Microsoft Azure - подход к безопасности от облачных уязвимостей ориентирован на глубокую защиту

Цифровой мир меняется с появлением более настойчивых, изощренных и целеустремленных киберпреступников. По мере увеличения рисков и усугубления угроз доверие становится важнее, чем когда-либо. Клиенты должны быть в состоянии доверять технологическим платформам, в которые они инвестируют средства для создания и управления своими организациями. Являясь одним из крупнейших поставщиков облачных услуг, Microsoft завоевывает доверие, помогая клиентам обеспечить безопасность с самого начала и добиваясь большего благодаря безопасности наших облачных платформ , которые являются встроенными, встроенными и готовыми к использованию.

В Microsoft Azure подход к безопасности ориентирован на глубокую защиту с уровнями защиты, создаваемыми на всех этапах проектирования, разработки и развертывания наших платформ и технологий. Microsoft также уделяет особое внимание прозрачности, чтобы клиенты знали, как Microsoft постоянно работает над изучением и улучшением предложений, чтобы помочь смягчить сегодняшние киберугрозы и подготовиться к киберугрозам завтрашнего дня.

Прошлое, настоящее и будущее наших обязательств в области безопасности 

На протяжении десятилетий Microsoft уделяла и продолжает уделять большое внимание безопасности клиентов и улучшению безопасности наших платформ. Это обязательство проявляется в нашей долгой истории передовых методов обеспечения безопасности, начиная с наших локальных и программных дней и заканчивая сегодняшними облачными средами. Ярким примером этого является то, что в 2004 году мы первыми разработали жизненный цикл разработки безопасности (SDL) — структуру, позволяющую встроить безопасность в приложения и службы с нуля, влияние которой было далеко идущим. В настоящее время SDL используется в качестве основы для встроенной безопасности в ключевых инициативах, включая международные стандарты безопасности приложений ( ISO/IEC 27034-1 ) и Исполнительный указ Белого дома о кибербезопасности 1 .

Однако, как известно лидерам и специалистам по безопасности, работа службы безопасности никогда не заканчивается. Постоянная бдительность жизненно важна. Вот почему Microsoft в настоящее время вкладывает значительные средства во внутренние исследования в области безопасности, а также в комплексную программу вознаграждения за обнаружение ошибок. Внутри Microsoft работает более 8500 экспертов по безопасности, которые постоянно занимаются обнаружением уязвимостей , анализом тенденций атак и устранением проблем безопасности. Наши исследования в области безопасности мирового уровня и аналитика угроз помогают защитить клиентов, Microsoft, программное обеспечение с открытым исходным кодом и наших отраслевых партнеров.

Microsoft также инвестирует в одну из самых активных программ Bug Bounty в отрасли . Только в 2021 году Microsoft выделила 13,7 миллиона долларов в виде вознаграждения  за обнаружение ошибок в широком спектре технологий. Наметившейся тенденцией за последний год стал рост числа уязвимостей, о которых сообщалось извне, затрагивающих нескольких облачных провайдеров, включая Azure. Хотя уязвимости не являются чем-то необычным в отрасли, Microsoft как ведущий поставщик облачных услуг и поставщик решений безопасности номер один представляет больший интерес как для исследователей, так и для конкурентов в области безопасности. Вот почему наша публичная программа поощрений первой включала облачные сервисы, начиная с 2014 г., а в 2021 г. мы еще больше расширили программу, включив в нее  более высокие вознаграждения за отчеты об ошибках между арендаторами.. Как и ожидалось, это явно привлекло еще больший интерес внешних исследователей безопасности к Azure, что привело к присуждению нескольких вознаграждений за обнаружение ошибок между арендаторами. Независимо от причин, эти выводы помогли еще больше защитить определенные службы Azure и наших клиентов.

Наконец, мы твердо верим, что безопасность — это командный вид спорта, и наше внимание к сотрудничеству подтверждается нашим вкладом в экосистему безопасности, таким как наше участие в NIST Secure Software Development Framework (SSDF) 2 и улучшение состояния безопасности Open Source Software (OSS) благодаря нашим инвестициям в размере 5 миллионов долларов США в проект OpenSSF Alpha-Omega 3 .

Наша приверженность безопасности непоколебима, о чем свидетельствует наше многолетнее лидерство в SDL по обнаружению уязвимостей, программам поощрения за обнаружение ошибок, вкладам в совместную работу и продолжается в будущем благодаря нашему обязательству инвестировать более 20 миллиардов долларов в течение пяти лет 4 в кибербезопасность. Хотя встроенная безопасность с самого начала не является чем-то новым для Microsoft, мы понимаем, что ландшафт безопасности постоянно меняется и развивается, а вместе с ним и наши знания.

В Microsoft основной частью нашей культуры является установка на рост. Выводы внутренних и внешних исследователей безопасности имеют решающее значение для нашей способности обеспечить дополнительную безопасность всех наших платформ и продуктов. Для каждого отчета об уязвимости в Azure мы проводим углубленный анализ первопричины и проверку после инцидента, независимо от того, были ли они обнаружены внутри или снаружи. Эти проверки помогают нам отражать и применять извлеченные уроки на всех уровнях организации и имеют первостепенное значение для обеспечения постоянного развития и обеспечения безопасности в Microsoft.

Основываясь на выводах, которые мы получили из последних отчетов об уязвимостях Azure, мы совершенствуемся по трем ключевым параметрам. Эти разработки улучшают наш процесс реагирования, расширяют наши внутренние исследования в области безопасности и постоянно улучшают то, как мы защищаем мультиарендные сервисы.

1. Комплексный ответ

Несколько уроков прошлого года сосредоточили наше внимание на областях, которые, по нашему мнению, нуждаются в улучшении, таких как ускорение сроков реагирования. Мы решаем эту проблему в рамках наших комплексных процессов реагирования и объединяем внутренние и внешние механизмы реагирования. Мы начали с увеличения частоты и объема наших проверок безопасности LiveSite на уровне руководителей и ниже. Мы также улучшаем интеграцию нашего внешнего управления делами безопасности и наших внутренних систем связи и управления инцидентами. Эти изменения сокращают среднее время взаимодействия и устранения выявленных уязвимостей, еще больше улучшая нашу оперативную реакцию. 

2. Охота за облачными вариантами

В ответ на тенденции облачной безопасности мы расширили нашу программу поиска вариантов, включив в нее глобальную и специальную функцию поиска вариантов в облаке. Поиск вариантов выявляет дополнительные и похожие уязвимости в затронутой службе, а также выявляет аналогичные уязвимости в других службах, чтобы обеспечить более тщательное обнаружение и исправление. Это также приводит к более глубокому пониманию шаблонов уязвимостей и впоследствии приводит к комплексным мерам по снижению риска и исправлениям. Ниже приведены некоторые основные моменты нашей работы по поиску облачных вариантов:

• В службе автоматизации Azure мы определили варианты и исправили более двух десятков уникальных проблем.
• В Фабрике данных Azure/Synapse мы выявили значительные улучшения дизайна, которые еще больше усложняют варианты службы и адреса. Мы также работали с нашим поставщиком и другими поставщиками облачных услуг, чтобы обеспечить более широкое рассмотрение рисков.
• В Azure Open Management Infrastructure мы выявили несколько вариантов, наши исследователи опубликовали CVE-2022-29149 , и мы создали возможности автоматического обновления расширений, чтобы сократить время исправления для клиентов. Наша функция автоматического обновления расширения уже используется клиентами Azure Log Analytics , Azure Diagnostics и Azure Desired State Configuration .

Кроме того, Cloud Variant Hunting заблаговременно выявляет и устраняет потенциальные проблемы во всех наших службах. Сюда входят многие известные, а также новые классы уязвимостей, и в ближайшие месяцы мы поделимся более подробной информацией о нашем исследовании, чтобы принести пользу нашим клиентам и сообществу в целом.

3. Безопасная мультиарендность

Основываясь на информации, полученной из всех наших источников информации о безопасности, мы продолжаем развивать наши требования к безопасной многопользовательской среде, а также автоматизацию, которую мы используем в Microsoft для раннего обнаружения и устранения потенциальных угроз безопасности. Когда мы анализировали Azure и другие случаи безопасности в облаке за последние пару лет, наши внутренние и внешние исследователи безопасности нашли уникальные способы преодоления некоторых барьеров изоляции. Корпорация Майкрософт вкладывает значительные средства в упреждающие меры безопасности, чтобы предотвратить это, поэтому эти новые результаты помогли определить наиболее распространенные причины и гарантировать, что мы взяли на себя обязательство устранять их в Azure с помощью небольшого количества высокоэффективных изменений.

Мы также удваиваем наш подход к глубокой защите, требуя и применяя еще более строгие стандарты для изоляции вычислений, сети и учетных данных во всех службах Azure, особенно при использовании сторонних компонентов или компонентов OSS. Мы продолжаем сотрудничать с сообществом OSS, таким как PostgreSQL, а также с другими облачными провайдерами, над функциями, которые очень желательны в многопользовательских облачных средах. 

Эта работа уже привела к десяткам отдельных выводов и исправлений, большинство из которых (86 процентов) связаны с нашими конкретными улучшениями в вычислительных ресурсах, сети или изоляции учетных данных. Среди наших улучшений автоматизации мы расширяем внутренние динамические тесты безопасности приложений (DAST), чтобы включить больше проверок для проверки изоляции вычислений и сети, а также добавить новые возможности проверки изоляции учетных данных во время выполнения. Параллельно с этим наши эксперты по безопасности продолжают тщательно изучать наши облачные службы, проверяют их соответствие нашим стандартам и внедряют новые автоматизированные элементы управления на благо наших клиентов и корпорации Майкрософт.

Исходя из модели общей ответственности облачной безопасности, мы рекомендуем нашим клиентам использовать эталонный тест безопасности облачных вычислений Майкрософт, чтобы повысить уровень безопасности облачных вычислений. Мы разрабатываем набор новых рекомендаций, посвященных передовым методам обеспечения безопасности с несколькими арендаторами, и опубликуем их в следующем выпуске.

Короче говоря, несмотря на то, что Microsoft имеет давнюю и постоянную приверженность безопасности, мы постоянно растем и развиваем наши знания, поскольку ландшафт безопасности также развивается и меняется. В духе постоянного обучения корпорация Майкрософт решает недавние проблемы с безопасностью в облаке Azure, совершенствуя стандарты безопасности с несколькими арендаторами, расширяя наши возможности по поиску облачных вариантов и разрабатывая интегрированные механизмы реагирования. Наши усовершенствования и масштабы наших усилий по обеспечению безопасности еще раз демонстрируют наше лидерство и многолетнюю приверженность постоянному совершенствованию наших программ безопасности и повышению планки безопасности в масштабах всей отрасли. Мы по-прежнему стремимся интегрировать безопасность на каждом этапе проектирования, разработки и эксплуатации, чтобы наши клиенты и весь мир могли с уверенностью использовать наше облако.

Другие новости