Microsoft Online Services 安全性事件管理簡介
在雲端環境中,客戶和雲端服務提供者會共同承擔達成相容和安全運算環境的責任。 Microsoft 使用共用責任模型來定義 Microsoft 365 服務的安全性與營運責任。 雖然 Microsoft 365 會保護基礎雲端基礎結構和服務,但客戶必須了解他們對於確保使用者和資料之安全租用戶環境的責任。
注意事項
Microsoft 安全分數可為客戶提供其租用戶設定的清楚分析,並提供可採取動作的建議來改善安全性。 我們鼓勵每個客戶使用 Microsoft 安全分數等自我評定工具,來確保符合安全性和隱私權的共同責任。
在 Microsoft,我們使用深度防禦方法,藉由在多個層級上套用安全性保護來保護我們的服務。 深度防禦提供重疊性的保護措施來防範安全性威脅。 當我們基於安全性考量來建立服務時,我們也會使用入侵假設策略,為服務做好可能遭到入侵的準備工作。 「入侵假設」會限制對應用程式、服務、身分識別及網路的信任,將這些項目全部(內部和外部) 視為不安全且已遭到入侵。 「入侵假設」的原則可協助減少攻擊者可能造成的損壞,並啟用快速偵測及回應安全性威脅,以限制安全性事件的影響。
在本課程模組中,我們將著重於 Microsoft Online Services 如何調查、管理及回應安全性威脅,以保護 Microsoft 雲端環境中的客戶。
什麼是安全性事件?
Microsoft 會在其 線上服務 中將安全性事件定義為可能導致客戶數據外泄的問題,包括違反安全策略、可接受的使用原則或標準安全性做法。 這不只包括已確認的 Microsoft 系統缺口等情況,也包括不相容於 Microsoft 的安全策略和做法。
每當發生安全性事件時,Microsoft 會致力於快速且有效地回應,以保護 Microsoft Online Services 和客戶數據。 Microsoft 的客戶通知承諾詳述於 Microsoft 產品和服務數據保護增補:
如果 Microsoft 發現安全性缺口,其在 Microsoft 處理客戶資料或個人資料時,導致意外或非法損毀、遺失、更改、未經授權披露或存取客戶資料或個人資料 (每一個都是「安全性事件」),Microsoft 會立即且不過度延遲地 (1) 將安全性事件通知客戶;(2) 調查安全性事件,並為客戶提供有關安全性事件的詳細資訊;(3) 採取合理的步驟來減輕影響,並將安全性事件造成的任何損害降至最低。
Microsoft 的同盟事件回應
為了有效回應安全性事件,Microsoft 採用同盟安全性事件回應模型。 每個主要在線服務,例如 Azure 和 Microsoft 365,都有自己的專屬安全性小組,具有特殊的工程技能。 同時,每個小組都遵守共用事件管理程式、共用定義和共享訓練,以提供所有在線服務的一致性。
每個在線服務安全性回應小組都提供集中式安全性專業知識和事件回應指引,作為同盟安全性回應模型的一部分。 根據事件的性質,安全性回應和服務小組可能會與 Microsoft 內其他組織的安全性合作夥伴和主題專家合作,以取得調查協助,例如:
- Microsoft 威脅情報中心 – 提供調查支援和威脅情報支援
- Microsoft Core 工程數位安全性與風險工程 – 針對涉及 Microsoft 公司資產和網路的事件提供調查協助。
- Microsoft 安全回應中心 – 針對外部報告的弱點及軟體和服務事件回應提供支援
- Microsoft 公司、外部、法律事務 – 提供有關安全性事件調查的法律深入解析與指引
- 隱私權小組 – 有關法規需求、合規性和隱私權的指引。 每個主要在線服務專用的個別小組
- 客戶體驗通訊小組 – 適用於與事件相關的內部和外部通訊。 每個主要在線服務專用的個別小組
Microsoft Online Services 中的事件回應
在 Microsoft Online Services 中,安全性事件回應的責任會在安全性回應小組與每個 Microsoft 服務小組之間共用。 安全性回應小組會與服務小組協調,以實作全企業的事件回應策略,同時運用服務小組的專業知識。
我們的事件回應策略是以 NIST 800-61 回應管理階段為基礎,會進行四個階段的相互關聯活動:準備;偵測和分析;遏止、根除及復原;以及事件後活動。
此圖表指出偵測和分析以及遏止、根除及復原階段會重複循環,直到事件解決為止。
回應管理程序的每個階段對於有效事件回應來說都很重要。