공격 시뮬레이션 및 침투 테스트 살펴보기
당사의 보안 모니터링 및 대응 기능을 테스트하기 위해 Microsoft는 침해 가정 철학의 일부로 당사 환경에서 실제 공격을 시뮬레이션하는 데 중점을 둡니다. 서비스 인프라에 대한 공격을 정기적으로 수행하는 사내 침투 테스트 팀이 있습니다. 또한 정기적으로 소규모 공격을 유발하는 자동화된 공격 시뮬레이션 시스템을 유지 관리합니다. 즉, 우리는 끊임없이 자신을 공격합니다.
공격 시뮬레이션의 목표는 탐지 및 대응 능력을 검증하는 것입니다. 우리의 공격 시뮬레이션은 종종 "이용 후" 활동에 중점을 둡니다. 우리의 침투 테스트는 서비스에 대한 새로운 취약점과 경로를 식별하는 데 확실히 사용되지만 주요 우선 순위는 침해 후 발생하는 테스트입니다. 공격을 충분히 빠르게 감지하고 있습니까? 공격자를 효과적으로 교정하고 제거할 수 있습니까? 공격 시뮬레이션 및 기타 형태의 침투 테스트를 통해 이러한 질문에 지속적으로 답할 수 있습니다.
공격 시뮬레이션
Microsoft 365는 정규 직원으로 구성된 사내 공격 보안 팀을 활용하여 시스템에 대한 공격을 시뮬레이션하여 지속적인 침투 테스트를 수행합니다. 우리는 이 팀을 레드 팀이라고 부릅니다. 레드 팀은 취약점을 발견하고 악용하여 탐지 없이 Microsoft 시스템을 손상시키려고 시도합니다. 레드 팀의 노력은 실제 공격을 시뮬레이션하고 Microsoft 365 보안 대응 팀의 기능을 테스트합니다.
내부 침투 테스트의 맥락에서 Microsoft 365 보안 대응 팀은 "블루 팀"이라고 합니다. Blue Team은 보안 모니터링 시스템과 보안 인시던트 대응 프로세스를 사용하여 레드 팀 공격을 방지, 탐지 및 대응하기 위해 노력하고 있습니다.
레드 팀은 공격을 마친 후 블루 팀과 협력하여 공격 시뮬레이션 중에 발견된 취약점을 식별하고 해결합니다. 또한 시뮬레이션에서 얻은 교훈을 기반으로 프로세스 개선 사항을 식별하고 구현합니다. 레드 팀에서 발견한 모든 취약점은 서비스에 대한 다음 공격 시뮬레이션에서 다시 테스트되어 향상된 탐지 및 대응 기능을 확인하고 취약점이 완전히 수정되었는지 확인합니다.
지속적인 공격 시뮬레이션은 Microsoft 365가 실제 적에게 악용되기 전에 새로운 취약점을 식별하고 수정하는 데 도움이 됩니다. 또한 이러한 시뮬레이션은 공격을 신속하게 감지하고 위협을 효과적으로 완화하는 능력을 향상시킵니다. 레드 팀 공격 시뮬레이션은 고객에게 부정적인 영향을 미치지 않으면서 현실적인 공격을 시뮬레이션하도록 설계되었습니다. 고객 테넌트는 결코 레드 팀 공격의 대상이 아니지만 레드 팀 침투 테스트는 Microsoft 365가 보안 위협을 방지, 검색 및 대응할 준비가 되었는지 확인하는 데 도움이 됩니다.
자동화된 공격 에뮬레이션
공격 시뮬레이션 작업을 확장하기 위해 레드 팀은 일부 Microsoft 365 환경에서 반복적으로 안전하게 실행되는 자동화된 공격 에뮬레이션 도구를 만들었습니다. 이 도구에는 진화하는 위협 환경을 반영하기 위해 지속적으로 확장되고 개선되는 다양한 사전 정의된 공격이 있습니다. 레드 팀 테스트의 범위를 넓히는 것 외에도 블루 팀이 보안 모니터링 논리의 유효성을 검사하고 개선하는 데 도움이 됩니다. 정기적인 지속적인 공격 에뮬레이션은 블루 팀에게 예상된 응답에 대해 비교 및 유효성을 검사할 수 있는 일관되고 다양한 신호 스트림을 제공하여 Microsoft 365의 보안 모니터링 논리 및 응답 기능을 개선합니다.
서비스 팀 애플리케이션 침투 테스트
개별 서비스 팀은 SDL(보안 개발 수명 주기)의 일부로 응용 프로그램의 침투 테스트에 참여합니다. 이 테스트는 결함을 발견하여 프로덕션 릴리스 전에 수정할 수 있도록 설계되었습니다. 서비스 팀은 SDL의 일부로 두 가지 종류의 침투 테스트를 수행합니다. 서비스 팀 애플리케이션의 일반 침투 테스트는 최소 6개월마다 수행됩니다. 역직렬화 악용과 같은 특정 종류의 소프트웨어 취약성에 대한 추가 침투 테스트는 프로덕션 릴리스 전에 보안 검토의 일부로 필요할 때 수행됩니다.
타사 침투 테스트
내부 침투 테스트를 보완하기 위해 Microsoft 365는 타사 침투 테스터를 고용하여 연간 침투 테스트를 수행합니다. 타사 침투 테스터는 CREST(등록 보안 테스터 협의회)를 통해 인증됩니다. 독립적인 침투 테스트는 OWASP(Open Web Application Security Project) 상위 10개 프레임워크와 사용자 지정 도구를 사용하여 Microsoft 365 환경의 테스트 범위를 최대화합니다. 독립적인 침투 테스트를 통해 감지된 취약점은 티켓팅 도구를 사용하여 추적되고 수정을 위해 서비스 팀 소유자에게 할당됩니다. 이러한 티켓은 취약점이 완전히 수정될 때까지 열려 있습니다.
Microsoft 버그 장려금 프로그램
Microsoft 버그 장려금 프로그램을 사용하면 Microsoft 365 서비스에서 취약점을 발견한 독립 보안 연구원이 보상을 위해 Microsoft에 이를 공개할 수 있습니다. 이 프로그램은 개인이 Microsoft에 버그를 공개하도록 장려하여 실제 공격자가 버그를 악용하기 전에 완화할 수 있습니다. Microsoft 버그 장려금 프로그램은 Microsoft 365 서비스의 활성 침투 테스트를 보완합니다.