Поделиться через

Управление инцидентами безопасности Майкрософт: подготовка

  • Статья

Учебные и фоновые проверки

Каждому сотруднику, работающему над microsoft веб-службы, предоставляется обучение по инцидентам безопасности и процедурам реагирования, соответствующим их роли. Каждый сотрудник Майкрософт получает обучение после присоединения к программе, а затем ежегодное обучение по обновлению. Обучение предназначено для того, чтобы дать сотрудникам базовое представление о подходе Корпорации Майкрософт к безопасности, чтобы по завершении обучения все сотрудники понимали:

  • Определение инцидента безопасности
  • Ответственность всех сотрудников за сообщение об инцидентах безопасности
  • Как сообщить о потенциальном инциденте безопасности соответствующей группе реагирования майкрософт по безопасности
  • Как группы реагирования на инциденты безопасности Майкрософт реагируют на инциденты безопасности
  • Особые проблемы, связанные с конфиденциальностью, особенно конфиденциальностью клиентов
  • Где найти дополнительные сведения о безопасности и конфиденциальности, а также об эскалации контактов
  • Любые другие соответствующие области безопасности (при необходимости)

Соответствующие сотрудники ежегодно проходят обучение по вопросам безопасности. В рамках ежегодного обучения для повышения квалификации основное внимание уделяется следующим вопросам:

  • Любые изменения, внесенные в стандартные операционные процедуры за предыдущий год
  • Ответственность всех пользователей за сообщение об инцидентах безопасности и как это сделать
  • Где найти дополнительные сведения о безопасности и конфиденциальности, а также об эскалации контактов
  • Любые другие области безопасности, которые могут быть актуальны каждый год

Каждый сотрудник, работающий над microsoft веб-службы, подчиняется соответствующему и тщательному проверка, который включает в себя образование, занятость, криминальную историю кандидата и другую конкретную информацию в соответствии с США нормативными положениями, такими как Закон о переносимости и подотчетности медицинского страхования (HIPAA), Международные правила торговли оружием (ITAR), Федеральная программа управления рисками и авторизацией (FedRAMP) и другие.

Проверка фона является обязательной для всех сотрудников, работающих в сфере разработки Майкрософт. Для некоторых сред веб-служб Майкрософт и ролей операторов также может потребоваться полная идентификация отпечатков пальцев, требования к гражданству, требования к правительственным разрешениям и другие более строгие средства контроля. Кроме того, некоторые группы обслуживания и роли могут пройти специализированное обучение по вопросам безопасности при необходимости. Наконец, члены группы безопасности сами получают специализированную подготовку и участие в конференциях, что напрямую связано с безопасностью. Этот учебный курс зависит от потребности команды и сотрудников, но включает в себя такие аспекты, как отраслевые конференции, внутренние конференции По безопасности Майкрософт и внешние учебные курсы от известных поставщиков по вопросам безопасности в отрасли. Мы также имеем специальные учебные статьи по безопасности, публикуемые в течение года для сообщества безопасности по всей корпорации Майкрософт, а также специализированные для Microsoft веб-службы регулярно.

Оценка & тестирования на проникновение

Корпорация Майкрософт сотрудничает с различными отраслевыми организациями и экспертами по безопасности, чтобы понять новые угрозы и изменяющиеся тенденции. Корпорация Майкрософт постоянно оценивает собственные системы на наличие уязвимостей и заключает контракты с различными независимыми внешними экспертами, которые делают то же самое.

Тесты, выполненные для усиления защиты служб в Microsoft веб-службы, можно сгруппировать в четыре общие категории:

  1. Автоматическое тестирование безопасности. Внутренний и внешний персонал регулярно проверяет среды веб-служб Майкрософт на основе методик Microsoft SDL, 10 основных рисков проекта по безопасности веб-приложений (OWASP) и новых угроз, о которые сообщают различные отраслевые организации.
  2. Оценки уязвимостей: Официальные взаимодействия с независимыми сторонними тестировщиками регулярно проверяют, работают ли ключевые логические средства эффективно для выполнения обязательств по обслуживанию различных регулирующих органов. Оценки проводятся сертифицированным персоналом Совета зарегистрированных тестировщиков безопасности (CREST) и основаны на основных 10 рисках OWASP и других угрозах, применимых к службе. Все обнаруженные угрозы отслеживаются до закрытия.
  3. Непрерывное тестирование уязвимостей системы: Корпорация Майкрософт проводит регулярное тестирование, в ходе которого команды пытаются взломать систему, используя новые угрозы, смешанные угрозы и (или) сложные постоянные угрозы, в то время как другие команды пытаются заблокировать такие попытки взлома.
  4. Microsoft Online Services Bug Bounty Program. Эта программа использует политику, разрешающую ограниченные оценки уязвимостей, инициированные клиентом, в Microsoft веб-службы. Дополнительные сведения см. в статье Условия баунти для ошибок Microsoft Online Services.

Группы разработчиков Microsoft веб-службы периодически публикуют различные документы по соответствию. Некоторые из этих документов доступны в соответствии с соглашением о неразглашении на портале доверия облачных служб Майкрософт или в области Service Assurance Портал соответствия требованиям Microsoft Purview

Имитация атаки

Корпорация Майкрософт участвует в текущих упражнениях по имитации атак и тестированию на проникновение в реальном времени для наших планов безопасности и реагирования с целью улучшения возможностей обнаружения и реагирования. Корпорация Майкрософт регулярно имитирует реальные нарушения безопасности, проводит непрерывный мониторинг безопасности и практикует реагирование на инциденты безопасности для проверки и повышения безопасности microsoft веб-службы.

Корпорация Майкрософт выполняет предполагаемую стратегию безопасности с помощью двух основных команд:

Красные команды

Команды Microsoft Red — это группы штатных сотрудников корпорации Майкрософт, которые сосредоточены на нарушении инфраструктуры, платформы и собственных клиентов и приложений Майкрософт. Это выделенный злоумышленник (группа этических хакеров), выполняющий целевые и постоянные атаки на веб-службы (но не на клиентские приложения или данные). Они обеспечивают непрерывную проверку полного спектра (например, технические средства контроля, политика документов, реагирование человека и т. д.) возможностей реагирования на инциденты службы.

Синие команды

Команды Microsoft Blue состоят из выделенных наборов реагирования на угрозы и членов из всех групп реагирования на инциденты безопасности, инженеров и операций. Они независимы и работают отдельно от красных команд. Команды Blue следуют установленным процессам безопасности и используют новейшие инструменты и технологии для обнаружения атак и попыток проникновения и реагирования на них. Как и реальные атаки, "синие" не знают, когда и как будут происходить атаки красной команды и какие методы могут быть использованы. Их задача, будь то атака красной команды или фактическое нападение, заключается в обнаружении и реагировании на все инциденты безопасности. По этой причине, синие команды постоянно по вызову и должны реагировать на нарушения красной команды так же, как и для любого другого противника.

Сотрудники Корпорации Майкрософт отделяют красные и синие команды в разных подразделениях Корпорации Майкрософт, которые выполняют операции как между службами, так и внутри них. Этот подход, называемый Red Teaming, заключается в тестировании систем и операций служб Майкрософт, используя те же тактики, методы и процедуры, что и реальные противники, против динамической производственной инфраструктуры, без предузнания специалистов по проектированию инфраструктуры и платформы или эксплуатации. Это проверяет возможности обнаружения безопасности и реагирования, а также помогает выявлять уязвимости в рабочей среде, ошибки конфигурации, недопустимые предположения или другие проблемы безопасности контролируемым образом. За каждым нарушением красной команды следует полное раскрытие информации между красной командой и синей командой, включая команды обслуживания, для выявления пробелов, устранения выводов и значительного улучшения реагирования на нарушения.

Примечание.

Данные о клиентах не предназначены для выполнения упражнений red Teaming или динамического проникновения сайтов. Тесты предназначены для инфраструктуры и платформ Microsoft 365 и Azure, а также собственных клиентов, приложений и данных Майкрософт. Клиенты клиентов, приложения и данные, размещенные в Azure, Dynamics 365 или Microsoft 365, никогда не ориентированы на согласованные правила взаимодействия.

Совместные упражнения

Иногда команды Microsoft Blue и Red будут проводить совместные операции, когда отношения во время операции являются более партнерскими, чем состязательно с выбранным набором сотрудников из каждой команды. Эти упражнения хорошо координируются между командами, чтобы обеспечить более целенаправленный набор результатов за счет сотрудничества в реальном времени между этическими хакерами и специалистами по реагированию. Эти упражнения "сиреневая команда" хорошо адаптированы для каждой операции, чтобы максимально расширить возможности, но для каждой операции имеет важное значение для обмена информацией с высокой пропускной способностью и партнерства для достижения целей.