Simulazione di un attacco in Microsoft 365

Microsoft monitora continuamente ed esegue test espliciti per individuare i punti deboli e le vulnerabilità nei limiti del tenant, tra cui il monitoraggio delle intrusioni, dei tentativi di violazione delle autorizzazioni e della fame di risorse. Vengono inoltre usati più sistemi interni per monitorare continuamente l'utilizzo inappropriato delle risorse, che, se rilevato, attiva la limitazione predefinita.

Microsoft 365 dispone di sistemi di monitoraggio interni che monitorano continuamente eventuali errori e guidano il ripristino automatico quando viene rilevato un errore. I sistemi Microsoft 365 analizzano le deviazioni nel comportamento del servizio e avviano processi di auto-correzione integrati nel sistema. Microsoft 365 usa anche il monitoraggio esterno in cui il monitoraggio viene eseguito da più posizioni sia da servizi di terze parti attendibili (per la verifica del contratto di servizio indipendente) che dai nostri data center per generare avvisi. Per la diagnostica, sono disponibili funzionalità di registrazione, controllo e traccia complete. La traccia e il monitoraggio granulari consentono di isolare i problemi ed eseguire un'analisi rapida ed efficace della causa radice.

Mentre Microsoft 365 dispone di azioni di ripristino automatizzate, laddove possibile, i tecnici microsoft su chiamata sono disponibili 24x7 per analizzare tutte le escalation della sicurezza gravità 1 e le revisioni post-mortem di ogni evento imprevisto del servizio contribuiscono all'apprendimento continuo e al miglioramento. Questo team include tecnici di supporto, sviluppatori di prodotti, program manager, product manager e senior leadership. I nostri professionisti di chiamata forniscono backup tempestivi e spesso possono automatizzare le azioni di ripristino, in modo che la prossima volta che si verifica un evento, possa essere guarito automaticamente.

Microsoft esegue una revisione approfondita post-evento imprevisto ogni volta che si verifica un evento imprevisto di sicurezza di Microsoft 365 indipendentemente dall'entità dell'impatto. Una revisione post-evento imprevisto è costituita da un'analisi di ciò che è successo, di come abbiamo risposto e di come prevenire incidenti simili in futuro. Nell'interesse della trasparenza e della responsabilità, vengono condivise le verifiche successive agli eventi imprevisti per eventuali eventi imprevisti importanti del servizio con i clienti interessati. Per informazioni specifiche, vedere Gestione degli eventi imprevisti di sicurezza Microsoft.

Presupporre la metodologia di violazione

Sulla base di un'analisi dettagliata delle tendenze di sicurezza, Microsoft sostiene e evidenzia la necessità di altri investimenti in processi e tecnologie di sicurezza reattivi incentrati sul rilevamento e sulla risposta alle minacce emergenti, anziché solo sulla prevenzione di tali minacce. A causa dei cambiamenti nel panorama delle minacce e dell'analisi approfondita, Microsoft ha perfezionato la sua strategia di sicurezza oltre a impedire solo le violazioni della sicurezza a una migliore attrezzatura per gestire le violazioni quando si verificano; una strategia che considera gli eventi di sicurezza principali non come una questione di se, ma quando.

Sebbene le procedure di violazione di Microsoft siano in vigore da molti anni, molti clienti non sono a conoscenza del lavoro svolto dietro le quinte per rafforzare il cloud Microsoft. Si supponga che la violazione sia una mentalità che guida gli investimenti in sicurezza, le decisioni di progettazione e le procedure di sicurezza operative. Si supponga che la violazione limiti l'attendibilità posta in applicazioni, servizi, identità e reti considerandoli tutti, interni ed esterni, come insicuri e già compromessi. Sebbene la strategia di violazione presunta non sia stata sostenuta da una violazione effettiva di qualsiasi azienda Microsoft o di servizi cloud, è stato riconosciuto che molte organizzazioni, in tutto il settore, sono state violate nonostante tutti i tentativi di impedirla. Anche se la prevenzione delle violazioni è una parte fondamentale delle operazioni di qualsiasi organizzazione, tali procedure devono essere costantemente testate e aumentate per affrontare efficacemente gli avversari moderni e le minacce persistenti avanzate. Affinché qualsiasi organizzazione si prepari a una violazione, deve innanzitutto compilare e mantenere procedure di risposta alla sicurezza affidabili, ripetibili e testate accuratamente.

Anche se i processi di sicurezza di prevenzione delle violazioni, ad esempio la modellazione delle minacce, le verifiche del codice e i test di sicurezza, sono molto utili nell'ambito del ciclo di vita dello sviluppo della sicurezza, si supponga che la violazione offra numerosi vantaggi che consentono di tenere conto della sicurezza complessiva esercitando e misurando le funzionalità reattive in caso di violazione.

Microsoft si è prefissata l'obiettivo di ottenere questo risultato tramite esercizi di giochi di guerra in corso e test di penetrazione sul sito live dei piani di risposta alla sicurezza con l'obiettivo di migliorare la capacità di rilevamento e risposta. Microsoft simula regolarmente violazioni reali, esegue il monitoraggio continuo della sicurezza e applica la gestione degli eventi imprevisti di sicurezza per convalidare e migliorare la sicurezza di Microsoft 365, Azure e altri servizi cloud Microsoft.

Microsoft esegue la propria strategia di sicurezza basata su presupporre violazioni usando due gruppi principali:

• Red Teams (utenti malintenzionati)
• Blue Teams (difensori)

Sia il personale di Microsoft Azure che quello di Microsoft 365 separano Red Teams e Blue Teams a tempo pieno.

Definito "Red Teaming", l'approccio consiste nel testare i sistemi e le operazioni di Azure e Microsoft 365 usando le stesse tattiche, tecniche e procedure degli avversari reali, rispetto all'infrastruttura di produzione live, senza la conoscenza dei team di progettazione o operazioni. Ciò testa le funzionalità di rilevamento e risposta della sicurezza di Microsoft e consente di identificare le vulnerabilità di produzione, gli errori di configurazione, i presupposti non validi e altri problemi di sicurezza in modo controllato. Ogni violazione del Red Team è seguita dalla divulgazione completa tra entrambi i team per identificare le lacune, risolvere i risultati e migliorare la risposta alle violazioni.

NOTA: nessun dato del cliente viene deliberatamente preso di mira durante i test di penetrazione del sito live o Red Teaming. I test vengono eseguiti su microsoft 365, sull'infrastruttura e sulle piattaforme di Azure, nonché sui tenant, le applicazioni e i dati di Microsoft. I tenant, le applicazioni e i contenuti dei clienti ospitati in Microsoft 365 o Azure non sono mai mirati.

Red Teams

Il Red Team è un gruppo di personale a tempo pieno all'interno di Microsoft incentrato sulla violazione dell'infrastruttura, della piattaforma e delle applicazioni di Microsoft. Sono l'avversario dedicato (un gruppo di hacker etici) che eseguono attacchi mirati e persistenti contro i servizi online (infrastruttura, piattaforme e applicazioni Microsoft, ma non applicazioni o contenuti dei clienti finali).

Il ruolo del Red Team è quello di attaccare e penetrare gli ambienti usando gli stessi passaggi di un avversario:

Tra le altre funzioni, i team rossi tentano in modo specifico di violare i limiti di isolamento del tenant per trovare bug o lacune nella progettazione dell'isolamento.

Per semplificare le attività di simulazione degli attacchi, red team ha creato uno strumento di emulazione degli attacchi automatizzato che viene eseguito in modo sicuro in ambienti Microsoft 365 specifici su base ricorrente. Lo strumento offre un'ampia gamma di attacchi predefiniti che vengono costantemente espansi e migliorati per riflettere l'evoluzione del panorama delle minacce. Oltre ad ampliare la copertura dei test di Red Team, aiuta il Blue Team a convalidare e migliorare la logica di monitoraggio della sicurezza. L'emulazione regolare e continuativa degli attacchi fornisce al Blue Team un flusso coerente e diversificato di segnali confrontati e convalidati rispetto alle risposte previste. Ciò consente di migliorare la logica di monitoraggio della sicurezza e le funzionalità di risposta di Microsoft 365.

Blue Teams

Il Blue Team è composto da un set dedicato di risponditori di sicurezza o membri provenienti dalle organizzazioni di risposta agli eventi imprevisti di sicurezza, progettazione e operazioni. Indipendentemente dal loro make-up, sono indipendenti e operano separatamente dal Red Team. Il Blue Team segue i processi di sicurezza stabiliti e usa gli strumenti e le tecnologie più recenti per rilevare e rispondere agli attacchi e alla penetrazione. Proprio come gli attacchi reali, il Blue Team non sa quando o come si verificheranno gli attacchi del Red Team o quali metodi possono essere usati. Il loro compito, che si tratti di un attacco Red Team o di un attacco effettivo, è quello di rilevare e rispondere a tutti gli eventi imprevisti di sicurezza. Per questo motivo, il Blue Team è continuamente in chiamata e deve reagire alle violazioni del Red Team nello stesso modo in cui si farebbe per qualsiasi altra violazione.

Quando un avversario, ad esempio un Red Team, ha violato un ambiente, il Blue Team deve:

• Raccogliere le prove lasciate dall'avversario
• Rilevare l'evidenza come indicazione di compromissione
• Avvisare i team tecnici e operativi appropriati
• Valutare gli avvisi per determinare se richiedono ulteriori indagini
• Raccogliere il contesto dall'ambiente per definire l'ambito della violazione
• Creare un piano di correzione per contenere o rimuovere l'avversario
• Eseguire il piano di correzione e ripristinare da una violazione

Questi passaggi costituiscono la risposta agli eventi imprevisti di sicurezza che viene eseguita parallela a quella dell'avversario, come illustrato di seguito:

Le violazioni del Red Team consentono di esercitare la capacità del Blue Team di rilevare e rispondere agli attacchi reali end-to-end. Soprattutto, consente una risposta pratica agli eventi imprevisti di sicurezza prima di una vera e propria violazione. Inoltre, a causa di violazioni del Red Team, il Blue Team migliora la loro consapevolezza della situazione, che può essere utile quando si tratta di violazioni future (sia dal Red Team che da un altro avversario). Durante il processo di rilevamento e risposta, blue team produce intelligenza pratica e ottiene visibilità sulle condizioni effettive degli ambienti che stanno cercando di difendere. Spesso questa operazione viene eseguita tramite analisi dei dati e analisi forensi, eseguite dal Blue Team, quando si risponde agli attacchi di Red Team e tramite la definizione di indicatori di minaccia, ad esempio indicatori di compromissione. Proprio come il Red Team identifica le lacune nella storia della sicurezza, i team blu identificano le lacune nella loro capacità di rilevare e rispondere. Inoltre, poiché le squadre rosse modellano gli attacchi reali, il Blue Team può essere valutato accuratamente sulla loro capacità, o incapacità, di affrontare avversari determinati e persistenti. Infine, le violazioni di Red Team misurano sia l'idoneità che l'impatto della risposta alle violazioni.