Plánování odpovědí na incidenty
Tuto tabulku použijte jako kontrolní seznam k přípravě Centra bezpečnostních operací (SOC) na reakci na incidenty kybernetické bezpečnosti.
| Hotovo | Aktivita | Popis | Výhoda |
|---|---|---|---|
| Cvičení v horní části tabulky | Pravidelně provád ěte hlavní cvičení v tabulkách předvídatelných obchodních kybernetických incidentů, které přimějí vedení vaší organizace uvažovat o složitých rozhodnutích založených na rizicích. | Pevně zavádí a ilustruje kybernetickou bezpečnost jako obchodní problém. Vyvíjí svalovou paměť a ztěžuje rozhodování a problémy s právy rozhodování v celé organizaci. | |
| Určení rozhodnutí před útokem a tvůrců rozhodnutí | Jako pochvalu k cvičení na nejvyšších tabulek určete rozhodnutí založená na rizicích, kritéria pro rozhodování a kdo musí tato rozhodnutí dělat a provádět. Příklad: Kdo/kdy/kdy požádat o pomoc při vymáhání práva? Kdo/kdy/když se mají reagovat na incidenty? Kdo/kdy/kdy zaplatit výkupné? Kdo/kdy/jestli chcete externí auditory upozornit? Kdo/kdy/pokud chcete upozornit regulační orgány na ochranu osobních údajů? Kdo/kdy/pokud chcete informovat regulátory cenných papírů? Kdo/kdy/pokud chcete upozornit správní radu nebo auditní výbor? Kdo má oprávnění k vypnutí důležitých úloh? |
Definuje parametry počáteční odpovědi a kontakty tak, aby se zjednodušila odpověď na incident. | |
| Zachování oprávnění | Obecně platí, že rada může být privilegovaná, ale fakta jsou zjistitelná. Vyškolte klíčové vedoucí incidentů při sdělování rad, faktů a názorů pod privilegovaným oprávněním, aby byla zachována oprávnění a aby se snížilo riziko. | Zachování oprávnění může být chaotický proces při zvažování množství komunikačních kanálů, včetně e-mailu, platforem pro spolupráci, chatů, dokumentů, artefaktů. Můžete například použít Microsoft Teams Rooms. Konzistentní přístup mezi pracovníky incidentů a podpora externích organizací může pomoci omezit potenciální právní riziko. | |
| Aspekty obchodování insider | Zvažte oznámení pro správu, která by měla být přijata, aby se snížilo riziko porušení cenných papírů. | Boards a externí auditoři mají tendenci ocenit, že máte zmírňující opatření, která sníží riziko sporných obchodů s cennými papíry během období turbulence. | |
| Role incidentů a playbook odpovědnosti | Stanovte základní role a povinnosti, které umožňují různým procesům udržovat fokus a přeposlání průběhu. Pokud je váš tým pro odpovědi vzdálený, může vyžadovat další aspekty týkající se časových pásem a správné předání zkoušejícím. Možná budete muset komunikovat v jiných týmech, které se můžou angažovat, například týmy dodavatelů. |
Technical Incident Leader – Vždy v incidentu, syntetizuje vstupy a poznatky a plánuje další akce. Komunikační styčný kontakt – odstraňuje zátěž komunikace s managementem od vedoucího technických incidentů, aby se mohli incidentu i nadále angažovat bez ztráty soustředění. To by mělo zahrnovat správu zasílání zpráv a interakcí vedoucích a dalších třetích stran, jako jsou regulační orgány. Záznam incidentu – Odstraňuje zátěž při zaznamenávání zjištění, rozhodnutí a akcí od respondenta incidentu a od začátku do konce vytváří přesné účtování incidentu. Forward Planner – Ve spolupráci s nejdůležitějšími vlastníky obchodních procesů formulovat činnosti a přípravy kontinuity provozu, které uvažují o poškození informačního systému, které trvá 24, 48, 72, 96 hodin nebo více. Vztahy s veřejností – V případě incidentu, který pravděpodobně upoutá pozornost veřejnosti, a ve spojení s Forward Plannerem uvažuje a koncepty veřejných komunikačních přístupů, které řeší pravděpodobné výsledky. |
|
| Playbook pro odpovědi na incidenty na ochranu osobních údajů | Abyste uspokojili stále přísnější předpisy na ochranu osobních údajů, vytvořte společně vlastněnou příručku mezi SecOps a kanceláří pro ochranu osobních údajů, která umožňuje rychlé vyhodnocení potenciálních problémů ochrany osobních údajů, které mají přiměřenou pravděpodobnost vzniku bezpečnostních incidentů. | Vyhodnocení bezpečnostních incidentů, které mohou mít vliv na soukromí, je obtížné vzhledem k tomu, že většina bezpečnostních incidentů vzniká ve vysoce technickém soc, který se musí rychle dostat do kanceláře pro ochranu osobních údajů, kde se určuje regulační riziko, často s 72hodinovým očekáváním oznámení. | |
| Testování průniku | Proveďte simulované útoky point-in-time proti systémům kritickým pro firmy, kritické infrastruktuře a zálohám, abyste zjistili nedostatky v pozici zabezpečení. Obvykle to provádí tým externích odborníků, který se zaměřuje na obcházení preventivních kontrol a přecházení klíčových chyb zabezpečení. | S ohledem na nedávné incidenty ransomwaru provozované lidmi by měly být nárazové testy prováděny proti zvýšenému rozsahu infrastruktury, zejména schopnosti napadnout a řídit zálohy důležitých systémů a dat. | |
| Červený tým / modrý tým / fialový tým / zelený tým | Průběžně nebo pravidelně simulujte útoky proti systémům kritickým pro firmy, kritické infrastruktuře, zálohování, které identifikují nedostatky v pozici zabezpečení. Obvykle to provádějí interní útočné týmy (červené týmy), které se zaměřují na testování účinnosti detektivní kontroly a týmů (Modré týmy). Můžete třeba použít školení k simulaci útoku pro Microsoft 365 Defender pro Office 365 a kurzy útoku pro Microsoft 365 Defender koncového bodu. |
Červené, modré a fialové týmové útokové simulaci, když to bude dobře, slouží mnoha účelům:Red, Blue, and Purple team attack simulations, when done well, serve a multitude of purposes:
Zelený tým implementuje změny v konfiguraci IT nebo zabezpečení. |
|
| Plánování kontinuity provozu | V případě důležitých obchodních procesů navrhujte a testujte procesy kontinuity, které umožňují, aby v době, kdy došlo k poškození informačních systémů, fungovaly minimální funkční podniky. K ochraně důležitých obchodních systémů během útoku můžete například použít plán zálohování a obnovení Azure, abyste zajistili rychlé obnovení obchodních operací. |
|
|
| Zotavení po havárii | U informačních systémů, které podporují důležité obchodní procesy, byste měli navrhnout a otestovat scénáře zálohování a obnovení za studena a za studena a za horka, včetně pracovní doby. | Organizace, které provádějí holá kovová buildy, často najdou aktivity, které se nejdou replikovat nebo se nevejde do cílů úrovně služeb. Důležité systémy běžící na hardwaru, který není podporovaný, se kolikrát nenoví na moderní hardware. Obnovení záloh se často testuje a dochází k problémům. Zálohy mohou být dál offline, takže se časy fázování nefaktorují do cílů obnovení. |
|
| Mimo pásmo komunikace | Připravte se na to, jak budete komunikovat v případě poškození služeb e-mailu a spolupráce, výkupného úložišť dokumentace a nedostupnosti telefonních čísel personálu. | I když se jedná o obtížné cvičení, určete, jak mohou být off-line a neměnné kopie zdrojů, které ukládají telefonní čísla, topologie, dokumenty buildů a postupy obnovení IT, uložené na off-line zařízeních a umístěních a distribuovány ve velkém měřítku. | |
| Kalení, sankce a řízení životního cyklu | V souladu s 20 nejlepšími bezpečnostními kontrolami Center for Internet Security (CIS) ztvrdnou vaši infrastrukturu a provád ěte důkladné sankní aktivity. | V reakci na nedávné incidenty ransomwaru provozované lidmi vydal Microsoft specifické pokyny pro ztvrdování a ochranu všech fází řetězce pro útoky kyberútoků, ať už s možnostmi Microsoftu nebo s funkcemi jiných poskytovatelů. Zvláštní poznámka je:
|
|
| Plánování odpovědí na incidenty | Na začátku incidentu se rozhodněte o:
|
Existuje tendence vracet všechny dostupné zdroje k incidentu na začátku a nadějí na rychlé řešení. Jakmile poznáte nebo předpokládáte, že incident potrvá delší dobu, vezměte si jinou pozici, která je u vašich zaměstnanců a dodavatelů, která jim umožní usadit se na delší dobu. | |
| Respondenti incidentů | Navzájem si vytyčili jasná očekávání. Mezi oblíbené formáty probíhajících aktivit při vytváření sestav patří:
|
Respondenti incidentů mají různé techniky a přístupy, včetně analýzy mrtvého pole, analýzy velkých dat a schopnosti vytvářet přírůstkové výsledky. Počínaje jasnými očekáváními usnadníte jasnou komunikaci. |
Zdroje odpovědí na incidenty
- Přehled produktů a zdrojů zabezpečení Microsoftu pro nové role a zkušené analytiky
- Proces pro doporučení a doporučené postupy pro proces reakce na incidenty
- Playbooky pro podrobné pokyny k řešení běžných metod útoku
- Microsoft 365 Defender incidentu
- Odpověď na incident Microsoft Sentinel
Klíčové zdroje zabezpečení Microsoftu
| Zdroj | Popis |
|---|---|
| 2021 Microsoft Digital Defense Report | Zpráva, která zahrnuje učení od odborníků na zabezpečení, odborníků z praxe a obránců v Microsoftu, která umožňuje lidem všude bránit se před kybernetickými hrozbami. |
| Referenční architektury microsoftu pro kybernetickou bezpečnost | Sada diagramů vizuální architektury, které ukazují možnosti kybernetické bezpečnosti Microsoftu a jejich integraci s cloudovými platformami Microsoftu, jako jsou Microsoft 365 a Microsoft Azure a cloudové platformy a aplikace třetích stran. |
| Minuty jsou důležité– infografika ke stažení | Přehled toho, jak tým SecOps od Microsoftu na incidenty zareagovat, aby zmírní probíhající útoky. |
| Operace zabezpečení Azure Cloud Adoption Framework | Strategické pokyny pro vedoucí, kteří zachytá nebo modernizují funkci operace zabezpečení. |
| Doporučené postupy zabezpečení microsoftu pro operace zabezpečení | Jak nejlépe používat centrum SecOps k rychlejšímu pohybu než útočníci, které cílí na vaši organizaci. |
| Cloudové zabezpečení Microsoftu pro model IT architektů | Zabezpečení cloudových služeb a platforem Microsoftu pro přístup ke identitám a zařízením, ochranu před internetovými hrozbami a ochranu informací. |
| Dokumentace zabezpečení microsoftu | Další pokyny k zabezpečení od Microsoftu |