Microsoft Online Services 安全事件管理简介
在云环境中,客户和云服务提供商共同负责实现合规且安全的计算环境。 Microsoft 使用 共享责任模型 在 Microsoft 365 服务中定义安全和运营责任。 虽然 Microsoft 365 保护底层云基础结构和服务,但客户需要了解其确保用户和数据的安全租户环境的责任。
注意
Microsoft 安全功能分数为客户提供其租户配置的清晰分析,并提供可操作的建议来提高安全性。 我们鼓励每位客户使用 Microsoft 安全功能分数等自我评估工具,以确保我们共同负责安全和隐私。
Microsoft 使用深层防御方法通过在多个层次应用安全保护来保护我们的服务。 深度防御提供重叠的安全措施来防范安全威胁。 虽然我们在构建服务时考虑到了安全问题,但我们也使用假定失陷策略为服务准备了可能的折中方案。 假定失陷限制了对应用程序、服务、身份和网络的信任,将它们(内部和外部)视为不安全且已经受到威胁。 假定失陷原则通过减少攻击者可能造成的损害并启用对安全威胁的快速检测和响应来帮助限制安全事件的影响。
在本模块中,我们将重点介绍 Microsoft Online Services 如何调查、管理和响应安全威胁,以保护 Microsoft 云环境中的客户。
什么是安全事件?
Microsoft 在其联机服务中将安全事件定义为可能导致客户数据泄露的问题,包括违反安全策略、可接受的使用策略或标准安全做法。 这不仅包括已确认违反 Microsoft 系统的情况,还包括不符合 Microsoft 的安全策略和做法的情况。
每当发生安全事件时,Microsoft 都努力快速有效地响应,以保护 Microsoft Online Services 和客户数据。 Microsoft 产品和服务数据保护附录中详细介绍了 Microsoft 的客户通知承诺:
如果 Microsoft 在由 Microsoft 处理时发现安全漏洞导致意外或非法销毁、丢失、更改、未经授权披露或访问客户数据或个人数据(每个事件都是“安全事件”),Microsoft 将立即且不会出现不必要的延迟 (1) 通知客户安全事件;(2) 调查安全事件并向客户提供有关安全事件的详细信息;(3) 采取合理的步骤来减轻影响,并最大程度地减少安全事件造成的任何损害。
Microsoft 的联合事件响应
为了有效响应安全事件,Microsoft 采用联合安全事件响应模型。 每个主要联机服务(如 Azure 和 Microsoft 365)都有自己的具有专业工程技能的专用安全团队。 同时,每个团队都遵循共享事件管理流程、共享定义和共享培训,以在所有联机服务之间提供一致性。
每个联机服务安全响应团队都为服务团队提供集中的安全专业知识和事件响应指南,作为联合安全响应模型的一部分。 根据事件的性质,安全响应和服务团队可能会聘请来自 Microsoft 内部其他组织的安全合作伙伴和主题专家来寻求调查协助,例如:
- Microsoft 威胁情报中心 - 用于调查支持和威胁情报支持
- Microsoft Core 工程数字安全与风险工程 - 针对涉及 Microsoft 公司资产和网络的事件提供调查协助
- Microsoft 安全响应中心 - 支持外部报告的漏洞和软件和服务事件响应
- Microsoft 公司、外部、法律事务 – 获取有关安全事件调查的法律见解和指导
- 隐私团队 – 获取有关法规要求、合规性和隐私的指导。 单独的团队专门负责每个主要联机服务
- 客户体验通信团队 – 用于与事件相关的内部和外部通信。 单独的团队专门负责每个主要联机服务
Microsoft Online Services 中的事件响应
在 Microsoft Online Services 中,安全响应团队和每个 Microsoft 服务团队共同负责安全事件响应。 安全响应团队与服务团队协调,以实施企业范围的事件响应策略,同时利用服务团队的专业知识。
我们的事件响应策略基于 NIST 800-61 响应管理阶段,继续执行四个阶段的互连活动:准备;检测和分析、控制、消除和恢复,以及事件后活动。
该图指示检测和分析以及包含、消除和恢复阶段循环往复,直到事件得到解决。
响应管理过程的每个阶段对于有效的事件响应都很重要。