Microsoft 365 中的攻擊模擬
Microsoft 會持續監控並明確測試租使用者界限內的弱點和弱點,包括監控是否有入侵、許可權違規嘗試和資源不足。 我們也會使用多個內部系統來持續監視不適當的資源利用率,如果偵測到,則會觸發內建節流。
Microsoft 365 具有內部監控系統,可持續監控任何失敗,並在偵測到失敗時,自動復原。 Microsoft 365 系統會分析服務行為的差異,並啟動系統內建的自我修復處理常式。 Microsoft 365 也會使用外部監控,監視是從多個位置執行,來自于相互信任的協力廠商服務 (,以進行獨立 SLA 驗證) 和我們自己的資料中心來引發提醒。 針對診斷,我們有大量的記錄、審核和追蹤。 精細追蹤和監控可協助我們隔離問題,並執行快速且有效的根本原因分析。
雖然 Microsoft 365 盡可能進行自動化的復原動作,但 Microsoft 待命工程師可全天候提供,以調查所有嚴重性為1的安全性升級,以及每個服務事件的檢討後檢查,以不斷瞭解和改善。 此小組包含支援的工程師、產品開發人員、專案經理、產品經理及資深領導。 我們的電話會議專業人員會提供及時的備份,而且通常可自動執行復原動作,所以下一次發生事件時,它可以是自我 healed。
不論影響的程度為何,Microsoft 都會執行完整的事件後檢查,只要發生 Microsoft 365 的安全性事件。 事件後檢查會包含對發生狀況的分析、回應方式,以及未來如何預防類似事件的分析。 透過透明及責任的利益,我們會與受影響客戶的任何重大服務事件,分享事件後檢查。 如需特定詳細資料,請參閱 Microsoft 安全性事件管理。
採用破壞方法
根據安全性趨勢的詳細分析,Microsoft 擁護者和重點是對反應性安全性程式和技術中的其他投資的需求,其重點在於偵測和回應新興威脅,而不是僅僅預防這些威脅。 由於威脅環境和深入分析的變更,Microsoft 在防範安全性違規時,其安全性策略已更好地防範,使其無法在發生違規情況時處理違規情況;考慮主要安全性事件的策略,不像是 if,但何時。
雖然 Microsoft 的 假設入侵 行為已有許多年,但許多客戶並未意識到在幕後執行的工作,以強化 Microsoft 雲端。 假設違犯是指導安全性投資、設計決策及操作安全性作法的思維方式。 假設違犯會限制應用程式、服務、身分識別及網路中的信任,其方式是將內部和外部郵件全部視為不安全且已遭破壞。 雖然假設破壞策略並未因實際違反任何 Microsoft 企業或雲端服務而受到影響,但由於所有的企圖都企圖,所以已辨識,許多組織在整個行業內都遭到破壞。 雖然防止違例是組織運作中的重要部分,但這些做法必須進行持續的測試及擴充,才能有效地解決新式敵人和高級威脅。 為讓任何組織準備遭到破壞,他們必須先建立並維護強健、可重複且經過完整測試的安全性回應程式。
雖然破壞安全性處理常式(例如威脅模型、程式碼檢查及安全性測試)在 安全性開發週期中非常實用,但假設「破壞」提供許多優點,可協助您在遭到破壞的情況下,運用及測量反應性的功能,以協助考慮整體安全性。
在 Microsoft,我們會將安全性回應計畫的持續 war 遊戲和即時網站滲透測試,設定為執行這項作業,以改進我們的偵測和回應功能。 Microsoft 會定期模擬實際行為、進行連續的安全性監控,並執行安全性事件管理,以驗證及提高 Microsoft 365、Azure 及其他 Microsoft 雲端服務的安全性。
Microsoft 會利用兩個核心群組執行其假設安全性原則:
- 紅色 Teams (攻擊者)
- 藍色 Teams (defenders)
Microsoft Azure 和 Microsoft 365 人員都會以全時紅色 Teams 和藍色 Teams 分開。
稱為「紅色分組」,方法是使用與即時生產基礎結構不同的戰術、技術和程式,測試 Azure 及 Microsoft 365 系統和作業,而不需工程或作業小組的 foreknowledge。 這會測試 Microsoft 的安全性偵測和回應功能,並以可控的方式協助識別實際執行的漏洞、設定錯誤、假設不正確的安全性問題。 每個紅色小組遭到破壞之後,都是在這兩個小組之間完全公開,以找出缺口、解決結果,以及改善破壞性回應。
附注:在紅色分組或即時網站滲透測試期間,不會故意以客戶資料為目標。 測試是針對 Microsoft 365 和 Azure 基礎結構和平臺,以及 Microsoft 本身的承租人、應用程式和資料。 客戶租使用者、應用程式和主控于 Microsoft 365 或 Azure 的內容永遠都不會進行目標。
紅色 Teams
紅色小組是 Microsoft 的全職員工群組,側重于 breaching Microsoft 基礎結構、平臺及 Microsoft 自有的承租人和應用程式。 它們是一組道德駭客的專屬 (敵人,) 針對線上服務 (Microsoft 基礎結構、平臺及應用程式,但不是對使用者的應用程式或內容) 執行目標和持續型攻擊。
紅色小組的角色是攻擊和滲透環境所使用的步驟與敵人相同:

除了其他功能之外,紅色小組特別嘗試破壞租使用者隔離邊界,以找出隔離設計中的錯誤或缺口。
為了協助擴大攻擊類比的工作量,紅色小組建立了一個自動化的攻擊模擬工具,可在特定的 Microsoft 365 環境中反復執行。 此工具有各種各樣的預先定義的攻擊,可持續擴充並改善,以協助反映演化威脅的形勢。 除了放寬紅色小組測試的範圍之外,它還可協助藍色小組驗證及改善其安全性監控邏輯。 定期攻擊模擬會提供藍色的不同資料流程,以與預期的回應進行比較及驗證。 這有助於導致 Microsoft 365 的安全性監控邏輯及回應功能的改善。
藍色 Teams
藍色小組是由一組專門的安全性回應程式或成員所組成,由安全事件回應、工程及作業組織所組成。 不論其組成,都是獨立的,且與紅色小組分開運作。 藍色小組遵循已建立的安全性程式,並使用最新的工具和技術,偵測並回應攻擊和滲透。 就像現實世界的攻擊,藍色小組不知道紅色小組的攻擊發生的時間或方式,或可能使用哪些方法。 其工作不論是紅色小組攻擊或是實際 assault,都是偵測並回應所有的安全性事件。 基於這個理由,藍色的團隊會持續通話,而且必須對紅色小組的違反行為進行其他違反行為的方式作出反應。
當敵人(如紅色小組)已突破環境時,藍色小組必須:
- 收集受到敵人所留下的證據
- 偵測證據以遭到損害的跡象
- 警示適當的工程和作業小組 (s)
- 會審提醒以判斷其是否值得進一步調查
- 從環境收集內容,以對破壞範圍進行範圍
- 形成修復計畫,以包含或棄用對手
- 執行修正計畫,並從破壞中復原
這些步驟會形成會平行于敵人執行的安全性事件回應,如下所示:

紅色小組違規可讓您運用藍色的小組偵測和回應實際的攻擊端對端的能力。 最重要的是,它允許在遭到真實侵犯之前進行的安全性事件回應。 此外,因為紅色的小組遭到破壞,所以藍色小組會增強其形勢知曉,當您處理未來的缺口時,可能會有價值, (不論是來自紅色小組還是其他敵人) 。 在整個偵測和回應程式中,藍色小組會產生切實可行的情報,並深入瞭解環境中的實際狀況, (s) 會嘗試辯護。 這通常是透過透過資料分析和取證所執行,在回應紅色小組攻擊時,以及建立威脅指示器(如受損指標)時,由藍色小組執行。 很像紅色小組識別安全性案例中的缺口,藍色小組識別其偵測和回應能力的缺口。 此外,因為紅色的小組會為現實世界的攻擊,所以藍色的小組可以正確地評估其能力,或無法處理已確定和持續的敵人。 最後,紅色小組缺口會同時測量我們的破壞回應的準備工作和影響。