Microsoft 安全性事件管理:準備
訓練和背景檢查
每位使用 Microsoft 線上服務 的員工都會獲得有關其角色適用的安全性事件和回應程序訓練。 每位 Microsoft 員工都會在加入時接受訓練,之後每年都會接受年度重新整理訓練。 此訓練旨在為員工提供 Microsoft 安全性方法的基本瞭解,讓所有員工在訓練完成時都瞭解:
- 安全性事件的定義
- 所有員工報告安全性事件的責任
- 如何將潛在的安全性事件呈報給適當的 Microsoft 安全性回應小組
- Microsoft 安全性事件回應小組如何回應安全性事件
- 隱私權的特殊考慮,特別是客戶隱私權
- 哪裡可以找到有關安全性和隱私權,以及呈報聯繫人的其他資訊
- 任何其他相關的安全性區域 (視需要)
適當的員工每年會收到安全性的重新整理訓練。 年度重新整理訓練著重於:
- 前一年對標準作業程式所做的任何變更
- 每個人報告安全性事件的責任,以及如何報告安全性事件
- 哪裡可以找到有關安全性和隱私權,以及呈報聯繫人的其他資訊
- 每年可能相關的任何其他安全性焦點區域
每位使用 Microsoft 線上服務 的員工都會受到適當且徹底的背景檢查,包括應徵者的教育、僱用、犯罪記錄,以及每個 美國 法規的其他特定資訊,例如 HIPAA) (健康保險可移植性與責任法案、國際行動法規中的流量 (ITAR) 、美國聯邦風險和授權管理計劃 (FedRAMP) 等等。
背景檢查對於在 Microsoft 工程中工作的所有員工都是必要的。 某些 Microsoft 在線服務環境和操作員角色也可能需要完整的指紋、身分證需求、政府許可需求,以及其他更嚴格的控制。 此外,某些服務小組和角色可能會視需要進行特殊的安全性訓練。 最後,安全性小組成員本身會取得與安全性直接相關的特製化訓練和會議參與。 此訓練會因小組和員工的需求而有所不同,但包括產業會議、內部 Microsoft 安全性會議,以及透過業界知名安全性訓練廠商提供的外部訓練課程。 我們也針對整個 Microsoft 的安全性社群發行了一整年專屬的安全性訓練文章,並定期專門針對 Microsoft 線上服務。
滲透測試 & 評量
Microsoft 會與各種產業機構和安全性專家合作,以瞭解新的威脅和不斷演進的趨勢。 Microsoft 會持續評估自己的系統是否有弱點,並與執行相同動作的各種獨立外部專家簽訂合約。
在 Microsoft 線上服務 內執行的服務強化測試可分為四個一般類別:
- 自動化安全性測試: 內部和外部人員會根據 Microsoft SDL 做法定期掃描 Microsoft 在線服務環境、開啟 Web 應用程式安全性專案 (OWASP) 前 10 大風險,以及由不同產業機構回報的新興威脅。
- 弱點評量: 與獨立第三方測試人員的正式參與會定期驗證關鍵邏輯控件是否有效運作,以履行各種監管機構的服務義務。 評估是由註冊的道德安全測試人員委員會 (CREST) 認證的人員執行,並根據 OWASP 前 10 大風險和其他服務適用的威脅。 找到的所有威脅都會追蹤到關閉。
- 持續的系統弱點測試: Microsoft 會執行定期測試,讓小組嘗試使用新興威脅、混合威脅和/或進階持續性威脅來入侵系統,而其他小組則會嘗試封鎖這類入侵嘗試。
- Microsoft Online Services Bug 賞金計劃:此計劃會在 Microsoft 線上服務 上執行一項原則,以允許受限、由客戶起始的弱點評估。 如需詳細資訊,請參閱 Microsoft Online Services Bug 賞金條款。
Microsoft 線上服務 工程小組會定期發佈各種合規性檔。 其中有數份檔可從 Microsoft Cloud Service 信任入口網站或從 Microsoft Purview 合規性入口網站 的服務保證區域,以保密合約取得
攻擊模擬
Microsoft 參與持續的攻擊模擬練習,以及安全性和回應計劃的即時網站滲透測試,目的是改善偵測和回應功能。 Microsoft 會定期模擬真實世界的缺口、進行持續的安全性監視,以及實作安全性事件回應,以驗證和改善 Microsoft 線上服務 的安全性。
Microsoft 會使用兩個核心小組來執行假設缺口安全性策略:
紅隊
Microsoft Red 小組是 Microsoft 內的一組全職員工,著重於入侵 Microsoft 的基礎結構、平臺,以及 Microsoft 自己的租用戶和應用程式。 他們是一群道德駭客 (專用的敵人,) 針對 線上服務 (執行目標和持續性攻擊,但不會對客戶應用程式或數據) 執行攻擊。 它們提供連續的「完整範圍」驗證 (例如技術控制、紙張原則、人工響應等服務事件回應功能 ) 。
藍隊
Microsoft Blue 小組是由一組專用的安全性回應者,以及來自安全性事件回應、工程和營運小組的成員所組成。 它們是獨立的,並且與 Red 小組分開運作。 藍隊會遵循已建立的安全性程式,並使用最新的工具和技術來偵測及回應攻擊和滲透嘗試。 就像真實世界的攻擊一樣,藍隊不知道紅隊攻擊的發生時機或方式,或可能使用的方法。 無論是紅隊攻擊或實際攻擊,其工作都是偵測並回應所有安全性事件。 基於這個理由,藍隊會持續待命,而且必須像對任何其他敵人一樣,回應 Red Team 缺口。
Microsoft 員工會在 Microsoft 各部門中分隔全時的紅色小組和藍色小組,以跨服務和內部執行作業。 稱為 「Red Teaming」的方法是使用與實際敵人相同的策略、技術和程式,針對即時生產基礎結構,在 Microsoft 服務的系統和作業之間進行測試,而不需要支援基礎結構和平臺工程或作業小組。 這會測試安全性偵測和回應功能,並協助以受控制的方式識別生產弱點、設定錯誤、無效假設或其他安全性問題。 每次紅色小組缺口之後,紅隊與藍隊之間會完全揭露,包括服務小組,以找出差距、解決結果,並大幅改善缺口回應。
注意事項
在 Red Teaming 或即時網站滲透練習期間,不會以任何客戶數據為目標。 這些測試是針對 Microsoft 365 和 Azure 基礎結構和平臺,以及 Microsoft 自己的租使用者、應用程式和數據。 在 Azure、Dynamics 365 或 Microsoft 365 中裝載的客戶租使用者、應用程式和數據,永遠不會根據約定的約定參與規則作為目標。
聯合練習
有時候,Microsoft Blue 和 Red 小組會進行聯合作業,其中作業期間的關係比與每個小組中一組特定員工的對立人更具夥伴性。 這些練習在小組之間妥善協調,可透過道德駭客與回應者之間的即時共同作業,推動一組更具目標性的結果。 這些「紫色小組」練習會針對每個作業量身打造,以最大化商機,但每個作業的基礎是高頻寬資訊共用和合作關係,以達成目標。