Praktik pengujian keamanan Azure

  • Artikel
  • 3 menit untuk membaca

Uji rancangan dan penerapan keamanan Anda secara berkala, sebagai bagian dari operasi organisasi. Integrasi tersebut akan memastikan jaminan keamanan efektif dan dipertahankan sesuai standar keamanan yang ditetapkan oleh organisasi.

Beban kerja yang dirancang dengan baik harus tahan terhadap serangan. Beban kerja harus pulih dengan cepat dari gangguan namun memberikan jaminan keamanan kerahasiaan, integritas, dan ketersediaan. Berinvestasi dalam serangan simulasi sebagai pengujian yang dapat menunjukkan celah. Berdasarkan hasil dari hasil, Anda dapat memperkuat pertahanan dan membatasi gerakan lateral penyerang nyata dalam lingkungan Anda.

Pengujian simulasi juga dapat memberi Anda data untuk merencanakan mitigasi risiko. Aplikasi yang sudah dalam produksi harus menggunakan data dari serangan dunia nyata. Aplikasi baru atau yang diperbarui dengan fitur baru, harus mengandalkan model terstruktur untuk mendeteksi risiko lebih awal, seperti pemodelan ancaman.

Poin-poin penting

  • Tentukan kasus pengujian yang realistis dan berdasarkan serangan di dunia nyata.
  • Identifikasi dan daftarkan metode biaya terendah untuk mencegah dan mendeteksi serangan.
  • Gunakan pengujian penetrasi sebagai serangan satu kali untuk memvalidasi pertahanan keamanan.
  • Simulasikan serangan melalui tim merah untuk serangan persisten jangka panjang.
  • Ukur dan kurangi permukaan serangan potensial yang ditargetkan penyerang untuk eksploitasi sumber daya di dalam lingkungan.
  • Pastikan tindak lanjut yang tepat untuk mendidik pengguna tentang berbagai cara yang mungkin digunakan penyerang.

Pengujian penetrasi (pentesting)

Apakah Anda melakukan pengujian penetrasi pada beban kerja?

Sebaiknya simulasikan serangan satu kali untuk mendeteksi kerentanan. Pentesting adalah metodologi populer untuk memvalidasi pertahanan keamanan suatu sistem. Praktisi adalah pakar keamanan yang bukan bagian dari tim IT atau aplikasi organisasi. Jadi, praktisi melihat sistem dengan cara yang dilakukan oleh aktor jahat untuk menjangkau permukaan serangan. Tujuannya adalah untuk menemukan celah keamanan dengan mengumpulkan informasi, menganalisis kerentanan, dan melaporkan.

Uji penetrasi memberikan validasi pertahanan keamanan secara tepat waktu. Tim merah dapat membantu memberikan visibilitas dan jaminan berkelanjutan bahwa pertahanan Anda berfungsi seperti yang dirancang, berpotensi menguji di berbagai tingkat dalam beban kerja Anda. Program tim merah dapat digunakan untuk menyimulasikan ancaman satu kali atau terus-menerus terhadap organisasi untuk memvalidasi pertahanan yang telah diterapkan untuk melindungi sumber daya organisasi.

Microsoft merekomendasikan pengujian penetrasi dan latihan tim merah untuk memvalidasi pertahanan keamanan untuk beban kerja Anda.

Standar Eksekusi Pengujian Penetrasi (PTES) memberikan panduan tentang skenario umum dan aktivitas yang diperlukan untuk menetapkan garis besar.

Azure menggunakan infrastruktur bersama untuk meng-host aset Anda dan aset milik pelanggan lain. Dalam latihan pentesting, praktisi mungkin memerlukan akses ke data sensitif dari seluruh organisasi. Ikuti aturan keterlibatan untuk memastikan bahwa akses dan niat tidak disalahgunakan. Untuk panduan tentang perencanaan dan pelaksanaan serangan simulasi, lihat Aturan Keterlibatan Pengujian Penetrasi.

Pelajari lebih lanjut

Menyimulasikan serangan

Cara pengguna berinteraksi dengan sistem sangat penting dalam merencanakan pertahanan Anda. Risikonya bahkan lebih tinggi untuk akun dampak kritis karena akun tersebut memiliki izin yang lebih tinggi dan dapat menyebabkan lebih banyak kerusakan.

Apakah Anda melakukan simulasi serangan terhadap pengguna beban kerja ini?

Simulasikan aktor ancaman persisten yang menargetkan lingkungan Anda melalui tim merah. Berikut beberapa keuntungannya:

  • Pemeriksaan berkala. Beban kerja akan diperiksa melalui serangan realistis untuk memastikan pertahanan adalah yang terbaru dan efektif.
  • Tujuan pendidikan. Berdasarkan pembelajaran, tingkatkan pengetahuan dan tingkat keterampilan. Ini akan membantu pengguna memahami berbagai cara yang mungkin digunakan penyerang untuk menyusupi akun.

Pilihan populer untuk menyimulasikan skenario serangan realistis adalah Office 365 Attack Simulator.

Apakah informasi pribadi terdeteksi dan dihapus/dikaburkan secara otomatis?

Berhati-hatilah dalam menggunakan informasi aplikasi yang sensitif. Jangan simpan informasi pribadi seperti informasi kontak, informasi pembayaran, dan sebagainya, dalam log aplikasi apa pun. Terapkan tindakan perlindungan, seperti obfuscation. Alat pembelajaran mesin dapat membantu dengan tindakan ini. Untuk informasi selengkapnya, lihat Keterampilan kognitif Deteksi PII.

Pemodelan ancaman adalah proses terstruktur untuk mengidentifikasi kemungkinan vektor serangan. Berdasarkan hasil, prioritaskan upaya mitigasi risiko. Untuk informasi selengkapnya, lihat Analisis ancaman aplikasi.

Untuk informasi selengkapnya tentang serangan saat ini, lihat laporan Kecerdasan Keamanan Microsoft (SIR).

Pembentukan Red Team Microsoft Cloud

Kembali ke artikel utama: Pemantauan