응용 프로그램 침투 테스트 이해
설계 및 자동화된 보안 테스트의 보안은 취약성을 악용하기 전에 수정하여 위반을 방지하는 데 초점을 맞춥니다. Microsoft는 위반 가정 전략을 사용하여 손상 가능성을 위해 서비스를 준비하여 이러한 사례를 보완합니다. 위반 가정은 애플리케이션, 서비스, ID 및 네트워크에 대한 신뢰를 제한하여 내부 및 외부 모두를 안전하지 않고 이미 손상된 것으로 접근합니다. 이러한 원칙은 공격자가 초래할 수 있는 피해를 줄이고 보안 위협에 대한 신속한 탐지 및 대응을 가능하게 하여 보안 취약점의 영향을 제한하는 데 도움이 됩니다.
SDL 침투 테스트
SDL에는 자동화된 동적 코드 테스트 외에도 모든 애플리케이션에 대한 정기적인 침투 테스트가 필요합니다. 서비스 팀 애플리케이션의 일반적인 침투 테스트는 정기적으로 수행됩니다. 애플리케이션 침투 테스트는 다른 테스트 방법으로 검색되지 않은 보안 결함을 발견할 수 있습니다. 또한 로깅 및 검색 기능을 테스트하여 소프트웨어가 Microsoft의 보안 대응 팀에 실제 공격자에 대한 프로덕션 시스템을 방어하는 데 필요한 데이터를 제공하는지 확인합니다.
또한 서비스 팀은 보안 검토의 일환으로 필요한 경우 소프트웨어 인터페이스에 대해 대상 침투 테스트를 수행합니다. 대상 침투 테스트는 특정 유형의 취약성을 감지하도록 설계되었습니다. 이러한 테스트는 주요 소프트웨어 기능 및 데이터 흐름의 잠재적 취약성으로부터 추가적인 보호층을 제공합니다.
공격 시뮬레이션
코드가 릴리스에 대해 승인되고 프로덕션 환경에 배포되면 프로덕션 시스템에 대한 공격을 시뮬레이션하여 운영 보안을 계속 테스트합니다. 공격 시뮬레이션은 작동 SDL 요구 사항에 대해 DevOps 모델의 작업 쪽을 테스트합니다. 공격 시뮬레이션의 주요 목표는 탐지 및 대응 기능의 유효성을 검사하는 것입니다. 우리의 침투 테스트는 서비스에 대한 새로운 취약점과 경로를 식별하는 데 확실히 사용되지만 주요 우선 순위는 침해 후 발생하는 테스트입니다. 공격을 충분히 빠르게 감지하고 있습니까? 공격자를 효과적으로 교정하고 제거할 수 있습니까? 공격 시뮬레이션 및 기타 형태의 침투 테스트를 통해 이러한 질문에 지속적으로 답할 수 있습니다.
Microsoft는 전임 직원의 사내 공격 보안 팀을 활용하여 시스템에 대한 공격을 시뮬레이션하여 지속적인 침투 테스트를 수행합니다. 우리는 이 팀을 레드 팀이라고 부릅니다. 레드 팀은 취약성 및 보안 오류 구성을 검색하고 악용하여 검색하지 않고 Microsoft 시스템을 손상시키려고 시도합니다. 레드 팀 활동은 실제 공격을 시뮬레이션하고 Microsoft의 보안 대응 팀의 기능을 테스트합니다. 내부 침투 테스트의 맥락에서 Microsoft의 보안 대응 팀은 블루 팀이라고 합니다. 블루 팀은 당사의 보안 모니터링 시스템과 보안 사고 대응 프로세스를 사용하여 레드 팀 공격을 방지, 탐지 및 대응하기 위해 노력합니다.
레드 팀은 실제 악의적 사용자와 동일한 전술, 기술 및 절차를 사용하여 Microsoft Online Services 시스템 및 작업을 공격합니다. 이러한 공격은 보안 검색 및 대응 기능을 테스트하고 프로덕션 취약성, 구성 오류, 잘못된 가정 및 기타 보안 문제를 제어된 방식으로 식별하는 데 도움이 됩니다. 모든 레드 팀 위반 후에는 운영 보안 차이를 식별하고 해결하고, 코드 수준에서 취약성을 해결하기 위해 서비스 팀에 버그를 할당하고, 위반 탐지 및 대응을 개선하기 위해 두 팀 간에 전체 공개 및 공동 작업이 진행됩니다.
레드 팀 공격 시뮬레이션은 고객에게 부정적인 영향을 미치지 않으면서 현실적인 공격을 시뮬레이션하도록 설계되었습니다. 고객 테넌트는 레드 팀 공격의 대상이 되지 않으며, 레드 팀 침투 테스트는 Microsoft Online Services가 보안 위협을 방지, 탐지 및 대응할 준비가 되었는지 확인하는 데 도움이 됩니다.