Angriffssimulation in Microsoft 365
Basierend auf einer detaillierten Analyse der Sicherheitstrends befürwortet und hebt Microsoft die Notwendigkeit anderer Investitionen in reaktive Sicherheitsprozesse und -technologien hervor, die sich auf die Erkennung und Reaktion auf neue Bedrohungen konzentrieren, anstatt nur auf die Verhinderung dieser Bedrohungen. Aufgrund der Änderungen in der Bedrohungslandschaft und der eingehenden Analyse hat Microsoft seine Sicherheitsstrategie über die bloße Verhinderung von Sicherheitsverletzungen hinaus optimiert, um besser für den Umgang mit Sicherheitsverletzungen gerüstet zu sein, wenn sie auftreten. eine Strategie, bei der größere Sicherheitsereignisse nicht als Eine Frage des Ob, sondern des Zeitpunkts betrachtet werden.
Während Microsofts Praktiken zur Annahme von Sicherheitsverletzungen seit vielen Jahren vorhanden sind, wissen viele Kunden nicht, welche Arbeit hinter den Kulissen ausgeführt wird, um die Microsoft-Cloud zu härten. Angenommen, eine Sicherheitsverletzung ist eine Denkweise, die Sicherheitsinvestitionen, Entwurfsentscheidungen und betriebliche Sicherheitsmethoden steuert. Angenommen, eine Sicherheitsverletzung schränkt das Vertrauen in Anwendungen, Dienste, Identitäten und Netzwerke ein, indem alle – intern und extern – als unsicher und bereits kompromittiert behandelt werden. Obwohl die Sicherheitsverletzungsstrategie nicht aus einer tatsächlichen Verletzung von Microsoft-Unternehmens- oder Clouddiensten entstanden ist, wurde erkannt, dass viele Organisationen in der gesamten Branche trotz aller Versuche, dies zu verhindern, verletzt wurden. Die Verhinderung von Sicherheitsverletzungen ist zwar ein wichtiger Bestandteil der Vorgänge jedes organization, diese Methoden müssen jedoch kontinuierlich getestet und erweitert werden, um moderne Angreifer und fortgeschrittene persistente Bedrohungen effektiv zu bekämpfen. Damit sich organization auf eine Sicherheitsverletzung vorbereiten können, müssen sie zunächst robuste, wiederholbare und gründlich getestete Sicherheitsreaktionsverfahren erstellen und verwalten.
Während Sicherheitsprozesse zur Verhinderung von Sicherheitsverletzungen wie Bedrohungsmodellierung, Codeüberprüfungen und Sicherheitstests im Rahmen des Sicherheitsentwicklungslebenszyklus nützlich sind, gehen Sie davon aus, dass Sicherheitsverletzungen zahlreiche Vorteile bieten, die dazu beitragen, die Gesamtsicherheit zu berücksichtigen, indem reaktive Funktionen im Falle einer Sicherheitsverletzung ausgeführt und gemessen werden.
Bei Microsoft haben wir uns vorgenommen, dies durch laufende Kriegsspieleübungen und Live-Website-Penetrationstests unserer Sicherheitsreaktionspläne zu erreichen, mit dem Ziel, unsere Erkennungs- und Reaktionsfähigkeit zu verbessern. Microsoft simuliert regelmäßig reale Sicherheitsverletzungen, führt eine kontinuierliche Sicherheitsüberwachung durch und führt Sicherheitsvorfälle-Management durch, um die Sicherheit von Microsoft 365, Azure und anderen Microsoft-Clouddiensten zu überprüfen und zu verbessern.
Microsoft führt die Sicherheitsstrategie für sicherheitsrelevante Sicherheitsverletzungen mit zwei Kerngruppen aus:
- Red Teams (Angreifer)
- Blue Teams (Verteidiger)
Sowohl Microsoft Azure- als auch Microsoft 365-Mitarbeiter trennen Red Teams und Blue Teams in Vollzeit.
Der als "Red Teaming" bezeichnete Ansatz besteht darin, Azure- und Microsoft 365-Systeme und -Vorgänge mit den gleichen Taktiken, Techniken und Verfahren wie echte Angreifer gegen die Live-Produktionsinfrastruktur zu testen, ohne dass das Engineering- oder Operations-Team wissen muss. Dies testet die Sicherheitserkennungs- und Reaktionsfunktionen von Microsoft und hilft dabei, Sicherheitsrisiken in der Produktion, Konfigurationsfehler, ungültige Annahmen und andere Sicherheitsprobleme kontrolliert zu identifizieren. Auf jede Red Team-Verletzung folgt eine vollständige Offenlegung zwischen beiden Teams, um Lücken zu identifizieren, Ergebnisse zu beheben und die Reaktion auf Sicherheitsverletzungen zu verbessern.
Hinweis
Kundenmandanten, Daten oder Anwendungen werden bei Red Teaming- oder Live-Website-Penetrationstests nicht absichtlich als Ziel verwendet. Die Tests beziehen sich auf Microsoft 365- und Azure-Infrastruktur und -Plattformen sowie die eigenen Mandanten, Anwendungen und Daten von Microsoft.
Red Teams
Das Red Team ist eine Gruppe von Vollzeitmitarbeitern innerhalb von Microsoft, die sich darauf konzentriert, die Infrastruktur, Plattform und die eigenen Mandanten und Anwendungen von Microsoft zu verletzen. Sie sind der dedizierte Angreifer (eine Gruppe ethischer Hacker), die gezielte und dauerhafte Angriffe auf Onlinedienste (Microsoft-Infrastruktur, -Plattformen und -Anwendungen, aber keine Anwendungen oder Inhalte von Endkunden) durchführt.
Die Rolle des Roten Teams besteht darin, Umgebungen mit den gleichen Schritten wie ein Angreifer anzugreifen und zu durchdringen:
Neben anderen Funktionen versuchen red Teams speziell, die Isolationsgrenzen von Mandanten zu überschreiten, um Fehler oder Lücken in unserem Isolationsentwurf zu finden.
Um die Testanstrengungen zu skalieren, hat das Red Team ein automatisiertes Angriffssimulationstool erstellt, das in bestimmten Microsoft 365-Umgebungen regelmäßig sicher ausgeführt wird. Das Tool verfügt über eine Vielzahl vordefinierter Angriffe, die ständig erweitert und verbessert werden, um die sich entwickelnde Bedrohungslandschaft widerzuspiegeln. Zusätzlich zur Erweiterung der Abdeckung von Red Team-Tests hilft es dem Blue Team, seine Sicherheitsüberwachungslogik zu überprüfen und zu verbessern. Regelmäßige, fortlaufende Angriffsemulation bietet dem Blue Team einen konsistenten und vielfältigen Strom von Signalen, die mit erwarteten Reaktionen verglichen und überprüft werden. Dies führt zu Verbesserungen der Sicherheitsüberwachungslogik und der Reaktionsfunktionen von Microsoft 365.
Blue Teams
Das Blue Team besteht entweder aus einer dedizierten Gruppe von Sicherheitshelfern oder Mitgliedern aus den organisationen Reaktion auf Sicherheitsvorfälle, Engineering und Operations. Unabhängig von ihrem Make-up sind sie unabhängig und arbeiten getrennt vom Red Team. Das Blue Team verfolgt etablierte Sicherheitsprozesse und nutzt die neuesten Tools und Technologien, um Angriffe und Penetration zu erkennen und darauf zu reagieren. Genau wie reale Angriffe weiß das Blue Team nicht, wann und wie die Angriffe des Roten Teams auftreten oder welche Methoden verwendet werden können. Ihre Aufgabe, ob es sich um einen Red Team-Angriff oder einen tatsächlichen Angriff handelt, besteht darin, alle Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Aus diesem Grund ist das blaue Team ständig im Bereitschaftsdienst und muss auf Red Team-Verstöße genauso reagieren wie bei jeder anderen Sicherheitsverletzung.
Wenn ein Angreifer, z. B. ein rotes Team, eine Umgebung verletzt hat, muss das blaue Team:
- Sammeln von Beweisen, die der Angreifer hinterlassen hat
- Erkennen der Beweise als Hinweis auf eine Kompromittierung
- Benachrichtigen der entsprechenden Engineering- und Betriebsteams
- Selektieren der Warnungen, um festzustellen, ob sie eine weitere Untersuchung rechtfertigen
- Erfassen des Kontexts aus der Umgebung, um die Sicherheitsverletzung einzugrenzen
- Erstellen eines Wartungsplans, um den Angreifer einzudämmen oder zu entfernen
- Ausführen des Wartungsplans und Wiederherstellung nach Einer Sicherheitsverletzung
Diese Schritte bilden die Reaktion auf Sicherheitsvorfälle, die parallel zum Angreifer ausgeführt wird, wie unten gezeigt:
Red Team-Sicherheitsverletzungen ermöglichen es, die Fähigkeit des Blauen Teams zu trainieren, angriffe in der praxisnahen End-to-End zu erkennen und darauf zu reagieren. Am wichtigsten ist, dass es eine praxisübte Reaktion auf Sicherheitsvorfälle vor einer echten Sicherheitsverletzung ermöglicht. Darüber hinaus verbessert das Blaue Team aufgrund von Red Team-Verstößen sein Situationsbewusstsein, was bei zukünftigen Verstößen (vom Roten Team oder einem anderen Angreifer) nützlich sein kann. Während des gesamten Erkennungs- und Reaktionsprozesses erzeugt das Blaue Team umsetzbare Informationen und erhält Einblick in die tatsächlichen Bedingungen der Umgebung(en), die es zu verteidigen versucht. Dies geschieht häufig durch Datenanalysen und Forensiken, die vom Blue Team durchgeführt werden, wenn auf Red Team-Angriffe reagiert und Bedrohungsindikatoren wie z. B. Indikatoren für Kompromittierung festgelegt werden. Ähnlich wie das Rote Team Lücken in der Sicherheitsgeschichte identifiziert, identifizieren blaue Teams Lücken in ihrer Fähigkeit, zu erkennen und zu reagieren. Darüber hinaus kann das Blue Team seit dem Modell realer Angriffe des Roten Teams genau bewertet werden, um mit entschlossenen und beständigen Angreifern umzugehen. Schließlich messen Red Team-Verstöße sowohl die Bereitschaft als auch die Auswirkungen unserer Reaktion auf Sicherheitsverletzungen.