根据对安全趋势的详细分析,Microsoft主张并强调需要对反应性安全流程和技术进行投资,这些流程和技术侧重于检测和响应新出现的威胁,而不仅仅是预防这些威胁。 由于威胁形势的变化和深入分析,Microsoft已经完善了其安全策略,而不仅仅是防止安全漏洞,以更好地应对违规事件发生:一种策略,该策略将重大安全事件视为不是是否,而是考虑何时发生。
虽然Microsoft 假设的违规 做法已实施多年,但许多客户并不知道幕后为强化Microsoft云所做的工作。 假设漏洞是一种指导安全投资、设计决策和运营安全做法的思维模式。 假设泄露会限制对应用程序、服务、标识和网络的信任,方法是将其全部(内部和外部)视为不安全且已遭到入侵。 尽管假设违规策略并不源自任何Microsoft企业或云服务的实际违规行为,但它认识到,尽管已尝试阻止违规,但整个行业的许多组织都遭到了攻击。 虽然防止违规是任何组织运营的关键部分,但必须持续测试和增强这些做法,以有效应对现代攻击者和高级持续威胁。 对于任何组织准备应对漏洞,它必须首先构建和维护可靠、可重复且经过全面测试的安全响应过程。
虽然在安全 开发生命周期中预防漏洞安全过程(如威胁建模、代码评审和安全测试)非常有用,但假设违规提供了许多优势,通过在发生违规时行使和测量反应能力来帮助考虑整体安全性。
在Microsoft,我们着手通过持续的战争游戏演习和现场渗透测试我们的安全响应计划来实现这一目标,目的是提高我们的检测和响应能力。 Microsoft定期模拟实际漏洞,持续进行安全监视,并实施安全事件管理,以验证和改进 Microsoft 365、Azure 和其他Microsoft云服务的安全性。
Microsoft使用两个核心组执行假设漏洞安全策略:
- Red Teams (攻击者)
- 蓝队 (后卫)
Microsoft Azure 和 Microsoft 365 名员工将全职 Red Teams 和 Blue Teams 分开。
称为“红队”的方法是使用与真实攻击者相同的策略、技术和过程来测试 Azure 和 Microsoft 365 系统和作,而无需工程或运营团队的预知。 此方法测试Microsoft的安全检测和响应功能,并帮助以受控方式识别生产漏洞、配置错误、无效假设和其他安全问题。 每次红队违规后,两个团队之间都会进行全面披露,以识别差距、解决发现结果并改进违规响应。
注意
在 Red Teaming 或实时站点渗透测试期间,没有任何客户租户、数据或应用程序是故意针对的。 此测试针对 Microsoft 365、Azure 基础结构和平台,以及 Microsoft 自己的租户、应用程序和数据。
红队
红队是Microsoft内的一组全职员工,专注于破坏Microsoft的基础结构、平台和Microsoft自己的租户和应用程序。 他们是一群道德黑客 (专用攻击者,) 对联机服务执行有针对性的持续攻击, (Microsoft基础结构、平台和应用程序,而不是最终客户的应用程序或内容) 。
红队的作用是使用与对手相同的步骤攻击和渗透环境:
在其他功能中,红色团队专门尝试突破租户隔离边界,以查找隔离设计中的 bug 或差距。
为了帮助扩展测试工作,红队创建了一个自动攻击模拟工具,该工具可定期在特定Microsoft 365 环境中安全运行。 该工具具有各种预定义攻击,这些攻击会不断扩展和改进,以帮助反映不断变化的威胁形势。 除了扩大红队测试的覆盖范围外,它还可帮助蓝队验证和改进其安全监视逻辑。 定期的、持续的攻击模拟为蓝队提供了一致且多样化的信号流,这些信号流根据预期响应进行比较和验证。 这可以改进 Microsoft 365 的安全监视逻辑和响应功能。
蓝队
蓝色团队由一组专门的安全响应人员或来自安全事件响应、工程和运营组织的成员组成。 不管他们化妆如何,他们都是独立的,独立于红队运作。 蓝色团队遵循既定的安全流程,并使用最新的工具和技术来检测和响应攻击和渗透。 就像现实世界的攻击一样,蓝队不知道红队的攻击何时或是如何发生的,也不知道他们使用什么方法。 他们的工作,无论是红队攻击还是实际攻击,都是检测和响应所有安全事件。 因此,蓝队持续待命,必须以与任何其他违规行为相同的方式应对红队违规行为。
当对手(如红队)违反环境时,蓝队必须:
- 收集对手留下的证据
- 检测证据作为泄露的指示
- 向相应的工程和运营团队发出警报
- 会审警报以确定它们是否需要进一步调查
- 从环境中收集上下文以限定违规范围
- 制定修正计划以遏制或驱逐对手
- 执行修正计划并从违规中恢复
这些步骤构成了与攻击者并行运行的安全事件响应,如下图所示:
红队违规行为使蓝队能够端到端地检测和应对真实攻击。 最重要的是,他们让蓝队在发生真正的违规之前执行安全事件响应。 此外,由于红队的违规行为,蓝队增强了他们的形势意识,这在处理未来的违规行为时可能很有价值, (无论是来自红队还是来自其他对手的) 。 在整个检测和响应过程中,蓝队会生成可作的情报,并了解他们试图防御的环境的实际情况。 蓝队经常在响应红队攻击时通过数据分析和取证,以及建立威胁指标(如入侵指标)来实现这种情报。 与红队识别安全案例中的差距非常类似,蓝队识别其检测和响应能力的差距。 此外,由于红队模拟真实世界的攻击,蓝队可以准确地评估他们应对坚定和顽强的对手的能力。 最后,红队违规行为衡量我们违规响应的准备情况和影响。