Partager via


Simulation d’attaques dans Microsoft 365

Sur la base d’une analyse détaillée des tendances de sécurité, Microsoft préconise et souligne la nécessité d’autres investissements dans des processus de sécurité réactifs et des technologies qui se concentrent sur la détection et la réponse aux menaces émergentes, plutôt que sur la prévention de ces menaces uniquement. En raison de l’évolution du paysage des menaces et de l’analyse approfondie, Microsoft a affiné sa stratégie de sécurité au-delà de la simple prévention des violations de sécurité à une stratégie mieux équipée pour faire face aux violations lorsqu’elles se produisent ; stratégie qui considère les événements de sécurité majeurs non pas comme une question de si, mais de quand.

Bien que les pratiques de violation de microsoft soient en place depuis de nombreuses années, de nombreux clients ignorent le travail effectué en arrière-plan pour renforcer le cloud Microsoft. Supposer que la violation est un état d’esprit qui guide les investissements de sécurité, les décisions de conception et les pratiques de sécurité opérationnelles. Supposons que la violation limite l’approbation placée dans les applications, les services, les identités et les réseaux en les traitant tous (internes et externes) comme non sécurisés et déjà compromis. Bien que la stratégie de violation de principe ne soit pas née d’une violation réelle d’une entreprise ou d’un service cloud Microsoft, il a été reconnu que de nombreuses organisations de l’industrie ont été violées malgré toutes les tentatives pour l’empêcher. Bien que la prévention des violations soit une partie essentielle des opérations de toute organization, ces pratiques doivent être testées et augmentées en permanence pour traiter efficacement les adversaires modernes et les menaces persistantes avancées. Pour que toute organization se prépare à une violation, ils doivent d’abord créer et maintenir des procédures de réponse de sécurité robustes, reproductibles et soigneusement testées.

Bien que les processus de sécurité d’empêcher les violations, tels que la modélisation des menaces, les révisions de code et les tests de sécurité, soient utiles dans le cadre du cycle de vie de développement de la sécurité, supposons que la violation offre de nombreux avantages qui aident à prendre en compte la sécurité globale en exerçant et en mesurant les capacités réactives en cas de violation.

Chez Microsoft, nous avons décidé d’y parvenir par le biais d’exercices de jeux de guerre en cours et de tests d’intrusion de site en direct de nos plans de réponse de sécurité dans le but d’améliorer notre capacité de détection et de réponse. Microsoft simule régulièrement des violations réelles, effectue une surveillance continue de la sécurité et pratique la gestion des incidents de sécurité pour valider et améliorer la sécurité de Microsoft 365, Azure et d’autres services cloud Microsoft.

Microsoft exécute la stratégie de sécurité de violation de l’hypothèse à l’aide de deux groupes principaux :

  • Red Teams (attaquants)
  • Équipes bleues (défenseurs)

Le personnel Microsoft Azure et Microsoft 365 séparent à temps plein Red Teams et Blue Teams.

Appelé « Red Teaming », l’approche consiste à tester les systèmes et les opérations Azure et Microsoft 365 à l’aide des mêmes tactiques, techniques et procédures que les adversaires réels, sur l’infrastructure de production en direct, sans la connaissance des équipes d’ingénierie ou d’opérations. Cela teste les fonctionnalités de détection et de réponse de sécurité de Microsoft, et permet d’identifier les vulnérabilités de production, les erreurs de configuration, les hypothèses non valides et d’autres problèmes de sécurité de manière contrôlée. Chaque violation red Team est suivie d’une divulgation complète entre les deux équipes afin d’identifier les lacunes, de résoudre les problèmes et d’améliorer la réponse aux violations.

Remarque

Aucun client, données ou applications n’est délibérément ciblé pendant red teaming ou les tests d’intrusion de site en direct. Les tests sont effectués sur l’infrastructure et les plateformes Microsoft 365 et Azure, ainsi que sur les propres locataires, applications et données de Microsoft.

Red Teams

L’équipe Rouge est un groupe d’employés à temps plein au sein de Microsoft qui se concentre sur la violation de l’infrastructure, de la plateforme et des propres locataires et applications de Microsoft. Ils sont l’adversaire dédié (un groupe de pirates informatiques éthiques) effectuant des attaques ciblées et persistantes contre les services en ligne (infrastructure, plateformes et applications Microsoft, mais pas les applications ou le contenu des clients finaux).

Le rôle de l’équipe rouge est d’attaquer et de pénétrer les environnements en utilisant les mêmes étapes qu’un adversaire :

Étapes de violation.

Parmi d’autres fonctions, les équipes rouges tentent spécifiquement de franchir les limites d’isolation des locataires pour trouver des bogues ou des lacunes dans notre conception d’isolation.

Pour aider à mettre à l’échelle les efforts de test, Red Team a créé un outil de simulation d’attaque automatisé qui s’exécute en toute sécurité dans des environnements Microsoft 365 spécifiques de manière périodique. L’outil propose un large éventail d’attaques prédéfinies qui sont constamment développées et améliorées pour mieux refléter l’évolution du paysage des menaces. En plus d’élargir la couverture des tests Red Team, cela permet à l’équipe bleue de valider et d’améliorer sa logique de surveillance de la sécurité. L’émulation d’attaque régulière et continue fournit à l’équipe bleue un flux cohérent et diversifié de signaux qui sont comparés et validés par rapport aux réponses attendues. Cela conduit à des améliorations de la logique de surveillance de la sécurité et des fonctionnalités de réponse de Microsoft 365.

Équipes bleues

L’équipe bleue est composée d’un ensemble dédié de répondeurs de sécurité ou de membres issus des organisations de réponse aux incidents de sécurité, d’ingénierie et d’opérations. Quel que soit leur maquillage, ils sont indépendants et fonctionnent séparément de la Red Team. L’équipe Bleue suit les processus de sécurité établis et utilise les outils et technologies les plus récents pour détecter les attaques et la pénétration et y répondre. Tout comme les attaques réelles, l’équipe bleue ne sait pas quand et comment les attaques de l’équipe rouge se produisent, ni quelles méthodes peuvent être utilisées. Leur travail, qu’il s’agisse d’une attaque Red Team ou d’une attaque réelle, consiste à détecter et à répondre à tous les incidents de sécurité. Pour cette raison, l’équipe bleue est constamment sur appel et doit réagir aux violations red Team de la même façon qu’elle le ferait pour toute autre violation.

Lorsqu’un adversaire, tel qu’une équipe rouge, a violé un environnement, l’équipe bleue doit :

  • Recueillir les preuves laissées par l’adversaire
  • Détecter la preuve comme indication d’une compromission
  • Alerter la ou les équipes d’ingénierie et d’exploitation appropriées
  • Triez les alertes pour déterminer si elles justifient une enquête plus approfondie
  • Collecter le contexte de l’environnement pour étendre la violation
  • Former un plan de correction pour contenir ou supprimer l’adversaire
  • Exécuter le plan de correction et récupérer après une violation

Ces étapes forment la réponse aux incidents de sécurité qui s’exécute parallèlement à l’adversaire, comme indiqué ci-dessous :

Étapes de réponse à la violation.

Les violations red Team permettent d’exercer la capacité de l’équipe bleue à détecter et à répondre aux attaques réelles de bout en bout. Plus important encore, il permet une réponse pratique aux incidents de sécurité avant une véritable violation. En outre, en raison des violations de l’équipe Rouge, l’équipe bleue améliore sa connaissance de la situation, ce qui peut être utile lors de la gestion des violations futures (qu’elles proviennent de l’équipe rouge ou d’un autre adversaire). Tout au long du processus de détection et de réponse, l’équipe bleue produit des informations exploitables et obtient une visibilité sur les conditions réelles du ou des environnements qu’elle tente de défendre. Pour ce faire, l’équipe bleue effectue souvent une analyse des données et des analyses d’investigation lorsqu’elle répond aux attaques de l’équipe rouge et établit des indicateurs de menace, tels que des indicateurs de compromission. Tout comme la façon dont l’équipe rouge identifie les lacunes dans l’histoire de la sécurité, les équipes bleues identifient les lacunes dans leur capacité à détecter et à répondre. En outre, depuis les attaques réelles du modèle de l’équipe Rouge, l’équipe bleue peut être évaluée avec précision sur sa capacité à faire face à des adversaires déterminés et persistants. Enfin, les violations Red Team mesurent à la fois la préparation et l’impact de notre réponse aux violations.