Simulación de ataques en Microsoft 365
Basándose en un análisis detallado de las tendencias de seguridad, Microsoft aboga y resalta la necesidad de otras inversiones en procesos y tecnologías de seguridad reactivos que se centran en la detección y respuesta a amenazas emergentes, en lugar de exclusivamente en la prevención de esas amenazas. Debido a los cambios en el panorama de amenazas y el análisis en profundidad, Microsoft ha perfeccionado su estrategia de seguridad más allá de evitar simplemente las infracciones de seguridad a uno mejor equipado para hacer frente a las infracciones cuando se producen; una estrategia que tenga en cuenta los principales eventos de seguridad no como cuestión de si, sino cuándo.
Aunque microsoft asume que las prácticas de infracción han estado en vigor durante muchos años, muchos clientes no son conscientes del trabajo que se realiza en segundo plano para proteger la nube de Microsoft. Supongamos que la vulneración es una mentalidad que guía las inversiones en seguridad, las decisiones de diseño y las prácticas de seguridad operativa. Suponga que la vulneración limita la confianza depositada en las aplicaciones, los servicios, las identidades y las redes al tratarlas todas (internas y externas) como inseguras y ya en peligro. Aunque la estrategia de asumir infracciones no nació de una vulneración real de ningún servicio empresarial o en la nube de Microsoft, se reconoció que muchas organizaciones de todo el sector se estaban infringiendo a pesar de todos los intentos de impedirla. Aunque la prevención de infracciones es una parte fundamental de las operaciones de cualquier organización, estas prácticas deben probarse y aumentarse continuamente para abordar de forma eficaz los adversarios modernos y las amenazas persistentes avanzadas. Para que cualquier organización se prepare para una infracción, primero debe compilar y mantener procedimientos de respuesta de seguridad sólidos, repetibles y probados exhaustivamente.
Aunque los procesos de seguridad de prevención de infracciones, como el modelado de amenazas, las revisiones de código y las pruebas de seguridad son útiles como parte del ciclo de vida de desarrollo de seguridad, suponer que la vulneración proporciona numerosas ventajas que ayudan a tener en cuenta la seguridad general mediante el ejercicio y la medición de capacidades reactivas en caso de infracción.
En Microsoft, nos disponemos a hacerlo a través de ejercicios de juegos de guerra en curso y pruebas de penetración de sitios en vivo de nuestros planes de respuesta de seguridad con el objetivo de mejorar nuestra capacidad de detección y respuesta. Microsoft simula periódicamente infracciones del mundo real, realiza una supervisión de seguridad continua y practica la administración de incidentes de seguridad para validar y mejorar la seguridad de Microsoft 365, Azure y otros servicios en la nube de Microsoft.
Microsoft ejecuta la estrategia de seguridad de asumir infracciones mediante dos grupos principales:
- Red Teams (atacantes)
- Equipos azules (defensores)
Tanto el personal de Microsoft Azure como el de Microsoft 365 separan Red Teams a tiempo completo y Blue Teams.
Denominado "Equipo rojo", el enfoque consiste en probar sistemas y operaciones de Azure y Microsoft 365 con las mismas tácticas, técnicas y procedimientos que los adversarios reales, frente a la infraestructura de producción en vivo, sin el conocimiento previo de los equipos de ingeniería o operaciones. Esto prueba las funcionalidades de detección y respuesta de seguridad de Microsoft y ayuda a identificar vulnerabilidades de producción, errores de configuración, suposiciones no válidas y otros problemas de seguridad de forma controlada. Cada infracción del equipo rojo va seguida de la divulgación completa entre ambos equipos para identificar brechas, abordar los resultados y mejorar la respuesta a las infracciones.
Nota:
No hay inquilinos, datos o aplicaciones de clientes destinados deliberadamente durante la formación de equipos rojos o las pruebas de penetración de sitios en directo. Las pruebas se realizan en plataformas e infraestructura de Microsoft 365 y Azure, así como en los propios inquilinos, aplicaciones y datos de Microsoft.
Equipos rojos
El equipo rojo es un grupo de personal a tiempo completo dentro de Microsoft que se centra en vulnerar la infraestructura, la plataforma y las propias aplicaciones de Microsoft. Son el adversario dedicado (un grupo de hackers éticos) que realiza ataques dirigidos y persistentes contra Online Services (infraestructura, plataformas y aplicaciones de Microsoft, pero no aplicaciones o contenido de clientes finales).
El rol del equipo rojo es atacar y penetrar entornos con los mismos pasos que un adversario:
Entre otras funciones, los equipos rojos intentan específicamente vulnerar los límites de aislamiento de inquilinos para encontrar errores o brechas en nuestro diseño de aislamiento.
Para ayudar a escalar los esfuerzos de prueba, el equipo rojo ha creado una herramienta automatizada de simulación de ataques que se ejecuta de forma segura en entornos específicos de Microsoft 365 de forma periódica. La herramienta tiene una amplia variedad de ataques predefinidos que se expanden y mejoran constantemente para ayudar a reflejar el panorama de amenazas en constante evolución. Además de ampliar la cobertura de las pruebas de Red Team, ayuda al equipo azul a validar y mejorar su lógica de supervisión de seguridad. La emulación de ataque regular y continua proporciona al equipo azul un flujo coherente y diverso de señales que se comparan y validan con respecto a las respuestas esperadas. Esto conduce a mejoras en las funcionalidades de lógica y respuesta de supervisión de seguridad de Microsoft 365.
Equipos azules
El equipo azul se compone de un conjunto dedicado de respondedores de seguridad o miembros de las organizaciones de respuesta a incidentes de seguridad, ingeniería y operaciones. Independientemente de su maquillaje, son independientes y operan por separado del equipo rojo. Blue Team sigue los procesos de seguridad establecidos y usa las herramientas y tecnologías más recientes para detectar y responder a ataques y penetración. Al igual que los ataques del mundo real, el equipo azul no sabe cuándo ni cómo se producen los ataques del equipo rojo ni qué métodos se pueden usar. Su trabajo, ya sea un ataque de equipo rojo o un ataque real, es detectar y responder a todos los incidentes de seguridad. Por este motivo, el equipo azul está continuamente de guardia y debe reaccionar ante las infracciones del equipo rojo de la misma manera que lo haría para cualquier otra infracción.
Cuando un adversario, como un equipo rojo, ha infringido un entorno, el equipo azul debe:
- Recopilación de pruebas que dejó el adversario
- Detección de la evidencia como una indicación de peligro
- Alertar a los equipos de ingeniería y operación adecuados
- Evaluar las alertas para determinar si justifican una investigación adicional
- Recopilación del contexto del entorno para limitar la infracción
- Formulario de un plan de corrección para contener o expulsar al adversario
- Ejecutar el plan de corrección y recuperarse de una infracción
Estos pasos forman la respuesta a incidentes de seguridad que se ejecuta en paralelo con el adversario, como se muestra a continuación:
Las infracciones del equipo rojo permiten ejercer la capacidad del equipo azul de detectar y responder a ataques del mundo real de un extremo a otro. Lo más importante es que permite la respuesta a incidentes de seguridad practicada antes de una infracción real. Además, debido a las infracciones del equipo rojo, el equipo azul mejora su conciencia situacional, lo que puede ser valioso al tratar con futuras infracciones (ya sea del equipo rojo u otro adversario). A lo largo del proceso de detección y respuesta, Blue Team genera inteligencia accionable y obtiene visibilidad sobre las condiciones reales de los entornos que intentan defender. Con frecuencia, esto se logra mediante análisis de datos y análisis forense, realizados por el equipo azul, al responder a ataques del equipo rojo y mediante el establecimiento de indicadores de amenazas, como indicadores de riesgo. De forma muy similar a cómo el equipo rojo identifica las brechas en la historia de seguridad, los equipos azules identifican brechas en su capacidad de detectar y responder. Además, dado que el modelo de ataques del equipo rojo en el mundo real, el equipo azul puede evaluarse con precisión sobre su capacidad para enfrentarse a adversarios determinados y persistentes. Por último, las infracciones del equipo rojo miden tanto la preparación como el impacto de nuestra respuesta a las infracciones.