Descripción de la fase 1 de respuesta a incidentes de Microsoft Online Services: preparación
Ahora que conoce a los equipos responsables de la respuesta a incidentes, exploraremos cada fase del proceso de respuesta a incidentes.
La preparación permite una respuesta rápida cuando se produce un incidente e incluso poder evitarlos. Microsoft dedica recursos significativos a prepararse para incidentes de seguridad.
Formación
Cada empleado que trabaja en Microsoft debe realizar un entrenamiento adecuado a su rol en relación con la respuesta a incidentes de seguridad. El entrenamiento inicial se produce cuando un nuevo empleado comienza a trabajar en Microsoft y, a partir de ese momento, hay un aprendizaje de actualización anual cada año. Esta formación está diseñada para proporcionar a los empleados una comprensión del enfoque fundamental de Microsoft sobre la seguridad. Al finalizar la formación, todos los empleados pueden:
- Definir un incidente de seguridad.
- Explicar su rol y su responsabilidad de notificar los incidentes de seguridad.
- Describir cómo responden los equipos de respuesta de seguridad a los incidentes de seguridad.
- Cómo escalar un posible incidente de seguridad al equipo de respuesta de seguridad adecuado.
- Articular las preocupaciones especiales con respecto a la privacidad, especialmente la privacidad del cliente.
- Acceder a información adicional sobre seguridad, privacidad y contactos de remisión.
Además de la formación general sobre seguridad, los empleados que participan en la respuesta a incidentes reciben una formación complementaria de seguridad basada en sus roles.
Mantenimiento de los ingenieros de guardia (OCE)
Todos los equipos de operaciones de servicio, incluidos los equipos de respuesta de seguridad, mantienen una rotación en llamada para asegurarse de que hay recursos disponibles 24x7x365. La rotación de guardias incluye copias de seguridad de disponibilidad y puntos de remisión para garantizar la responsabilidad. Los OCE y sus tiempos de llamada se enumeran de forma centralizada para cada equipo de servicio dentro del mismo panel donde se administran los incidentes. Nuestras rotaciones de llamada permiten a Microsoft montar una respuesta eficaz a incidentes en cualquier momento o escala, incluidos eventos extendidos o simultáneos.
Los OCE usan estaciones de trabajo de Administración seguras para acceder al entorno de producción y su acceso está limitado en el tiempo y se limita a las tareas necesarias para la respuesta a incidentes.
Herramientas y recursos
Los equipos de respuesta de seguridad de Microsoft son responsables de mantener todas las herramientas y recursos asociados a la respuesta a incidentes de seguridad. Esto incluye recursos de ayuda en línea diseñados para informar rápidamente a los ingenieros de guardia de los procedimientos adecuados y cómo remitir los posibles problemas de forma rápida y segura. Los recursos de respuesta a incidentes también incluyen herramientas, scripts y procesos personalizados para ayudar a los equipos de respuesta a la seguridad a abordar una variedad de problemas de seguridad y tipos de ataque. Los OCE deben completar el entrenamiento anual y obtener comprobaciones de antecedentes actualizadas para mantener la elegibilidad para acceder a recursos y herramientas de respuesta a incidentes.
Pruebas de respuesta a incidentes
Microsoft comprueba, revisa y actualiza periódicamente su plan de respuesta a incidentes para tener en cuenta los cambios en el entorno y las nuevas amenazas de seguridad. Nuestra metodología de pruebas de respuesta a incidentes usa ataques en tiempo real e impredecibles de equipos internos de evaluadores de penetración de seguridad que llamamos equipo rojo. El equipo rojo usa una variedad de técnicas para intentar poner en peligro los sistemas de Microsoft Online Services sin detección. Los esfuerzos del equipo rojo simulan ataques reales y prueban las funcionalidades de los equipos de respuesta de seguridad de Microsoft.
En el contexto de las pruebas de penetración internas, los equipos de respuesta de seguridad de Microsoft se conocen como equipo azul. El Equipo azul usa el proceso de respuesta a incidentes para detectar ataques del equipo rojo y responder a ellos como si fueran incidentes de seguridad originales. Los datos de los clientes nunca son el objetivo de las pruebas de penetración, pero estos ejercicios ayudan a garantizar que Microsoft Online Services esté preparado para detectar, prevenir y responder a nuevos tipos de amenazas de seguridad.
Además de las pruebas de penetración internas en curso, Microsoft lleva a cabo una variedad de otros ejercicios de respuesta a incidentes, incluidos eventos de "captura de la marca", ejercicios de tabla de un solo uso y otros eventos improvisados o organizados. Estos ejercicios complementan las pruebas de penetración internas continuas para garantizar que todos los equipos estén adecuadamente preparados para cumplir sus responsabilidades en caso de que se produzca un incidente de seguridad real.
Protección de las pruebas
Los datos recopilados durante una respuesta a un incidente suelen ser confidenciales y deben permanecer seguros. Los equipos de respuesta de seguridad de Microsoft son responsables de garantizar el cifrado y la protección de la información adecuados para todas las comunicaciones y documentación relacionadas con incidentes. Esto incluye el uso de cajas de seguridad de evidencias protegidas para almacenar las evidencias forenses recopiladas durante las investigaciones. El equipo sigue los procesos aprobados para controlar las pruebas forenses, incluida la cadena de custodia, para asegurarse de que todas las evidencias relacionadas con los incidentes permanecen seguras y sin modificar.