Freigeben über


Übersicht über das Bedrohungs- und Sicherheitsrisikomanagement

Wie führt Microsoft Onlinedienste Sicherheitsrisikomanagement durch?

Unabhängig davon, wie gut ein System konzipiert ist, seine Sicherheitshaltung kann sich mit der Zeit verschlechtern. Computer können nicht gepatcht werden, unbeabsichtigte Konfigurationsänderungen können eingeführt werden, und Regressionen des Sicherheitscodes können sich anhäufen. All diese Probleme können dazu führen, dass ein System weniger sicher ist als bei der anfänglichen Bereitstellung. Microsoft hat eine Automatisierung entwickelt, um unsere Systeme kontinuierlich auf diese Art von Beeinträchtigung zu überprüfen, so dass wir sofort handeln können, um Probleme in unserer Sicherheitslage zu beheben.

Microsoft Onlinedienste die Überprüfung des Computerzustands verwenden, um sicherzustellen, dass die Computer, aus denen unsere Infrastruktur besteht, mit den neuesten Patches auf dem neuesten Stand sind und dass ihre Basiskonfigurationen ordnungsgemäß mit den relevanten Frameworks übereinstimmen. Bei der Überprüfung des Computerzustands werden Patching, Antischadsoftware, Überprüfungen auf Sicherheitsrisiken und Konfigurationsscans verwendet. Microsoft Onlinedienste effektive Überprüfung anwenden, indem während der Bereitstellung auf jedem Asset ein benutzerdefinierter Sicherheits-Agent installiert wird. Dieser Sicherheits-Agent ermöglicht die Überprüfung des Computerzustands und meldet Ergebnisse an unsere Serviceteams.

Wie stellt Microsoft Onlinedienste sicher, dass die Dienstinfrastruktur mit den neuesten Sicherheitspatches auf dem neuesten Stand ist?

Die Patchverwaltung entschärft Sicherheitsrisiken, indem sichergestellt wird, dass Microsoft Onlinedienste Systeme nach der Veröffentlichung konsistent auf allen anwendbaren Systemen aktualisiert werden. Microsoft priorisiert neue Sicherheitspatches und andere Sicherheitsupdates entsprechend dem Risiko. Microsoft-Onlinedienst-Sicherheitsteams analysieren verfügbare Sicherheitspatches, um deren Risikostufe im Kontext unserer Produktionsumgebungen zu ermitteln. Die Analyse umfasst Schweregrade, die auf dem Common Vulnerability Scoring System (CVSS) zusammen mit anderen Risikofaktoren basieren.

Microsoft-Serviceteams überprüfen die Analyse des Sicherheitsteams und aktualisieren ihre Dienstkomponenten und Baselineimages mit entsprechenden Patches innerhalb des entsprechenden Korrekturzeitrahmens. Sicherheitspatches unterliegen dem Change Management-Prozess, um angemessene Test- und Verwaltungsgenehmigungen vor der Bereitstellung in Produktionsumgebungen zu gewährleisten. Die Bereitstellung von Sicherheitspatches erfolgt in Phasen zum Aktivieren des Rollbacks, wenn ein Sicherheitspatch unerwartete Probleme verursacht.

Service-Teams verwenden die Ergebnisse der Prüfungen auf Sicherheitsrisiken, um die Bereitstellung von Sicherheitspatches für geeignete Systemkomponenten zu überprüfen. Überfällige Sicherheitsrisiken werden täglich gemeldet und vom Management monatlich überprüft, um die Breite und Tiefe der Patchabdeckung in der gesamten Umgebung zu messen und uns für das rechtzeitige Patchen verantwortlich zu machen.

Wie führt Microsoft Überprüfungen auf Sicherheitsrisiken und Konfigurationen durch?

Der Sicherheits-Agent von Microsoft wird während der Bereitstellung von Ressourcen installiert und ermöglicht eine vollständig automatisierte Überprüfung auf Sicherheitsrisiken und Konfigurationen. Der Sicherheits-Agent verwendet Branchenstandardtools, um bekannte Sicherheitslücken und Sicherheitsfehlkonfigurationen zu erkennen. Für Produktionsressourcen werden tägliche automatische Überprüfungen mit den neuesten Signaturen für Sicherheitslücken geplant. Die Ergebnisse dieser Überprüfungen werden in einem sicheren, zentralen Speicherdienst gesammelt, und sie werden mittels automatisierter Berichte den Serviceteams bereitgestellt.

Serviceteams prüfen die Überprüfungsergebnisse mithilfe von Dashboards, in denen aggregierte Überprüfungsergebnisse angezeigt werden, um umfassende Berichte und Trendanalysen bereitzustellen. In Überprüfungen erkannte Sicherheitsrisiken werden in diesen Berichten nachverfolgt, bis sie behoben sind. Wenn Sicherheitslückenüberprüfungen fehlende Patches, Sicherheitsfehlkonfigurationen oder andere Sicherheitslücken in der Umgebung anzeigen, verwenden die Serviceteams diese Berichte, um die betroffenen Komponenten zu identifizieren und sie zu korrigieren. Durch überprüfung ermittelte Sicherheitsrisiken werden basierend auf ihren CVSS-Bewertungen und anderen relevanten Risikofaktoren für die Behebung priorisiert.

Wie schützt Microsoft vor Schadsoftware?

Microsoft verwendet umfassende Antischadsoftware, um Microsoft Onlinedienste vor Viren und anderer Schadsoftware zu schützen. Von Microsoft verwendete Baseline-Betriebssystemimages Onlinedienste diese Software enthalten, um die Abdeckung in der gesamten Umgebung zu maximieren.

Jeder Endpunkt in Microsoft Onlinedienste führt mindestens wöchentlich eine vollständige Antischadsoftwareüberprüfung durch. Für alle Dateien, die heruntergeladen, geöffnet oder ausgeführt werden, werden zusätzliche Echtzeitscans ausgeführt. Bei diesen Überprüfungen werden bekannte Schadsoftwaresignaturen verwendet, um Schadsoftware zu erkennen und deren Ausführung zu verhindern. Die Antischadsoftware von Microsoft ist so konfiguriert, dass täglich die neuesten Malware-Signaturen heruntergeladen werden, um sicherzustellen, dass Überprüfungen mit den aktuellsten Informationen durchgeführt werden. Zusätzlich zu signaturbasierten Scans verwendet Die Antischadsoftware von Microsoft musterbasierte Erkennung, um verdächtiges oder anormales Programmverhalten zu erkennen und zu verhindern.

Wenn unsere Antischadsoftware-Produkte Viren oder andere Schadsoftware erkennen, generieren sie automatisch eine Warnung für Microsoft-Sicherheitsreaktionsteams. In vielen Fällen kann unsere Antischadsoftware in Echtzeit verhindern, dass Viren und andere Schadsoftware ausgeführt werden, ohne dass ein Eingriff des Menschen erforderlich ist. Wenn diese Verhinderung nicht möglich ist, lösen Microsoft-Sicherheitsteams Schadsoftwarevorfälle mithilfe des Prozesses zur Reaktion auf Sicherheitsvorfälle.

Wie erkennt Microsoft neue oder nicht gemeldete Sicherheitsrisiken?

Microsoft ergänzt die automatisierte Überprüfung um anspruchsvolles maschinelles Lernen, um verdächtige Aktivitäten zu erkennen, die auf das Vorhandensein unbekannter Sicherheitsrisiken hinweisen können. Regelmäßige Penetrationstests durch interne Microsoft-Teams und unabhängige Prüfer bieten einen zusätzlichen Mechanismus zum Ermitteln und Beheben von Sicherheitsrisiken, bevor sie von realen Angreifern ausgenutzt werden können. Microsoft führt interne Penetrationstests mit "Red Teams" von Microsoft-Hackern durch. Kundensysteme und -daten sind nie das Ziel von Penetrationstests, aber die erkenntnisse aus Penetrationstests helfen Microsoft dabei, seine Sicherheitskontrollen zu überprüfen und sich vor neuen Arten von Angriffen zu schützen. Microsoft verwendet auch Bug Bounty-Programme, um Anreize für die Offenlegung neuer Sicherheitsrisiken zu geben, sodass diese so schnell wie möglich entschärft werden können.

Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. Informationen zur Überprüfung von Steuerelementen im Zusammenhang mit Bedrohungs- und Sicherheitsrisikomanagement finden Sie in der folgenden Tabelle.

Azure und Dynamics 365

Externe Überwachungen Section Datum des letzten Berichts
ISO 27001

Erklärung der Anwendbarkeit
Zertifikat
A.12.6.1: Verwaltung technischer Sicherheitsrisiken 8. April 2024
ISO 27017

Erklärung der Anwendbarkeit
Zertifikat
A.12.6.1: Verwaltung technischer Sicherheitsrisiken 8. April 2024
ISO 27018

Erklärung der Anwendbarkeit
Zertifikat
A.12.6.1: Verwaltung technischer Sicherheitsrisiken 8. April 2024
SOC 1
SOC 2
SOC 3
VM-3: Antischadsoftwareüberwachung
VM-5: Patchen
VM-6: Überprüfung auf Sicherheitsrisiken
20. Mai 2024

Microsoft 365

Externe Überwachungen Section Datum des letzten Berichts
FedRAMP CA-7: Kontinuierliche Überwachung
CA-8: Penetrationstests
RA-3: Risikobewertung
RA-5: Überprüfung auf Sicherheitsrisiken
SI-2: Fehlerbehebung
SI-5: Sicherheitswarnungen, Empfehlungen und Direktiven
Dienstag, 21. August 2024
ISO 27001/27017

Erklärung der Anwendbarkeit
Zertifizierung (27001)
Zertifizierung (27017)
A.12.6.1: Verwaltung technischer Sicherheitsrisiken März 2024
SOC 1 CA-27: Überprüfung auf Sicherheitsrisiken Dienstag, 1. August 2024
SOC 2 CA-24: Interne Risikobewertung
CA-27: Überprüfung auf Sicherheitsrisiken
23. Januar 2024

Ressourcen