Dans le premier blog de cette série, nous discutons de notre investissement important dans la sécurisation de Microsoft Azure, y compris plus de 8 500 experts en sécurité axés sur la sécurisation de nos produits et services, de notre programme de primes de bogues leader du secteur, de notre engagement de 20 ans envers le cycle de vie du développement de la sécurité (SDL), et notre parrainage de la sécurité des principaux logiciels open source. Nous avons également introduit certaines des mises à jour que nous effectuons en réponse à la nature changeante des menaces, notamment des améliorations des opérations de réponse, des investissements dans la sécurisation multi-contrats et l’expansion de notre effort de chasse diversifié pour inclure une équipe mondiale dédiée à Azure. . Dans ce blog, nous nous concentrerons sur la chasse diversifiée dans le cadre de notre vaste programme de sécurité complet.
La pêche en diversité est une technique d’apprentissage inductive qui va du particulier au général. En utilisant les vulnérabilités nouvellement découvertes comme point de départ, les chercheurs en sécurité qualifiés recherchent des vulnérabilités supplémentaires et similaires, généralisent l’apprentissage en modèles, puis collaborent avec les équipes d’ingénierie, de gouvernance et de politique pour développer des défenses complètes et durables. La recherche diversifiée examine également les modèles positifs et tente d’apprendre des succès comme des échecs, mais à travers le prisme des vulnérabilités et des attaques réelles, en posant la question : “Pourquoi cette attaque a-t-elle échoué ici, alors qu’elle a fonctionné là-bas ?”
Outre des enseignements techniques détaillés, les diverses recherches visent également à comprendre la fréquence à laquelle des erreurs particulières se produisent, les causes contributives qui leur ont permis d’échapper aux contrôles SDL, les paradigmes architecturaux et de conception qui les atténuent ou les exacerbent, et même la dynamique organisationnelle. et des incitations qui les favorisent ou les préviennent. Il est courant de faire une analyse des causes profondes, en recherchant la seule chose qui a déclenché la faiblesse, mais la chasse aux variétés cherche à trouver toutes les causes contributives.
Alors que des programmes de conformité stricts tels que Microsoft SDL définissent une portée complète et des opérations reproductibles, la capture variable offre la flexibilité nécessaire pour réagir plus rapidement aux changements de l’environnement. À court terme, la capture variable améliore le programme SDL en apportant plus rapidement des modifications proactives et réactives aux services cloud, tandis qu’à long terme, elle fournit une boucle de rétroaction importante nécessaire à l’amélioration continue.
Tirer parti des leçons pour identifier les contre-modèles et améliorer la sécurité
À partir des leçons tirées des conclusions de la sécurité interne, des opérations de l’équipe rouge, des tests de pénétration, des incidents et des rapports MSRC externes, l’équipe de chasse alternative tente d’extraire des contre-modèles qui peuvent conduire à des vulnérabilités. Pour être exploitable, la portée des contre-modèles doit être définie à un niveau d’abstraction plus spécifique que, par exemple, “validation d’entrée” mais moins spécifique que “il y a une erreur à la ligne 57”.
Après avoir extrait un niveau d’abstraction approprié, la recherche diversifiée recherche les cas d’anti-modèle et effectue une évaluation plus approfondie du service, appelée recherche diversifiée “verticale”. En parallèle, le chercheur étudie la propagation du contre-modèle à travers d’autres produits et services, effectuant une chasse variable “horizontale” en utilisant une combinaison d’outils d’analyse statique, d’outils d’analyse dynamique et d’examen habile.
Les informations issues de la recherche sur les variantes verticales et horizontales éclairent l’architecture et les mises à jour de produits nécessaires pour casser l’anti-modèle à grande échelle. Les résultats incluent des améliorations des processus et des procédures, des modifications des outils de sécurité, des changements architecturaux et, finalement, des améliorations des normes SDL à mesure que les leçons deviennent rapidement partie intégrante du système d’ingénierie de routine.
Par exemple, l’un des outils d’analyse statique utilisés dans Azure est CodeQL. Lorsqu’une vulnérabilité nouvellement identifiée ne contient pas de requête correspondante dans CodeQL, l’équipe de recherche de variantes travaille avec d’autres parties prenantes pour en créer une. De nouveaux « échantillons », c’est-à-dire des échantillons de code spécialement conçus qui exposent intentionnellement la vulnérabilité, sont produits et combinés dans une suite de tests permanente pour garantir que les informations sont conservées même après la fin de l’enquête immédiate. Ces améliorations fournissent un filet de sécurité plus solide, aidant à identifier les risques de sécurité plus tôt dans le processus et à réduire la réintroduction de contre-modèles connus dans nos produits et services.
L’approche multicouche d’Azure Security pour se protéger contre les menaces côté serveur
Plus tôt dans cette série, nous avons mis en évidence les améliorations de sécurité dans Azure Automation, Azure Data Factory et Azure Open Management Infrastructure résultant de nos divers efforts de recherche. Nous pouvons appeler cet effort « diversification verticale ».
Notre travail sur la contrefaçon de requête côté serveur (SSRF) est un exemple de recherche de variable “horizontale”. L’impact et la prévalence des bogues SSRF augmentent dans l’industrie depuis un certain temps. En 2021, l’OWASP a ajouté SSRF à sa liste des dix premiers sur la base des commentaires d’une enquête communautaire des dix premiers – c’était l’élément le plus demandé à inclure. À peu près à la même époque, nous avons lancé un certain nombre d’initiatives, notamment :
- En externe, Azure Security a reconnu l’importance d’identifier et de renforcer les vulnérabilités SSRF et a lancé le Azure SSRF Research Challenge à l’automne 2021.
- En interne, nous avons entrepris un effort multi-équipes et multi-départements pour mieux traiter les vulnérabilités SSRF en utilisant une approche en couches.
- Les résultats des défis Azure SSRF Research ont été combinés pour générer de nouveaux résultats à l’aide des règles CodeQL afin d’identifier plus précisément les erreurs SSRF.
- La recherche interne a stimulé l’investissement dans de nouvelles bibliothèques d’analyse d’URL pour prévenir les erreurs SSRF et de nouveaux outils d’analyse dynamique pour aider à enquêter sur les vulnérabilités SSRF suspectées.
- De nouvelles formations ont été créées pour renforcer dès le départ la prévention des vulnérabilités SSRF.
- Des investissements ciblés par l’ingénierie des produits et la recherche sur la sécurité ont créé de nouveaux SDK Azure pour Azure Key Vault qui aideront à prévenir les vulnérabilités SSRF dans les applications qui acceptent les URI soumis par les utilisateurs pour Azure Key Vault ou Azure Managed HSM.
Cet investissement dans une nouvelle technologie pour réduire la propagation des vulnérabilités SSRF contribue à assurer la sécurité des applications Azure pour nos clients. En identifiant et en corrigeant ces vulnérabilités, nous sommes en mesure de fournir une plate-forme plus sécurisée à nos clients pour créer et exécuter leurs applications.
En bref, Azure a été le pionnier du développement et de la mise en œuvre de la capture variable comme moyen d’identifier et de traiter les menaces de sécurité potentielles. Nous avons employé et déployé une équipe mondiale axée exclusivement sur diverses recherches et travaillons en étroite collaboration avec le reste des experts en sécurité de Microsoft. Ce travail a abouti à plus de 800 améliorations de sécurité distinctes pour les services Azure depuis juillet 2022. Nous encourageons les organisations de sécurité du monde entier à adopter ou à étendre les captures variables dans le cadre d’un effort d’apprentissage continu pour améliorer encore la sécurité.
En savoir plus sur la sécurité Azure et la recherche diversifiée
- Lisez le premier blog de cette série pour en savoir plus sur l’approche de sécurité d’Azure, qui est profondément axée sur la défense, avec des couches de protection tout au long de la conception, du développement et du déploiement de nos plateformes et technologies.
- En savoir plus sur les fonctionnalités de sécurité prêtes à l’emploi intégrées à nos plateformes cloud.
- Inscrivez-vous aujourd’hui à Microsoft Secure le 28 mars pour voir notre session couvrant la sécurité intégrée dans le Microsoft Cloud.