深入MSRC：以客户为中心的安全事件响应机制

微软安全响应中心（MSRC）是微软网络防御运营中心（CDOC）的重要组成部分，汇集了公司内部的安全响应专家，实时保护、检测和应对威胁。CDOC由专职团队全天候值守，可直接访问微软内部数千名安全专业人员、数据科学家和产品工程师，确保快速响应和解决安全威胁。本系列博客文章将探讨微软安全响应的一个重要方面，即MSRC如何通过软件和服务事件响应计划（SSIRP）应对客户面临的高级别威胁。在接下来的一周中，我们将讨论SSIRP事件的结构，并为构建您自己的安全响应流程提供一些建议。在讨论我们的事件响应计划之前，本文将展示我们如何努力避免这些事件的发生。

在经历了包括Blaster和Sasser在内的多次蠕虫攻击后，SSIRP流程于2004年创建，以规范微软对客户面临的高级别威胁的响应。

MSRC成立于1998年，致力于保护客户免受我们产品和服务中的漏洞影响。我们的专职安全专业人员团队来自国际政府、行业和学术界的各种安全背景，包括国防和情报界、政府CERT以及电信、能源、技术和计算机安全行业。正是这个响应团队开发了原始的安全开发生命周期（SDL）原则，这些原则已成为软件开发行业的标准，通过12项最佳实践全面开发和维护安全产品。这些原则基于我们的使命，即确保我们产品中的漏洞按照协调漏洞披露（CVD）原则进行披露，快速发布更新，并保护客户免受漏洞利用。为此，我们的策略是通过以下方式使攻击者发现、利用和利用漏洞变得困难和昂贵：

• 通过整合消除利用机会的技术，完全消除漏洞。
• 通过深度防御技术打破利用技术，使攻击者难以运行任意代码，并帮助将任何损害限制在“沙盒”环境中并防止持久性。
• 使用Windows Defender等行业合作伙伴提供的技术，确保攻击者几乎没有动力投入时间和资源开发他们知道会及时防御的漏洞利用。

我们正在努力改变漏洞经济——使攻击者获取和利用软件漏洞更加昂贵和耗时，从而降低客户面临的风险。我们并非孤军奋战。通过我们对协调漏洞披露（CVD）的承诺，安全研究人员和行业合作伙伴共同努力，确保在问题公开之前发布更新。这对所有人都是双赢的；客户受到保护，研究人员通过正式认可和我们的漏洞赏金计划获得认可。微软主动合作伙伴保护（MAPP）计划还确保行业内的成员安全组织在协调漏洞披露后准备好响应。

使用这种方法为所有人带来了更安全的生态系统。随着每年修复的漏洞越来越多，客户因漏洞面临的实际风险正在稳步下降，已知漏洞利用的数量也在持续下降。简而言之，微软和安全研究人员正在识别更多漏洞，因此攻击者使用的漏洞更少。

尽管通过这种方法我们取得了很大进展，但当事情不按计划进行时，我们也准备好启动我们的事件响应流程。我们的SSIRP危机模型在MSRC早期建立，旨在调动全球资源快速防御客户免受Blaster和Sasser等高级别安全威胁。如今，这种协调在跨行业应对Spectre和Meltdown或ShadowBrokers泄露后立即动员最终导致WannaCry的事件中处于中心舞台。每年，SSIRP团队响应数十起威胁我们客户的事件，包括即将或实际公开的漏洞或漏洞利用披露、针对客户的攻击或对微软云服务（如O365、Azure和Dynamics）的安全威胁。

在我们的下一篇博客文章中，我们将更详细地研究SSIRP事件的结构，并使用一个真实示例说明此流程如何推动全公司安全响应以保护我们的客户。

Simon Pope，微软安全响应中心（MSRC）事件响应总监