Simulação de ataque no Microsoft 365
Com base numa análise detalhada das tendências de segurança, a Microsoft defende e destaca a necessidade de outros investimentos em processos e tecnologias de segurança reativos que se focam na deteção e na resposta a ameaças emergentes, em vez de apenas na prevenção dessas ameaças. Devido às alterações no panorama das ameaças e à análise aprofundada, a Microsoft refinou a sua estratégia de segurança para além de impedir apenas falhas de segurança para uma melhor equipada para lidar com falhas quando ocorrem; uma estratégia que considera grandes eventos de segurança não como uma questão de se, mas quando.
Embora a Microsoft suponha que as práticas de violação estão em vigor há muitos anos, muitos clientes desconhecem o trabalho que está a ser feito nos bastidores para proteger a cloud da Microsoft. Suponha que a violação é uma mentalidade que orienta os investimentos em segurança, as decisões de conceção e as práticas de segurança operacional. Suponhamos que a violação limita a confiança colocada em aplicações, serviços, identidades e redes ao tratá-las todas ( internas e externas) como inseguras e já comprometidas. Embora a estratégia de violação assumida não tenha nascido de uma violação real de qualquer empresa ou serviços cloud da Microsoft, foi reconhecido que muitas organizações em todo o setor estavam a ser violadas apesar de todas as tentativas de a impedir. Embora a prevenção de violações seja uma parte crítica das operações de qualquer organização, essas práticas têm de ser continuamente testadas e aumentadas para lidar eficazmente com adversários modernos e ameaças persistentes avançadas. Para que qualquer organização se prepare para uma falha de segurança, primeiro tem de criar e manter procedimentos de resposta de segurança robustos, repetíveis e completamente testados.
Embora impeça processos de segurança de falhas, como a modelação de ameaças, análises de código e testes de segurança, sejam úteis como parte do Ciclo de Vida de Desenvolvimento de Segurança, suponha que a violação fornece inúmeras vantagens que ajudam a contabilizar a segurança geral ao exercer e medir capacidades reativas em caso de violação.
Na Microsoft, propusemos fazê-lo através de exercícios de jogos de guerra em curso e testes de penetração em sites em direto dos nossos planos de resposta de segurança com o objetivo de melhorar a nossa capacidade de deteção e resposta. A Microsoft simula regularmente falhas no mundo real, realiza monitorização de segurança contínua e pratica a gestão de incidentes de segurança para validar e melhorar a segurança do Microsoft 365, do Azure e de outros serviços cloud da Microsoft.
A Microsoft executa a estratégia de segurança de falha de segurança assumida com dois grupos principais:
- Red Teams (atacantes)
- Equipas Azuis (defesas)
Tanto a equipa do Microsoft Azure como do Microsoft 365 separam o Red Teams a tempo inteiro e o Blue Teams.
Referida como "Agrupamento Vermelho", a abordagem consiste em testar os sistemas e operações do Azure e do Microsoft 365 com as mesmas táticas, técnicas e procedimentos que os adversários reais, contra a infraestrutura de produção em direto, sem o conhecimento prévio das equipas de Engenharia ou Operações. Isto testa as capacidades de deteção e resposta de segurança da Microsoft e ajuda a identificar vulnerabilidades de produção, erros de configuração, pressupostos inválidos e outros problemas de segurança de forma controlada. Todas as falhas de segurança da Equipa Vermelha são seguidas pela divulgação completa entre ambas as equipas para identificar lacunas, resolver descobertas e melhorar a resposta a falhas de segurança.
Observação
Nenhum inquilino, dados ou aplicações do cliente é deliberadamente direcionado durante o Agrupamento Vermelho ou os testes de penetração de sites em direto. Os testes destinam-se à infraestrutura e plataformas do Microsoft 365 e do Azure, bem como aos próprios inquilinos, aplicações e dados da Microsoft.
Equipas Vermelhas
A Equipa Vermelha é um grupo de funcionários a tempo inteiro dentro da Microsoft que se concentra em violar a infraestrutura, a plataforma e os inquilinos e aplicações da Microsoft. São o adversário dedicado (um grupo de hackers éticos) que realiza ataques direcionados e persistentes contra Serviços Online (infraestrutura, plataformas e aplicações da Microsoft, mas não aplicações ou conteúdos dos clientes finais).
A função da Equipa Vermelha é atacar e penetrar em ambientes com os mesmos passos que um adversário:
Entre outras funções, as equipas vermelhas tentam especificamente ultrapassar os limites de isolamento do inquilino para encontrar erros ou lacunas no nosso design de isolamento.
Para ajudar a dimensionar os esforços de teste, a Equipa Vermelha criou uma ferramenta de simulação de ataque automatizada que é executada em segurança em ambientes específicos do Microsoft 365 de forma periódica. A ferramenta tem uma grande variedade de ataques predefinidos que são constantemente expandidos e melhorados para ajudar a refletir o panorama das ameaças em evolução. Além de alargar a cobertura dos testes da Equipa Vermelha, ajuda a Equipa Azul a validar e a melhorar a respetiva lógica de monitorização de segurança. A emulação de ataques regular e contínua fornece à Equipa Azul um fluxo consistente e diversificado de sinais que são comparados e validados em relação às respostas esperadas. Isto leva a melhorias nas capacidades de resposta e lógica de monitorização de segurança do Microsoft 365.
Equipas Azuis
A Equipa Azul é composta por um conjunto dedicado de participantes de segurança ou membros de todas as organizações de segurança de resposta a incidentes, Engenharia e Operações. Independentemente da sua maquilhagem, são independentes e operam separadamente da Equipa Vermelha. A Equipa Azul segue os processos de segurança estabelecidos e utiliza as ferramentas e tecnologias mais recentes para detetar e responder a ataques e penetração. Tal como acontece com os ataques do mundo real, a Equipa Azul não sabe quando ou como ocorrem os ataques da Equipa Vermelha ou que métodos podem ser utilizados. O trabalho deles, seja um ataque da Equipa Vermelha ou um ataque real, é detetar e responder a todos os incidentes de segurança. Por este motivo, a Equipa Azul está continuamente de serviço e tem de reagir a violações da Equipa Vermelha da mesma forma que faria para qualquer outra violação.
Quando um adversário, como uma Equipa Vermelha, invadiu um ambiente, a Equipa Azul tem de:
- Reunir provas deixadas pelo adversário
- Detetar as provas como uma indicação de comprometimento
- Alertar as equipas de Engenharia e Operação adequadas
- Triagem dos alertas para determinar se justificam uma investigação mais aprofundada
- Reunir contexto do ambiente para definir o âmbito da falha
- Formar um plano de remediação para conter ou expulsar o adversário
- Executar o plano de remediação e recuperar de uma falha de segurança
Estes passos formam a resposta a incidentes de segurança que é executada paralelamente ao adversário, conforme mostrado abaixo:
As falhas de segurança da Equipa Vermelha permitem exercer a capacidade da Equipa Azul de detetar e responder a ataques do mundo real ponto a ponto. Mais importante ainda, permite uma resposta a incidentes de segurança praticada antes de uma falha genuína. Além disso, devido a falhas na Equipa Vermelha, a Equipa Azul aumenta a sua consciência da situação, o que pode ser valioso ao lidar com futuras violações (seja da Equipa Vermelha ou de outro adversário). Ao longo do processo de deteção e resposta, a Equipa Azul produz inteligência acionável e obtém visibilidade sobre as condições reais dos ambientes que estão a tentar defender. Isto é frequentemente conseguido através da análise de dados e da perícia, realizada pela Equipa Azul, ao responder a ataques da Equipa Vermelha e ao estabelecer indicadores de ameaças, como indicadores de compromisso. Tal como a Equipa Vermelha identifica lacunas na história de segurança, as equipas azuis identificam lacunas na sua capacidade de detetar e responder. Além disso, uma vez que o modelo da Equipa Vermelha ataca o mundo real, a Equipa Azul pode ser avaliada com precisão sobre a sua capacidade de lidar com adversários determinados e persistentes. Por fim, as falhas de segurança da Equipa Vermelha medem a prontidão e o impacto da nossa resposta de violação.