Microsoft 365 中的攻擊模擬

Microsoft 會持續監視並明確測試租使用者界限中的弱點和弱點，包括監視入侵、許可權違規嘗試和資源耗盡。 我們也會使用多個內部系統持續監視不適當的資源使用率，如果偵測到，則會觸發內建節流。

Microsoft 365 具有持續監視任何失敗的內部監視系統，並在偵測到失敗時驅動自動復原。 Microsoft 365 系統會分析服務行為中的偏差，並起始系統內建的自我修復程式。 Microsoft 365 也使用外部監視，其中監視是從受信任的協力廠商服務 (的多個位置執行，以進行獨立的 SLA 驗證) 和我們自己的資料中心來發出警示。 針對診斷，我們有廣泛的記錄、稽核和追蹤。 細微的追蹤和監視可協助我們找出問題，並執行快速且有效的根本原因分析。

雖然 Microsoft 365 盡可能執行自動化復原動作，但 Microsoft 待命工程師可使用 24x7 來調查所有嚴重性 1 安全性提升，而對每個服務事件的事後檢閱有助於持續學習和改進。 此小組包含支援工程師、產品開發人員、計畫經理、產品經理和資深領導階層。 我們的待命專業人員會提供及時的備份，而且通常可以自動執行復原動作，以便在下次事件發生時自行修復。

每次 Microsoft 365 安全性事件發生時，無論影響程度為何，Microsoft 都會執行徹底的事件後檢閱。 事件後檢閱包含所發生事件的分析、我們回應的方式，以及我們在未來如何防止類似事件。 為了提高透明度和責任，我們會與受影響的客戶分享任何重大服務事件的事件後檢閱。 如需特定詳細資料，請參閱 Microsoft 安全性事件管理。

假設缺口方法

根據安全性趨勢的詳細分析，Microsoft 提倡並強調需要對回應式安全性程式和技術進行其他投資，這些程式和技術著重于偵測和回應新興威脅，而不只是防止這些威脅。 由於威脅環境和深入分析的變更，Microsoft 已調整其安全性策略，而不只是防止安全性缺口，更能在發生缺口時處理缺口;策略，將主要安全性事件視為「是否」，而是「時機」。

雖然 Microsoft 的 假設缺口 做法已存在許多年，但許多客戶都不知道在幕後進行強化 Microsoft 雲端的工作。 假設缺口是引導安全性投資、設計決策和作業安全性做法的思維。 假設缺口會限制應用程式、服務、身分識別和網路中的信任，方法是將它們全部視為內部和外部，視為不安全且已遭到入侵。 雖然假設缺口策略不是從任何 Microsoft 企業或雲端服務的實際缺口中取得，但已辨識出整個產業的許多組織在所有嘗試防止外泄時都會遭到入侵。 雖然防止入侵是任何組織作業的重要部分，但這些做法必須持續測試和增強，才能有效解決新式敵人和進階持續性威脅。 任何組織都必須先建置並維護健全、可重複且經過徹底測試的安全性回應程式，才能準備缺口。

雖然防止缺口安全性程式，例如威脅模型化、程式碼檢閱和安全性測試，在 安全性開發生命週期中非常有用，但假設缺口提供許多優點，可在發生缺口時，藉由執行和測量反應性功能來協助考慮整體安全性。

在 Microsoft，我們已設定要透過進行中的遊戲練習和安全性回應計畫的即時網站滲透測試來完成這項作業，目標是要改善我們的偵測和回應功能。 Microsoft 會定期模擬真實世界的缺口、進行持續的安全性監視，以及實作安全性事件管理，以驗證並改善 Microsoft 365、Azure 和其他 Microsoft 雲端服務的安全性。

Microsoft 會使用兩個核心群組來執行其假設缺口安全性策略：

• Red Teams (攻擊者)
• Blue Teams (防禦者)

Microsoft Azure 和 Microsoft 365 員工會分隔全時 Red Teams 和 Blue Teams。

稱為「Red Teaming」的方法是使用與實際敵人相同的策略、技術和程式，針對即時生產基礎結構測試 Azure 和 Microsoft 365 系統和作業，而不需要工程或營運小組的認可。 這會測試 Microsoft 的安全性偵測和回應功能，並協助以受控制的方式識別生產弱點、設定錯誤、不正確假設和其他安全性問題。 每個 Red Team 缺口之後，兩個小組之間會完全揭露，以找出差距、解決結果，以及改善缺口回應。

注意：在 Red Teaming 或即時網站滲透測試期間，不會刻意將客戶資料設為目標。 這些測試是針對 Microsoft 365 和 Azure 基礎結構和平臺，以及 Microsoft 自己的租使用者、應用程式和資料。 Microsoft 365 或 Azure 中裝載的客戶租使用者、應用程式和內容永遠不會成為目標。

Red Teams

Red Team 是 Microsoft 內的一組全職員工，著重于入侵 Microsoft 的基礎結構、平臺，以及 Microsoft 自己的租使用者和應用程式。 他們是一群道德駭客 (專用的敵人，) 針對 Microsoft 基礎結構、平臺和應用程式 (線上服務執行目標和持續性攻擊，但不會對終端客戶的應用程式或內容) 執行攻擊。

Red Team 的角色是使用與敵人相同的步驟來攻擊和滲透環境：

在其他功能中，紅色小組會特別嘗試違反租使用者隔離界限，以找出隔離設計中的錯誤或間距。

為了協助調整攻擊模擬工作，Red Team 已建立自動化攻擊模擬工具，可定期安全地在特定的 Microsoft 365 環境中執行。 此工具具有各種預先定義的攻擊，這些攻擊會持續擴充和改善，以協助反映不斷演進的威脅環境。 除了擴大 Red Team 測試的涵蓋範圍之外，還可協助 Blue Team 驗證並改善其安全性監視邏輯。 一般且持續的攻擊模擬可為藍隊提供一致且多樣化的訊號串流，以針對預期的回應進行比較和驗證。 這有助於改善 Microsoft 365 的安全性監視邏輯和回應功能。

Blue Teams

Blue 小組是由一組專用的安全性回應者或來自安全性事件回應、工程和營運組織的成員所組成。 不論其組成為何，它們都是獨立的，並且與 Red Team 分開運作。 Blue 小組遵循已建立的安全性程式，並使用最新的工具和技術來偵測及回應攻擊和滲透。 就像真實世界的攻擊一樣，藍隊不知道紅隊攻擊的發生時機或方式，或可能使用的方法。 無論是紅隊攻擊或實際攻擊，其工作都是偵測並回應所有安全性事件。 基於這個理由，藍隊會持續待命，而且必須以處理任何其他缺口的相同方式來回應 Red Team 缺口。

當紅隊等敵人入侵環境時，藍隊必須：

• 收集敵人所留下的證據
• 偵測辨識項以指出入侵
• 警示適當的工程和作業小組 ()
• 將警示分級，以判斷警示是否需要進一步調查
• 從環境收集內容以界定缺口的範圍
• 形成補救計畫以包含或收回敵人
• 執行補救計畫並從缺口中復原

這些步驟會形成與敵人平行執行的安全性事件回應，如下所示：

Red Team 缺口可讓藍隊執行端對端偵測和回應真實世界攻擊的能力。 最重要的是，它允許在真正缺口之前進行實務安全性事件回應。 此外，由於 Red Team 缺口，藍隊會增強其情境感知，這在處理未來的缺口時很有價值 (不論是來自紅隊還是另一個敵人) 。 在整個偵測和回應程式中，藍色小組會產生可採取動作的情報，並取得環境實際狀況的可見度， (嘗試防禦) 。 這通常會透過資料分析和鑒識來完成，由藍隊執行、回應 Red Team 攻擊時，以及建立威脅指標，例如入侵指標。 與 Red Team 如何識別安全性案例中的差距非常類似，藍色小組會識別其偵測和回應能力上的差距。 此外，由於紅隊會建立真實世界攻擊模型，因此藍隊可以正確評估其處理已判斷且持續性敵人的能力或能力。 最後，Red Team 缺口會測量我們缺口回應的整備程度和影響。