Esplora la simulazione degli attacchi e i test di penetrazione
Per testare le funzionalità di monitoraggio e risposta della sicurezza, nell'ambito della nostra filosofia che consiste nel "dare per scontate le violazioni", poniamo particolare attenzione alla simulazione di attacchi reali nell'ambiente. È presente internamente un team dei test di penetrazione che esegue regolarmente attacchi contro l'infrastruttura dei servizi. Manteniamo anche un sistema di simulazione di attacchi automatizzato che avvia regolarmente attacchi su scala ridotta. In altre parole, conduciamo regolarmente attacchi contro noi stessi.
L'obiettivo della simulazione degli attacchi è convalidare le funzionalità di rilevamento e risposta. La simulazione degli attacchi è spesso incentrata sulle attività successive all'utilizzazione. Anche se i test di penetrazione vengono usati per identificare nuove vulnerabilità e i percorsi all'interno del servizio, una delle priorità principali consiste nel testare ciò che accade dopo la compromissione. Rileviamo gli attacchi abbastanza rapidamente? Siamo in grado di correggere e rimuovere in modo efficace gli utenti malintenzionati? La simulazione degli attacchi e altre forme di test di penetrazione ci consentono di rispondere a queste domande su base continuativa.
Simulazione di attacco
Microsoft 365 usa internamente un team di sicurezza offensivo composto da dipendenti a tempo pieno che conducono test di penetrazione in modo continuo simulando attacchi contro i propri sistemi. Questo team è chiamato "Red Team". Il Red Team tenta di compromettere i sistemi Microsoft senza rilevamento individuando e sfruttando le vulnerabilità. L'obiettivo del Red Team consiste nel simulare attacchi reali e testare le funzionalità del team di risposta del centro sicurezza Microsoft 365.
Nel contesto dei test di penetrazione interni, il team di Microsoft 365 Security Response è noto come "Blue Team". Il Blue Team lavora per prevenire, rilevare e rispondere agli attacchi di Red Team usando i sistemi di monitoraggio della sicurezza e il processo di risposta agli eventi imprevisti di sicurezza.
Dopo che il Red Team ha terminato un attacco, collabora con il Blue Team per identificare e risolvere le vulnerabilità individuate durante la simulazione dell'attacco. Inoltre, identificano e implementano miglioramenti del processo in base alle analisi di fine simulazione. Eventuali vulnerabilità individuate dal Red Team vengono testate nuovamente nella simulazione di attacco successiva contro il servizio, per verificare il miglioramento delle funzionalità di rilevamento e risposta e garantire che le vulnerabilità siano state completamente corrette.
La continua simulazione di attacchi consente a Microsoft 365 di identificare e correggere nuove vulnerabilità prima che possano essere sfruttate da avversari reali. Inoltre, queste simulazioni migliorano la capacità di rilevare rapidamente gli attacchi e mitigare le minacce in modo efficace. Le simulazioni di attacco del Red Team sono progettate per simulare attacchi reali senza influire negativamente sui clienti. I tenant dei clienti non costituiscono mai l'obiettivo degli attacchi del Red Team, ma i test di penetrazione che il team svolge consentono di assicurare che Microsoft 365 sia pronto a prevenire, rilevare e rispondere alle minacce per la sicurezza.
Emulazione automatica degli attacchi
Per aumentare le attività di simulazione degli attacchi, il team rosso ha creato uno strumento di emulazione degli attacchi automatizzato che viene eseguito in modo sicuro in ambienti Microsoft 365 selezionati su base ricorrente. Lo strumento include un'ampia gamma di attacchi predefiniti che vengono espansi e migliorati costantemente per riflettere l'evoluzione del panorama delle minacce. Oltre ad ampliare la copertura dei test del team rosso, aiuta il team blu a convalidare e migliorare la logica di monitoraggio della sicurezza. L'emulazione regolare e continuativa degli attacchi fornisce al team blu un flusso coerente e diversificato di segnali che possono essere confrontati e convalidati rispetto alla risposta prevista, con miglioramenti nelle funzionalità di logica e risposta di monitoraggio della sicurezza di Microsoft 365.
Test di penetrazione delle applicazioni del team di servizio
I singoli team di servizio partecipano ai test di penetrazione delle proprie applicazioni nell'ambito del Security Development Lifecycle (SDL). Questo test è progettato per individuare i difetti in modo che possano essere corretti prima del rilascio di produzione. I team del servizio eseguono due tipi di test di penetrazione come parte dell'SDL. I test di penetrazione generici delle applicazioni del team di servizio vengono eseguiti almeno ogni sei mesi. Test di penetrazione aggiuntivi per tipi specifici di vulnerabilità software, ad esempio gli exploit di deserializzazione, vengono eseguiti se necessario nell'ambito delle verifiche di sicurezza che precedono il rilascio in produzione.
Test di penetrazione di terze parti
Per integrare i test di penetrazione interni, Microsoft 365 coinvolge esperti di test di penetrazione di terze parti per eseguire test di penetrazione annuali. Gli esperti di test di penetrazione di terze parti sono certificati presso il CREST (Council of Registered Security Testers). I test di penetrazione indipendenti usano i 10 framework OWASP (Open Web Application Security Project) principali e gli strumenti personalizzati per ottimizzare la copertura dei test dell'ambiente Microsoft 365. Le vulnerabilità rilevate tramite i test di penetrazione indipendenti vengono rilevate usando gli strumenti di creazione di ticket e assegnate ai proprietari del team di servizio per la correzione. Tali ticket rimangono aperti fino a quando le vulnerabilità non vengono completamente corrette.
Programma Microsoft Bug Bounty
Il Programma Microsoft Bug Bounty consente ai ricercatori indipendenti che rilevano vulnerabilità nei Servizi Microsoft 365 di divulgarle a Microsoft allo scopo di ottenere una ricompensa. Questo programma incentiva i singoli utenti a divulgare a Microsoft eventuali bug, consentendone la mitigazione prima che possano essere sfruttati da utenti malintenzionati. Il Programma Microsoft Bug Bounty integra i test di penetrazione attivi dei servizi Microsoft 365.