Plánování reakce na incidenty

Tuto tabulku použijte jako kontrolní seznam k přípravě služby Security Operations Center (SOC) na reakci na incidenty kybernetické bezpečnosti.

Hotovo Aktivita Description Výhoda
Cvičení v horní části tabulky Provádění pravidelných tabulkových cvičení předvídatelných obchodních incidentů, které vynucují řízení vaší organizace, aby zvážila obtížná rozhodnutí založená na rizikech. Pevně vytváří a ilustruje kybernetickou bezpečnost jako obchodní problém. Vyvíjí svalovou paměť a zvrtá obtížná rozhodnutí a problémy s právy k rozhodování v celé organizaci.
Určení rozhodnutí před útokem a rozhodovacích pravomocí Jako doplněk k hlavním cvičením tabulky určete rozhodnutí založená na riziku, kritéria pro rozhodování a kdo musí tato rozhodnutí provádět a provádět. Příklad:

Kdo/kdy/kdy požádat o pomoc od vymáhání práva?

Kdo/kdy/kdy/kdy k zařazení reakce na incidenty?

Kdo/kdy/kdy zaplatit výkupné?

Kdo/kdy/kdy/kdy informovat externí auditory?

Kdo/kdy/kdy upozornit regulační orgány na ochranu osobních údajů?

Kdo/kdy/kdy oznámit regulačním orgánům cenných papírů?

Kdo/kdy/kdy/kdy oznámit správní radě nebo výboru pro audit?

Kdo má pravomoc vypnout klíčové úlohy?
Definuje parametry počáteční odpovědi a kontakty, které mají zjednodušit reakci na incident.
Zachování oprávnění Obecně platí, že rady mohou být privilegované, ale fakta jsou zjistitelná. Vytrénujte klíčové vedoucí incidenty při komunikaci rad, faktů a názorů na základě oprávnění, aby se oprávnění zachovala a riziko se snížila. Zachování oprávnění může být nepořádný proces při zvažování množství komunikačních kanálů, včetně e-mailů, platforem pro spolupráci, chatů, dokumentů, artefaktů. Můžete například použít Microsoft Teams Rooms. Konzistentní přístup mezi pracovníky incidentů a podporou externích organizací může pomoct snížit potenciální právní expozici.
Důležité informace o obchodování insiderů Zvažte oznámení o správě, která by měla být přijata, aby se snížilo riziko porušení cenných papírů. Panely a externí auditoři si váží toho, že máte zmírnění rizik, které sníží riziko pochybných obchodů s cennými papíry během období turbulence.
Playbook rolí incidentů a odpovědností Nastavte základní role a zodpovědnosti, které umožňují různým procesům udržovat zaměření a pokrok vpřed.

Pokud je váš tým odpovědí vzdálený, může vyžadovat další aspekty časových pásem a správné předání vyšetřovatelům.

Možná budete muset komunikovat mezi ostatními týmy, které by mohly být zapojeny, jako jsou týmy dodavatelů.
Vedoucí technického incidentu – vždy v incidentu, syntezizace vstupů a zjištění a plánování dalších akcí.

Komunikační spojení – odstraňuje zátěž komunikace vedoucího technického incidentu, aby se mohli do incidentu zapojit bez ztráty zaměření.

To by mělo zahrnovat správu výkonných zpráv a interakcí a dalších třetích stran, jako jsou regulační orgány.

Záznam incidentu – eliminuje zátěž záznamu zjištění, rozhodnutí a akcí od reakce na incident a vytvoří přesný přehled incidentu od začátku do konce.

Forward Planner – Práce s klíčovými vlastníky obchodních procesů, formuluje aktivity a přípravy provozní kontinuity, které uvažují o poškození informačního systému, které trvá 24, 48, 72, 96 hodin nebo více.

Vztahy s veřejností – v případě incidentu, který bude pravděpodobně podnítit veřejnou pozornost, a ve spojení s Forward Plannerem zvažuje a připravuje přístupy veřejné komunikace, které řeší pravděpodobné výsledky.
Playbook reakce na incidenty ochrany osobních údajů Aby bylo možné uspokojovat stále přísnější předpisy o ochraně osobních údajů, vytvořte společně vlastněný playbook mezi SecOps a úřadem pro ochranu osobních údajů, který umožňuje rychlé vyhodnocení potenciálních problémů s ochranou osobních údajů, které mají přiměřenou pravděpodobnost vzniku bezpečnostních incidentů. Vyhodnocení bezpečnostních incidentů pro jejich potenciální dopad na ochranu osobních údajů je obtížné kvůli tomu, že většina bezpečnostních incidentů vzniká v vysoce technickém soC, které se musí rychle objevit v kanceláři pro ochranu osobních údajů, kde se určí zákonné riziko, často s očekáváním 72 hodinových oznámení.
Testování průniku Proveďte simulované útoky k určitému bodu v čase proti důležitým systémům, kritické infrastruktuře a zálohám, abyste identifikovali slabiny v stavu zabezpečení. To obvykle provádí tým externích odborníků, který se zaměřuje na obejití preventivních kontrol a zpřístupnění klíčových ohrožení zabezpečení. S ohledem na nedávné incidenty ransomwaru provozované člověkem by se mělo provádět penetrační testování s větším rozsahem infrastruktury, zejména schopností útoku a řízení záloh kritických systémů a dat.
Červený tým / modrý tým / fialový tým / zelený tým Proveďte průběžné nebo pravidelné simulované útoky na důležité obchodní systémy, kritickou infrastrukturu, zálohy za účelem identifikace slabých míst v stavu zabezpečení. To obvykle provádí týmy interních útoků (červené týmy), které se zaměřují na testování účinnosti detektivů a týmů (modrých týmů).

Můžete například použít školení simulace útoku pro Microsoft 365 Defender pro Office 365 a kurzy útoku & pro Microsoft 365 Defender for Endpoint.
Simulace červených, modrých a fialových týmových útoků, když je to dobře hotové, slouží mnoha účelům:
  • Umožňuje technikům z celé IT organizace simulovat útoky na vlastní disciplíny infrastruktury.
  • Zobrazí mezery v viditelnosti a detekci.
  • Zvyšuje technické dovednosti v oblasti zabezpečení na celé palubě.
  • Slouží jako souvislější a rozsáhlejší proces.


Zelený tým implementuje změny v konfiguraci IT nebo zabezpečení.
Plánování provozní kontinuity Pro důležité obchodní procesy, návrh a testování procesů kontinuity, které umožňují fungování minimálního životaschopného podniku v době poškození informačních systémů.

Můžete například použít plán zálohování a obnovení Azure k ochraně důležitých obchodních systémů během útoku, aby se zajistilo rychlé obnovení obchodních operací.
  • Zdůrazňuje skutečnost, že neexistuje žádné alternativní řešení kontinuity pro poškození nebo absence IT systémů.
  • Může zdůraznit potřebu a financování pro sofistikovanou digitální odolnost oproti jednoduššímu zálohování a obnovení.
Zotavení po havárii V případě informačních systémů, které podporují klíčové obchodní procesy, byste měli navrhovat a testovat scénáře zálohování a obnovení horké/ studené a teplé a teplé, včetně přípravných časů. Organizace, které provádějí holé kovy, často najdou aktivity, které se nedají replikovat nebo se nevejdou do cílů na úrovni služeb.

Vysoce důležité systémy běžící na nepodporovaném hardwaru se často nedají obnovit na moderní hardware.

Obnovení záloh se často neotestuje a dochází k problémům. Zálohy můžou být dále offline, aby se do cílů obnovení nefaktorovaly pracovní doby.
Komunikace mimo pásmo Připravte se na to, jak byste komunikovali v případě poškození e-mailu a služby pro spolupráci, výkupného úložišť dokumentace a nedostupnosti telefonních čísel pracovníků. I když je to obtížné cvičení, určete, jak offline a neměnné kopie prostředků, které ukládají telefonní čísla, topologie, dokumenty sestavení a postupy obnovení IT, mohou být uloženy na off-line zařízeních a umístěních a distribuovaných ve velkém měřítku.
Posílení, hygiena a správa životního cyklu V souladu s hlavními bezpečnostními mechanismy (CIS) Center for Internet Security (CIS) top 20 ztěžujte infrastrukturu a proveďte důkladné hygieny. V reakci na nedávné incidenty ransomwaru provozované lidmi společnost Microsoft vydala konkrétní pokyny pro posílení a ochranu každé fáze řetězce útoku kyberútoku bez ohledu na možnosti Microsoftu nebo jiné poskytovatele. Zvláštní poznámka:
  • Vytváření a údržba neměnných záložních kopií v případě ransomových systémů. Můžete také zvážit, jak zachovat neměnné soubory protokolu, které komplikují schopnost nežádoucího uživatele pokrýt jejich stopy.
  • Rizika související s nepodporovaným hardwarem pro zotavení po havárii
Plánování reakce na incidenty Na začátku incidentu se rozhodněte:
  • Důležité parametry organizace.
  • Přiřazení osob k rolím a zodpovědnostem
  • Smysl pro naléhavost (například 24x7 a pracovní dobu).
  • Zaměstnanci pro trvalou udržitelnost.
Na začátku existuje sklon k vyvolání všech dostupných prostředků na incidentu a naděje na rychlé řešení. Jakmile poznáte nebo očekáváte, že incident bude delší dobu trvat, vezměte si jiný postoj, který vám umožní usadit se s pracovníky a dodavateli, aby se mohli usadit na delší dobu.
Reakce na incidenty Ujasní si očekávání. Mezi oblíbené formáty probíhajících aktivit vytváření sestav patří:
  • Co jsme udělali (a jaké byly výsledky)?
  • Co děláme (a jaké výsledky se vytvoří a kdy)?
  • Co plánujeme udělat dál (a kdy je reálné očekávat výsledky)?
Reakce na incidenty mají různé techniky a přístupy, včetně analýzy mrtvé krabice, analýzy velkých objemů dat a schopnosti vytvářet přírůstkové výsledky. Počínaje jasnými očekáváními se usnadní jasná komunikace.

Prostředky reakce na incidenty

Klíčové prostředky zabezpečení Microsoftu

Prostředek Popis
2021 Microsoft Digital Defense Report Zpráva, která zahrnuje poznatky od odborníků na zabezpečení, odborníků a obránců v Microsoftu, aby se lidé všude mohli bránit před kybernetickými hrozbami.
Referenční architektury kybernetické bezpečnosti Microsoftu Sada diagramů vizuální architektury, které ukazují možnosti kybernetické bezpečnosti Microsoftu a jejich integraci s cloudovými platformami Microsoftu, jako jsou Microsoft 365 a Microsoft Azure a cloudové platformy a aplikace třetích stran.
Infografika pro minuty Přehled toho, jak tým SecOps od Microsoftu reaguje na incidenty kvůli zmírnění probíhajících útoků.
Operace zabezpečení architektury přechodu na cloud v Azure Strategické pokyny pro vedoucí pracovníky, kteří navazují nebo modernizují funkci operace zabezpečení.
Osvědčené postupy zabezpečení Microsoftu pro operace zabezpečení Jak nejlépe využít centrum SecOps k rychlejšímu přesunu než útočníci, kteří cílí na vaši organizaci.
Cloudové zabezpečení Microsoftu pro model IT architektů Zabezpečení napříč cloudovými službami a platformami Microsoftu pro přístup k identitám a zařízením, ochranu před hrozbami a ochranu informací
Dokumentace zabezpečení od Microsoftu Další pokyny k zabezpečení od Microsoftu