微软如何构建安全基础能力?

admin 2022年4月20日00:50:06评论25 views字数 4254阅读14分10秒阅读模式

据悉,一年一度的大型网空实战攻防演习即将拉开序幕!


开个话题讨论,主题:实战攻防演习

讨论内容:

1.实战攻防演习经验分享

2.你认为今年的演习会有哪些变化?以及你认为我国需要什么样的攻防演习

3.吐槽(Anything)


文末花絮!


微软如何构建安全基础能力?


本文为微软 OneDrive + SharePoint 首席安全架构师Matt Swann口述,笔者编译整理。


几周前,我发表了关于安全基础功能如何在 OneDrive + SharePoint 组织中发挥作用的演讲。关于我们如何构建这个主题以及我们认为在我们的工程组织中成功的样子的简短线程:

首先,我们认为每个工程师都有责任在他们的日常工作中维护安全,就像可访问性、可靠性、性能。安全不是一个可以外包给中央团队的属性。每个工程师都是某种形式的安全工程师。-- 安全是每个人的事。

其次,我们认为安全不是在改善就是在退化,没有“现状”。我们产品和平台的变化率带来了新的风险;对手能力的提高意味着现有/遗留风险变得可利用。随着时间的推移,你的稳态系统会恶化,这意味着必须有一种机制始终关注和更新它。-- 假定失陷和威胁狩猎Threat Hunting

鉴于此,我们将安全基础(Security Fundamentals)定义为风险识别、监控和减少的持续过程。我们在四个方面实施此流程:🗺️ 安全评审security reviews)、🔎 安全监控(security monitoring)、🏗️ 安全举措(security initiatives)和 🕵️ 安全研究(security research)。


微软如何构建安全基础能力?


安全评审在产品设计阶段进行。我们授权工程师在不增加风险的情况下实现业务成果。(Security reviews protect The Product As Designed. We empower engineers to achieve business outcomes without increasing risk – “yes and here’s how” rather than a “culture of no”. Increasing organic adoption is a sign that your review process is adding value.

安全监控在产品运行阶段进行。我们识别可能错过安全评审的风险设计、因对已批准设计的不安全调整而导致的风险实施以及滥用尚未缓解的现有风险。(Security monitoring protects The Product As Implemented. We identify risky designs that may have missed a security review, risky implementations caused by unsafe adaptations from the approved design, and abuse of existing risks that have not yet been mitigated.

安全举措降低了产品每一层的风险,使坏结果不太可能发生(预防)或影响较小(弹性)。(Security initiatives reduce risk at every layer of the product to make bad outcomes less likely (prevention) or less impactful (resilience).

安全研究使我们的努力立足于现实。红队的发现、漏洞赏金案例和行业研究都有助于减少我们在理论上相信的事实与实际情况之间的差距。(Security research keeps our efforts grounded in reality. Red team findings, bug bounty cases, and industry research all help to reduce the delta between what we believe to be true in theory vs what is actually true in practice.

这里就是80/20法则的重点所在。四项能力中的三项是由安全团队执行的,但80%的工作发生在“举措”桶中!这些是每个工程团队为解决其特定领域的顶级风险而进行的持续投资。(Here’s where the 80/20 rule comes into focus. Three of the four functions are performed by the security team – but 80% of the work occurs in the "initiatives" bucket! These are ongoing investments made by every engineering team to address top risks in their specific domain.


微软如何构建安全基础能力?


我们认为,在一个健康的组织中,这些安全举措所产生的切实成果应该在产品和组织的每一层都能看到。这就是“安全基础”的持续改进文化的体现。(We asserted that in a healthy organization, tangible outcomes stemming from these security initiatives should be visible at every layer of the product and organization. This is where the Security Fundamentals culture of continuous improvement is made manifest.

我们将组织分为六层:工程系统、服务管理、内容存储、Web应用程序、authN/Z和客户体验。(We divided our organization into six layers – engineering systems, service management, content storage, web application, authN/Z, and customer experiences.


微软如何构建安全基础能力?


接下来,我们将安全监控与响应整合到图表中,作为一个贯穿每一层的垂直平面。监控与响应必须涵盖每一项服务和技术,如果受到损害,可能会影响客户数据的保密性/完整性/可用性。(Next we integrated security monitoring and response into the diagram as a vertical plane that cuts across every layer. Monitoring + response must cover every service and technology that, if compromised, could impact confidentiality/integrity/availability of customer data.


微软如何构建安全基础能力?


尽管我们有持续改进的记录,但产品的每一层仍有改进的余地。我们的目标仍然是成为世界上最有价值的数据的最安全的云。

我从这篇论文中学到了“按计划工作”、“按执行工作”以及安全/不安全的适应性等概念:https://sciencedirect.com/science/article/pii/S0951832018309864 如果你以安全的心态来阅读,有很多东西我们可以借鉴。(I learned the concepts of "work as planned", "work as implemented", and safe/unsafe adaptations from this paper: https://sciencedirect.com/science/article/pii/S0951832018309864 If you read it with a security mindset there is a lot we can borrow.


花絮

#SOC #安全运营 #红蓝紫 #ThreatHunting #检测工程
A:
在我看来,SOC负责监控已知世界或已探索的领土,它代表了检测与响应能力的稳态和基线。也就是说,就像所有的东西一样,它也会受到熵的影响,因此会变得陈旧和过时,这就是为什么像威胁猎杀和检测工程这样的想法存在的原因。

这些 "较新 "的学科代表着探索的力量,它不断努力将未知(因此也是威胁)的世界转化为探索或已知的世界。探索的领域保持探索的方式是,它必须被编入系统的范围内。

这就是为什么当组织将SOCTH作为不同的(不相关的)实体来实施时,我们会看到崩溃的原因(至少在我的经验中)。在探索未知领域时,TH应该始终着眼于SOC的发展。

不是每一个TH行动都应该/可以被SOC消耗掉,但必须有一个子集转换到稳态,否则TH就会成为第二个(效率较低的)SOC,或者实际价值有限。网络的短暂性意味着一次性搜索的实际效用有限。

B:
是的。我们传统上看到TH和红队与蓝队/SOC明显分开(物理/机构)。这是很疯狂的。这也是为什么我们现在谈论紫色团队,现在又增加了 "探测工程"

A:
完全正确! RTTH是蓝队的一部分! 我发现他们不一定要在D&R团队中组织,但他们应该与SOC保持一致,作为他们的主要客户之一。

我认为这很有趣,知道有一个问题,确定问题是什么,以及选择最好的解决方案之间是有区别的。紫色、THDE的出现(我认为)是因为我们意识到现有的解决方案并不能完全解决这些问题。

你想了解你对Kerberoasting的一套检测方法到底能不能解决这个问题?传统的红队是不会提供这个问题的答案的。另一方面,一个紫色的练习可以被设计来回答这个问题(至少是部分地)。

B:
对吗!?你知道为什么吗?因为人们围绕着NIST模型建立安全团队,该模型被内化为ORG模型:识别、保护、检测、响应和恢复。当团队/系统@边界失败时,我们就会创建模糊的新结构/抽象来填补这个空白。

A:
伙计,我在我的灵魂中感受到了这一点。我经常被潜在的客户问及我符合哪种标准,我的回答基本上是:"如果它被编入标准,那么它几乎肯定已经过时了。"

B:
我赞同的标准是按照期望值交付成果。当框架、标准和组织结构比团队在实现既定(通常是快速变化的)目标方面的表现更重要时,这就变得困难了。信息安全:我们让敏捷的、脆弱的

A:
有时候,为了确定 "应该是什么",我们不得不忽略 "是什么"。如果盒子里的解决方案不起作用,你就得跳出盒子去寻找新的答案。这就是THDEPurple是什么。尽管我们也不应该认为它们是正确的解决方案。

微软如何构建安全基础能力?


微软如何构建安全基础能力?


往期精选


围观

威胁猎杀实战(六):横向移动攻击检测


热文

全球“三大”入侵分析模型


热文

实战化ATT&CK:威胁情报



原文始发于微信公众号(天御攻防实验室):微软如何构建安全基础能力?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月20日00:50:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软如何构建安全基础能力?http://cn-sec.com/archives/928016.html

发表评论

匿名网友 填写信息