Имитация атаки в Microsoft 365

Основываясь на подробном анализе тенденций в области безопасности, корпорация Майкрософт выступает за и подчеркивает необходимость других инвестиций в реактивные процессы и технологии безопасности, которые сосредоточены на обнаружении новых угроз и реагировании на них, а не только на их предотвращении. Из-за изменений в ландшафте угроз и глубокого анализа корпорация Майкрософт усовершенствовала свою стратегию безопасности, а не только предотвращение нарушений безопасности, чтобы лучше справляться с нарушениями безопасности, когда они происходят. стратегия, которая рассматривает основные события безопасности не как вопрос "если", а когда.

В то время как предполагается, что методы нарушения безопасности майкрософт существуют в течение многих лет, многие клиенты не знают о работе, выполняемой в фоновом режиме для усиления защиты облака Майкрософт. Предположим, что нарушение — это мышление, которое определяет инвестиции в безопасность, проектные решения и операционные методы безопасности. Предположим, что нарушение ограничивает доверие, предоставляемое приложениям, службам, удостоверениям и сетям, рассматривая их все (внутренние и внешние) как небезопасные и уже скомпрометированные. Хотя предполагаемая стратегия нарушения не была рождена фактическим нарушением каких-либо корпоративных или облачных служб Майкрософт, было признано, что многие организации по всей отрасли были нарушены, несмотря на все попытки предотвратить его. Хотя предотвращение нарушений является важной частью операций любой организации, эти методы должны постоянно тестироваться и дополняться для эффективного устранения современных противников и сложных постоянных угроз. Для подготовки любой организации к нарушению безопасности необходимо сначала создать и поддерживать надежные, повторяемые и тщательно проверенные процедуры реагирования на безопасность.

Хотя процессы предотвращения нарушений безопасности, такие как моделирование угроз, проверки кода и тестирование безопасности, полезны в рамках жизненного цикла разработки безопасности, предположим, что нарушение обеспечивает многочисленные преимущества, которые помогают учитывать общую безопасность путем реализации и измерения реактивных возможностей в случае нарушения безопасности.

Корпорация Майкрософт намерена выполнить это с помощью текущих военных игр и тестирования на проникновение в реальном времени для наших планов реагирования на безопасность с целью улучшения наших возможностей обнаружения и реагирования. Корпорация Майкрософт регулярно имитирует реальные нарушения безопасности, проводит непрерывный мониторинг безопасности и практикует управление инцидентами безопасности для проверки и повышения безопасности Microsoft 365, Azure и других облачных служб Майкрософт.

Корпорация Майкрософт реализует предполагаемую стратегию безопасности с использованием двух основных групп:

• Red Teams (злоумышленники)
• Blue Teams (защитники)

Сотрудники Microsoft Azure и Microsoft 365 разделяют red Teams и Blue Teams полный рабочий день.

Этот подход, называемый "Red Teaming", заключается в тестировании систем и операций Azure и Microsoft 365 с использованием той же тактики, методов и процедур, что и реальные противники, против динамической производственной инфраструктуры без предузнания команд инженеров или операций. Это проверяет возможности обнаружения безопасности и реагирования майкрософт, а также помогает выявить уязвимости в рабочей среде, ошибки конфигурации, недопустимые предположения и другие проблемы безопасности контролируемым образом. За каждым нарушением Red Team следует полное раскрытие информации между обеими командами для выявления пробелов, устранения выводов и улучшения реагирования на нарушения.

Red Teams

Red Team — это группа штатных сотрудников корпорации Майкрософт, которая сосредоточена на нарушении инфраструктуры, платформы и собственных клиентов и приложений Майкрософт. Это выделенный злоумышленник (группа этических хакеров), выполняющий целевые и постоянные атаки на веб-службы (инфраструктура, платформы и приложения Майкрософт, но не приложения или содержимое конечных клиентов).

Роль Красной команды заключается в атаке и проникновении в среду, используя те же действия, что и злоумышленник:

Среди других функций красные команды специально пытаются нарушить границы изоляции клиентов, чтобы найти ошибки или пробелы в нашей структуре изоляции.

Чтобы помочь масштабировать усилия по тестированию, Red Team создала автоматизированное средство моделирования атак, которое безопасно работает в определенных средах Microsoft 365 на регулярной основе. Этот инструмент имеет широкий спектр предопределенных атак, которые постоянно расширяются и совершенствуются, чтобы помочь отразить меняющийся ландшафт угроз. Помимо расширения охвата тестирования Red Team, она помогает Blue Team проверить и улучшить логику мониторинга безопасности. Постоянная эмуляция атак предоставляет Blue Team последовательный и разнообразный поток сигналов, которые сравниваются и проверяются на соответствие ожидаемым ответам. Это приводит к улучшению логики мониторинга безопасности и возможностей реагирования в Microsoft 365.

Blue Teams

Синяя команда состоит из выделенного набора специалистов по реагированию на инциденты безопасности или членов из всех организаций по реагированию на инциденты безопасности, инжиниринга и эксплуатации. Независимо от их состава, они независимы и работают отдельно от Красной команды. Blue Team следит за установленными процессами безопасности и использует новейшие инструменты и технологии для обнаружения и реагирования на атаки и проникновение. Как и реальные атаки, синяя команда не знает, когда и как происходят атаки Красной команды и какие методы могут быть использованы. Их задача, будь то атака Red Team или фактическое нападение, заключается в обнаружении и реагировании на все инциденты безопасности. По этой причине синяя команда постоянно находится на связи и должна реагировать на нарушения Red Team так же, как и на любые другие нарушения.

Когда злоумышленник, например Красная команда, нарушил среду, синяя команда должна:

• Сбор доказательств, оставленных злоумышленником
• Обнаружение доказательств как признака компрометации
• Оповещение соответствующих инженерно-операционных групп
• Рассмотрение оповещений, чтобы определить, требуют ли они дальнейшего изучения
• Сбор контекста из среды для область нарушения
• Формирование плана исправления для сдерживания или вытеснения злоумышленника
• Выполнение плана исправления и восстановление после нарушения

Эти шаги формируют реагирование на инциденты безопасности, которые выполняются параллельно злоумышленнику, как показано ниже:

Брейки red Team позволяют осуществлять способность синей команды обнаруживать реальные атаки и реагировать на них сквозно. Самое главное, что он позволяет отрабатить реагирование на инциденты безопасности перед подлинным нарушением. Кроме того, из-за нарушений в красной команде синяя команда повышает их ситуационную осведомленность, что может быть полезно при работе с будущими нарушениями (от красной команды или другого противника). На протяжении всего процесса обнаружения и реагирования Blue Team создает практический интеллект и получает представление о фактических условиях среды, которую они пытаются защитить. Часто это достигается с помощью анализа данных и судебной экспертизы, выполняемой синей командой, при реагировании на атаки Red Team и путем установки индикаторов угроз, таких как индикаторы компрометации. Подобно тому, как красная команда выявляет пробелы в истории безопасности, синие команды выявляют пробелы в их способности обнаруживать и реагировать на них. Кроме того, так как красная команда модель реальных атак, Blue Team может быть точно оценена по ее способности иметь дело с решительными и упорными противниками. Наконец, нарушения Red Team измеряют готовность и влияние нашего реагирования на нарушения.