Condividi tramite

Gestione degli eventi imprevisti di sicurezza Microsoft: preparazione

  • Articolo

Training e controlli in background

Ogni dipendente che lavora su Microsoft Servizi online viene fornito con formazione sugli eventi imprevisti di sicurezza e sulle procedure di risposta appropriate per il proprio ruolo. Ogni dipendente Microsoft riceve formazione al momento dell'adesione e la formazione annuale di aggiornamento ogni anno dopo. La formazione è progettata per fornire al dipendente una conoscenza di base dell'approccio di Microsoft alla sicurezza in modo che, al termine della formazione, tutti i dipendenti comprendano:

  • Definizione di un evento imprevisto di sicurezza
  • Responsabilità di tutti i dipendenti di segnalare gli incidenti di sicurezza
  • Come inoltrare un potenziale evento imprevisto di sicurezza al team di risposta alla sicurezza Microsoft appropriato
  • Come i team di risposta agli eventi imprevisti di sicurezza Microsoft rispondono agli eventi imprevisti di sicurezza
  • Problemi speciali relativi alla privacy, in particolare alla privacy dei clienti
  • Dove trovare informazioni aggiuntive su sicurezza e privacy e contatti di escalation
  • Eventuali altre aree di sicurezza rilevanti (in base alle esigenze)

I dipendenti appropriati ricevono ogni anno una formazione di aggiornamento sulla sicurezza. La formazione annuale sugli aggiornamenti è incentrata su:

  • Eventuali modifiche apportate alle procedure operative standard dell'anno precedente
  • La responsabilità di tutti di segnalare gli incidenti di sicurezza e come farlo
  • Dove trovare informazioni aggiuntive su sicurezza e privacy e contatti di escalation
  • Eventuali altre aree di interesse per la sicurezza che possono essere rilevanti ogni anno

Ogni dipendente che lavora su Microsoft Servizi online è soggetto a un controllo appropriato e approfondito dei precedenti che include l'istruzione, l'impiego, la storia criminale e altre informazioni specifiche per Stati Uniti normative come Health Insurance Portability and Accountability Act (HIPAA), International Traffic in Arms Regulations (ITAR), Federal Risk and Authorization Management Program (FedRAMP) e altri.

I controlli in background sono obbligatori per tutti i dipendenti che lavorano all'interno della progettazione Microsoft. Alcuni ambienti dei servizi online Microsoft e i ruoli degli operatori possono anche richiedere il rilevamento completo delle impronte digitali, i requisiti di cittadinanza, i requisiti di autorizzazione per enti pubblici e altri controlli più rigorosi. Inoltre, alcuni team e ruoli del servizio possono eseguire una formazione specializzata sulla sicurezza in base alle esigenze. Infine, i membri stessi del team di sicurezza ricevono formazione specializzata e partecipazione a conferenze direttamente correlate alla sicurezza. Questa formazione varia in base alle esigenze del team e dei dipendenti, ma include elementi come conferenze del settore, conferenze interne di Microsoft Security e corsi di formazione esterni tramite noti fornitori di formazione sulla sicurezza nel settore. Sono inoltre disponibili articoli dedicati per la formazione sulla sicurezza pubblicati durante l'anno per la community della sicurezza di Microsoft e specializzati in Microsoft Servizi online regolarmente.

Test di penetrazione & valutazione

Microsoft collabora con vari enti del settore ed esperti di sicurezza per comprendere le nuove minacce e le tendenze in evoluzione. Microsoft valuta continuamente i propri sistemi per le vulnerabilità e contratti con vari esperti esterni indipendenti che fanno lo stesso.

I test eseguiti per la protezione avanzata dei servizi all'interno di Microsoft Servizi online possono essere raggruppati in quattro categorie generali:

  1. Test di sicurezza automatizzati: Il personale interno ed esterno analizza regolarmente gli ambienti dei servizi online Microsoft in base alle procedure SDL Microsoft, ai primi 10 rischi di Open Web Application Security Project (OWASP) e alle minacce emergenti segnalate da diversi organismi del settore.
  2. Valutazioni della vulnerabilità: Gli impegni formali con tester indipendenti di terze parti verificano regolarmente se i controlli logici chiave funzionano in modo efficace per soddisfare gli obblighi di servizio di vari organismi normativi. Le valutazioni vengono eseguite da personale certificato del Council of Registered Ethical Security Testers (CREST) e si basano sui primi 10 rischi OWASP e su altre minacce applicabili al servizio. Tutte le minacce rilevate vengono rilevate fino alla chiusura.
  3. Test continuo delle vulnerabilità del sistema: Microsoft esegue test regolari in cui i team tentano di violare il sistema usando minacce emergenti, minacce mescolate e/o minacce persistenti avanzate, mentre altri team tentano di bloccare tali tentativi di violazione.
  4. Microsoft Online Services Bug Bounty Program: questo programma gestisce un criterio che consente valutazioni limitate delle vulnerabilità originate dal cliente su Microsoft Servizi online. Per altre informazioni, vedere Microsoft Online Services Bug Bounty Terms .for more information, see Microsoft Online Services Bug Bounty Terms.For more information, see Microsoft Online Services Bug Bounty Terms.

I team di progettazione di Microsoft Servizi online pubblicano periodicamente vari documenti di conformità. Molti di questi documenti sono disponibili nell'ambito di un accordo di non divulgazione dal portale di trust Microsoft Cloud Service o dall'area Service Assurance del Portale di conformità di Microsoft Purview

Simulazione degli attacchi

Microsoft si impegna in esercizi di simulazione degli attacchi in corso e test di penetrazione sul sito live dei piani di sicurezza e risposta con l'intento di migliorare la funzionalità di rilevamento e risposta. Microsoft simula regolarmente violazioni reali, esegue il monitoraggio continuo della sicurezza e applica la risposta agli eventi imprevisti di sicurezza per convalidare e migliorare la sicurezza di Microsoft Servizi online.

Microsoft esegue una strategia di sicurezza basata su presupporre violazioni usando due team principali:

Squadre rosse

Microsoft Red teams è un gruppo di personale a tempo pieno all'interno di Microsoft che si concentra sulla violazione dell'infrastruttura, della piattaforma e delle applicazioni di Microsoft. Sono l'avversario dedicato (un gruppo di hacker etici) che eseguono attacchi mirati e persistenti contro Servizi online (ma non applicazioni o dati dei clienti). Forniscono una convalida continua a "spettro completo" (ad esempio, controlli tecnici, criteri cartacei, risposta umana e così via) delle funzionalità di risposta agli eventi imprevisti del servizio.

Squadre blu

I team Microsoft Blue sono composti da set dedicati di risponditori di sicurezza e membri provenienti dai team di risposta agli eventi imprevisti, progettazione e operazioni di sicurezza. Sono indipendenti e operano separatamente dalle squadre Red. I team Blu seguono i processi di sicurezza stabiliti e usano gli strumenti e le tecnologie più recenti per rilevare e rispondere agli attacchi e ai tentativi di penetrazione. Proprio come gli attacchi reali, i team blu non sanno quando o come si verificheranno gli attacchi del team rosso o quali metodi possono essere usati. Il loro compito, che si tratti di un attacco di squadra rossa o di un attacco effettivo, è quello di rilevare e rispondere a tutti gli eventi imprevisti di sicurezza. Per questo motivo, le squadre Blu sono continuamente in chiamata e devono reagire alle violazioni del red team nello stesso modo in cui avrebbero per qualsiasi altro avversario.

Il personale Microsoft separa team rossi a tempo pieno e team blu in Microsoft in varie divisioni che svolgono operazioni sia tra i servizi che all'interno di essi. Definito Red Teaming, l'approccio consiste nel testare i sistemi e le operazioni dei servizi Microsoft usando le stesse tattiche, tecniche e procedure dei veri avversari, rispetto all'infrastruttura di produzione live, senza la conoscenza dei team di progettazione o operazioni dell'infrastruttura e della piattaforma. In questo modo vengono testate le funzionalità di rilevamento e risposta della sicurezza e vengono identificate le vulnerabilità di produzione, gli errori di configurazione, i presupposti non validi o altri problemi di sicurezza in modo controllato. Ogni violazione del red team è seguita dalla divulgazione completa tra il team Red e il team Blue, inclusi i team di servizio, per identificare le lacune, risolvere i risultati e migliorare significativamente la risposta alle violazioni.

Nota

Durante gli esercizi di penetrazione del sito live o red teaming non vengono presi di mira i dati dei clienti. I test vengono eseguiti su microsoft 365, sull'infrastruttura e sulle piattaforme di Azure, nonché sui tenant, le applicazioni e i dati di Microsoft. I tenant, le applicazioni e i dati dei clienti ospitati in Azure, Dynamics 365 o Microsoft 365 non sono mai destinati in base alle regole di engagement accettate.

Esercizi comuni

A volte, i team Microsoft Blue e Red condurranno operazioni comuni in cui la relazione durante l'operazione è più partner che antagonista con un set selezionato di dipendenti di ogni team. Questi esercizi sono ben coordinati tra i team per guidare un set più mirato di risultati attraverso la collaborazione in tempo reale tra hacker e risponditori etici. Questi esercizi del "team viola" sono altamente personalizzati per ogni operazione per massimizzare l'opportunità, ma fondamentali per ogni operazione sono la condivisione di informazioni a larghezza di banda elevata e la partnership per raggiungere gli obiettivi.