了解攻击模拟和渗透测试
为了测试我们的安全监视和响应功能,作为假设违规理念的一部分,我们非常重视模拟环境中的实际攻击。 我们设立了内部渗透测试团队,定期对服务基础结构进行攻击。 我们还会维护自动攻击模拟系统,该系统会定期触发小规模攻击。 换句话说,我们会持续进行自我攻击。
攻击模拟的目标是验证我们的检测和响应功能。 我们的攻击模拟通常侧重于“利用后”活动。 虽然我们的渗透测试确实用于识别服务中的新漏洞和路径,但主要的优先级是测试入侵后发生的情况。 我们检测攻击的速度够快吗? 我们能否有效地修正和驱逐攻击者? 攻击模拟和其他形式的渗透测试使我们能够持续回答这些问题。
攻击模拟
Microsoft 365 利用一支由全职员工组成的内部攻击性安全团队,以通过模拟针对系统的攻击进行持续渗透测试。 我们将此团队称为“红队”。 “红队”会发现并利用漏洞,从而尝试在不被发现的情况下入侵 Microsoft 系统。 “红队”工作模拟真实世界的攻击,并测试 Microsoft 365 安全响应团队的功能。
在内部渗透测试的上下文中,Microsoft 365 安全响应团队称为“蓝色团队”。蓝队使用我们的安全监视系统和安全事件响应流程来防止、检测和响应红队攻击。
“红队”结束攻击后,他们将与“蓝队”共同合作,以识别并解决在攻击模拟期间发现的漏洞。 他们还会根据从模拟中学到的经验教训识别并实施流程改进。 “红队”发现的任何漏洞都会在下一次针对服务的攻击模拟中进行重新测试,以验证改进后的检测和响应功能,并确保漏洞已完全修正。
持续的攻击模拟有助于 Microsoft 365 在新漏洞可以被真实世界的攻击者利用之前对其进行识别和修复。 此外,这些模拟提高了我们快速检测攻击和有效缓解威胁的能力。 “红队”攻击模拟旨在模拟真实攻击,不会对客户产生不利影响。 客户租户永远不是“红队”攻击的目标,且“红队”渗透测试有助于确保 Microsoft 365 为防止、检测和响应安全威胁做好准备。
自动攻击模拟
为了帮助扩大攻击模拟工作,红队创建了一个自动攻击模拟工具,该工具定期在所选 Microsoft 365 环境中安全运行。 该工具具有各类预定义攻击,这些攻击会进行持续扩展和改进以反映不断演变的威胁环境。 除了扩大红队测试的覆盖范围外,它还可帮助蓝队验证和改进其安全监视逻辑。 定期的持续攻击仿真为蓝色团队提供了一致且多样化的信号流,这些信号流可以与其预期响应进行比较和验证,从而改进 Microsoft 365 的安全监视逻辑和响应功能。
服务团队应用程序渗透测试
作为安全开发生命周期(SDL)的一部分,单个服务团队会参与其应用程序的渗透测试。 此测试旨在发现缺陷,以便可以在产品发布前进行修正。 作为 SDL 的一部分,服务团队会执行两种类型的渗透测试。 服务团队应用程序的常规渗透测试至少每六个月进行一次。 必要时,作为安全审查的一部分,会在产品发布前进行针对特定类型的软件漏洞(例如反序列化利用)的其他渗透测试。
第三方渗透测试
为了补充内部渗透测试,Microsoft 365 雇佣了第三方渗透测试人员执行年度渗透测试。 第三方渗透测试人员通过注册安全测试人员委员会(CREST)进行认证。 独立渗透测试使用开放式 Web 应用程序安全项目(OWASP)前 10 大框架和自定义工具,以最大化 Microsoft 365 环境的测试覆盖范围。 通过独立渗透测试检测到的漏洞会使用票证工具进行跟踪,并被分配到服务团队所有者以进行修正。 这些票证会保持打开状态,直到完全修正漏洞。
Microsoft Bug 赏金计划
Microsoft Bug 赏金计划允许在 Microsoft 365 服务中查找漏洞的独立安全研究人员向 Microsoft 披露漏洞,从而获得奖励。 此计划会激励个人向 Microsoft 披露 bug,以便在 bug可以被真实世界的攻击者利用之前启用缓解措施。 Microsoft Bug 赏金计划对 Microsoft 365 服务的活动渗透测试进行了补充。