Descripción de la fase 3 de respuesta a incidentes de Microsoft Online Services: contención, erradicación y recuperación
En función del análisis coordinado por el equipo de respuesta de seguridad, se desarrolla un plan de contención y recuperación adecuado para minimizar el impacto del incidente de seguridad, conservar pruebas y eliminar la amenaza del entorno. Los equipos de servicio pertinentes implementan el plan con el soporte técnico del equipo de respuesta de seguridad para asegurarse de que la amenaza se elimina correctamente y que los servicios afectados se someten a una recuperación completa.
Contención
El objetivo principal de la contención es limitar los daños a los sistemas, aplicaciones, clientes y datos de clientes de Microsoft. Durante esta fase, el equipo de respuesta de seguridad trabaja con los equipos de servicio afectados para limitar el impacto del incidente de seguridad y evitar daños adicionales. Las estrategias de contención dependen del tipo de incidente, pero pueden incluir la recompilación del sistema afectado, la segregación y el aislamiento de hosts infectados o el control del acceso a recursos críticos. Para incidentes de mayor impacto, los planes se determinan caso por caso debido a su complejidad. Varias respuestas automatizadas dentro de Microsoft Online Services también pueden ayudar al equipo a contener el incidente.
La recopilación y el análisis de datos continúan en la fase de contención para asegurarse de que la causa principal del incidente se ha identificado correctamente y de que todos los servicios e inquilinos afectados se incluyen en el plan de recuperación y de recuperación. El seguimiento correcto de todos los servicios afectados hace posible la recuperación y la recuperación completa.
Erradicación
La confidencialidad es el proceso de eliminación de la causa principal del incidente de seguridad con un alto grado de confianza. El objetivo de la lucha es doble: expulsar completamente al adversario del entorno y mitigar cualquier vulnerabilidad que haya contribuido al incidente o que pueda permitir que el adversario vuelva a entrar en el entorno.
Los pasos para expulsar al adversario y mitigar las vulnerabilidades se basan en el análisis realizado en las fases de respuesta a incidentes anteriores. En función del impacto de los incidentes, las actividades pueden incluir la eliminación de artefactos adversarios, la eliminación de procesos malintencionados, el restablecimiento de secretos o, en algunos casos, una recompilación completa del sistema. A lo largo de este proceso, el equipo de respuesta de seguridad continúa realizando un seguimiento y supervisión de la actividad del adversario mediante estrategias como la supervisión de redes y procesos. El equipo de respuesta de seguridad se coordina con los equipos de servicio afectados para asegurarse de que el plan se ejecuta según lo diseñado y que la amenaza se quita correctamente del entorno. La recuperación no es posible hasta que se haya quitado la amenaza y se hayan resuelto sus causas subyacentes.
Recuperación
Cuando el equipo de respuesta de seguridad está seguro de que el adversario se ha desalojado del entorno y se han corregido vulnerabilidades conocidas, trabajan con los equipos de servicio afectados para iniciar la recuperación. La recuperación lleva los servicios afectados a una configuración segura conocida. El proceso de recuperación incluye la identificación del último estado correcto conocido del servicio, la restauración de las copias de seguridad a este estado y la confirmación del estado restaurado mitiga las vulnerabilidades que contribuyeron al incidente.
Un aspecto clave del proceso de recuperación son los controles de detección mejorados para validar que el plan de recuperación se ha ejecutado correctamente y que no quedan signos de infracción en el entorno. Algunos ejemplos de controles de detección adicionales incluyen una mayor supervisión de nivel de red, alertas dirigidas para vectores de ataque identificados durante el proceso de respuesta a incidentes y la alerta adicional del equipo de seguridad para recursos críticos. El monitoreo mejorado ayuda a asegurar que la erradicación fue exitosa y que el adversario no puede volver a ingresar al medio ambiente.