Condividi tramite


Simulazione di un attacco in Microsoft 365

Sulla base di un'analisi dettagliata delle tendenze di sicurezza, Microsoft sostiene e evidenzia la necessità di altri investimenti in processi e tecnologie di sicurezza reattivi incentrati sul rilevamento e sulla risposta alle minacce emergenti, anziché solo sulla prevenzione di tali minacce. A causa dei cambiamenti nel panorama delle minacce e dell'analisi approfondita, Microsoft ha perfezionato la propria strategia di sicurezza oltre a impedire solo le violazioni della sicurezza a una soluzione migliore per gestire le violazioni quando si verificano; una strategia che considera gli eventi di sicurezza principali non come una questione di se, ma quando.

Sebbene le procedure di violazione di Microsoft siano in vigore da molti anni, molti clienti non sono a conoscenza del lavoro svolto dietro le quinte per rafforzare il cloud Microsoft. Si supponga che la violazione sia una mentalità che guida gli investimenti in sicurezza, le decisioni di progettazione e le procedure di sicurezza operative. Si supponga che la violazione limiti l'attendibilità posta in applicazioni, servizi, identità e reti considerandoli tutti, interni ed esterni, come insicuri e già compromessi. Sebbene la strategia di violazione presupponga non sia nata da una violazione effettiva di qualsiasi azienda Microsoft o di servizi cloud, è stato riconosciuto che molte organizzazioni di tutto il settore sono state violate nonostante tutti i tentativi di impedirla. Anche se la prevenzione delle violazioni è una parte fondamentale delle operazioni di qualsiasi organizzazione, tali procedure devono essere costantemente testate e aumentate per affrontare efficacemente gli avversari moderni e le minacce persistenti avanzate. Affinché qualsiasi organizzazione si prepari a una violazione, deve innanzitutto compilare e mantenere procedure di risposta alla sicurezza affidabili, ripetibili e testate accuratamente.

Anche se i processi di sicurezza di prevenzione delle violazioni, ad esempio la modellazione delle minacce, le revisioni del codice e i test di sicurezza, sono utili nell'ambito del ciclo di vita dello sviluppo della sicurezza, si supponga che la violazione offra numerosi vantaggi che consentono di tenere conto della sicurezza complessiva esercitando e misurando le funzionalità reattive in caso di violazione.

Microsoft si è prefissata l'obiettivo di ottenere questo risultato tramite esercizi di giochi di guerra in corso e test di penetrazione sul sito live dei piani di risposta alla sicurezza con l'obiettivo di migliorare la capacità di rilevamento e risposta. Microsoft simula regolarmente violazioni reali, esegue il monitoraggio continuo della sicurezza e applica la gestione degli eventi imprevisti di sicurezza per convalidare e migliorare la sicurezza di Microsoft 365, Azure e altri servizi cloud Microsoft.

Microsoft esegue la strategia di sicurezza presupporre violazioni usando due gruppi principali:

  • Red Teams (utenti malintenzionati)
  • Blue Teams (difensori)

Sia il personale di Microsoft Azure che quello di Microsoft 365 separano Red Teams a tempo pieno e Blue Teams.

Definito "Red Teaming", l'approccio consiste nel testare i sistemi e le operazioni di Azure e Microsoft 365 usando le stesse tattiche, tecniche e procedure degli avversari reali, rispetto all'infrastruttura di produzione live, senza la conoscenza dei team di progettazione o operazioni. Ciò testa le funzionalità di rilevamento e risposta della sicurezza di Microsoft e consente di identificare le vulnerabilità di produzione, gli errori di configurazione, i presupposti non validi e altri problemi di sicurezza in modo controllato. Ogni violazione del Red Team è seguita dalla divulgazione completa tra entrambi i team per identificare le lacune, risolvere i risultati e migliorare la risposta alle violazioni.

Nota

Durante i test di penetrazione del sito live o red teaming non vengono intenzionalmente presi di mira tenant, dati o applicazioni dei clienti. I test vengono eseguiti su microsoft 365, sull'infrastruttura e sulle piattaforme di Azure, nonché sui tenant, le applicazioni e i dati di Microsoft.

Red Teams

Il Red Team è un gruppo di personale a tempo pieno all'interno di Microsoft incentrato sulla violazione dell'infrastruttura, della piattaforma e delle applicazioni di Microsoft. Sono l'avversario dedicato (un gruppo di hacker etici) che eseguono attacchi mirati e persistenti contro i servizi online (infrastruttura, piattaforme e applicazioni Microsoft, ma non le applicazioni o i contenuti dei clienti finali).

Il ruolo del Red Team è quello di attaccare e penetrare gli ambienti usando gli stessi passaggi di un avversario:

Fasi di violazione.

Tra le altre funzioni, i team rossi tentano in modo specifico di violare i limiti di isolamento del tenant per trovare bug o lacune nella progettazione dell'isolamento.

Per semplificare le attività di test di scalabilità, red team ha creato uno strumento di simulazione degli attacchi automatizzato che viene eseguito in modo sicuro in ambienti Microsoft 365 specifici su base ricorrente. Lo strumento offre un'ampia gamma di attacchi predefiniti che vengono costantemente espansi e migliorati per riflettere l'evoluzione del panorama delle minacce. Oltre ad ampliare la copertura dei test di Red Team, aiuta il Blue Team a convalidare e migliorare la logica di monitoraggio della sicurezza. L'emulazione regolare e continuativa degli attacchi fornisce al Blue Team un flusso coerente e diversificato di segnali confrontati e convalidati rispetto alle risposte previste. Ciò comporta miglioramenti nelle funzionalità di logica e risposta di monitoraggio della sicurezza di Microsoft 365.

Blue Teams

Il Blue Team è composto da un set dedicato di risponditori di sicurezza o membri provenienti dalle organizzazioni di risposta agli eventi imprevisti di sicurezza, progettazione e operazioni. Indipendentemente dal loro make-up, sono indipendenti e operano separatamente dal Red Team. Il Blue Team segue i processi di sicurezza stabiliti e usa gli strumenti e le tecnologie più recenti per rilevare e rispondere agli attacchi e alla penetrazione. Proprio come gli attacchi reali, il Blue Team non sa quando o come si verificano gli attacchi del Red Team o quali metodi possono essere usati. Il loro compito, che si tratti di un attacco Red Team o di un attacco effettivo, è quello di rilevare e rispondere a tutti gli eventi imprevisti di sicurezza. Per questo motivo, il Blue Team è continuamente in chiamata e deve reagire alle violazioni del Red Team nello stesso modo in cui si farebbe per qualsiasi altra violazione.

Quando un avversario, ad esempio un Red Team, ha violato un ambiente, il Blue Team deve:

  • Raccogliere le prove lasciate dall'avversario
  • Rilevare l'evidenza come indicazione di compromissione
  • Avvisare i team tecnici e operativi appropriati
  • Valutare gli avvisi per determinare se richiedono ulteriori indagini
  • Raccogliere il contesto dall'ambiente per definire l'ambito della violazione
  • Creare un piano di correzione per contenere o rimuovere l'avversario
  • Eseguire il piano di correzione e ripristinare da una violazione

Questi passaggi costituiscono la risposta agli eventi imprevisti di sicurezza che viene eseguita parallela all'avversario, come illustrato di seguito:

Fasi di risposta alle violazioni.

Le violazioni del Red Team consentono di esercitare la capacità del Blue Team di rilevare e rispondere agli attacchi reali end-to-end. Soprattutto, consente una risposta pratica agli eventi imprevisti di sicurezza prima di una vera e propria violazione. Inoltre, a causa di violazioni del Red Team, il Blue Team migliora la loro consapevolezza della situazione, che può essere utile quando si tratta di violazioni future (sia dal Red Team che da un altro avversario). Durante il processo di rilevamento e risposta, il Blue Team produce intelligenza pratica e ottiene visibilità sulle condizioni effettive degli ambienti che stanno cercando di difendere. Spesso questa operazione viene eseguita tramite analisi dei dati e analisi forensi, eseguite dal Blue Team, quando si risponde agli attacchi di Red Team e tramite la definizione di indicatori di minaccia, ad esempio indicatori di compromissione. Proprio come il Red Team identifica le lacune nella storia della sicurezza, i team blu identificano le lacune nella loro capacità di rilevare e rispondere. Inoltre, dal momento che il modello del Red Team attacca il mondo reale, il Blue Team può essere valutato accuratamente sulla loro capacità di affrontare avversari determinati e persistenti. Infine, le violazioni di Red Team misurano sia l'idoneità che l'impatto della risposta alle violazioni.