Сведения о моделировании атаки и тестах на проникновение
С целью тестирования возможностей мониторинга безопасности и реагирования мы уделяем значительное внимание моделированию реальных атак в нашей среде в рамках философии "Предполагай наличие нарушения системы безопасности". У нас есть собственная команда тестирования на проникновение, которая регулярно проводит атаки на инфраструктуру служб. Мы также поддерживаем автоматическую систему имитации атак, которая регулярно инициирует атаки небольшого масштаба. Другими словами, мы постоянно атакуем сами себя.
Целью имитации атаки является проверка возможностей обнаружения и реагирования. Наша имитация атак часто сосредоточена на действиях "после применения эксплойта". Хотя наши тесты на проникновение используются для выявления новых уязвимостей и путей доступа к службе, их основной приоритет — проверка того, что происходит после компрометации. Мы обнаруживаем атаку достаточно быстро? Можем ли мы эффективно исправлять действия и исключать злоумышленников? Имитация атак и другие виды тестирования на проникновение позволяют нам отвечать на эти вопросы на постоянной основе.
Имитация атаки
Microsoft 365 использует собственную команду безопасности для нападения, состоящую из штатных сотрудников, с целью проведения непрерывных тестов на проникновение путем имитации атак на наши системы. Мы называем их Красной командой. Красная команда пытается скомпрометировать системы Майкрософт без обнаружения путем поиска и использования уязвимостей. Красная команда пытается имитировать реальные атаки и тестирует возможности оперативной службы Безопасности Microsoft 365.
В контексте внутреннего тестирования на проникновение группа реагирования на безопасность Microsoft 365 называется "Синей командой". Blue Team работает над предотвращением, обнаружением атак Red Team и реагированием на них с помощью наших систем мониторинга безопасности и процесса реагирования на инциденты безопасности.
После того как Красная команда завершит атаку, она совместно с Синей командой будет выявлять и устранять уязвимости, обнаруженные во время имитации атаки. Она также определяет и реализует усовершенствования процессов на основе уроков, полученных в ходе имитации. Все уязвимости, обнаруженные Красной командой, повторно проверяются в следующей имитации атаки на службу, чтобы проверить улучшенные возможности обнаружения и реагирования, а также убедиться в полном устранении уязвимостей.
Постоянная имитация атак помогает Microsoft 365 выявлять и устранять новые уязвимости, прежде чем ими смогут воспользоваться реальные злоумышленники. Кроме того, эти имитации улучшают нашу способность быстро обнаруживать атаки и эффективно устранять угрозы. Имитации атак Красной команды предназначены для имитации реалистичных атак без негативного влияния на наших пользователей. Клиенты пользователей никогда не являются целью атак Красной команды, но тесты на проникновение Красной команды помогают обеспечить готовность Microsoft 365 к предотвращению и обнаружению угроз безопасности, а также к реагированию на них.
Автоматическая эмуляция атаки
Чтобы помочь в масштабировании усилий по имитации атак, команда red создала автоматическое средство эмуляции атаки, которое выполняется в нескольких средах Microsoft 365 на регулярной основе. Это средство содержит широкий спектр предопределенных атак, которые постоянно расширяются и улучшаются для отражения меняющегося ландшафта угроз. Помимо расширения охвата красного командного тестирования, он помогает синей команде проверить и улучшить логику мониторинга безопасности. Постоянная эмуляция атак предоставляет синей команде последовательный и разнообразный поток сигналов, которые можно сравнить и проверить в соответствии с ожидаемым ответом, что приводит к улучшению логики мониторинга безопасности и возможностей реагирования Microsoft 365.
Тестирование на проникновение в приложение обслуживающей команды
Отдельные обслуживающие команды участвуют в тестах на проникновение в их приложения в рамках жизненного цикла разработки защищенных приложений (SDL). Это тестирование предназначено для обнаружения недостатков, чтобы их можно было устранить до производственного выпуска. Обслуживающие команды проводят два вида тестирования на проникновение в рамках SDL. Общее тестирование на проникновение в приложения команды обслуживания проводится как минимум каждые шесть месяцев. Дополнительное тестирование на проникновение для определенных типов уязвимостей программного обеспечения, таких как эксплойты десериализации, проводится при необходимости в рамках проверки безопасности перед производственным выпуском.
Сторонние тесты на проникновение
В дополнение к внутреннему тестированию на проникновение Microsoft 365 привлекает сторонних тест-инженеров проникновения для выполнения ежегодных тестов на проникновение. Сторонние тест-инженеры проникновения сертифицированы Советом зарегистрированных тестировщиков безопасности (CREST). Независимые тесты на проникновение используют основные 10 платформ открытого проекта обеспечения безопасности веб-приложений (OWASP) и настраиваемые инструменты для максимального охвата среды Microsoft 365 тестированием. Уязвимости, обнаруженные с помощью независимых тестов на проникновение, отслеживаются с помощью средств создания запросов поддержки и назначаются владельцам команд обслуживания для устранения. Эти запросы остаются открытыми, пока уязвимости не будут полностью устранены.
Microsoft Bug Bounty Program
Microsoft Bug Bounty Program позволяет независимым исследователям безопасности, которые обнаруживают уязвимости в службах Microsoft 365, сообщать о них корпорации Майкрософт за вознаграждение. Эта программа мотивирует отдельных лиц сообщать об ошибках в корпорацию Майкрософт, позволяя устранять риски, прежде чем ими смогут воспользоваться реальные злоумышленники. Microsoft Bug Bounty Program дополняет активное тестирование на проникновение в службы Microsoft 365.
Подробнее
- Мониторинг и тестирование границ клиента
- Microsoft Bug Bounty Program
- Ежегодный отчет по оценке уязвимостей третьих сторон Microsoft 365