯示已啟用軟體限制原則的 群組原則 物件。
下一個螢幕快照顯示與上述控件一起的組態。
下一個螢幕快照顯示 Microsoft 365 環境和套用至此 GPO 物件「網域電腦設定」之範圍內的電腦。
最後一個螢幕快照顯示在上方螢幕快照內 OU 內的範圍內伺服器 「DBServer1」。。
修補程式管理 – 風險排名
安全性弱點的快速識別和補救有助於將危害環境或應用程式的活動群組風險降到最低。 修補程式管理分成兩個區段:風險排名和修補。 這三個控件涵蓋安全性弱點的識別,並根據它們所造成的風險來排名它們。
此安全性控制群組位於平臺即服務 (PaaS) 裝載環境的範圍內,因為必須根據風險排名修補應用程式/載入宏第三方軟體連結庫和程式代碼基底。
控制 #10:提供原則檔,控管如何識別新的安全性弱點並指派風險分數。
- 意圖:此控件的目的是要有支持檔,以確保快速識別安全性弱點,以減少活動群組利用這些弱點的機會範圍。 必須有健全的機制,才能識別涵蓋組織使用中所有系統元件的弱點;例如,操作系統 (Windows Server、Ubuntu 等 ) 、 (Tomcat、MS Exchange、SolarWinds 等的應用程式、) 、程式代碼相依性 (AngularJS、jQuery 等 ) 。 組織不僅需要確保及時識別資產內的弱點,也必須據以排名任何弱點,以確保根據弱點所帶來的風險,在適當的時間範圍內執行補救。
注意 即使您是在單純的平臺即服務環境中執行,您仍然必須負責識別程式代碼基底內的弱點:也就是第三方連結庫。
範例辨識項指導方針:提供支援檔 (不是螢幕快照)
範例辨識項:此螢幕快照顯示風險排名原則的代碼段。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不提供screenshot._
控件 #11:提供如何識別新安全性弱點的辨識項。
意圖:此控件的目的是要確保程式已遵循,而且其健全性足以識別整個環境的新安全性弱點。 這可能不只是操作系統;其中可能包含在環境中執行的應用程式,以及任何程式代碼相依性。
範例辨識項指導方針:提供辨識項的方法可能是顯示郵件清單的訂用帳戶、手動檢閱新發行弱點的安全性來源, (需要使用活動的時間戳適當追蹤,也就是使用 JIRA 或 Azure DevOps) ,尋找過期軟體 (的工具,例如在尋找過期的軟體連結庫時,可能是 Snyk, 或可能是使用可識別過期 software.) 之已驗證掃描的 Nessus。
注意 如果使用 Nessus,則必須定期執行,以快速識別弱點。 建議您至少每周使用一次。
- 範例辨識項:此螢幕快照示範正在使用郵件群組來收到安全性弱點的通知。
控件 #12:提供辨識項,證明一旦識別出所有弱點,都會指派風險排名。
意圖:修補作業必須以風險為基礎、弱點的風險也一樣高,需要更快速地補救。 已識別弱點的風險排名是此程式不可或缺的一部分。 此控件的目的是要確保有已記載的風險排名程式,並遵循此程式,以確保根據風險適當地排名所有已識別的弱點。 組織通常會利用 CVSS (一般弱點評分系統) 廠商或安全性研究人員所提供的評等。 如果組織依賴 CVSS,建議在程式中包含重新排名機制,以允許組織根據內部風險評估來變更排名。 有時候,弱點可能不是應用程式,因為應用程式在環境中的部署方式。 例如,可能會釋放 Java 弱點,這會影響組織未使用的特定連結庫。
範例辨識項指導方針:以螢幕快照或其他方式提供辨識項,例如 DevOps/Jira,其示範弱點正在經歷風險排名程式,並由組織指派適當的風險排名。
範例辨識項:此螢幕快照顯示如果組織執行風險評估並判斷風險可以降級,就會在數據行 D 中發生風險排名,並在 F 和 G 數據行中重新排名。 需要提供重新排名風險評估的辨識項作為支持辨識項
修補程式管理 – 修補
下列控件適用於修補程式管理的修補專案。 若要維護安全的操作環境,必須適當地修補應用程式/附加元件和支持系統。 必須管理識別 (或公開發行) 與修補之間的適當時間範圍,以減少「活動群組」利用弱點的機會範圍。 Microsoft 365 認證不會規定「修補時間範圍」,不過認證分析師會拒絕不合理的時間範圍。
此安全性控制群組位於平臺即服務 (PaaS) 裝載環境的範圍內,因為必須根據風險排名修補應用程式/載入宏第三方軟體連結庫和程式代碼基底。
控制 #13:提供原則檔,以修補範圍內的系統元件,其中包含適用於重大、高和中風險弱點的最小修補時間範圍;以及解除委任任何不支援的操作系統和軟體。
意圖:許多安全性合規性架構都需要修補程式管理,也就是PCI-DSS、ISO 27001、NIST (SP) 800-53。 良好的修補程式管理的重要性不能過度強調,因為它可以更正軟體、韌體的安全性和功能問題,並減輕弱點,這有助於減少惡意探索的機會。 此控件的目的是要將活動群組利用可能存在於範圍內環境內弱點的機會範圍降到最低。
範例辨識項指導方針:提供所有原則和程序的複本,詳細說明修補程式管理的程式。 這應該包含最小修補視窗上的區段,而且不支援的操作系統和軟體不得在環境中使用。
範例辨識項:以下是範例原則檔。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供screenshot._
控件 #14:提供可辨識的辨識項,指出正在修補所有取樣的系統元件。
注意: 包含任何軟體/第三方連結庫。
意圖:修補弱點可確保構成資訊技術基礎結構 (硬體、軟體和服務) 一部分的不同模組保持在最新狀態,並不受已知弱點影響。 必須儘快執行修補,以將弱點詳細數據發行與修補之間的安全性事件可能性降到最低。 這更為重要,因為已知會在惡意探索弱點時。
範例辨識項指導方針:提供範例中 每個裝置 的螢幕快照,並支援軟體元件,其中顯示修補程式已與記載的修補程式一起安裝。
範例辨識項:下列螢幕快照顯示範圍系統元件 「CLARANET-SBU-WM」 中的 正在執行符合修補原則的 Windows 更新。
注意: 修補所有範圍內的系統元件必須是辨識項。 這包括像這樣;OS 匯報、應用程式/元件 匯報 (i.e__.、_ Apache Tomcat、OpenSSL 等 ) 、軟體相依性 (例如 JQuery、AngularJS 等 ) 等。
控件 #15:提供可辨識的辨識項,證明環境中不會使用任何不支援的操作系統和軟體元件。
意圖:供應商未維護的軟體會因已知的弱點而無法修正,而加班時會受到影響。 因此,不支援操作系統和軟體元件的使用不得在生產環境中使用。
範例辨識項指導方針:提供範例中 每個裝置 的螢幕快照,其中顯示執行 (的操作系統版本,包括螢幕快照) 中的伺服器名稱。 除此之外,提供證明在環境中執行的軟體元件正在執行支援的版本。 這可以藉由提供內部弱點掃描報告的輸出來完成, (提供已驗證的掃描包含) 和/或檢查第三方連結庫的工具輸出,例如 Snyk、 Trivy 或 NPM 稽核。 如果只在 PaaS 中執行,則修補控制群組只需要涵蓋第三方連結庫修補。
範例辨識項:下列辨識項顯示範圍內的系統元件 THOR 正在執行廠商支援的軟體,因為 Nessus 尚未標示任何問題。
注意: 完整的報告必須與認證分析師共用。
- 範例辨識項 2
此螢幕快照顯示範圍內的系統元件 「CLARANET-SBU-WM」 正在支援的 Windows 版本上執行。
- 範例辨識項 3
下列螢幕快照是 Trivy 輸出,完整報表不會列出任何不支援的應用程式。
注意: 完整的報告必須與認證分析師共用。
弱點掃描
藉由引進一般弱點評估,組織可以偵測其環境中的弱點和不安全性,而這些弱點和不安全性可能會為惡意執行者提供危害環境的進入點。 弱點掃描有助於識別環境中遺失的修補程式或設定錯誤。 藉由定期進行這些掃描,組織可以提供適當的補救措施,以將由於這些弱點掃描工具經常挑選的問題而導致的危害風險降到最低。
控制 #16:提供每季的基礎結構和 Web 應用程式弱點掃描報告。 必須針對整個公用使用量進行掃描, (IP位址和URL) 和內部IP範圍。
注意: 這 必須 包含環境的完整範圍。
意圖:弱點掃描會尋找組織計算機系統、網路和 Web 應用程式中可能的弱點,以找出可能導致安全性缺口和敏感數據暴露的漏洞。 產業標準與政府法規通常需要弱點掃描,例如PCI DSS (支付卡產業數據安全標準) 。
名為「2020 PCI DSS 合規性的安全性計量指南」的安全性計量報告指出,「從組織看到攻擊者入侵系統時,平均需要166天的時間。 一旦遭到入侵,攻擊者平均可以存取敏感數據 127 天,因此此控件旨在識別範圍內環境內的潛在安全性弱點。
範例辨識項指導方針:針對過去 12 個月執行的每季弱點掃描,提供完整掃描報告 (的) 。 報告應該清楚陳述目標,以驗證是否包含完整的公用使用量,以及在適用的情況下,每個內部子網。 提供每季的所有掃描報告。
範例辨識項:範例辨識項是從所使用的掃描工具提供掃描報告。 應提供每季的掃描報告以供檢閱。 掃描必須包含整個環境系統元件,如此;每個內部子網,以及可供環境使用的每個公用IP位址/URL。
控件 #17:提供可辨識的辨識項,以根據您記載的修補時間範圍來修補弱點掃描期間所識別的弱點。
意圖:無法快速識別、管理和補救弱點和設定錯誤,可能會增加組織遭到入侵而導致潛在數據外泄的風險。 正確識別和補救問題對於組織的整體安全性狀態和環境而言很重要,這符合各種安全性架構的最佳做法;例如,ISO 27001 和PCI DSS。
範例辨識項指導方針:提供適當的成品 (,也就是螢幕快照) 顯示從弱點掃描探索到的弱點範例,會依照上述控件 13 中已提供的修補視窗進行補救。
範例辨識項:下列螢幕快照顯示範圍內環境的 Nessus 掃描, (此範例中名為 “THOR” 的單一機器 ) 顯示 2021 年 8 月 2 日弱點。
下列螢幕快照顯示問題已解決,2 天后會在修補原則內定義的修補視窗內。
注意: 針對此控件,認證分析師必須查看過去 12 個月每季的弱點掃描報告和補救。
防火牆
防火牆通常會在受信任的 (內部網路) 、不受信任 (因特網) 和半信任 (DMZ) 環境之間提供安全性界限。 這些通常是組織深入防禦安全性策略內的第一道防線,其設計目的是要控制輸入和輸出服務的流量流程,以及封鎖不必要的流量。 這些裝置必須受到嚴密控制,以確保它們能有效運作,而且不受設定錯誤而造成環境風險。
控件 #18:提供管理防火牆管理做法和程序的原則檔。
意圖:防火牆是多層式安全性 (深層防禦) 策略中的重要第一道防線,可保護環境不受信任的網路區域。 防火牆通常會根據IP位址和通訊協定/埠來控制流量,功能更豐富的防火牆也可以檢查應用程式流量,以根據所存取的應用程式來防範誤用、弱點和威脅,以提供額外的「應用層」防禦。 這些保護只和防火牆的設定一樣好,因此必須備妥強式防火牆原則和支援程式,以確保它們已設定為提供適當的內部資產保護。 例如,具有允許從 ANY 來源到 ANY 目的地之所有流量之規則的防火牆只是做為路由器。
範例辨識項指導方針:提供完整的防火牆原則/程序支持檔。 本檔應涵蓋下列所有重點,以及適用於您環境的任何其他最佳做法。
範例辨識項:以下是我們需要的防火牆原則檔類型範例 (這是示範,可能無法完成) 。
控件 #19:提供可辨識的辨識項,證明在安裝到生產環境之前,任何預設的系統管理認證都會變更。
意圖:組織必須留意廠商提供的預設系統管理認證,這些認證是在裝置或軟體設定期間設定的。 默認認證通常由廠商公開提供,並可為外部活動群組提供入侵環境的機會。 例如,在因特網上簡單搜尋預設 iDrac (整合式 Dell 遠端存取控制器) 認證會醒目提示 root::calvin 作為預設使用者名稱和密碼。 這可讓某人遠端訪問遠端伺服器管理。 此控件的目的是要確保環境不會因為裝置/應用程式強化期間未變更的預設廠商認證而容易受到攻擊。
範例辨識項指導方針
這可透過螢幕共用會話辨識,認證分析師可以嘗試使用預設認證向範圍內的裝置進行驗證。
範例辨識項
下列螢幕快照顯示認證分析師會從 WatchGuard 防火牆的無效使用者名稱/密碼看到的內容。
控件 20:提供可辨識的辨識,證明防火牆已安裝在範圍內環境的界限上,並安裝在周邊網路 (也稱為 DMZ、非機構化區域,以及已篩選的子網) 和內部信任的網路之間。
意圖:防火牆可讓您控制不同安全性層級之不同網路區域之間的流量。 由於所有環境都已連線到因特網,因此必須在界限上安裝防火牆,也就是在因特網與範圍內環境之間安裝。 此外,防火牆必須在較不受信任的 DMZ (De-Marketplacezed 區域) 網路和內部信任網路之間安裝。 DMZ 通常用來提供來自因特網的流量,因此是攻擊的目標。 藉由實作 DMZ 並使用防火牆來控制流量,DMZ 的入侵不一定表示內部信任的網路和公司/客戶數據遭到入侵。 應備妥適當的記錄和警示,以協助組織快速識別入侵,將活動群組進一步入侵內部信任網路的機會降到最低。 此控件的目的是要確保信任的網路與較不受信任的網路之間有足夠的控制。
範例辨識項指導方針:應該透過防火牆組態檔或螢幕快照來提供辨識項,以示範 DMZ 已就緒。 這應該符合提供的架構圖表,示範支持環境的不同網路。 防火牆上網路介面的螢幕快照,加上已在初始檔提交中提供的網路圖,應該會提供此辨識項。
範例辨識項:以下是示範兩個 DMZ 的 WatchGuard 防火牆螢幕快照,其中一個是針對名為 DMZ) 的輸入服務 (,另一個則是提供 Jumpbox (Bastian Host) 。
控件 21:提供可辨識的辨識項,證明所有公用存取都會在 DMZ) (非目標區域中終止。
意圖:可公開存取的資源會對各種攻擊開放。 如上所述,DMZ 的目的是要將較不受信任的網路與可能包含敏感數據的信任內部網路區隔。 DMZ 被視為較不受信任,因為主機可能會因為遭到外部活動群組入侵而公開存取。 在這些較不受信任的網路中,公用存取應該一律終止,防火牆會適當地分割這些網路,以協助保護內部資源和數據。 此控件的目的是要確保所有公用存取在這些較不受信任的 DMZ 中終止,就像信任的內部網路上的資源是公開的一樣,這些資源的入侵會為活動群組提供存放敏感數據之網路的一個據點。
範例辨識項指導方針
為此提供的辨識項可能是防火牆設定,其中顯示輸入規則,以及這些規則終止的位置,方法是將公用IP位址路由傳送至資源,或提供輸入流量的NAT (網路位址轉換) 。
範例辨識項
在下列螢幕快照中,有三個傳入規則,分別顯示 10.0.3.x 和 10.0.4.x 子網的 NAT,也就是 DMZ 子網
控件 22:提供可辨識的辨識項,證明所有允許通過防火牆的流量都會通過核准程式。
意圖:由於防火牆是不受信任流量和內部資源之間的防禦屏障,而且在不同信任層級的網路之間,必須安全地設定防火牆,並確保只啟用商務作業所需的流量。 藉由允許不必要的流量或過度寬鬆流量,這可能會在這些不同網路區域的界限上造成防禦弱點。 藉由為所有防火牆變更建立健全的核准程式,引進對環境造成重大風險的規則風險就會降低。 Verizon 的 2020 年數據外洩調查報告 強調「錯誤」,其中包含錯誤的設定,是唯一持續每年增加的動作類型。
範例辨識項指導方針:辨識項可以是檔形式,其中顯示已獲授權的防火牆變更要求,可能是從 CAB (Change Advisor Board) 會議或由追蹤所有變更的變更控制系統起算的分鐘數。
範例辨識項:下列螢幕快照顯示使用以紙張為基礎的程式要求和授權的防火牆規則變更。 例如,這可以透過DevOps或 Jira 等項目來達成。
控件 23:提供防火牆規則基底已設定為卸除未明確定義之流量的可辨識辨識項。
意圖:大部分防火牆都會以自上而下的方式處理規則,以嘗試尋找相符的規則。 如果規則相符,將會套用該規則的動作,並停止規則的所有進一步處理。 如果找不到相符的規則,預設會拒絕流量。 此控件的目的是,如果在找不到相符規則時,防火牆不會預設為卸載流量,則規則基底必須在 [所有 防火牆] 清單的結尾包含「全部拒絕」規則。 這是為了確保在處理規則時,防火牆不會預設為默認允許狀態,因而允許尚未明確定義的流量。
範例辨識項指導方針:辨識項可透過防火牆設定的方式提供,或是螢幕快照顯示結尾顯示「全部拒絕」規則的所有防火牆規則,或防火牆捨棄預設不符合規則的流量,然後提供所有防火牆規則的螢幕快照,以及廠商系統管理指南的連結,醒目提示防火牆默認會捨棄所有不相符的流量。
範例辨識項:以下是 WatchGuard 防火牆規則基底的螢幕快照,其中示範未設定任何規則來允許所有流量。 結尾沒有拒絕規則,因為 WatchGuard 會捨棄預設不相符的流量。
下列 WatchGuard 說明中心連結; https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/policies/policies_about_c.html 包含下列資訊:
控件 24:提供防火牆只支援所有非控制台系統管理介面上強式密碼編譯的可辨識辨識項。
意圖:若要減輕系統管理流量的攔截式攻擊,所有非控制台系統管理介面都應該只支持強式密碼編譯。 此控制器的主要目的是在設定非控制台連線時保護系統管理認證。 此外,這也有助於防止竊聽連線,嘗試重新執行系統管理功能以重新設定裝置或作為偵察的一部分。
範例辨識項指導方針:如果設定提供非控制台系統管理介面的密碼編譯設定,則提供防火牆設定 (並非所有裝置都會將此包含為可設定的選項) 。 如果這不在組態內,您可能可以向裝置發出命令,以顯示這些連線所設定的內容。 有些廠商可能會在文章中發佈這項資訊,因此這也可能是證明這項資訊的方法。 最後,您可能需要執行工具來輸出支援哪些加密。
範例辨識項:下列螢幕快照顯示 SSLScan 針對 TCP 連接埠 8080 上 WatchGuard 防火牆的 Web 管理員 介面的輸出。 這會顯示最低加密加密為 AES-128 位的 TLS 1.2 或更新版本。
注意:WatchGuard 防火牆也支援使用 SSH (TCP 連接埠 4118) 和 WatchGuard System Manager (TCP 連接埠 4105 & 4117) 的系統管理功能。 也必須提供這些非控制台系統管理介面的辨識項。
控件 25:提供可辨識的辨識項,證明您至少每 6 個月執行一次防火牆規則檢閱。
意圖:經過一段時間后,在具有範圍內環境的系統元件中會有組態擷取的風險。 這通常會導致不安全或設定錯誤,而增加危害環境的風險。 組態擷取的原因有很多,例如,協助疑難解答的暫時性變更、臨機操作功能變更的暫時性變更,以快速修正有時可能會因為引進快速修正而造成過度寬鬆的問題。 例如,您可能會引入暫時防火牆規則「全部允許」,以克服緊急問題。 此控件的意圖有兩個層面,一是要識別何處的設定錯誤可能會造成不安全,第二個目的是協助識別不再需要的防火牆規則,因此可以移除,也就是說,如果服務已淘汰,但防火牆規則已遺失。
範例辨識項指導方針:辨識項必須能夠證明已發生檢閱會議。 這可以藉由共用防火牆檢閱的會議分鐘數,以及顯示從檢閱中採取之任何動作的任何其他變更控制辨識項來完成。 請確定日期已存在,因為我們必須看到至少兩個會議 (,也就是每六個月)
範例辨識項:下列螢幕快照顯示 2021 年 1 月發生防火牆檢閱的辨識項。
下列螢幕快照顯示 2021 年 7 月發生防火牆檢閱的辨識項。
防火牆 – WAF
將 Web 應用程式防火牆 (WAF) 部署到解決方案是選擇性的。 如果使用WAF,這會計算為「作業安全性」安全性網域內評分矩陣的額外點數。 WAF 可以檢查 Web 流量,以篩選和監視因特網與已發佈 Web 應用程式之間的 Web 流量,以識別 Web 應用程式特定的攻擊。 Web 應用程式可能會遭受許多 Web 應用程式特定的攻擊,例如 SQL 插入 (SQLi) 、跨網站腳本 (XSS) 、跨網站偽造要求 (CSRF/XSRF) 等,而 WAF 的設計目的是要防範這些類型的惡意承載,以協助保護 Web 應用程式免於遭受攻擊和潛在入侵。
控件 26:提供可辨識的辨識項,證明 Web 應用程式防火牆 (WAF) 已設定為主動監視、警示及封鎖惡意流量。
意圖:此控件已就緒,可確認所有傳入的 Web 連線都已備妥 WAF,且已設定為封鎖或警示惡意流量。 若要為 Web 流量提供額外的防禦層,必須為所有連入的 Web 連線設定 WAF,否則外部活動群組可能會略過專為提供這一層額外保護而設計的 WAF。 如果WAF未設定為主動封鎖惡意流量,WAF 必須能夠立即向可快速回應潛在惡意流量的員工提供警示,以協助維護環境的安全性並停止攻擊。
範例辨識項指導方針:提供來自 WAF 的設定輸出,其中會醒目提示所提供的連入 Web 連線,以及設定會主動封鎖惡意流量,或正在監視和警示。 或者,可以共用特定設定的螢幕快照,以示範組織是否符合此控件。
範例辨識項:下列螢幕快照顯示已啟用 Contoso Production Azure 應用程式閘道 WAF 原則,且已設定為「預防」模式,這會主動捨棄惡意流量。
下列螢幕快照顯示前端IP組態
注意: 辨識項應該示範環境使用的所有公用IP,以確保涵蓋所有輸入點,這也是包含此螢幕快照的原因。
下列螢幕快照顯示使用此 WAF 的連入 Web 連線。
下列螢幕快照顯示Contoso_AppGW_CoreRules顯示這是針對 api.contoso.com 服務。
控件 27:提供 WAF 支援 SSL 卸除的可辨識辨識項。
意圖:WAF 設定為支援 SSL 卸除的能力很重要,否則 WAF 將無法檢查 HTTPS 流量。 由於這些環境需要支援 HTTPS 流量,這是 WAF 的重要功能,可確保 HTTPS 流量內的惡意承載可以識別並停止。
範例辨識項指導方針:透過設定導出或螢幕快照提供設定辨識項,其中顯示支援並設定 SSL 卸除。
範例辨識項:在 Azure 應用程式閘道 內,設定已啟用 SSL 接聽程式的 SSL 卸除,請參閱具有 應用程式閘道 Microsoft Docs 的 TLS 終止和端對端 TLS 概觀頁面。 下列螢幕快照顯示針對 Contoso Production Azure 應用程式閘道 設定的此功能。
控件 28:'根據 OWASP 核心規則集 (3.0 或 3.1) ,提供 WAF 可防範某些或下列所有弱點類別的可辨識辨識項:
通訊協議和編碼問題
標頭插入、要求外設和回應分割、
檔案和路徑周遊攻擊,
遠端檔案包含 (RFI) 攻擊
遠端程式代碼執行攻擊,
PHP 插入式攻擊,
跨網站腳本攻擊,
SQL 插入式攻擊,
會話修正攻擊。
意圖:WAF 必須設定為識別常見弱點類別的攻擊承載。 此控制項旨在利用 OWASP 核心規則集,確保能充分偵測弱點類別。
範例辨識項指導方針:透過設定導出提供設定辨識項,或螢幕快照示範掃描涵蓋了上述大部分的弱點類別。
範例辨識項:下列螢幕快照顯示 Contoso Production Azure 應用程式閘道 WAF 原則已設定為針對 OWASP 核心規則集 3.2 版進行掃描。
變更控制件
建立且了解的變更控制程式對於確保所有變更都經過可重複的結構化程式而言非常重要。 藉由確保所有變更都經過結構化程式,組織可以確保變更在註銷之前會受到有效管理、對等檢閱及適當測試。 這不只有助於將系統中斷的風險降到最低,也有助於透過引進的不當變更,將潛在安全性事件的風險降到最低。
控件 29:提供管理變更控制程式的原則檔。
意圖:若要維護安全的環境和安全的應用程式,必須建立健全的變更控制程式,以確保所有基礎結構和程式代碼變更都透過強式監督和定義的程式來執行。 這可確保記錄變更、考慮安全性影響、思考變更會對安全性造成什麼影響等等。其目的是要確保記錄變更控制程式,以確保對環境和應用程式開發實務內的所有變更採取安全且一致的方法。
範例辨識項指導方針:所記載的變更控制原則/程序應該與認證分析師共用。
範例辨識項:以下顯示範例變更管理原則的開頭。 請提供完整的原則和程序作為評量的一部分。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
控件 30:提供可辨識的辨識項,讓開發和測試環境強制區分與生產環境的職責。
意圖:大部分組織的開發/測試環境未設定為與生產環境相同的震動,因此較不安全。 此外,測試不應該在生產環境中執行,因為這可能會造成安全性問題,或對客戶的服務傳遞造成損害。 藉由維護可強制區分職責的個別環境,組織可以確保變更會套用至正確的環境,藉由在開發/測試環境時實作生產環境的變更來降低錯誤的風險。
範例辨識項指導方針:可以提供螢幕快照,示範用於開發/測試環境和生產環境的不同環境。 一般而言,您會有不同的人員/小組可以存取每個環境,或在無法存取的情況下,環境會利用不同的授權服務,以確保使用者不會誤登入錯誤的環境來套用變更。
範例辨識項:下列螢幕快照顯示 Contoso 的 TEST 環境的 Azure 訂用帳戶。
下一個螢幕快照顯示 Contoso'PRODUCTION' 環境的個別 Azure 訂用帳戶。
控件 31:提供可辨識的辨識項,證明敏感性生產數據不會在開發或測試環境中使用。
- 意圖:如上所述,組織不會將開發/測試環境的安全性措施實作成與生產環境相同的震動。 因此,藉由在這些開發/測試環境中使用敏感性生產數據,您會增加遭到入侵的風險,而且必須避免在這些開發/測試環境中使用即時/敏感數據。
注意: 您可以在開發/測試環境中使用實時數據,前提是開發/測試包含在評定範圍內,以便根據 Microsoft 365 認證控制項評估安全性。
範例辨識項指導方針:可藉由針對生產資料庫共用相同 SQL 查詢輸出的螢幕快照來提供辨識項, (修訂) 和開發/測試資料庫的任何敏感性資訊。 相同命令的輸出應該會產生不同的數據集。 儲存盤案的位置,檢視這兩個環境內的資料夾內容也應該示範不同的數據集。
範例辨識項:下列螢幕快照顯示辨識項提交的前 3 筆記錄 (,請提供來自生產資料庫的前 20 個) 。
下一個螢幕快照顯示來自開發資料庫的相同查詢,其中顯示不同的記錄。
這會示範數據集不同。
控件 32:提供可辨識的辨識項,其中記載的變更要求包含變更的影響、備份程式的詳細數據,以及要執行的測試。
意圖:此控件的目的是要確保思考已進入所要求的變更。 變更對系統/環境安全性的影響需要考慮並清楚記載,任何備份程式都必須記載,以在發生錯誤時協助復原,最後也必須考慮並記錄驗證變更成功所需的測試詳細數據。
範例辨識項指導方針:可以導出變更要求的範例、提供紙張變更要求,或提供變更要求的螢幕快照,顯示變更要求中保留的這三個詳細數據,以提供辨識項。
範例辨識項:下圖顯示指派 XSS) 的新跨網站腳本弱點 (,以及變更要求的檔。
下列票證顯示已設定或新增至要解決之票證的資訊。
下列兩張票證顯示系統變更的影響,以及發生問題時可能需要的任何退回程式。 您可以看到變更和退回程式的影響已通過核准程式,並已核准進行測試。
在畫面左側,您可以看到測試變更已核准,您會在右側看到變更現在已核准並測試。
在整個程式中,請注意,執行此作業的人員、報告該工作的人員,以及核准要完成工作的人員都是不同的人員。
範
上述票證顯示變更現在已核准可實作至生產環境。 右方方塊顯示測試已運作且成功,且變更現在已實作至 Prod 環境。
控件 33:提供可辨識的辨識項,讓變更要求進行授權和註銷程式。
意圖:必須實作程式,這會禁止在未經適當授權和註銷的情況下執行變更。在實作變更之前,必須先授權變更,而且變更必須在完成後註銷。 這可確保已正確檢閱變更要求,且授權單位中的人員已簽署變更。
範例辨識項指導方針:您可以匯出變更要求的範例、提供紙張變更要求,或提供變更要求的螢幕快照,顯示在實作之前已授權變更,且變更已在完成後註銷,以提供辨識項。
範例辨識項:下列螢幕快照顯示範例 Jira 票證,其中顯示變更必須先獲得授權,才能由開發人員/要求者以外的人實作和核准。 您可以在這裡看到有授權人員核准的變更。 右側已由 DP 簽署完成。
在下列票證中,您可以看到變更在完成後已註銷,並顯示作業已完成並已關閉。
安全軟體開發/部署
涉及軟體開發活動的組織通常會面臨安全性與 TTM 之間的競爭優先順序, (上市時間) 壓力,不過,在整個軟體開發生命週期中實作安全性相關活動 (SDLC) 不僅可以節省成本,還可以節省時間。 當安全性保留為事後考慮時,通常只會在 (DSLC) 的測試階段識別出問題,這通常會更耗時且更耗費成本來修正。 本安全性區段的目的是要確保遵循安全的軟體開發做法,以降低將程式代碼錯誤引入開發的軟體中的風險。 此外,本節會尋找包含一些控件,以協助安全部署軟體。
控件 34:提供支援安全軟體開發和部署的原則和程式,包括針對常見弱點類別的安全程式代碼撰寫最佳做法指引,例如 OWASP 前 10 名或 SANS 前 25 名 CWE。
意圖:組織必須以自己的能力執行一切工作,以確保軟體能安全地開發並免於弱點。 為了達到此目的,應該建立健全的安全軟體開發生命週期 (SDLC) 和安全的程式代碼撰寫最佳做法,以在整個軟體開發程式中推廣安全的程式代碼撰寫技術和安全開發。 其目的是要減少軟體中弱點的數目和嚴重性。
範例辨識項指導方針:提供記載的 SDLC 和/或支援檔,其中示範安全開發生命週期正在使用中,並提供指引給所有開發人員,以提升安全的程式代碼撰寫最佳做法。 請參閱 SDLC 中的 OWASP 和 SAMM) (OWASP 軟體保證成熟度模型 。
範例辨識項:以下是從 Contoso 的安全軟體開發程式擷取,其中示範安全開發和程式代碼撰寫做法。
注意: 這些螢幕快照顯示安全軟體開發檔,預期ISV會共用實際的支援檔,而不只是提供螢幕快照。
控件 35:提供可辨識的辨識項,讓程式代碼變更會由第二位檢閱者進行檢閱和授權程式。
意圖:此控件的目的是要由另一個開發人員執行程式代碼檢閱,以協助識別任何可能在軟體中造成弱點的程式代碼撰寫錯誤。 應建立授權以確保執行程式碼檢閱、完成測試等。 部署之前。 授權步驟可以驗證是否已遵循正確的程式,以支援上述定義的 SDLC。
範例辨識項指導方針:提供辨識項,證明程式代碼會進行對等檢閱,而且必須先獲得授權,才能套用至生產環境。 此辨識項可能是透過變更票證的導出,示範程式代碼檢閱已執行且變更已獲授權,或是透過程式代碼檢閱軟體,例如 Crucible (https://www.atlassian.com/software/crucible) 。
範例辨識項
以下是一個票證,其中顯示程式代碼變更會由原始開發人員以外的人員進行檢閱和授權程式。 它顯示受指派者已要求程式代碼檢閱,並會指派給其他人進行程式代碼檢閱。
下圖顯示程式代碼檢閱已指派給原始開發人員以外的其他人,如下圖右側反白顯示的區段所示。 在左側,您可以看到程式代碼已經過檢閱,並已由程式代碼檢閱者提供「已通過的程式代碼檢閱」狀態。
票證現在必須經過經理核准,才能將變更放入實時生產系統。
上圖顯示已核准在即時生產系統上實作的已檢閱程序代碼。
程式代碼變更完成後,最終作業就會註銷,如上圖所示。
請注意,整個程式中涉及三個人,即程式代碼的原始開發人員、程式代碼檢閱者,以及要核准和註銷的管理員。為了符合此控件的準則,預期您的票證會遵循此程式。 至少三個人參與程式代碼檢閱的變更控制程式。
控件 36:提供可辨識的辨識項,讓開發人員每年進行安全的軟體開發訓練。
意圖:所有程式設計語言都有程式代碼撰寫最佳做法和技術,以確保程式代碼安全地開發。 有一些外部訓練課程旨在教導開發人員不同類型的軟體弱點類別,以及可用來停止將這些弱點引入軟體的程式碼技術。 此控制項的目的是要向所有開發人員教授這些技術,並確保不會忘記這些技術,或是每年執行這項作業來學習較新的技術。
範例辨識項指導方針:如果由外部訓練公司執行,或提供訓練字典或其他成品的螢幕快照,以憑證方式提供辨識項,以示範開發人員已參加訓練。 如果這項訓練是透過內部資源執行,也請提供訓練數據的辨識項。
範例辨識項:以下是要求DevOps小組中的員工註冊 OWASP 十大訓練年度訓練的電子郵件
下列顯示已要求具有業務理由和核准的訓練。 接著會接著從訓練中擷取的螢幕快照,以及顯示人員已完成年度訓練的完成記錄。
控件 37:提供可辨識的辨識項,讓程式代碼存放庫受到多重要素驗證 (MFA) 保護。
意圖:如果活動群組可以存取和修改軟體的程式代碼基底,則可能會在程式代碼基底中引進弱點、後門或惡意代碼,因而引入應用程式。 這已經有數個實例,其中最公開的可能是 NotPetya 勒索軟體攻擊,此攻擊會透過名為 M.E.Doc (的已遭入侵更新感染,請參閱 什麼是 notPetya) 。
範例辨識項指導方針:透過程式代碼存放庫中 所有 使用者都已啟用 MFA 的螢幕快照來提供辨識項。
範例辨識項:下列螢幕快照顯示已在所有 8 個 GitLab 使用者上啟用 MFA。
控件 38:提供可辨識的辨識項,讓訪問控制已就緒,以保護程式代碼存放庫。
意圖:從上一個控件開始,應該實作訪問控制,以限制只能存取正在處理特定專案的個別使用者。 藉由限制存取權,您可以限制未經授權變更執行的風險,因而導致程式代碼變更不安全。 應採用最低許可權的方法來保護程式代碼存放庫。
範例辨識項指導方針:透過程式代碼存放庫的螢幕快照提供辨識項,這些螢幕快照僅限個人所需的存取權,包括不同的許可權。
範例辨識項:下列螢幕快照顯示 GitLab 中 “Customers” 項目的成員,也就是 Contoso “Customer Portal”。 如螢幕快照所示,使用者有不同的「角色」來限制對專案的存取。
帳戶管理
安全帳戶管理做法很重要,因為用戶帳戶是允許存取資訊系統、系統環境和數據的基礎。 用戶帳戶必須受到適當保護,因為使用者認證遭到入侵,不僅可以提供環境的據點和敏感數據的存取權,也可以在使用者的認證具有系統管理許可權時,為整個環境或密鑰系統提供系統管理控制。
控件 39:提供管理帳戶管理做法和程序的原則檔。
意圖:用戶帳戶會繼續成為活動群組的目標,而且通常是數據洩露的來源。 藉由設定過度寬鬆帳戶,組織不只會增加活動群組可用來執行數據外洩的「特殊許可權」帳戶集區,也可以增加成功利用需要特定許可權才能成功的弱點風險。
BeyondTrust 每年會產生「Microsoft 弱點報告」,以分析去年 Microsoft 的安全性弱點,並詳細說明依賴具有系統管理員許可權之用戶帳戶的這些弱點百分比。 在近期的部落格文章「新的 Microsoft 弱點報告顯示弱點有 48% 的 YoY 增加 & 如何以最低許可權降低」、Internet Explorer 中 90% 的重大弱點、Microsoft Edge 中 85% 的重大弱點,以及 100% 的重大弱點,都已藉由移除系統管理員許可權來降低。 若要支援安全的帳戶管理,組織必須確保支援可提升安全性最佳做法的原則和程式已就緒,並遵循以減輕這些威脅。
範例辨識項指導方針:提供涵蓋您帳戶管理做法的記載原則和程序檔。 涵蓋的主題至少應與 Microsoft 365 認證內的控件一致。
範例辨識項:下列螢幕快照顯示 Contoso 的帳戶管理原則範例。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
控件 40:提供可辨識的辨識項,指出已停用、移除或變更取樣系統元件的預設認證。
意圖:雖然這會變得較不受歡迎,但仍有活動群組可以利用預設且記載完善的使用者認證來危害生產系統元件的實例。 其中一個常用的範例是使用 Dell iDRAC (整合式 Dell 遠端存取控制器) 。 此系統可用來從遠端管理 Dell Server,活動群組可用來控制伺服器的作業系統。 root::calvin 的預設認證已記載,而且通常可供活動群組用來存取組織所使用的系統。 此控件的目的是要確保停用或移除這些預設認證
範例辨識項指導方針:有各種方式可以收集辨識項以支援此控件。 所有系統元件上已設定使用者的螢幕快照可提供協助,也就是Linux /etc/shadow和 /etc/passwd 檔案的螢幕快照有助於示範帳戶是否已停用。 請注意,若要示範帳戶確實已停用,需要 /etc/shadow 檔案,方法是觀察密碼哈希開頭的字元無效,例如 '!',表示密碼無法使用。 建議您只停用密碼的幾個字元,並重做其餘的字元。 其他選項則適用於螢幕共用會話,其中評估人員能夠手動嘗試默認認證,例如在上述關於 Dell iDRAC 的討論中,評估人員需要嘗試使用預設認證來驗證所有 Dell iDRAC 介面。
範例辨識項:下列螢幕快照顯示為範圍內系統元件 “CLARANET-SBU-WM” 設定的用戶帳戶。 會顯示數個預設帳戶;不過,系統管理員、DefaultAccount 和 Guest 的螢幕快照顯示這些帳戶已停用。
下一個螢幕快照顯示系統管理員帳戶已在範圍內的系統元件 「CLARANET-SBU-WM」 上停用。
下一個螢幕快照顯示範圍內系統元件 「CLARANET-SBU-WM」 上的來賓帳戶已停用。
下一個螢幕快照顯示在範圍內的系統元件 「CLARANET-SBU-WM」 上停用 DefaultAccount。
控件 41:提供可辨識的辨識項,證明帳戶建立、修改和刪除會經歷已建立的核准程式。
意圖:目的是要建立一個程式,以確保所有帳戶管理活動都獲得核准,以確保帳戶許可權維持最低許可權原則,而且可以正確地檢閱和追蹤帳戶管理活動。
範例辨識項指導方針:辨識項的形式通常是變更要求票證、ITSM (IT 服務管理) 要求或文件,顯示要建立、修改或刪除之帳戶的要求已通過核准程式。
範例辨識項:下列影像顯示 DevOps 小組新入門的帳戶建立,此小組必須根據生產環境許可權來設定角色型訪問控制設定,而無須存取開發環境,也不需要對所有其他專案進行標準的非特殊許可權存取。
帳戶建立已完成核准程式,並在建立帳戶並關閉票證之後進行註銷程式。
控件 42:提供可辨識的辨識項,證明程式已就緒,可停用或刪除 3 個月內未使用的帳戶。
意圖:非使用中的帳戶有時可能會遭到入侵,因為這些帳戶是暴力密碼破解攻擊的目標,可能不會標示為使用者不會嘗試登入帳戶,或是因密碼資料庫外泄而導致使用者的密碼重複使用,且可在因特網上的使用者名稱/密碼傾印中使用。 應該停用/移除未使用的帳戶,以減少活動群組必須執行帳戶入侵活動的受攻擊面。 這些帳戶可能是因為離職者程式未正確執行、員工成員長期打勾,或員工成員正在休假/同父期。 藉由實作每季程式來識別這些帳戶,組織可以將受攻擊面降至最低。
範例辨識項指導方針:辨識項應該是雙折疊。 首先,螢幕快照或檔案匯出會顯示範圍內環境中所有用戶帳戶的「上次登入」。 這可能是本機帳戶,以及集中式目錄服務內的帳戶,例如 Microsoft Entra ID。 這會示範未啟用超過 3 個月的帳戶。 其次,每季檢閱程式的辨識項,可能是 ADO (Azure DevOps) 或 JIRA 票證內完成工作的證明,或是透過應該註銷的紙張記錄。
範例辨識項:第一個螢幕快照顯示每季執行的腳本輸出,以檢視 Microsoft Entra ID 內用戶的最後一個登入屬性。
如上列螢幕快照所示,兩位用戶顯示為有一段時間未登入。 下列兩個螢幕快照顯示這兩個使用者已停用。
控件 43:提供可辨識的辨識項,證明已備妥強密碼原則或其他適當的防護措施來保護用戶認證。 下列專案應作為最小指導方針:
密碼長度下限為8個字元
不超過 10 次嘗試的帳戶鎖定閾值
密碼歷程記錄至少5個密碼
強制使用強密碼
意圖:如先前所討論,用戶認證通常是嘗試取得組織環境存取權的活動群組攻擊的目標。 強密碼原則的目的是要嘗試強制用戶挑選強密碼,以降低活動群組破解他們的機會。 新增「或其他適當的緩和措施」的目的是要辨識組織可能會實作其他安全性措施,以根據產業發展來協助保護用戶認證,例如「NIST 特殊發行集 800-63B」。
範例辨識項指導方針:示範強密碼原則的辨識項可能是組織 群組原則 物件或本機安全策略「帳戶原則 à密碼原則」和「帳戶原則à帳戶鎖定原則」設定的螢幕快照形式。 辨識項取決於所使用的技術;也就是說,針對Linux,它可以是 /etc/pam.d/common-password 組態檔,而 BitBucket 則為 管理員 入口網站內的 [驗證原則] 區段, () https://support.atlassian.com/security-and-access-policies/docs/manage-your-password-policy/ 等。
範例辨識項:下列辨識項顯示在範圍內系統元件 「CLARANET-SBU-WM」 的「本機安全策略」內設定的密碼原則。
下列螢幕快照顯示 WatchGuard 防火牆的帳戶鎖定設定。
以下是 WatchGaurd 防火牆的最小複雜密碼長度範例。
控件 44:提供可辨識的辨識項,證明唯一的使用者帳戶會簽發給所有使用者。
意圖:此控件的意圖是責任。 藉由使用自己的唯一使用者帳戶發行使用者,用戶將負責其動作,因為用戶活動可以追蹤至個別使用者。
範例辨識項指導方針:辨識項是透過螢幕快照顯示跨範圍系統元件設定的用戶帳戶,其中可能包含伺服器、程序代碼存放庫、雲端管理平臺、Active Directory、防火牆等。
範例辨識項:下列螢幕快照顯示為範圍內系統元件 “CLARANET-SBU-WM” 設定的用戶帳戶。
下一個螢幕快照顯示系統管理員帳戶已在範圍內的系統元件 「CLARANET-SBU-WM」 上停用。
下一個螢幕快照顯示範圍內系統元件 「CLARANET-SBU-WM」 上的來賓帳戶已停用。
下一個螢幕快照顯示在範圍內的系統元件 「CLARANET-SBU-WM」 上停用 DefaultAccount。
控件 45:提供可辨識的辨識項,證明環境中遵循最低許可權原則。
意圖:只應為使用者提供履行其作業功能所需的許可權。 這是為了限制使用者刻意或無意中存取不應存取的數據或執行惡意行為的風險。藉由遵循此原則,它也會減少潛在的受攻擊面 (也就是具有特殊許可權的帳戶) 可成為惡意活動群組的目標。
範例辨識項指導方針:大部分的組織都會利用群組,根據組織內的小組來指派許可權。 辨識項可能是螢幕快照,其中顯示各種特殊許可權群組,且僅顯示需要這些許可權之小組的用戶帳戶。 通常,這會備份支持的原則/程式,以定義具有必要許可權和業務理由的每個已定義群組,以及驗證群組成員資格的小組成員階層已正確設定。
例如:在 Azure 中,「擁有者」群組應該受到限制,因此應該記載此問題,而且應該要有受限指派給該群組的人員數目。 另一個範例可能是能夠進行程式碼變更的人員人數有限,群組可能會以此許可權設定,且員工成員視為需要設定此許可權。 這應該會記載,讓認證分析師可以與已設定的群組交互參照檔等等。
範例辨識項:下列螢幕快照顯示環境已設定為根據作業函式指派的群組。
下列螢幕快照顯示用戶會根據其作業功能配置給群組。
控件 46:提供可辨識的辨識項,證明程式已就緒,可保護或強化服務帳戶,並遵循程式。
意圖:服務帳戶通常會以活動群組為目標,因為它們通常會以較高的許可權進行設定。 這些帳戶可能不會遵循標準密碼原則,因為服務帳戶密碼的到期通常會中斷功能。 因此,它們可能會設定為弱式密碼或在組織內重複使用的密碼。 另一個可能的問題,特別是在 Windows 環境中,可能是操作系統快取密碼哈希。 如果是在目錄服務內設定服務帳戶,這會是一大問題,因為此帳戶可以跨多個系統使用存取權,且已設定許可權等級,或服務帳戶是本機的,則有可能在環境中的多個系統上使用相同的帳戶/密碼。 上述問題可能會導致活動群組取得環境內更多系統的存取權,並可能導致進一步提高許可權和/或橫向移動。 因此,其目的是要確保服務帳戶已正確強化並受到保護,以協助保護它們不受活動群組接管,或藉由在其中一個服務帳戶遭到入侵時限制風險。
範例辨識項指導方針:因特網上有許多指南可協助強化服務帳戶。 辨識項可以是螢幕快照的形式,示範組織如何實作帳戶的安全強化。 一些 (預期的範例是會使用多種技術) 包括:
將帳戶限制為 Active Directory 內的一組電腦,
將帳戶設定為不允許互動式登入,
設定極複雜的密碼
針對 Active Directory,啟用 [帳戶敏感且無法委派] 旗標。 下列文章「持卡人數據環境的分割和共用Active Directory」會討論這些技術。
範例辨識項:有多種方式可強化服務帳戶,這取決於每個個別環境。 適用於您環境的機制會在稍早的帳戶管理原則/程序文件中記載,這有助於檢閱此辨識項。 以下是一些可能採用的機制:
下列螢幕快照顯示服務帳戶 [_Prod SQL 服務帳戶] 上已選取 [帳戶敏感且已委派連線] 選項。
![此螢幕快照顯示已在服務帳戶 [_Prod SQL 服務帳戶] 上選取 [帳戶敏感且已委派連線] 選項。](../media/userguidephotos/control-no-46.png)
下一個螢幕快照顯示服務帳戶「_Prod SQL 服務帳戶」已鎖定至 SQL Server,且只能登入該伺服器。
下一個螢幕快照顯示服務帳戶「_Prod SQL 服務帳戶」只允許以服務身分登入。
控件 47:提供 MFA 已針對所有遠端存取連線和所有非控制台系統管理介面設定的可辨識辨識項。
定義為:
遠端訪問 – 一般而言,這指的是用來存取支持環境的技術。 例如,遠端訪問IPSec VPN、SSL VPN或 Jumpbox/Bastian 主機。
非控制台系統管理介面 – 一般而言,這是指透過網路系統管理連線到系統元件。 這可能是透過遠端桌面、SSH 或 Web 介面。
意圖:此控件的目的是針對暴力密碼破解特殊許可權的帳戶和具有安全存取環境的帳戶,提供緩和措施。 藉由提供多重要素驗證 (MFA) ,受入侵的密碼仍應受到保護,避免成功登入,因為 MFA 機制仍應受到保護。 這有助於確保所有存取和系統管理動作只會由授權和信任的員工成員執行。
範例辨識項指導方針:辨識項必須顯示已在符合上述類別的所有技術上啟用 MFA。 這可能是透過螢幕快照顯示已在系統層級啟用 MFA。 根據系統層級,我們需要辨識它已針對所有用戶啟用,而不只是已啟用 MFA 的帳戶範例。 在將技術備份至 MFA 解決方案時,我們需要辨識項來證明它已啟用且正在使用中。 這是什麼意思;其中技術已針對指向 MFA 提供者的 Radius 驗證進行設定,您也需要辨識其所指向的 Radius 伺服器是 MFA 解決方案,且帳戶已設定為使用它。
範例辨識項 1:下列螢幕快照顯示 Pulse Secure 上設定的驗證領域,用於遠端訪問環境。 驗證是由適用於 MFA 支援的 Duo SaaS 服務所關閉。
此螢幕快照示範已啟用其他驗證伺服器,指向 『Duo - 預設路由』 驗證領域的 「Duo-LDAP」。
最後一個螢幕快照顯示 Duo-LDAP 驗證伺服器的組態,其示範這是指向 MFA 的 Duo SaaS 服務。
範例辨識項 2:下列螢幕快照顯示所有 Azure 使用者都已啟用 MFA。
注意: 您必須提供所有非控制台聯機的辨識項,以證明已為它們啟用 MFA。 例如,如果您透過 RDP 或 SSH 連線到伺服器或其他系統元件, (也就是防火牆) 。
控件 48:提供可辨識的辨識項,證明已針對所有遠端訪問連線和所有非控制台系統管理介面設定強加密,包括存取任何程式代碼存放庫和雲端管理介面。
定義為:
程式代碼存放庫 – 應用程式的程式代碼基底必須受到保護,以防止惡意修改,而這些修改可能會在應用程式中引入惡意代碼。 必須在程式代碼存放庫上設定 MFA。
雲端管理介面 – 其中部分或所有環境裝載於雲端服務提供者 (CSP) 內,此處包含雲端管理的系統管理介面。
意圖:此控件的目的是要確保所有系統管理流量都經過適當加密,以防止攔截式攻擊。
範例辨識項指導方針:可透過螢幕快照提供辨識項,其中顯示遠端訪問技術、RDP、SSH 和 Web 管理員 介面的加密設定。 針對 Web 管理員 介面,Qualys SSL Labs 掃描器 (可公開存取,也就是可以使用雲端管理介面、SaaS 程式代碼存放庫或 SSL VPN 連線) 。
範例辨識項:下列辨識項顯示 「Webserver01」 上的 RDP 加密層級,其設定為 「高階」。 如說明文字所示,這是使用強式 128 位加密 (這是 Microsoft Windows RDP 的最高層級。
![下列辨識項顯示 「Webserver01」 上的 RDP 加密層級是以 [高階] 設定來設定。](../media/userguidephotos/control-no-48.png)
下列辨識項也會顯示 RDP 傳輸安全性已設定為在 「Webserver01」 上使用 TLS 1.0 (這是 Windows Server) 的最高值。
控件 49:提供可辨識的辨識項,證明 MFA 是用來保護您用來管理和維護所有公用功能變數名稱服務的管理入口網站, (DNS) 記錄。
意圖:如果惡意活動群組可以取得公用 DNS 記錄的存取權,其可能會修改應用程式所使用的 URL,或指令清單檔案指向導入惡意代碼,或將使用者流量導向至動作專案控件下的端點。 這可能會導致使用者數據遺失,或導致應用程式使用者基底上的惡意代碼/勒索軟體感染。
範例辨識項指導方針:提供示範公用 DNS 系統管理入口網站受到 MFA 保護的辨識項。 即使公用 DNS 裝載於內部環境內的伺服器上, (也就是由組織) 控制和操作,也可能在註冊功能變數名稱的某處仍有 管理員 入口網站,而 DNS 記錄是「受控」,以將 DNS 伺服器指向您自己的基礎結構。 在此情況下,如果可以修改網域 DNS 記錄,則應該在網域註冊機構系統管理介面上啟用 MFA。 應提供螢幕快照,其中顯示已在系統層級啟用 MFA 的系統管理介面 (也就是所有特殊許可權帳戶) 。
範例辨識項:下列螢幕快照顯示在 Microsoft Azure for Contoso Corporation 中管理 contoso.com DNS。
注意: IP 位址是私人 RFC 1918 位址,而不是公開路由。 這僅供示範之用。
下列螢幕快照顯示所有 Azure 使用者都已啟用 MFA。
入侵偵測和預防 (選擇性)
網關 (IDPS) 的入侵偵測和預防系統,可以針對各種因特網型和內部威脅提供額外的保護層。 這些系統可協助防止這些威脅成功,並可提供重要的警示功能,以警示組織即時入侵嘗試,讓組織實作額外的防禦策略,進一步保護環境免於遭受這些作用中的威脅。
本節適用於額外的點數,因此是選擇性的。 這不是需求,不過,如果您完成它,您的評量會顯示環境以及您已備妥之控件和標準的更完整圖片。
控件 50:提供可辨識的辨識項,證明入侵偵測和預防系統 (IDPS) 部署在範圍內環境的周邊。
意圖:雖然某些來源將內部威脅描述為現在超過外部活動群組的威脅,但內部威脅也包括過失,而人為錯誤會以每年百分比為增量增加。 將IDPS安裝在範圍內環境周邊 () 的目的是,通常可以透過IDPS機制來偵測外部威脅,因為這些威脅類型所使用的本質和技術。
範例辨識項指導方針:應該提供辨識項,以示範IDPS已安裝在周邊,如果執行 NextGen 防火牆,這可能直接在防火牆上,或是透過在鏡像交換器埠上設定的部署 IDPS 感測器,以確保部署的感測器會看到所有流量。 如果使用IDPS感測器,可能需要提供其他辨識項,以證明感測器能夠查看所有外部流量。
範例辨識項:下列螢幕快照顯示已在 WatchGuard 防火牆上啟用 IDPS 功能。
下列其他螢幕快照示範已在 WatchGuard 防火牆設定內的所有規則上啟用 IDPS。
控件 51:提供可辨識的辨識項,證明 IDPS 簽章會在) 的 24 小時內保留在目前的 (。
意圖:IDPS 有多種作業模式,最常見的是使用簽章來識別攻擊流量。 隨著攻擊的發展和發現較新的弱點,請務必讓IDPS簽章保持在最新狀態,以提供適當的保護。 此控件的目的是要確保IDPS受到維護。
範例辨識項指導方針:辨識項可能會顯示螢幕快照,顯示IDPS已設定為至少每天更新簽章,並顯示上次更新。
範例辨識項:雖然此螢幕快照並未顯示IDPS簽章在過去24小時內已更新,但它確實示範是否已安裝最新版本,這是一周前 (在5月) 日收集的 18__th辨識項。 這會與後面的螢幕快照結合,顯示簽章會在 24 小時內保持在最新狀態。
控件 52:提供可辨識的辨識項,證明 IDPS 已設定為支援 TLS 檢查所有傳入的網路流量。
意圖:由於IDPS依賴簽章,因此必須能夠檢查所有流量,以識別攻擊流量。 TLS 流量已加密,因此 IDPS 將無法正確檢查流量。 這對 HTTPS 流量而言非常重要,因為 Web 服務常有各種威脅。 此控件的目的是要確保加密的流量也可檢查是否有IDPS。
範例辨識項指導方針:應該透過螢幕快照提供辨識項,以示範IDPS解決方案也會檢查加密的TLS流量。
範例辨識項:此螢幕快照顯示防火牆上的 HTTPS 規則
下一個螢幕快照顯示已在這些規則上啟用IDPS。
下列螢幕快照顯示「Proxy 動作」已套用至 『Inbound_Bot_Traffic』 規則,用來開啟內容檢查。
下列螢幕快照顯示已啟用內容檢查。
控件 53:提供可辨識的辨識項,證明 IDPS 已設定為監視所有輸入流量。
意圖:如已討論過,所有輸入流量流程都受到IDPS監視,以識別任何形式的攻擊流量。
範例辨識項指導方針:應透過螢幕快照提供辨識項,以示範所有輸入流量流量都會受到監視。 這可以使用 NextGen 防火牆,顯示所有傳入規則都已針對 IDPS 啟用,或是透過使用 IDPS 感測器並示範所有流量已設定為連線到 IDPS 感測器的方式。
範例辨識項:此螢幕快照顯示已在所有 WatchGuard 防火牆的規則上設定 IDPS, (原則) 。
控件 54:提供可辨識的辨識項,證明 IDPS 已設定為監視所有輸出流量。
意圖:如先前所討論,IDPS 會監視所有輸出流量,以識別任何形式的攻擊流量。 某些 IDPS 系統也可以藉由監視所有輸出流量來識別潛在的內部缺口。 這可以藉由識別目的地為「命令和控制」端點的流量來完成。
範例辨識項指導方針:應透過螢幕快照提供辨識項,以證明所有輸出流量都會受到監視。 這可以使用 NextGen 防火牆,顯示已針對 IDPS 啟用所有傳出規則,或是透過使用 IDPS 感測器,並示範所有流量都已設定為連線到 IDPS 感測器。
範例辨識項:此螢幕快照顯示已在所有 WatchGuard 防火牆的規則上設定 IDPS, (原則) 。
- 範例辨識項 2:Azure 透過第三方應用程式提供 IDPS。 在下列範例中,Netwatcher 封包擷取已用來擷取封包,並與 Suricata 搭配使用,這是 Open-Source IDS 工具。
結合 網路監看員 所提供的封包擷取和開放原始碼 IDS 工具,例如 Suricata,您可以針對各種威脅執行網路入侵偵測。 下圖顯示 Suricata 介面。
簽章可用來觸發警示,而且可以輕鬆地安裝和更新。 下圖顯示一些簽章的快照集。
下圖顯示如何使用 Sentinel SIEM/SOAR 監視 Netwatcher 和 Suricata 第三方軟體的 IDPS 設定。
- 範例辨識項 3:下圖顯示如何使用 CLI 新增入侵檢測的覆寫簽章或略過規則
下圖顯示如何使用 CLI 列出所有入侵檢測組態
- 範例辨識項 4:Azure 最近開始提供名為 Azure 防火牆 Premium 的 IDPS,可允許透過原則設定 TLS、威脅情報、IDPS,不過請注意,您仍然需要使用 Front Door 或應用程式網關來卸除輸入流量,因為 Azure 防火牆 Premium 不支援輸入 SSL 連線上的 IDPS。
在下列範例中,已使用預設進階設定來設定原則規則和 TLS 檢查、IDPS 模式、威脅情報,這些設定都已與 Vnet 的保護一起啟用。
安全性事件記錄
安全性事件記錄是組織安全性計劃不可或缺的一部分。 足夠的安全性事件記錄,加上已調整的警示和檢閱程式,可協助組織識別組織可用來增強安全性和防禦性安全性策略的缺口或嘗試入侵。 此外,適當的記錄將會受到組織事件回應功能的危害,而這些功能可以饋送至其他活動,例如能夠精確地識別哪些數據和誰的數據遭到入侵、入侵期間、提供詳細的分析報告給政府機關等等。
控件 55:提供管理安全性事件記錄的最佳做法和程序的原則檔。
意圖:安全性事件記錄是任何組織安全性計劃的重要功能。 必須備妥原則和程式,以提供清楚且一致性,以協助確保組織會根據廠商和業界建議的做法來實作記錄控件。 這有助於確保已取用相關和詳細的記錄,不僅有助於識別潛在或實際的安全性事件,還能協助事件響應活動識別安全性缺口的範圍。
範例辨識項指導方針:提供組織記載的原則和程序檔,其中涵蓋安全性事件記錄的最佳做法。
範例辨識項:以下是記錄原則/程序的擷取。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
控制項 56:提供可辨識的辨識項,以顯示已在所有取樣系統元件上設定安全性事件記錄,以記錄下列事件:
使用者存取系統元件和應用程式
高許可權用戶所採取的所有動作
無效的邏輯存取嘗試
建立或修改特殊許可權帳戶
事件記錄檔竄改
停用安全性工具,例如反惡意代碼或事件記錄
反惡意代碼記錄,例如更新、惡意代碼偵測和掃描失敗
如果已設定,則為IDPS和WAF事件
意圖:若要識別嘗試和實際的缺口,請務必由組成環境的所有系統收集足夠的安全性事件記錄檔。 此控件的目的是要確保擷取正確的安全性事件類型,然後再饋送至檢閱和警示程式,以協助識別和回應這些事件。
範例辨識項指導方針:透過螢幕快照或組態設定的辨識項,應該跨所有取樣的裝置和任何相關性的系統元件提供,以示範如何設定記錄,以保證擷取這些類型的安全性事件。
範例辨識項 1:下列螢幕快照顯示其中一個名為 “VICTIM1-WINDOWS” 的取樣裝置的組態設定。 這些設定會顯示在 [本機安全策略 本機原則 審核策略] 設定內啟用的各種稽核設定。
下一個螢幕快照顯示使用者已從其中一個名為 「VICTIM1-WINDOWS」 的取樣裝置清除事件記錄檔的事件。
最後一個螢幕快照顯示記錄訊息出現在集中式記錄解決方案內。
注意:所有取樣的系統元件都需要螢幕快照 ,而且必須 證明上述所有安全性事件。
控件 57:提供可辨識的辨識項,指出記錄的安全性事件包含下列最小資訊:
使用者
事件類型
日期和時間
成功或失敗指標
識別受影響系統的標籤
意圖:記錄的安全性事件需要提供足夠的資訊,以協助判斷攻擊流量是否成功、已存取哪些資訊、何種層級、誰負責、其來源等等。
範例辨識項指導方針:辨識項應顯示來自所有系統元件的記錄範例,其中顯示這些類型的安全性事件。 記錄應該包含上面所列的所有資訊。
範例辨識項:下列螢幕快照顯示來自範圍內系統元件 “SEGSVR02” 之 Windows 事件檢視器 內安全性事件的資訊。
注意:所有取樣的系統元件都需要螢幕快照 ,而且必須 證明上述控件中詳述的所有安全性事件。 針對上述控件所收集的辨識項可能也會滿足此控件,並提供記錄資訊的適當詳細數據。
控件 58:提供可辨識的辨識項,證明所有取樣的系統元件都會時間同步處理到相同的主要和輔助伺服器。
意圖:記錄的重要元件是確保所有系統的記錄都具有同步的系統時鐘。當需要調查以追蹤入侵和/或數據外泄時,這一點很重要。 如果記錄有不同時間戳,因為可能會遺漏重要的記錄,而且難以追蹤,則透過各種系統追蹤事件可能變得幾乎不可能。
範例辨識項指導方針:在理想的情況下,應該維護時間同步處理拓撲,以顯示如何跨資產同步處理時間。 接著,您可以透過跨取樣系統元件的時間同步處理設定螢幕快照來提供辨識項。 這應該會顯示所有時間同步處理都是到相同的主要 (,或是就地同步處理次要) 伺服器。
範例辨識項:此圖表顯示使用中的時間同步處理拓撲。
下一個螢幕快照顯示已設定為NTP伺服器的 WatchGuard,並指向 time.windows.com 作為時間來源。
最後一個螢幕快照顯示範圍內系統元件 「CLARANET-SBU-WM」 已設定為 NTP 指向主伺服器,也就是 WatchGuard 防火牆 (10.0.1.1) 。
控件 59:當公開的系統正在使用時,提供可辨識的辨識項,安全性事件記錄檔會傳送至不在周邊網路內的集中式記錄解決方案。
意圖:此控件的目的是要確保 DMZ 與記錄端點之間的邏輯或實體區隔。 當 DMZ 公開時,這會公開給外部活動群組,因此比環境內的其他元件有更大的風險。 如果 DMZ 元件遭到入侵,就必須維護記錄數據的完整性,不僅要防止活動群組竄改記錄來隱藏入侵,也要協助進行任何可能需要的鑑識調查工作。 藉由記錄到 DMZ 外部的系統,用來限制從 DMZ 到這些安全性系統的流量的安全性控制應該有助於保護它們免於遭受惡意活動和竄改嘗試。
範例辨識項指導方針:應該提供辨識項與螢幕快照或組態設定,示範記錄已設定為立即 (或接近,) 傳送至 DMZ 外部的集中式記錄解決方案。 我們正在尋找近乎即時的記錄傳送,因為將記錄傳送至集中式記錄解決方案所需的時間越長,處理動作專案在出貨之前就必須竄改本機記錄的時間就越多。
範例辨識項:Contoso DMZ 系統會利用 NXLog 來傳送記錄檔。 下列螢幕快照顯示在用來管理所有 DMZ 伺服器的 “DESKTOP-7S65PN” DMZ Jumpbox 上執行的 'nxlog' 服務。
下列螢幕快照顯示從 nxlog.conf 檔案擷取,其中顯示目的地是 10.0.1.250 上應用程式子網內的內部記錄收集器,用來寄送至要運送至的要件。
下列 NXLog (URL) https://nxlog.co/documentation/nxlog-user-guide/modes.html 顯示記錄傳送是透過下列擷取即時傳送:
控件 60:提供可辨識的辨識項,以顯示集中式記錄解決方案受到保護,以防止未經授權的記錄數據遭到竄改。
意圖:雖然記錄裝置與集中式記錄解決方案之間通常會有邏輯/實體區隔,但仍有可能會有人嘗試竄改記錄來隱藏其活動的風險。 此控制項的目的是要確保有足夠的授權機制,以限制可對集中式記錄解決方案執行系統管理動作的用戶數目。
範例辨識項指導方針:辨識項通常會顯示螢幕快照,其中顯示集中式記錄解決方案的授權和驗證組態,示範使用者僅限於其作業角色/函式所需的使用者。
範例辨識項:Contoso 外包的 SOC 會利用 MarketplaceVault 作為集中式 SIEM 工具。 在 2018 年,At&T 已購買一次,而 UsM Anywhere 現在已購買該版本。 下列網頁 (https://cybersecurity.att.com/documentation/usm-anywhere/deployment-guide/admin/usm-anywhere-data-security.htm) 討論 USM Anywhere 如何保護數據免於未經授權的竄改。 下列連結 (https://cybersecurity.att.com/documentation/usm-appliance/raw-logs/raw-log-management.htm) 會醒目提示 USM Anywhere 產品如何確保封存記錄的完整性。
注意: 如果 SIEM 是內部的,則必須提供辨識項,以證明記錄數據的存取權會根據其作業需求限制為選取的用戶數目,而且平臺本身會受到保護,以防止遭到竄改 (大部分解決方案都會將此數據建置到記錄解決方案) 的功能中。
控件 61:提供至少 30 天安全性事件記錄數據立即可用的可辨識證據,並保留 90 天的安全性事件記錄檔。
意圖:有時候,入侵或安全性事件與識別事件的組織之間會有時間差異。 此控件的目的是要確保組織能夠存取歷史事件數據,以協助處理事件回應和可能需要的任何鑑識調查工作。
範例辨識項指導方針:辨識項通常會顯示集中式記錄解決方案的組態設定,以顯示數據保留的時間長度。 30 天的安全性事件記錄數據需要立即在解決方案中提供,不過,在封存數據的情況下,這必須證明有 90 天的可用時間。 這可能是透過顯示具有匯出數據日期的封存資料夾。
範例辨識項 1:下列螢幕快照顯示,有 30 天的記錄可在一起,以供在將擷取者Vault 內使用。
注意:因為這是公開的檔,所以防火牆序號已經過修訂,不過,除非它包含個人標識資訊,否則我們不會要求ISV支援任何修訂的螢幕快照。
下一個螢幕快照顯示記錄檔擷取回 5 個月,以顯示可用的記錄。
注意:由於這是公開檔,因此公用IP位址已經過修訂,不過,除非其包含個人標識資訊,否則我們不會要求ISV支援任何修訂的螢幕快照。
- 範例辨識項 2:下列螢幕快照顯示記錄事件會保留 30 天的即時可用時間,以及在 Azure 內的冷記憶體中保留 90 天。
安全性事件記錄檔檢閱
檢閱安全性記錄是協助組織識別安全性事件的重要功能,這些事件可能表示安全性缺口或偵察活動可能表示即將發生的事件。 這可以每天透過手動程式來完成,或是使用 SIEM (安全性資訊和事件管理) 解決方案,藉由分析稽核記錄、尋找可標示為手動檢查的相互關聯和異常,來提供協助。
控件 62:提供控管記錄檢閱做法和程序的原則檔。
意圖:IBM 的「數據外泄成本報告 2020」報告強調,識別和包含數據外泄的平均時間可能需要 280 天,而這會大於惡意活動群組回報為 315 天的缺口。 由於報告的數據外洩平均成本是以數百萬美元為單位,因此,此數據外洩生命周期必須降低,不僅可將數據的曝光時間降到最低,還能減少活動群組必須從環境中外流數據的時間範圍。 藉由減少此時間範圍,組織可以降低數據外泄的整體成本。
藉由實作健全的檢閱和警示程式,組織更有能力在數據外泄生命週期中更快識別缺口,以將其對組織的影響降到最低。 此外,強式程式可能有助於識別入侵嘗試,讓組織能夠加強安全性防禦機制,以減輕此增加的威脅,進一步降低攻擊活動入侵的機會。
範例辨識項指導方針:提供涵蓋記錄檢閱最佳做法的組織記載的原則和程序檔。
範例辨識項:以下是從記錄檢閱原則/程序擷取。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
控件 63:提供可辨識的辨識項,讓人類或自動化工具每天檢閱記錄,以識別潛在的安全性事件。
意圖:此控件的目的是要確保執行每日記錄檢閱。這對於識別設定為提供安全性事件警示的警示腳本/查詢可能無法挑選的任何異常狀況非常重要。
範例辨識項指導方針:辨識項通常會由螢幕快照或屏幕共用提供,以示範正在進行記錄檢閱。 這可能是透過每天完成的窗體,或是透過張貼相關批注的 JIRA 或 DevOps 票證來顯示每天執行此作業。 例如,每周 JIRA 票證可能會建立「每日記錄檢閱 W/C 26th 2021 年 6 月」,每天有人張貼每日記錄檢閱的結果。 如果標幟了任何異常,這可以記載在此相同的票證內,以示範單一 JIRA 中的下一個控件。
如果使用自動化工具,則可以提供螢幕快照辨識項來示範已設定的自動化,並提供其他辨識項來顯示自動化正在執行,而有人正在檢閱自動化輸出。
範例辨識項:Contoso 利用第三方 SOC 提供者 Claranet 網路安全性,進行記錄相互關聯和檢閱。 SoC 提供者會使用一個要突顯潛在安全性事件的異常記錄和鏈結事件自動化記錄分析功能。 下列三個螢幕快照顯示在要說的Vault 內的相互關聯規則。
第一個螢幕快照會識別使用者已新增至「網域系統管理員」群組的位置。
下一個螢幕快照會識別多個失敗的登入嘗試之後,接著成功登入的位置,這可能會醒目提示成功的暴力密碼破解攻擊。
此最終螢幕快照會識別密碼原則變更發生的位置,以設定原則,讓帳戶密碼不會過期。
下一個螢幕快照顯示在SOC的ServiceNow工具內自動引發票證,並觸發上述規則。
控件 64:提供可辨識的辨識項,證明可能的安全性事件和異常狀況會受到調查和補救。
意圖:目的是要調查每日記錄檢閱程式期間所識別的任何異常狀況,並執行適當的補救或動作。這通常牽涉到分級程式,以識別異常是否需要採取動作,然後可能需要叫用事件回應程式。
範例辨識項指導方針:應該提供辨識項的螢幕快照,以示範在每日記錄檢閱中識別為一部分的異常狀況會被追蹤。 如上所述,這可能是透過 JIRA 票證顯示異常被標幟,然後詳細說明之後執行的活動。 這可能會提示引發特定的 JIRA 票證,以追蹤正在執行的所有活動,或者可能只是記錄在每日記錄檢閱票證內。 如果需要事件回應動作,則應該將此記錄為事件回應程式的一部分,並提供辨識項來證明這一點。
範例辨識項:下列螢幕快照範例顯示 Claranet 網路安全性 MDR (Managed Detection and Response) SOC 在 ServiceNow 中追蹤的安全性警示。
下一個螢幕快照顯示此問題已由 David Ashton @ Contoso 透過 ServiceNow 客戶入口網站內的更新來解決。
安全性事件警示
必須立即調查重大安全性事件,以將對數據和作業環境的影響降到最低。 警示有助於立即向員工強調潛在的安全性缺口,以確保及時回應,讓組織可以儘快包含安全性事件。 藉由確保警示能夠有效運作,組織可以將安全性缺口的影響降到最低,因而降低嚴重外泄的機會,而嚴重缺口可能會損害組織品牌,並因罰款和信譽損害而造成財務損失。
控件 65:提供管理安全性事件警示做法和程序的原則檔。
意圖:警示應該用於需要組織立即回應的重要安全性事件,因為事件可能表示環境缺口和/或數據外洩。 應記錄警示程式的強式程式,以確保以一致且可重複的方式執行。 這有助於減少「數據外泄生命週期」時間軸。
範例辨識項指導方針:提供組織記載的原則和程序檔,其中涵蓋安全性事件警示的最佳做法。
範例辨識項:以下是從安全性事件警示原則/程序擷取。 請提供完整的原則和程序檔,以支援您的評量。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
控制項 66:提供可辨識的辨識項,以針對下列類型的安全性事件立即分級觸發警示:
特殊許可權帳戶建立或修改
病毒或惡意代碼事件
事件記錄檔竄改
如果已設定,則為IDPS或WAF事件
意圖:上述是某些安全性事件類型的清單,這些事件可能會醒目提示已發生的安全性事件,而事件可能指向環境缺口和/或數據外泄。
範例辨識項指導方針:應該提供辨識項,其中包含警示設定的螢幕快照 ,以及 所收到警示的辨識項。 組態螢幕快照應該會顯示觸發警示的邏輯,以及警示的傳送方式。 警示可以透過SMS、Email、Teams頻道、Slack頻道等來傳送。
範例辨識項:Contoso 利用 Claranet 網路安全性所提供的第三方 SOC。 下列範例顯示 SOC 所使用之將要在將警示傳送給 SOC 小組成員 Dan 在 Claranet 網路安全性上,以在一般Vault 內發出警示。
下一個螢幕快照顯示 Dan 正在接收的警示。
控件 67:提供可辨識的辨識項,顯示員工一律可以全天、每天地回應安全性警示。
- 意圖:請務必儘快分級安全性警示,以限制暴露於環境和/或數據。 如果發現缺口,員工必須隨時可以回應警示,並提供重要的調查工作。 此程序啟動的速度會更快,可包含安全性事件來保護數據或限制缺口的影響。
- 範例辨識項指導方針:應該提供辨識項,以示範員工每天 24 小時可用來回應安全性警示。 這可能是隨選漫遊。
- 範例辨識項:下列螢幕快照顯示 Contoso 2020 年 12 月的通話漫遊。 Claranet 網路安全性 SOC 小組會警示 Contoso 待命小組的成員。
資訊安全性風險管理
資訊安全性風險管理是所有組織至少每年應執行的重要活動。 組織必須瞭解其威脅和風險,才能有效地降低這些威脅。 如果沒有有效的風險管理,組織可能會在認為重要的區域中實作安全性最佳做法,因而在這些領域投資資源、時間和金錢,因為其他威脅更可能,因此應該降低風險。 有效的風險管理可協助組織專注於對企業造成最大威脅的風險。 這應該每年執行一次,因為安全性環境不斷改變,因此威脅和風險可能會隨著加班而改變。 COVID-19 可看到這種情況的一個很好的範例,其發現網路釣魚攻擊大幅增加,大量 (和快速) 數百或數千名工作者的遠端工作推出。
控件 68:提供正式資訊安全性風險管理程式已建立的可辨識證據。
- 意圖:如上所述,健全的信息安全性風險管理程序對於協助組織有效地管理風險非常重要。 這可協助組織針對環境的威脅規劃有效的風險降低措施。
風險評估必須包含資訊安全性風險,而不只是一般「商務」風險。
- 範例辨識項指導方針:應提供正式記載的風險評估管理程式。
- 範例辨識項:下列辨識項是 Contoso 風險評估程式的螢幕快照。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
控件 69:提供可辨識的辨識項,證明每年至少會進行正式的風險評估。
意圖:安全性威脅會根據環境的變更、所提供服務的變更、外部影響、安全性威脅環境的演進等而持續變更。組織至少需要每年進行此程式。 建議也會在重大變更時執行此程式,因為威脅可能會變更。
範例辨識項指導方針:辨識項可能是透過版本追蹤或過時的辨識項。 應該提供辨識項,以顯示資訊安全性風險評估的輸出,以及資訊安全性風險評估程式本身的 NOT 日期。
範例辨識項:此螢幕快照顯示每六個月排定一次風險評估會議。
這兩個螢幕快照顯示兩個風險評估會議的會議分鐘數。
控件 70:提供資訊安全性風險評估包含威脅、弱點或對等專案的可辨識證據。
- 意圖:應針對環境和數據的威脅,以及針對可能存在的弱點執行資訊安全性風險評估。 這可協助組織識別可能造成重大風險的眾多威脅/弱點。
- 範例辨識項指導方針:辨識項不僅應透過已提供的資訊安全性風險評估程式提供,也應透過風險緩存器/風險處理計劃) 來提供風險評估 (輸出,其中應包含風險和弱點。
- 範例辨識項:下列螢幕快照顯示風險緩存器,其中顯示包含威脅和弱點。
注意: 應提供完整的風險評估檔,而不是螢幕快照。
控件 71:提供資訊安全性風險評估包含影響、可能性風險矩陣或對等專案的可辨識辨識項。
- 意圖:資訊安全性風險評估應該記錄影響和可能性分級。 這些矩陣通常用來協助識別風險值,組織可以使用此值來排定風險處理的優先順序,以協助降低風險值。
- 範例辨識項指導方針:辨識項不僅應透過已提供的資訊安全性風險評估程式提供,也應透過風險緩存器/風險處理計劃) 來提供風險評估 (輸出,其中應包含影響和可能性分級。
- 範例辨識項:下列螢幕快照顯示風險緩存器,其中顯示包含影響和可能性。
注意: 應提供完整風險assessment_ _document__ation,而不是螢幕快照。
控件 72:提供可辨識的資訊安全性風險評估包含風險緩存器和處理計劃的證據。
- 意圖:組織需要有效地管理風險。 這必須正確追蹤,才能提供所套用四種風險風險之一的記錄。 風險解決方式如下:
- 避免/終止 :企業可能會判斷處理風險的成本大於從服務產生的營收。 因此,企業可能會選擇停止執行服務。
- 轉移/共享 :企業可選擇將處理移至第三方,以將風險轉移給第三方。
- 接受/容許/保留 :企業可能會決定可接受的風險。 這非常取決於企業的風險偏好,而且可能會因組織而異。
- 處理/緩和/修改 :企業決定實作風險降低控制措施,以將風險降低到可接受的層級。
- 此控件的目的是要確保組織正在執行風險評估,並據此採取行動。
- 範例辨識項指導方針:風險處理計劃/風險緩存器 (或一些對等) 應提供,以證明風險評估程式正在正確執行。
- 範例辨識項:以下是 Contoso 的風險緩存器。
注意: 應提供完整的風險評估檔,而不是螢幕快照。
下列螢幕快照示範風險處理計劃。
安全性事件回應
安全性事件回應對所有組織都很重要,因為這樣可以減少組織在包含安全性事件所花費的時間,並限制組織暴露於數據外泄的程度。 藉由開發完整且詳細的安全性事件回應計劃,可以將此暴露程度從識別時間縮短為內含項目的時間。
IBM 的「數據外泄成本報告 2020」報告強調,平均而言,包含缺口所花費的時間為 73 天。 此外,相同的報告會識別發生缺口的組織最大的成本節省,也就是事件響應準備,提供平均 $2,000,000 成本節省。
組織應該遵循使用業界標準架構的安全性合規性最佳做法,例如 ISO 27001、NIST、SOC 2、PCI DSS 等。
控件 73:提供安全性事件回應計劃 (IRP) 。
- 意圖:如先前所討論,此控件的目的是需要正式記載的事件回應計劃。 這有助於管理更有效率的安全性事件回應,最終可能會限制組織的數據遺失暴露,並降低入侵的成本。
- 範例辨識項指導方針:提供事件回應計劃/程式的完整版本。 這應該包含下一個控件所涵蓋的已記載通訊程式。
- 範例辨識項:下列螢幕快照顯示 Contoso 事件回應計劃的開頭。 在提交辨識項時,您必須提供整個事件響應計劃。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
控件 74:提供可辨識的辨識項,證明安全性 IRP 包含記載的通訊程式,以確保及時通知重要項目關係人,例如付款品牌和取得者、監管機構、監管機關、主管和客戶。
- 意圖:組織可能根據其在 (中運作的國家/國家/地區,例如一般數據保護規定;GDPR) ,或根據所提供的功能 (例如,如果付款數據) 處理,則為PCI DSS。 及時通知失敗可能會造成嚴重的後果,因此為了確保符合通知義務,事件回應計劃應包含通訊程式,包括與所有項目關係人、媒體通訊程式以及誰可以和誰可以和誰無法與媒體溝通。
- 範例辨識項指導方針:提供事件回應計劃/程式的完整版本,其中應包含涵蓋通訊程序的區段。
- 範例辨識項:下列螢幕快照顯示事件響應計劃的擷取,其中顯示通訊程式。
控件 75:提供可辨識的辨識項,證明事件回應小組的所有成員都已完成年度訓練或表格熱門練習。
意圖:如先前所述,組織包含入侵所需的時間越長、數據外泄的風險越大,可能會導致大量外泄的數據,以及入侵的整體成本愈高。 組織的事件回應小組必須具備及時回應安全性事件的能力。 藉由進行定期訓練並執行桌面練習,這可讓小組快速且有效率地處理安全性事件。
建議為事件回應小組執行這兩個內部事件回應訓練, 並 執行定期的表格式練習,這應該連結至資訊安全性風險評估,以識別最有可能發生的安全性事件。 如此一來,小組就會知道要採取哪些步驟來快速包含和調查最可能的安全性事件。
範例辨識項指導方針:應該提供辨識項,以示範已透過共用訓練內容來進行訓練,以及顯示誰參與 (應包含所有事件回應小組) 的記錄。 或者,或也顯示已執行表格式練習的記錄。這一切必須在提交辨識項的 12 個月期間內完成。
範例辨識項:Contoso 使用名為 Claranet 網路安全性的外部安全性公司,執行事件回應表格式練習。 以下是當做顧問一部分產生的報表範例。
注意: 必須共用完整報表。 此練習也可以在內部執行,因為第三方公司不需要執行此練習。
控件 76:提供可辨識的辨識項,以根據所學到的經驗或組織變更來顯示安全性 IRP 已更新。
意圖:經過一段時間后,事件回應計劃 (IRP) 應該根據組織變更或根據制定 IRP 時所學到的經驗而演進。 作業環境的變更可能需要變更 IRP,因為威脅可能會變更,或法規需求可能會變更。 此外,當執行桌面練習和實際的安全性事件回應時,這通常可以識別可以改善的 IRP 區域。 這必須內建在計劃中,而此控件的目的是要確保此程式包含在 IRP 中。
範例辨識項指導方針:這通常會藉由檢閱安全性事件或表格式練習的結果來辨識,其中已識別所學到的課程,並在 IRP 的更新中產生這些經驗。 IRP 應該維護變更記錄,這也應該參考根據所學到的課程或組織變更實作的變更。
範例辨識項:下列螢幕快照來自提供的 IRP,其中包含根據所學課程和/或組織變更更新 IRP 的區段。
IRP 變更記錄會顯示在 2021 年 7 月執行的表格式練習後方進行更新。
安全性網域:數據處理安全性和隱私權
此安全性網域包含在內,以確保從 Microsoft 365 取用的任何數據在傳輸中和待用時都會受到充分保護。 此網域也可確保ISV符合 (數據主體) 隱私權考慮的取用者,符合與歐盟公民隱私權有關的一般數據保護規定 (GDPR) 。
傳輸中的數據
由於 Microsoft 365 開發的應用程式/載入宏的連線需求,通訊會透過公用網路進行,也就是因特網。 基於這個理由,傳輸中的數據必須適當地受到保護。 本節涵蓋透過因特網的數據通訊保護。
控件 1:提供 TLS 組態符合或超過 TLS 配置檔設定需求內加密需求的可辨識辨識項。
意圖:此控件的目的是要確保組織所取用的 Microsoft 365 數據會安全地傳輸。 TLS 配置檔組態會定義 TLS 特定需求,以協助確保流量安全地抵禦攔截式攻擊。
範例辨識項指導方針:最簡單的方式就是對所有 Web 接聽程式執行 Qualys SSL Server 測試工具,包括在非標準埠上執行的任何工具。
請記得勾選 [不要在面板上顯示結果] 選項,這會阻止 URL 新增至網站。
您也可以提供辨識項來示範 TLS 配置檔組態需求內的個別檢查。 組態設定可以連同腳本和軟體工具一起使用,以協助提供一些特定設定的辨識項,也就是 TLS 壓縮已停用。
範例辨識項:下列螢幕快照顯示 www.clara.net:443 Web 接聽程序的結果。
注意:認證分析師會檢閱完整輸出,確認符合 TLS 配置檔設定需求的所有需求 (請提供完整掃描輸出) 的螢幕快照。 Depending_已 提供_what辨識 項,分析師可能會執行自己的Qualys掃描。
- 範例辨識項 2:下列螢幕快照顯示已在記憶體上設定 TLS 1.2。
注意: 此螢幕快照本身無法滿足此需求。
- 範例辨識項 3:下列螢幕快照顯示僅在伺服器上啟用 TLS V1.3。
此範例會使用登錄機碼,藉由調整值來停用或啟用通訊協定,如下所示:
二進位:0 - 關閉 1 - 開啟
十六進位:0x00000000 - 關閉 0xffffffff - 開啟
請注意 : - 如果您不瞭解此方法,請勿使用此方法,因為我們 (Microsoft) 不負責您使用或遵循此範例,或其使用方式可能對您的系統造成任何影響。 此處只是說明另一種顯示 TLS 是否已啟用或停用的方式。
注意:這些螢幕快照本身無法滿足這項需求。
控件 2:提供可辨識的辨識項,證明所有處理 Web 要求的公開服務都會停用 TLS 壓縮。
意圖:有特定的 TLS 弱點,即 (CVE-2012-4929) ,這會影響 TLS 壓縮。 因此,業界建議您關閉這項功能。
範例辨識項指導方針:這可以是Qualys SSL Labs 工具的辨識項。
範例辨識項:下列螢幕快照透過Qualys SSL Labs 工具顯示此專案。
控件 3:提供可辨識的辨識項,證明 TLS HTTP 嚴格傳輸安全性已啟用並 >設定為 = 跨所有網站 15552000。
意圖:HTTP Strict Transport Security (HSTS) 是一種安全性機制,其設計目的是透過名為 “Strict-Transport-Security” 的 HTTPS 回應標頭字段強制執行 TLS 連線,以保護網站免於攔截式攻擊。
範例辨識項指導方針:這可以是Qualys SSL Labs 工具或其他工具和網頁瀏覽器載入宏的辨識項。
範例辨識項:下列螢幕快照會透過名為 'HTTP Header Spy' 的網頁瀏覽器載入宏顯示 www.microsoft.com 網站。
待用數據
當ISV儲存從 Microsoft 365 平台取用的數據時,必須適當地保護數據。 本節涵蓋儲存在資料庫和檔案存放區中之數據的保護需求。
控件 4:提供可辨識的辨識項,證明待用數據會與加密配置檔需求內嵌加密,使用 AES、大滑鼠、TDES 等加密演算法,以及 128 位和 256 位的加密密鑰大小。
意圖:某些較舊的加密演算法已知包含一些密碼編譯弱點,這會增加活動群組在不知道密鑰的情況下能夠解密數據的機會。 基於這個理由,此控件的目的是要確保只會使用業界接受的加密演算法來保護儲存的 Microsoft 365 數據。
範例辨識項指導方針:您可以透過螢幕快照提供辨識項,其中顯示用來保護資料庫和其他儲存位置內 Microsoft 365 數據的加密。 證據應該會示範加密設定符合 Microsoft 365 認證的 加密配置檔設定需求 。
範例辨識項:下列螢幕快照顯示已在 Contoso 資料庫上啟用 TDE (透明數據加密) 。 第二個螢幕快照顯示 Microsoft 檔頁面「適用於 SQL Database、SQL 受管理執行個體 和 Azure Synapse Analytics 的透明數據加密」,其中顯示 AES 256 加密用於 Azure TDE。
- 範例辨識項 2:下列螢幕快照顯示已設定 Blob 和檔案加密的 Azure 記憶體。 下列螢幕快照顯示 Microsoft Docs 頁面「待用數據的 Azure 記憶體加密」,其中顯示 Azure 記憶體使用 AES-256 進行加密。
控件 5:提供哈希函式或訊息驗證 (HMAC-SHA1) 僅用來保護具有加密配置檔需求的待用數據。
意圖:如同加密演算法,某些哈希函式和訊息驗證演算法是以具有密碼編譯弱點的演算法為基礎。 此控件的目的是要確保 Microsoft 365 數據在使用哈希做為數據保護機制時,會受到強式哈希函式的保護。 如果環境和/或應用程式未使用此專案,則必須提供可進行確認的辨識項。
範例辨識項指導方針:辨識項的格式可能是螢幕快照,其中顯示哈希函數運作所在的代碼段。
範例辨識項:Contoso 會利用其應用程式內的哈希功能。 下列螢幕快照示範 SHA256 是哈希函式的一部分。
控件 6:提供所有預存數據的清查,包括用來保護資料的儲存位置和加密。
意圖:若要適當地保護數據,組織必須知道其環境/系統正在取用哪些數據,以及數據的儲存位置。 完全瞭解並記載之後,組織不僅能夠實作適當的數據保護,還能夠合併數據所在的位置,以更有效率地實作保護。 此外,當數據儘可能合併到最少的位置時,更容易實作適當的角色型訪問控制 (角色型訪問控制) ,以視需要限制對少數員工的存取。
範例辨識項指導方針:辨識項應透過檔或從內部系統匯出的方式提供,也就是 SharePoint 或 Confluence,詳細說明所有耗用的數據、所有儲存位置,以及實作的加密層級。
範例辨識項:下列螢幕快照顯示顯示數據類型的文件外觀範例。
數據保留和處置
當ISV取用和儲存 Microsoft 365 數據時,如果活動群組危害ISV環境,就會有數據洩露的風險。 若要將此風險降到最低,組織應該只保留傳遞服務所需的數據,而不是未來可能使用的資料。 此外,只有在需要提供擷取數據的服務時,才應該保留數據。 應該定義數據保留期,並與用戶通訊。 一旦數據超過定義的保留期間,就必須安全地刪除此專案,才能重新建構或復原數據。
控件 7:提供可辨識的辨識項,證明已正式建立已核准和記載的數據保留期間。
意圖:記載並遵循的保留原則不僅對於符合某些法律義務很重要,例如數據隱私權法規,例如,但不限於歐盟GDPR (一般數據保護法規) 和數據保護法 (英國 DPA 2018) ,也是為了限制組織風險。 藉由瞭解組織的數據需求,以及企業執行其功能所需的數據長度,組織可以確保數據在使用性到期時會正確處置。 藉由減少儲存的數據量,組織會減少在發生數據洩露時所公開的數據量。 這會限制整體影響。
組織通常只會因為「只在案例中擁有」數據而儲存數據,不過,如果組織不需要數據來執行其服務或商務功能,就不應該儲存數據,因為這會不必要地增加組織的風險。
範例辨識項指導方針:提供完整數據保留原則,其中清楚詳述數據 (必須涵蓋所有數據類型的時間長度) 應保留,讓企業可以執行其商務功能。
範例辨識項:下列螢幕快照顯示 Contoso 的數據保留原則。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
控件 8:提供可辨識的辨識項,讓保留的數據符合定義的保留期間。
意圖:此控件的目的是要只驗證是否符合定義的數據保留期間。 如先前所述,組織可能具有符合此條件的法律義務,但也會保留必要的數據,而且只要必要,有助於降低發生數據外泄時對組織的風險。
範例辨識項指導方針:提供螢幕快照辨識項 (或透過螢幕共用) 顯示儲存的數據 (在所有不同的數據位置,也就是資料庫、檔案共用、封存等,) 不會超過定義的數據保留原則。 範例可能是具有日期欄位、以最舊記錄順序搜尋的資料庫記錄螢幕快照,以及/或檔案儲存位置的螢幕快照,其中顯示保留期間內的時間戳。
注意: 您應該在螢幕快照中修訂任何個人/敏感性客戶數據。
- 範例辨識項:下列辨識項顯示 SQL 查詢,其中顯示在 『DATE_TRANSACTION』 欄位上以遞增順序排序的資料庫數據表內容,以顯示資料庫內最舊的記錄。 此數據應為兩個月,且不會超過所定義的保留期間。
注意: 這是測試資料庫,因此其中沒有很多歷程記錄數據。
控件 9:提供可辨識的辨識項,讓進程在保留期間之後安全地刪除數據。
意圖:此控件的目的是要確保用來刪除超過保留期間之數據的機制會安全地執行此動作。 刪除的數據有時可以復原;因此,刪除程式必須夠強固,以確保數據在刪除後無法復原。
範例辨識項指導方針:如果刪除程式是以程序設計方式完成,則提供用來執行此動作之腳本的螢幕快照。 如果是依排程執行,請提供顯示排程的螢幕快照。 例如,刪除檔案共享內檔案的腳本可能會設定為CRON作業、顯示執行排程和腳本的CRON作業螢幕快照,並提供顯示所使用命令的腳本。
範例辨識項 1:這是一個簡單的腳本,可用來刪除根據日期保留的所有數據記錄 -WHERE DateAdd 為 -30 天,這會清除超過所選數據保留日期 30 天的所有保留記錄。 請注意,我們需要腳本,但也需要執行中作業和結果的辨識項。
- 範例辨識項 2:下列是取自控件 7 中的 Contoso 數據保留計劃 – 這會顯示用於數據解構的程式。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
- 範例辨識項 3:在此範例中,已在 Azure 中建立 Runbook 和對應的排程,以安全地刪除在數據記錄保留原則到期后的 30 天內建立結束日期的記錄。 此作業設定為在每個月的最後一天執行一次。
下列窗口顯示 Runbook 已編輯以尋找記錄,且具有不在檢視中的刪除命令,例如腳本。 請注意,這些螢幕快照的完整 URL 和使用者名稱必須位於檢視中,而且 ISV 必須在刪除記錄計數之前顯示 的螢幕快照,以及刪除記錄計數之後的螢幕快照。 這些螢幕快照純粹是不同方法的範例。
數據存取管理
數據存取需要視需要限制為最少的人員,以降低數據遭到惡意或意外入侵的機會。 數據和加密密鑰的存取權應限於具有合法商務存取權的使用者,才能履行其作業角色。 這應該妥善記載,而且應該實作要求存取權的完善程式。 存取數據和加密金鑰應遵循最低許可權原則。
Control 10:P rovide a list of all individuals with access to data or encryption keys, including the business justification.
意圖:組織應盡可能將數據和加密密鑰的存取限制為最少的員工。 此控件的目的是要確保員工對數據和/或加密密鑰的存取權僅限於對上述存取有明確商務需求的員工。
範例辨識項指導方針:內部系統的檔或螢幕快照,其中記載具有數據和/或加密密鑰存取權的所有員工,以及為何應提供這些人員存取權的商業理由。 認證分析師會使用這份清單來取樣下一個控件的使用者。
範例辨識項:下列文件顯示具有數據存取權和業務理由的已記載用戶清單。
控件 11:提供可辨識的辨識項,證明已正式核准可存取數據或加密密鑰的取樣人員,詳述其作業功能所需的許可權。
意圖:授與數據和/或加密密鑰存取權的程式必須包含核准,以確保個人的作業功能需要存取權。 這可確保沒有實際存取理由的員工不會獲得不必要的存取權。
範例辨識項指導方針:一般而言,為上一個控件提供的辨識項有助於支援此控件。 如果提供的文件沒有正式核准,則辨識項可能包含針對 Azure DevOps 或 Jira 等工具內的存取提出和核准的變更要求。
範例辨識項:這組影像顯示在控件 10 中為上述清單建立並核准的 Jira Tickets,以授與或拒絕存取敏感數據和/或加密密鑰。
此影像示範已在 Jira 中建立要求,以取得系統後端環境中加密密鑰的 Sam Daily 核准。 這是在下一個步驟中完成,以控制已取得書面授權的上述 10 個。
這會顯示 Jon Smith 已核准授與 Sam Daily 存取權的要求,該人員來自管理,可在控件 10 中看到。 (請注意,核准必須來自具有足夠授權才能允許變更要求的人員,不能是另一個開發人員) 。
上述顯示 Jira 中此程式的工作流程,請注意,除非已通過自動化的核准程式,因此無法傳遞任何專案,否則無法將任何專案新增為 「完成」。
上述專案面板現在顯示已核准 Sam Daily 的加密金鑰存取權。 待辦專案下方顯示 Sam Daily 的要求核准,以及指派來執行工作的人員。
若要符合此控件的需求,您必須顯示所有這些螢幕快照或類似的說明,以示範您已符合控件需求。
- 範例辨識項 2:在下列範例中,已要求使用者存取生產資料庫的系統管理員存取權和完整控制許可權。 要求已傳送以供核准,如影像右側所示,且已核准,如您在左側所見。
您可以在上面看到存取權已核准,並已在完成時註銷。
控件 12:提供可辨識的辨識項,證明具有數據或加密密鑰存取權的取樣人員只有核准中包含的許可權。
意圖:此控件的目的是要確認數據和/或加密密鑰存取已根據檔設定。
範例辨識項指導方針:可以透過螢幕快照來提供辨識項,其中顯示授與取樣人員的數據和/或加密密鑰存取許可權。 辨識項必須涵蓋所有資料位置。
範例辨識項:此螢幕快照顯示授與使用者 「John Smith」 的許可權,這些許可權會根據前一個控件的辨識項,針對這個相同使用者的核准要求交叉參考。
控制件 13:提供客戶資料共用的所有第三方清單。
意圖:當第三方用於儲存或處理 Microsoft 365 數據時,這些實體可能會造成重大風險。 組織應該開發良好的第三方盡職調查和管理程式,以確保這些第三方安全地儲存/處理數據,並確保他們遵守可能擁有的任何法律義務,例如 GDPR 下的數據處理者。
組織應該維護與其共享數據的所有第三方清單,以及下列部分或全部:
所提供的服務 () ()
共用的數據
共用數據的原因
密鑰連絡人資訊 (即主要聯繫人、外泄通知連絡人、DPO 等 ) 、
合約續約/到期
法律/合規性義務 (即 GDPR、HIPPA、PCI DSS、FedRamp 等 )
範例辨識項指導方針:提供詳細說明與 Microsoft 365 數據共用 之所有 第三方的檔。
注意: 如果第三方未使用,則必須以撰寫 (電子郵件) 由資深領導小組成員確認。
- 範例辨識項 1
- 範例辨識項 2:此螢幕快照顯示資深領導小組成員的電子郵件範例,確認沒有任何第三方用來處理 Microsoft 365 數據。
控件 14:提供可辨識的辨識項,證明所有取用客戶數據的第三方都有共享協定。
意圖:當 Microsoft 365 數據與第三方共用時,請務必適當且安全地處理數據。 數據共享協議必須已就緒,以確保第三方只會視需要處理數據,並瞭解其安全性義務。 組織安全性只會與最弱的連結一樣強大。 此控件的目的是要確保第三方不會成為組織的弱式連結。
範例辨識項指導方針:與第三方共用已備妥的數據共享協定。
範例辨識項:下列螢幕快照顯示簡單的範例數據共享合約。
注意: 應共用完整合約,而不是螢幕快照。
GDPR
大部分組織都會處理可能是歐洲公民 (數據主體的數據,) 數據。 處理 ANY 數據主體的數據時,組織必須符合一般數據保護規定 (GDPR) 。 這適用於您直接擷取上述資料) 或數據處理器 (您代表數據控制器) 處理此資料 (兩個數據控制器。 雖然本節並未涵蓋整個法規,但它可解決GDPR的一些重要元素,以協助取得組織正在重視GDPR的一些保證。
控件 15: (SAR) 程式提供記載的主體存取要求,並提供證明證明數據主體能夠引發 SAR。
意圖:GDPR 包含處理數據主體數據的組織必須符合的特定義務。 組織管理主體存取要求 (SAR) 的義務包含在文章 12.3 下,會提供數據控制者一個月的 SAR 回條來回應要求。 必要時,允許再延長兩個月。 即使您的組織是做為數據處理者,仍然需要這一點來協助您的客戶 (數據控制器) 履行其 SAR 義務。
範例辨識項指導方針:提供處理 SAR 的記載程式。
範例辨識項:下列範例顯示處理 SAR 的已記載程式。
注意: 此螢幕快照顯示原則/程序檔,預期ISV會共用實際的支持原則/程序檔,而不只是提供螢幕快照。
控件 16:提供可辨識的辨識項,讓您能夠在回應 SAR 時識別數據主體數據的所有位置。
意圖:此控件的目的是要確保組織具備健全的機制來識別所有數據主體的數據。 這可能是手動程式,因為所有數據記憶體都已妥善記載,或者可以使用其他工具來確保所有數據都位於 SAR 程式的一部分。
範例辨識項指導方針:辨識項可透過所有資料位置的清單和文件處理程式來提供,以搜尋所有數據位置的數據。 這會包含任何必要的命令來搜尋數據,也就是說,如果包含 SQL 位置,則會詳細說明特定 SQL 語句,以確保正確找到數據。
範例辨識項:下列螢幕快照是上述SAR程式中的代碼段,其中顯示如何找到數據。
下列四個影像顯示 ISV 數據位置的查詢位置,以及用來向下切入至需要從記憶體移除以符合 SAR 要求之檔案或 Blob 的記憶體總管。
此查詢會確認使用中的記憶體帳戶。 您可以使用 Resource Graph Explorer (Kusto) 或 PowerShell 查詢和移除記憶體、Blob 和/或檔案 (請參閱下) 。
上圖顯示在用戶端的 Blob 容器內找到的數據,該數據需要移除,下圖顯示刪除或虛刪除 Blob 中資訊的動作。
控件 17:提供隱私權注意事項的連結,其中應包含所有必要的元素,如下所示:
公司詳細數據 (名稱、位址等。) 。
詳細說明正在處理的個人資料類型。
詳細說明處理個人資料的合法性。
詳細資料主體的權限:
- 收到通知的許可權
- 數據主體的存取權
- 清除許可權
- 處理許可權
- 數據可移植性、
- 對象的許可權,
- 與自動化決策相關的許可權,包括分析。
詳述個人資料的保留時間長度。
意圖:GDPR 第 13 條包含取得個人資料時必須提供給數據主體的特定資訊。 此控件的目的是要確保組織數據隱私權注意事項會提供數據主體一些包含在文章 13 中的重要資訊。
範例辨識項指導方針:這通常是藉由提供數據隱私權通知來提供。 認證分析師會檢閱此項,以確保控件內提供的所有資訊都包含在數據隱私權通知中。
範例辨識項
上方和相鄰的隱私權注意事項影像顯示包含 GDPR 第 13 條的在線隱私策略範例。
以下是數據保護原則,可與先前顯示的隱私權通知搭配使用。
上述 Azure 影像顯示如何將 Azure 設定為符合儲存在後端環境中之數據的 GDPR 合規性需求。 可從 Azure 藍圖) 自訂或建置的原則 (,可讓 ISV 確保客戶端的數據已正確儲存,而且只有設定的計量和警示才能存取,可確保合規性,並且會在合規性管理員儀錶板上顯示不符合規範的數據或使用者存取權。
書籍
2018 (2018 年) Blue Team 手冊:事件回應版本:網路安全性事件回應程式的壓縮字段指南。 第二版,發行者:CreateSpace Independent Publishing Platform。
參考資料
- 可從下列網站取得詐騙網路犯罪報告: https://www.actionfraud.police.uk/ (於08/02/21) 存取。
- 歐盟。 (2021) 資料控制器的 GDPR 檢查清單: https://gdpr.eu/checklist/ (於 01/02/21) 存取。
- Microsoft. (2018) 事件記錄 (Windows Installer) 可於: (Windows Installer) (存取的事件記錄:23/12/20) 。
- 正技術。 (2020) 如何進行安全軟體開發: https://www.ptsecurity.com/ww-en/analytics/knowledge-base/how-to-approach-secure-software-development/ (存取:21/12/20) 。
- 歐盟 () 2016/679/2016/679 歐盟和 2016 年 4 月 27 日的歐盟委員會關於保護自然人有關處理個人資料和自由移動這類數據的法規,以及發佈指示詞 95/46/EC (一般數據保護規定) (2016 年) (提供 EEA 相關性) 的文字: https://www.legislation.gov.uk/eur/2016/679/contents (存取:2021/11/01) 。
- 安全性計量。 (2020) PCI DSS 合規性安全性計量指南。 適用於: https://info.securitymetrics.com/pci-guide-2020 (存取:01/06/21) 。
- 器 J. OWASP Risk Ranking Available at: https://owasp.org/www-community/OWASP_Risk_Rating_Methodology (Accessed: 08/12/20) 。
- Qualys。 (2014) SSL Labs:信任的新成績 (T) 和不相符 (M) 問題: https://blog.qualys.com/product-tech/2014/06/17/ssl-labs-new-grades-for-trust-t-and-mismatch-m-issues (存取:29/01/21) 。
- NIST SP800-61r2:計算機安全性事件處理指南:https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final (於 201/21) 24 日存取。
從 Microsoft 檔擷取的影像
- https://www.sans.org/information-security-policy/ (於 18/02/21) 存取。 在 16/02/21 (存取中取得 行為分析和異常偵 測) 。 在 什麼是 Azure 監視器警示? (於 17/02/21) 存取。 在 取得行為分析和異常偵 測 (於 22/02/21) 存取。 於 2002/21) 24/02 存取雲端 (Microsoft Defender 中管理及回應安全性警示。 於 2002/21) 24/02 存取雲端 (Microsoft Defender 中管理及回應安全性警示。
- https://microsoft.github.io/AzureTipsAndTricks/blog/tip272.html in What is Azure Information Protection? in Transparent data encryption for SQL Database, SQL Managed Instance, and Azure Synapse Analytics in Quickstart: Create a policy assignment to identify non-compliant resources in Configure Advanced Threat Protection for Azure SQL Database