Visão geral do Gerenciamento de Ameaças e Vulnerabilidades
Como é que o Microsoft serviços online realizar a gestão de vulnerabilidades?
Não importa o nível de design de um sistema, sua postura de segurança pode ser degradada ao longo do tempo. Os computadores podem ficar sem patch, alterações de configuração inadvertida podem ser introduzidas e regressões ao código de segurança podem se acumular. Todos estes problemas podem tornar um sistema menos seguro do que quando foi implementado inicialmente. A Microsoft criou recursos automáticos para avaliar continuamente nossos sistemas quanto a esse tipo de degradação, permitindo que ajamos imediatamente para corrigir problemas em nossa postura de segurança.
A Microsoft serviços online utilizar a análise de estado da máquina para garantir que as máquinas virtuais que incluem a nossa infraestrutura estão atualizadas com os patches mais recentes e que as configurações de base estão corretamente alinhadas com as estruturas relevantes. A análise de estado da máquina utiliza a aplicação de patches, antimalware, análise de vulnerabilidades e análise de configuração. A Microsoft serviços online aplicar uma análise eficaz ao instalar um agente de segurança personalizado em cada recurso durante a implementação. Este agente de segurança permite a análise do estado do computador e comunica os resultados às nossas equipas de serviço.
Como é que o Microsoft serviços online garantir que a infraestrutura de serviços está atualizada com os patches de segurança mais recentes?
A gestão de patches mitiga vulnerabilidades ao garantir que os sistemas de serviços online da Microsoft são atualizados de forma consistente em todos os sistemas aplicáveis após o lançamento. A Microsoft atribui prioridades a novos patches de segurança e outras atualizações de segurança de acordo com o risco. As equipas de segurança do serviço online da Microsoft analisam os patches de segurança disponíveis para determinar o respetivo nível de risco no contexto dos nossos ambientes de produção. Sua análise inclui pontuações de severidade com base no SISTEMA de Pontuação de Vulnerabilidade Comum (CVSS) juntamente com outros fatores de risco.
As equipas de serviço da Microsoft analisam a análise da equipa de segurança e atualizam os respetivos componentes de serviço e imagens de linha de base com patches aplicáveis no período de tempo de remediação adequado. Os patches de segurança estão sujeitos ao processo de gerenciamento de alterações para garantir a aprovação adequada de teste e gerenciamento antes da implantação em ambientes de produção. A implantação de patches de segurança ocorre em estágios para habilitar a reversão se um patch de segurança causar problemas inesperados.
As equipes de serviço usam os resultados da verificação de vulnerabilidade para validar a implantação de patch de segurança nos componentes do sistema aplicáveis. Quaisquer vulnerabilidades em atraso são reportadas diariamente e revistas pela gestão mensalmente para medir a amplitude e profundidade da cobertura de patches em todo o ambiente e responsabilizarmo-nos pela aplicação de patches oportuna.
Como é que a Microsoft realiza a análise de vulnerabilidades e configuração?
O agente de segurança da Microsoft é instalado durante a implementação de recursos e permite a análise de vulnerabilidades e configuração totalmente automatizada. O agente de segurança usa as ferramentas padrão do setor para detectar vulnerabilidades conhecidas e configurações incorretas de segurança. Os ativos de produção são agendados para verificações automáticas diárias com as assinaturas de vulnerabilidade mais recentes. Os resultados dessas verificações são coletados em um serviço de armazenamento central seguro e os relatórios automatizados disponibilizam os resultados para as equipes de serviço.
As equipes de serviço examinam os resultados da verificação usando painéis que relatam resultados de verificação agregados para fornecer relatórios abrangentes e análise de tendências. As vulnerabilidades detetadas nas análises são controladas nestes relatórios até serem remediadas. Quando as verificações de vulnerabilidade indicam patches ausentes, configurações incorretas de segurança ou outras vulnerabilidades no ambiente, as equipes de serviço usam esses relatórios para direcionar os componentes afetados para correção. As vulnerabilidades detetadas através da análise são priorizadas para remediação com base nas classificações do CVSS e noutros fatores de risco relevantes.
Como é que a Microsoft se defende contra software maligno?
A Microsoft utiliza software antimalware abrangente para proteger a Microsoft serviços online contra vírus e outro software maligno. As imagens do sistema operativo de linha de base utilizadas pela Microsoft serviços online incluem este software para maximizar a cobertura em todo o ambiente.
Todos os pontos finais do Microsoft serviços online efetuam uma análise antimalware completa pelo menos semanalmente. São realizadas análises adicionais em tempo real em todos os ficheiros à medida que são transferidos, abertos ou executados. Essas verificações usam assinaturas de malware conhecidas para detectar malware e impedir a execução de malware. O software antimalware da Microsoft está configurado para transferir as assinaturas de software maligno mais recentes diariamente para garantir que as análises são realizadas com as informações mais atualizadas. Além das análises baseadas em assinaturas, o software antimalware da Microsoft utiliza o reconhecimento baseado em padrões para detetar e impedir comportamentos suspeitos ou anómalos do programa.
Quando os nossos produtos antimalware detetam vírus ou outro software maligno, geram automaticamente um alerta para as equipas de resposta de segurança da Microsoft. Em muitos casos, nosso software antimalware pode impedir a execução de vírus e outros malwares em tempo real sem intervenção humana. Quando esta prevenção não é possível, as equipas de resposta de segurança da Microsoft resolve incidentes de software maligno através do processo de resposta a incidentes de segurança.
Como é que a Microsoft deteta vulnerabilidades novas ou não reportadas?
A Microsoft complementa a análise automatizada com machine learning sofisticado para ajudar a detetar atividades suspeitas que possam indicar a presença de vulnerabilidades desconhecidas. Os testes regulares de penetração por equipas internas da Microsoft e auditores independentes fornecem um mecanismo adicional para detetar e remediar vulnerabilidades antes de poderem ser explorados por atacantes do mundo real. A Microsoft realiza testes internos de penetração com o "Red Teams" de hackers éticos da Microsoft. Os sistemas e os dados dos clientes nunca são alvo de testes de penetração, mas as lições aprendidas com os testes de penetração ajudam a Microsoft a validar os seus controlos de segurança e a defender-se contra novos tipos de ataques. A Microsoft também utiliza programas de recompensa por erros para incentivar a divulgação de novas vulnerabilidades, permitindo que sejam mitigadas o mais rapidamente possível.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com Gerenciamento de Ameaças e Vulnerabilidades.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
|
ISO 27001 Declaração de Aplicabilidade Certificado |
A.12.6.1: Gestão de vulnerabilidades técnicas | 8 de abril de 2024 |
|
ISO 27017 Declaração de Aplicabilidade Certificado |
A.12.6.1: Gestão de vulnerabilidades técnicas | 8 de abril de 2024 |
|
ISO 27018 Declaração de Aplicabilidade Certificado |
A.12.6.1: Gestão de vulnerabilidades técnicas | 8 de abril de 2024 |
|
SOC 1 SOC 2 SOC 3 |
VM-3: Monitorização antimalware VM-5: Aplicação de patches VM-6: Análise de Vulnerabilidades |
20 de maio de 2024 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP | CA-7: Monitorização contínua CA-8: Testes de penetração RA-3: Avaliação de riscos RA-5: Análise de vulnerabilidades SI-2: Remediação de falhas SI-5: Alertas de segurança, avisos e diretivas |
21 de agosto de 2024 |
|
ISO 27001/27017 Declaração de Aplicabilidade Certificação (27001) Certificação (27017) |
A.12.6.1: Gestão de vulnerabilidades técnicas | Março de 2024 |
| SOC 1 | CA-27: Análise de vulnerabilidades | 1 de agosto de 2024 |
| SOC 2 | CA-24: Avaliação de riscos internos CA-27: Análise de vulnerabilidades |
23 de janeiro de 2024 |