威脅與弱點管理概觀
Microsoft 線上服務 如何進行弱點管理?
無論系統設計有多好,其安全性狀態都會隨著時間降低。 電腦可能會未進行修補、可能意外導入設定變更,且可能會累積安全性程式碼迴歸。 所有這些問題都可能會使系統比最初部署時更安全。 Microsoft 已建置自動化功能,以持續評估我們的系統是否發生這類降級,讓我們能夠立即採取行動,以修正安全性態勢中的問題。
Microsoft 線上服務 使用機器狀態掃描來確保組成基礎結構的機器是最新的修補程式,而且其基本設定正確地與相關的架構一致。 機器狀態掃描會使用 PATCHC) (修補、反惡意代碼、弱點掃描和設定掃描。 Microsoft 線上服務 在部署期間於每個資產上安裝自定義安全性代理程式,以套用有效的 PAVC。 此安全性代理程式可啟用機器狀態掃描,並將結果報告給我們的服務小組。
Microsoft 如何 線上服務 確保服務基礎結構具有最新的安全性修補程式?
修補程式管理可藉由確保 Microsoft 線上服務 系統在發行新的安全性修補程式時快速更新,來減輕弱點。 Microsoft 會根據風險排定新的安全性修補程式和其他安全性更新的優先順序。 Microsoft 在線服務安全性小組會分析可用的安全性修補程式,以判斷其在生產環境中的風險層級。 其分析會包含根據常見的弱點評分系統 (CVSS) 的嚴重性分數,以及其他風險因素。
Microsoft 服務小組會檢閱安全性小組的分析,並在適當的補救時間範圍內,使用適用的修補程式更新其服務元件和基準映像。 安全性修補程式受到變更管理程序的限制,以確保在部署到生產環境之前,經過適當的測試和管理核准。 安全性修補程式的部署會階段性進行,以在安全性修補程式造成未預期的問題時啟用復原。
服務小組會使用弱點掃描結果以驗證安全性修補程式部署是位於適當的系統元件上。 系統會每日報告任何逾期的弱點,並由管理每月進行檢閱,以測量整個環境修補程式涵蓋範圍的廣度和深度,並讓自己負責及時修補。
Microsoft 如何進行弱點和設定掃描?
Microsoft 的安全性代理程式會在資產部署期間安裝,並啟用完全自動化的弱點和設定掃描。 安全性代理程式會使用業界標準工具,來偵測已知弱點和安全性設定錯誤。 對於生產資產,會排程使用最新的弱點特徵進行每日自動掃描。 這些掃描的結果會收集在安全的集中式儲存服務中,且自動化報告會將結果提供給服務小組。
服務小組會使用儀表板來檢閱掃描結果,而儀表板可報告彙總掃描結果,以提供完整的報告和趨勢分析。 在這些報告中會追蹤掃描中偵測到的弱點,直到補救為止。 當弱點掃描指出環境中有遺漏的修補程式、安全性設定錯誤或其他弱點時,服務小組會使用這些報表對受影響的元件進行補救。 透過掃描發現的弱點,會依據一般弱點評分系統 (CVSS) 分數和其他相關風險因素,排定補救的優先順序。
Microsoft 如何防禦惡意代碼?
Microsoft 使用完整的反惡意代碼軟體來保護 Microsoft 線上服務 抵禦病毒和其他惡意代碼。 Microsoft 線上服務 使用的基準操作系統映像包含此軟體,以將整個環境的涵蓋範圍最大化。
Microsoft 中的每個端點 線上服務 至少每周執行完整的反惡意代碼掃描。 在下載、開啟或執行所有檔案時,會對所有檔案執行其他實時掃描。 這些掃描會使用已知的惡意程式碼簽章以偵測惡意程式碼並防止惡意程式碼執行。 Microsoft 的反惡意代碼軟體設定為每天下載最新的惡意代碼簽章,以確保會使用最新的資訊進行掃描。 除了以簽章為基礎的掃描之外,Microsoft 反惡意代碼軟體還會使用模式型辨識來偵測並防止可疑或異常的程序行為。
當我們的反惡意代碼產品偵測到病毒或其他惡意代碼時,它們會自動為 Microsoft 安全性回應小組產生警示。 在許多情況下,我們的反惡意程式碼軟體可以防止病毒和其他惡意程式碼即時執行,而不需要人為干預。 當無法進行此防護時,Microsoft 安全性回應小組會使用安全性事件回應程式來解決惡意代碼事件。
Microsoft 如何偵測新的或未回報的弱點?
Microsoft 透過複雜的機器學習來補充自動化掃描,以協助偵測可能表示未知弱點的可疑活動。 由內部 Microsoft 小組和獨立稽核員定期進行滲透測試,可提供額外的機制來探索和補救弱點,然後再被真實世界的攻擊者利用。 Microsoft 會使用 Microsoft 道德駭客的「Red Teams」進行內部滲透測試。 客戶系統和數據絕不會是滲透測試的目標,但從滲透測試中學習到的課程可協助 Microsoft 驗證其安全性控制措施,並防範新類型的攻擊。 Microsoft 也會使用 Bug 賞金程式來協助揭露新的弱點,讓它們能夠儘快減輕。
相關外部法規 & 認證
Microsoft 的 線上服務 會定期稽核,以符合外部法規和認證。 如需與 威脅與弱點管理 相關的控件驗證,請參閱下表。
Azure 和 Dynamics 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| ISO 27001/27002 適用性聲明 認證 |
A.12.6.1:管理技術弱點 | 2023年11月6日 |
| ISO 27017 適用性聲明 認證 |
A.12.6.1:管理技術弱點 | 2023年11月6日 |
| ISO 27018 適用性聲明 認證 |
A.12.6.1:管理技術弱點 | 2023年11月6日 |
| SOC 1 SOC 2 SOC 3 |
VM-3:反惡意代碼監視 VM-5:修補 VM-6:弱點掃描 |
2023年11月17日 |
Microsoft 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| FedRAMP (Office 365) | CA-7:持續監視 CA-8:滲透測試 RA-3:風險評估 RA-5:弱點掃描 SI-2:瑕疵修復 SI-5:安全性警示、建議和指示詞 |
2023年7月31日 |
| ISO 27001/27002/27017 適用性聲明 認證 (27001/27002) 認證 (27017) |
A.12.6.1:管理技術弱點 | 2024 年 3 月 |
| SOC 1 | CA-27:弱點掃描 | 2024年1月23日 |
| SOC 2 | CA-24:內部風險評估 CA-27:弱點掃描 |
2024年1月23日 |
資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應