Visão geral do Gerenciamento de Ameaças e Vulnerabilidades

Como os serviços online da Microsoft conduzem Gerenciamento de Vulnerabilidades?

Não importa o nível de design de um sistema, sua postura de segurança pode ser degradada ao longo do tempo. Os computadores podem ficar sem patch, alterações de configuração inadvertida podem ser introduzidas e regressões ao código de segurança podem se acumular. Todos esses problemas podem tornar um sistema menos seguro do que quando ele foi implantado inicialmente. A Microsoft criou recursos automáticos para avaliar continuamente nossos sistemas quanto a esse tipo de degradação, permitindo que ajamos imediatamente para corrigir problemas em nossa postura de segurança.

Os serviços online da Microsoft usam a verificação de estado de máquina para garantir que os dispositivos que compõem nossa infraestrutura estejam atualizados com os patches mais recentes e que suas configurações base se alinham corretamente às estruturas relevantes. A verificação de estado do computador usa patch, anti-malware, verificação de vulnerabilidade e verificação de configuração (PAVC). Os serviços online da Microsoft aplicam o PAVC efetivo instalando um agente de segurança personalizado em cada ativo durante a implantação. Esse agente de segurança habilita a verificação de estado do computador e relata resultados para nossas equipes de serviço.

Como os serviços online da Microsoft garantem que a infraestrutura de serviço está atualizada com os patches de segurança mais recentes?

O gerenciamento de patches reduz as vulnerabilidades garantindo que os sistemas de serviços online da Microsoft sejam atualizados rapidamente quando novos patches de segurança são lançados. A Microsoft prioriza novos patches de segurança e outras atualizações de segurança de acordo com o risco. As equipes de segurança de serviço online da Microsoft analisam patches de segurança disponíveis para determinar seu nível de risco no contexto de nossos ambientes de produção. Sua análise inclui pontuações de severidade com base no SISTEMA de Pontuação de Vulnerabilidade Comum (CVSS) juntamente com outros fatores de risco.

As equipes de serviço da Microsoft analisam a análise da equipe de segurança e atualizem seus componentes de serviço e imagens de linha de base com patches aplicáveis no período de tempo de correção apropriado. Os patches de segurança estão sujeitos ao processo de gerenciamento de alterações para garantir a aprovação adequada de teste e gerenciamento antes da implantação em ambientes de produção. A implantação de patches de segurança ocorre em estágios para habilitar a reversão se um patch de segurança causar problemas inesperados.

As equipes de serviço usam os resultados da verificação de vulnerabilidade para validar a implantação de patch de segurança nos componentes do sistema aplicáveis. Todas as vulnerabilidades atrasadas são relatadas diariamente e revisadas mensalmente pelo gerenciamento para medir a amplitude e a profundidade da cobertura de patch em todo o ambiente e nos responsabilizar pelo patch em tempo hábil.

Como a Microsoft conduz a verificação de vulnerabilidade e configuração?

O agente de segurança da Microsoft é instalado durante a implantação de ativos e permite a verificação de configuração e vulnerabilidade totalmente automatizadas. O agente de segurança usa as ferramentas padrão do setor para detectar vulnerabilidades conhecidas e configurações incorretas de segurança. Os ativos de produção são agendados para verificações automáticas diárias com as assinaturas de vulnerabilidade mais recentes. Os resultados dessas verificações são coletados em um serviço de armazenamento central seguro e os relatórios automatizados disponibilizam os resultados para as equipes de serviço.

As equipes de serviço examinam os resultados da verificação usando painéis que relatam resultados de verificação agregados para fornecer relatórios abrangentes e análise de tendências. As vulnerabilidades detectadas nas verificações são controladas nesses relatórios até que sejam remediadas. Quando as verificações de vulnerabilidade indicam patches ausentes, configurações incorretas de segurança ou outras vulnerabilidades no ambiente, as equipes de serviço usam esses relatórios para direcionar os componentes afetados para correção. As vulnerabilidades descobertas por meio da verificação são priorizadas para correção com base em suas pontuações do Sistema de Pontuação de Vulnerabilidades Comuns (CVSS) e outros fatores de risco relevantes.

Como a Microsoft se defende contra malware?

A Microsoft usa software anti-malware abrangente para proteger os serviços online da Microsoft contra vírus e outros malwares. As imagens do sistema operacional de linha de base usadas pelos serviços online da Microsoft incluem esse software para maximizar a cobertura em todo o ambiente.

Cada ponto de extremidade nos serviços online da Microsoft realiza uma verificação completa de anti-malware pelo menos semanalmente. Verificações adicionais em tempo real são executadas em todos os arquivos à medida que são baixados, abertos ou executados. Essas verificações usam assinaturas de malware conhecidas para detectar malware e impedir a execução de malware. O software anti-malware da Microsoft é configurado para baixar as assinaturas de malware mais recentes diariamente para garantir que as verificações sejam realizadas com as informações mais atualizadas. Além das verificações baseadas em assinatura, o software antimal malware da Microsoft usa o reconhecimento baseado em padrão para detectar e evitar comportamentos de programas suspeitos ou anômalos.

Quando nossos produtos anti-malware detectam vírus ou outros malwares, eles geram automaticamente um alerta para as equipes de resposta de segurança da Microsoft. Em muitos casos, nosso software antimalware pode impedir a execução de vírus e outros malwares em tempo real sem intervenção humana. Quando essa prevenção não é possível, as equipes de resposta à segurança da Microsoft resolvem incidentes de malware usando o processo de resposta a incidentes de segurança.

Como a Microsoft detecta vulnerabilidades novas ou não declaradas?

A Microsoft complementa a verificação automatizada com aprendizado sofisticado de máquina para ajudar a detectar atividades suspeitas que podem indicar a presença de vulnerabilidades desconhecidas. Testes regulares de penetração por equipes internas da Microsoft e auditores independentes fornece um mecanismo adicional para descobrir e correção de vulnerabilidades antes que eles possam ser explorados por invasores do mundo real. A Microsoft realiza testes de penetração interna usando "Red Teams" de hackers éticas da Microsoft. Os sistemas e dados do cliente nunca são alvos de testes de penetração, mas as lições aprendidas nos testes de penetração ajudam a Microsoft a validar seus controles de segurança e a se defender contra novos tipos de ataques. A Microsoft também usa programas de recompensa de bugs para incentivar a divulgação de novas vulnerabilidades, permitindo que elas sejam atenuadas assim que possível.

Os serviços online da Microsoft são regularmente auditados para conformidade com regulamentações e certificações externas. Consulte a tabela a seguir para validação de controles relacionados Gerenciamento de Vulnerabilidades.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001/27002

Instrução of Applicability
Certificação
A.12.6.1: Gerenciamento de vulnerabilidades técnicas 2 de dezembro de 2020
ISO 27017

Instrução of Applicability
Certificação
A.12.6.1: Gerenciamento de vulnerabilidades técnicas 2 de dezembro de 2020
ISO 27018

Instrução of Applicability
Certificação
A.12.6.1: Gerenciamento de vulnerabilidades técnicas 2 de dezembro de 2020
SOC 1
SOC 2
SOC 3
VM-3: monitoramento anti-malware
VM-5: Patching
VM-6: Verificação de vulnerabilidade
31 de março de 2021

Office 365

Auditorias externas Section Data do relatório mais recente
FedRAMP CA-7: Monitoramento contínuo
CA-8: Teste de penetração
RA-3: Avaliação de risco
RA-5: Verificação de vulnerabilidade
SI-2: Correção de falhas
SI-5: Alertas, avisos e diretivas de segurança
24 de setembro de 2020
ISO 27001/27002/27017

Instrução of Applicability
Certificação
A.12.6.1: Gerenciamento de vulnerabilidades técnicas Abril de 20, 2021
SOC 1 CA-27: Verificação de vulnerabilidade 24 de dezembro de 2020
SOC 2 CA-24: Avaliação de risco interno
CA-27: Verificação de vulnerabilidade
24 de dezembro de 2020

Recursos