Übersicht über das Bedrohungs- und Sicherheitsrisikomanagement
Wie führt Microsoft Onlinedienste Sicherheitsrisikomanagement durch?
Unabhängig davon, wie gut ein System konzipiert ist, seine Sicherheitshaltung kann sich mit der Zeit verschlechtern. Computer können nicht gepatcht werden, unbeabsichtigte Konfigurationsänderungen können eingeführt werden, und Regressionen des Sicherheitscodes können sich anhäufen. All diese Probleme können dazu führen, dass ein System weniger sicher ist als bei der anfänglichen Bereitstellung. Microsoft hat eine Automatisierung entwickelt, um unsere Systeme kontinuierlich auf diese Art von Beeinträchtigung zu überprüfen, so dass wir sofort handeln können, um Probleme in unserer Sicherheitslage zu beheben.
Microsoft Onlinedienste die Überprüfung des Computerzustands verwenden, um sicherzustellen, dass die Computer, aus denen unsere Infrastruktur besteht, mit den neuesten Patches auf dem neuesten Stand sind und dass ihre Basiskonfigurationen ordnungsgemäß mit den relevanten Frameworks übereinstimmen. Bei der Überprüfung des Computerzustands werden Patching, Antischadsoftware, Überprüfung auf Sicherheitsrisiken und Konfigurationsscans (PAVC) verwendet. Microsoft Onlinedienste effektives PAVC anwenden, indem während der Bereitstellung auf jedem Asset ein benutzerdefinierter Sicherheits-Agent installiert wird. Dieser Sicherheits-Agent ermöglicht die Überprüfung des Computerzustands und meldet Ergebnisse an unsere Serviceteams.
Wie stellt Microsoft Onlinedienste sicher, dass die Dienstinfrastruktur mit den neuesten Sicherheitspatches auf dem neuesten Stand ist?
Die Patchverwaltung entschärft Sicherheitsrisiken, indem sichergestellt wird, dass Microsoft Onlinedienste Systeme schnell aktualisiert werden, wenn neue Sicherheitspatches veröffentlicht werden. Microsoft priorisiert neue Sicherheitspatches und andere Sicherheitsupdates entsprechend dem Risiko. Microsoft-Onlinedienst-Sicherheitsteams analysieren verfügbare Sicherheitspatches, um deren Risikostufe im Kontext unserer Produktionsumgebungen zu ermitteln. Die Analyse umfasst Schweregrade, die auf dem Common Vulnerability Scoring System (CVSS) zusammen mit anderen Risikofaktoren basieren.
Microsoft-Serviceteams überprüfen die Analyse des Sicherheitsteams und aktualisieren ihre Dienstkomponenten und Baselineimages mit entsprechenden Patches innerhalb des entsprechenden Korrekturzeitrahmens. Sicherheitspatches unterliegen dem Change Management-Prozess, um angemessene Test- und Verwaltungsgenehmigungen vor der Bereitstellung in Produktionsumgebungen zu gewährleisten. Die Bereitstellung von Sicherheitspatches erfolgt in Phasen zum Aktivieren des Rollbacks, wenn ein Sicherheitspatch unerwartete Probleme verursacht.
Service-Teams verwenden die Ergebnisse der Prüfungen auf Sicherheitsrisiken, um die Bereitstellung von Sicherheitspatches für geeignete Systemkomponenten zu überprüfen. Überfällige Sicherheitsrisiken werden täglich gemeldet und vom Management monatlich überprüft, um die Breite und Tiefe der Patchabdeckung in der gesamten Umgebung zu messen und uns für das rechtzeitige Patchen verantwortlich zu machen.
Wie führt Microsoft Überprüfungen auf Sicherheitsrisiken und Konfigurationen durch?
Der Sicherheits-Agent von Microsoft wird während der Bereitstellung von Ressourcen installiert und ermöglicht eine vollständig automatisierte Überprüfung auf Sicherheitsrisiken und Konfigurationen. Der Sicherheits-Agent verwendet Branchenstandardtools, um bekannte Sicherheitslücken und Sicherheitsfehlkonfigurationen zu erkennen. Für Produktionsressourcen werden tägliche automatische Überprüfungen mit den neuesten Signaturen für Sicherheitslücken geplant. Die Ergebnisse dieser Überprüfungen werden in einem sicheren, zentralen Speicherdienst gesammelt, und sie werden mittels automatisierter Berichte den Serviceteams bereitgestellt.
Serviceteams prüfen die Überprüfungsergebnisse mithilfe von Dashboards, in denen aggregierte Überprüfungsergebnisse angezeigt werden, um umfassende Berichte und Trendanalysen bereitzustellen. In Überprüfungen erkannte Sicherheitsrisiken werden in diesen Berichten nachverfolgt, bis sie behoben sind. Wenn Sicherheitslückenüberprüfungen fehlende Patches, Sicherheitsfehlkonfigurationen oder andere Sicherheitslücken in der Umgebung anzeigen, verwenden die Serviceteams diese Berichte, um die betroffenen Komponenten zu identifizieren und sie zu korrigieren. Mittels Überprüfung entdeckte Sicherheitslücken werden bei der Korrektur priorisiert, basierend auf ihren Bewertungen nach dem Common Vulnerability Scoring System (CVSS) und anderen relevanten Risikofaktoren.
Wie schützt Microsoft vor Schadsoftware?
Microsoft verwendet umfassende Antischadsoftware, um Microsoft Onlinedienste vor Viren und anderer Schadsoftware zu schützen. Von Microsoft verwendete Baseline-Betriebssystemimages Onlinedienste diese Software enthalten, um die Abdeckung in der gesamten Umgebung zu maximieren.
Jeder Endpunkt in Microsoft Onlinedienste führt mindestens wöchentlich eine vollständige Antischadsoftwareüberprüfung durch. Für alle Dateien, die heruntergeladen, geöffnet oder ausgeführt werden, werden zusätzliche Echtzeitscans ausgeführt. Bei diesen Überprüfungen werden bekannte Schadsoftwaresignaturen verwendet, um Schadsoftware zu erkennen und deren Ausführung zu verhindern. Die Antischadsoftware von Microsoft ist so konfiguriert, dass täglich die neuesten Malware-Signaturen heruntergeladen werden, um sicherzustellen, dass Überprüfungen mit den aktuellsten Informationen durchgeführt werden. Zusätzlich zu signaturbasierten Scans verwendet Die Antischadsoftware von Microsoft musterbasierte Erkennung, um verdächtiges oder anormales Programmverhalten zu erkennen und zu verhindern.
Wenn unsere Antischadsoftware-Produkte Viren oder andere Schadsoftware erkennen, generieren sie automatisch eine Warnung für Microsoft-Sicherheitsreaktionsteams. In vielen Fällen kann unsere Antischadsoftware in Echtzeit verhindern, dass Viren und andere Schadsoftware ausgeführt werden, ohne dass ein Eingriff des Menschen erforderlich ist. Wenn diese Verhinderung nicht möglich ist, lösen Microsoft-Sicherheitsteams Schadsoftwarevorfälle mithilfe des Prozesses zur Reaktion auf Sicherheitsvorfälle.
Wie erkennt Microsoft neue oder nicht gemeldete Sicherheitsrisiken?
Microsoft ergänzt die automatisierte Überprüfung um anspruchsvolles maschinelles Lernen, um verdächtige Aktivitäten zu erkennen, die auf das Vorhandensein unbekannter Sicherheitsrisiken hinweisen können. Regelmäßige Penetrationstests durch interne Microsoft-Teams und unabhängige Prüfer bieten einen zusätzlichen Mechanismus zum Ermitteln und Beheben von Sicherheitsrisiken, bevor sie von realen Angreifern ausgenutzt werden können. Microsoft führt interne Penetrationstests mit "Red Teams" von Microsoft-Hackern durch. Kundensysteme und -daten sind nie das Ziel von Penetrationstests, aber die erkenntnisse aus Penetrationstests helfen Microsoft dabei, seine Sicherheitskontrollen zu überprüfen und sich vor neuen Arten von Angriffen zu schützen. Microsoft verwendet auch Bug Bounty-Programme, um Anreize für die Offenlegung neuer Sicherheitsrisiken zu geben, sodass diese so schnell wie möglich entschärft werden können.
Verwandte externe Vorschriften & Zertifizierungen
Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. Informationen zur Überprüfung von Steuerelementen im Zusammenhang mit Bedrohungs- und Sicherheitsrisikomanagement finden Sie in der folgenden Tabelle.
Azure und Dynamics 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
| ISO 27001/27002 Erklärung der Anwendbarkeit Zertifikat |
A.12.6.1: Verwaltung technischer Sicherheitsrisiken | 6. November 2023 |
| ISO 27017 Erklärung der Anwendbarkeit Zertifikat |
A.12.6.1: Verwaltung technischer Sicherheitsrisiken | 6. November 2023 |
| ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A.12.6.1: Verwaltung technischer Sicherheitsrisiken | 6. November 2023 |
| SOC 1 SOC 2 SOC 3 |
VM-3: Antischadsoftwareüberwachung VM-5: Patchen VM-6: Überprüfung auf Sicherheitsrisiken |
17. November 2023 |
Microsoft 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
| FedRAMP (Office 365) | CA-7: Kontinuierliche Überwachung CA-8: Penetrationstests RA-3: Risikobewertung RA-5: Überprüfung auf Sicherheitsrisiken SI-2: Fehlerbehebung SI-5: Sicherheitswarnungen, Empfehlungen und Direktiven |
31. Juli 2023 |
| ISO 27001/27002/27017 Erklärung der Anwendbarkeit Zertifizierung (27001/27002) Zertifizierung (27017) |
A.12.6.1: Verwaltung technischer Sicherheitsrisiken | März 2024 |
| SOC 1 | CA-27: Überprüfung auf Sicherheitsrisiken | 23. Januar 2024 |
| SOC 2 | CA-24: Interne Risikobewertung CA-27: Überprüfung auf Sicherheitsrisiken |
23. Januar 2024 |
Ressourcen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für