了解應用程式滲透測試
安全性設計與自動化安全性測試著重於在弱點遭惡意探索之前先修正弱點,以防止外洩。 我們會使用假設可能遭到入侵策略將我們的服務準備好應付可能的入侵,以補充這些做法。 「入侵假設」會限制對應用程式、服務、身分識別及網路的信任,將這些項目全部(內部和外部) 視為不安全且已遭到入侵。 這些原則可協助降低攻擊者可能造成的損壞,並啟用快速偵測及回應安全性威脅,以限制安全性弱點的影響。
SDL 滲透測試
除了自動化動態程式碼測試之外,SDL 還需要定期滲透測試所有應用程式。 服務團隊應用程式的一般滲透測試會定期進行。 應用程式滲透測試可能會發現其他測試方法未偵測到的安全性問題。 他們也會測試記錄和偵測功能,以確保我們的軟體為 Microsoft 的安全性回應小組提供防禦實際攻擊者所需的數據。
服務小組也會在必要時對軟體介面執行目標滲透測試,作為安全性檢閱的一部分。 目標滲透測試是專為偵測特定類型的弱點所設計。 這些測試提供額外一層保護,防範重要軟體功能和資料流程中的潛在弱點。
攻擊模擬
程式碼核准在生產環境中發行並部署後,我們會繼續模擬對生產系統的攻擊,以測試操作安全性。 攻擊模擬會針對操作 SDL 需求測試 DevOps 模型的作業端。 攻擊模擬的主要目標是要驗證我們的偵測和回應功能。 雖然我們的攻擊模擬確實用來識別服務的新弱點和路徑,但主要的優先順序是測試入侵後會發生什麼情況。 我們偵測到攻擊速度夠快嗎? 我們能夠有效地補救及逐出攻擊者嗎? 攻擊模擬和其他形式的滲透測試可讓我們持續回答這些問題。
Microsoft 利用專職員工的內部攻擊性安全性小組,藉由模擬對系統的攻擊來進行持續滲透測試。 我們將這些小組稱為 Red Team。 紅隊會藉由探索和利用弱點及安全性組態錯誤,嘗試入侵 Microsoft 系統而不進行偵測。 Red Team 工作會模擬真實世界的攻擊,並測試 Microsoft 安全性回應小組的功能。 在內部滲透測試的內容中,Microsoft 的安全性回應小組稱為Blue Team。 藍隊會使用安全性監視系統和安全性事件回應流程來預防、偵測及回應紅隊的攻擊。
Red Team 會使用與真實敵人相同的策略、技術和程式來攻擊 Microsoft Online Services 系統和作業。 他們的攻擊會測試我們的安全性偵測和回應功能,並有助於以受控方式識別生產弱點、組態錯誤、無效假設及其他安全性問題。 每次紅隊入侵之後,兩隊之間會進行完整揭露和共同作業,以找出並解決操作安全性缺口、指派錯誤給服務小組以解決程式碼層級的弱點,並改善入侵偵測和回應。
紅隊攻擊模擬的設計訴求是模擬實際的攻擊,但不會對我們的客戶造成負面影響。 客戶租用戶絕不會成為 Red Team 攻擊的目標,而 Red Team 滲透測試可協助確保 Microsoft Online Services 已準備好預防、偵測及回應安全性威脅。