Microsoft 365 中的攻擊模擬
根據安全性趨勢的詳細分析,Microsoft 提倡並強調需要對回應式安全性程式和技術進行其他投資,這些程式和技術著重於偵測和回應新興威脅,而不只是防止這些威脅。 由於威脅環境和深入分析的變更,Microsoft 已調整其安全性策略,而不只是防止安全性缺口,更能在發生缺口時處理缺口;策略,將主要安全性事件視為「是否」,而是「時機」。
雖然 Microsoft 的 假設缺口 做法已存在許多年,但許多客戶都不知道在幕後進行強化 Microsoft 雲端的工作。 假設缺口是引導安全性投資、設計決策和作業安全性做法的思維。 假設缺口會限制應用程式、服務、身分識別和網路中的信任,方法是將它們全部視為內部和外部,視為不安全且已遭到入侵。 雖然假設缺口策略並非由任何 Microsoft 企業或雲端服務的實際缺口所產生,但已辨識出儘管所有嘗試防止入侵,整個產業的許多組織都遭到入侵。 雖然防止入侵是任何組織作業的重要部分,但這些做法必須持續測試和增強,才能有效解決新式敵人和進階持續性威脅。 任何組織都必須先建置並維護健全、可重複且經過徹底測試的安全性回應程式,才能準備缺口。
雖然防止缺口安全性程式,例如威脅模型化、程式代碼檢閱和安全性測試,在 安全性開發生命週期中很有用,但假設缺口提供許多優點,可協助您在發生缺口時,藉由執行和測量反應性功能來考慮整體安全性。
在 Microsoft,我們已設定要透過進行中的遊戲練習和安全性回應計畫的即時網站滲透測試來完成這項作業,目標是要改善我們的偵測和回應功能。 Microsoft 會定期模擬真實世界的缺口、進行持續的安全性監視,以及實作安全性事件管理,以驗證並改善 Microsoft 365、Azure 和其他 Microsoft 雲端服務的安全性。
Microsoft 會使用兩個核心群組來執行假設缺口安全性策略:
- Red Teams (攻擊者)
- Blue Teams (防禦者)
Microsoft Azure 和 Microsoft 365 員工會分隔全時 Red Teams 和 Blue Teams。
稱為「Red Teaming」的方法是使用與實際敵人相同的策略、技術和程式,針對即時生產基礎結構測試 Azure 和 Microsoft 365 系統和作業,而不需要工程或營運小組的認可。 這會測試 Microsoft 的安全性偵測和回應功能,並協助以受控制的方式識別生產弱點、設定錯誤、無效的假設和其他安全性問題。 每個 Red Team 缺口之後,兩個小組之間會完全揭露,以找出差距、解決結果,以及改善缺口回應。
注意事項
在 Red Teaming 或即時網站滲透測試期間,沒有任何客戶租用戶、數據或應用程式刻意設為目標。 這些測試是針對 Microsoft 365 和 Azure 基礎結構和平臺,以及 Microsoft 自己的租使用者、應用程式和數據。
Red Teams
Red Team 是 Microsoft 內的一組全職員工,著重於入侵 Microsoft 的基礎結構、平臺,以及 Microsoft 自己的租使用者和應用程式。 他們是專屬的敵人, (一群道德駭客) 對在線服務 (Microsoft 基礎結構、平臺和應用程式執行目標和持續性攻擊,但不會對終端客戶的應用程式或內容) 執行攻擊。
Red Team 的角色是使用與敵人相同的步驟來攻擊和滲透環境:
在其他功能中,紅色小組會特別嘗試違反租用戶隔離界限,以找出隔離設計中的錯誤或間距。
為了協助調整測試工作,Red Team 已建立自動化攻擊模擬工具,可定期安全地在特定的 Microsoft 365 環境中執行。 此工具具有各種預先定義的攻擊,這些攻擊會持續擴充和改善,以協助反映不斷演進的威脅環境。 除了擴大 Red Team 測試的涵蓋範圍之外,還可協助 Blue Team 驗證並改善其安全性監視邏輯。 一般且持續的攻擊模擬可為藍隊提供一致且多樣化的訊號串流,以針對預期的響應進行比較和驗證。 這可改善 Microsoft 365 的安全性監視邏輯和回應功能。
Blue Teams
Blue 小組是由一組專用的安全性回應者或來自安全性事件回應、工程和營運組織的成員所組成。 不論其組成為何,它們都獨立且與 Red Team 分開運作。 Blue 小組遵循已建立的安全性程式,並使用最新的工具和技術來偵測及回應攻擊和滲透。 就像真實世界的攻擊一樣,藍隊不知道紅隊攻擊的發生時機或方式,或可能使用的方法。 無論是紅隊攻擊或實際攻擊,其工作都是偵測並回應所有安全性事件。 基於這個理由,藍隊會持續待命,而且必須以處理任何其他缺口的相同方式來回應 Red Team 缺口。
當紅隊等敵人入侵環境時,藍隊必須:
- 收集敵人所留下的證據
- 偵測辨識項以指出入侵
- 警示適當的工程和作業小組 ()
- 將警示分級,以判斷警示是否需要進一步調查
- 從環境收集內容以界定缺口的範圍
- 形成補救計劃以包含或收回敵人
- 執行補救計劃並從缺口中復原
這些步驟會形成與敵人平行執行的安全性事件回應,如下所示:
Red Team 缺口可讓藍隊執行端對端偵測和響應真實世界攻擊的能力。 最重要的是,它允許在真正缺口之前進行實務安全性事件回應。 此外,由於 Red Team 缺口,藍隊會增強其情境感知,這在處理未來的缺口時很有價值 (不論是來自紅隊還是另一個敵人) 。 在整個偵測和響應程式中,藍色小組會產生可採取動作的情報,並取得環境實際狀況的可見度, (嘗試防禦) 。 這通常會透過數據分析和鑑識來完成,由藍隊執行、回應 Red Team 攻擊時,以及建立威脅指標,例如入侵指標。 與 Red Team 如何識別安全性案例中的差距非常類似,藍色小組會識別其偵測和回應能力上的差距。 此外,由於 Red Team 的模型真實世界攻擊,藍隊可以正確評估其處理已判斷且持續性敵人的能力。 最後,Red Team 缺口會測量我們缺口回應的整備程度和影響。