Planificación de respuesta a incidentes
Use esta tabla como lista de comprobación para preparar el Centro de operaciones de seguridad (SOC) para responder a incidentes de ciberseguridad.
| Listo | Actividad | Descripción | Beneficio |
|---|---|---|---|
| Ejercicios superiores de tabla | Realice ejercicios periódicos de la tabla superior de incidentes cibernéticas previsibles que afectan a la empresa y que obligan a la administración de su organización a considerar decisiones difíciles basadas en riesgos. | Establece e ilustra con firmeza la ciberseguridad como un problema empresarial. Desarrolla problemas de derechos de toma de decisiones y decisiones difíciles en toda la organización. | |
| Determinar las decisiones previas al ataque y los responsables de la toma de decisiones | Como complemento a los ejercicios principales de la tabla, determine decisiones basadas en riesgos, criterios para tomar decisiones y quién debe tomar y ejecutar esas decisiones. Por ejemplo: Quién/cuándo/si desea obtener ayuda de las fuerzas del orden? Quién/cuándo/si para alistar a los respondedores de incidentes? Quién/cuándo/si pagar el rescate? Quién/cuándo/si para notificar a auditores externos? Quién/cuándo/si para notificar a las autoridades reguladoras de privacidad? Quién/cuándo/si para notificar a los reguladores de valores? Quién/cuándo/si notificar al consejo de administración o al comité de auditoría? Quién tiene autoridad para cerrar cargas de trabajo de misión crítica? |
Define los parámetros de respuesta inicial y los contactos que implican que simplifican la respuesta a un incidente. | |
| Mantener privilegios | Por lo general, los consejos pueden ser privilegiados, pero los hechos se pueden descubrir. Entrena a los líderes de incidentes clave en la comunicación de consejos, hechos y opiniones con privilegios para que se conserven los privilegios y se reduzca el riesgo. | Mantener privilegios puede ser un proceso desordenado al considerar la multitud de canales de comunicaciones, incluidos correo electrónico, plataformas de colaboración, chats, documentos, artefactos. Por ejemplo, puede usarSalas de Microsoft Teams . Un enfoque coherente entre el personal de incidentes y las organizaciones externas de soporte puede ayudar a reducir cualquier exposición legal potencial. | |
| Consideraciones de negociación de Insider | Contemple las notificaciones a la administración que se deben tomar para reducir el riesgo de infracciones de valores. | Boards auditores externos y externos tienden a apreciar que tiene mitigaciones que reducirán el riesgo de operaciones de valores cuestionables durante períodos de turbulencias. | |
| Playbook de roles y responsabilidades de incidentes | Establezca roles y responsabilidades básicos que permitan a varios procesos mantener el foco y avanzar el progreso. Cuando el equipo de respuesta es remoto, puede requerir consideraciones adicionales para las zonas horarias y una entrega adecuada a los investigadores. Es posible que tenga que comunicarse entre otros equipos que podrían estar implicados, como los equipos de proveedores. |
Líder de incidentes técnicos: siempre en el incidente, sintetiza las entradas y los resultados y planea las siguientes acciones. Enlace de comunicaciones: quita la carga de comunicarse con la administración del responsable de incidentes técnicos para que puedan permanecer implicados en el incidente sin perder el foco. Esto debería incluir la administración de mensajería e interacciones ejecutivas y otros terceros, como los reguladores. Grabadora de incidentes: quita la carga de registrar los resultados, decisiones y acciones de un respondedor de incidentes y genera una contabilidad precisa del incidente de principio a fin. Forward Planner: trabajando con los propietarios de procesos empresariales críticos, formula actividades de continuidad empresarial y preparaciones que contemplan deficiencias del sistema de información que duran 24, 48, 72, 96 horas o más. Relaciones públicas: en caso de un incidente que pueda llamar la atención del público, y junto con Forward Planner, contempla y redacta enfoques de comunicación pública que aborden los resultados probables. |
|
| Libro de reproducción de respuesta a incidentes de privacidad | Para cumplir con las normativas de privacidad cada vez más estrictas, desarrolle un libro de juegos de propiedad conjunta entre secops y la oficina de privacidad que permita evaluar rápidamente los posibles problemas de privacidad que tienen una probabilidad razonable de surgir de incidentes de seguridad. | Evaluar incidentes de seguridad para su posible impacto en la privacidad es difícil debido a que la mayoría de los incidentes de seguridad surgen en un SOC altamente técnico que debe llegar rápidamente a una oficina de privacidad donde se determina el riesgo normativo, a menudo con una expectativa de notificación de 72 horas. | |
| Pruebas de penetración | Realice ataques simulados a tiempo contra sistemas críticos para la empresa, infraestructura crítica y copias de seguridad para identificar deficiencias en la posición de seguridad. Generalmente, esto lo lleva a cabo un equipo de expertos externos centrado en omitir controles preventivos y hacer frente a vulnerabilidades clave. | A la luz de los incidentes recientes de ransomware operados por humanos, las pruebas de penetración deben realizarse en un mayor ámbito de la infraestructura, especialmente la capacidad de ataque y control de copias de seguridad de los sistemas y datos de misión crítica. | |
| Equipo rojo / equipo azul / equipo púrpura / equipo verde | Realice ataques simulados continuos o periódicos contra sistemas críticos para la empresa, infraestructura crítica, copias de seguridad para identificar deficiencias en la posición de seguridad. Esto lo realizan generalmente los equipos de ataque interno (equipos rojos) que se centran en probar la eficacia de los controles de detective y los equipos (equipos azules). Por ejemplo, puede usar el aprendizaje de simulación de ataque para Microsoft 365 Defender para Office 365 y tutoriales de ataque para Microsoft 365 Defender para punto de conexión. |
Las simulaciones de ataque del equipo rojo, azul y púrpura, cuando se realizan bien, sirven a una gran variedad de propósitos:
El equipo verde implementa cambios en la configuración de seguridad o de IT. |
|
| Planificación de continuidad empresarial | Para procesos empresariales de misión crítica, diseñe y pruebe procesos de continuidad que permitan que el negocio mínimo viable funcione durante los momentos de deficiencia de los sistemas de información. Por ejemplo, use un plan de copia de seguridad y restauración de Azure para proteger sus sistemas empresariales críticos durante un ataque para garantizar una recuperación rápida de sus operaciones empresariales. |
|
|
| Recuperación ante desastres | Para sistemas de información que admitan procesos empresariales de misión crítica, debe diseñar y probar escenarios de copia de seguridad y recuperación en caliente, fríos y cálidos, incluidos los tiempos de ensayo. | Las organizaciones que realizan compilaciones de metal desnudo a menudo encuentran actividades que son imposibles de replicar o que no se ajustan a los objetivos de nivel de servicio. Los sistemas de misión crítica que se ejecutan en hardware no compatible muchas veces no se pueden restaurar al hardware moderno. La restauración de copias de seguridad a menudo no se prueba y experimenta problemas. Las copias de seguridad pueden estar aún más desconectadas, de modo que los tiempos de ensayo no se han tenido en cuenta en los objetivos de recuperación. |
|
| Comunicaciones fuera de banda | Prepárese para la forma en que se comunicaría en caso de deficiencia en el servicio de correo electrónico y colaboración, rescate de repositorios de documentación y falta de disponibilidad de números de teléfono de personal. | Aunque se trata de un ejercicio difícil, determine cómo las copias inmutables y fuera de línea de los recursos que almacenan números de teléfono, topologías, documentos de compilación y procedimientos de restauración de TI pueden almacenarse en dispositivos y ubicaciones fuera de línea y distribuirse a escala. | |
| Duración, higiene y administración del ciclo de vida | En línea con los 20 mejores controles de seguridad del Centro de seguridad de Internet (CIS), mejore su infraestructura y realice actividades de limpieza exhaustivas. | En respuesta a incidentes recientes de ransomware operados por humanos, Microsoft ha emitido instrucciones específicas para mejorar y proteger todas las fases de la cadena de eliminación de ataques cibernéticos, ya sea con las capacidades de Microsoft o con las de otros proveedores. Entre las notas particulares se encuentran:
|
|
| Planificación de respuesta a incidentes | Al principio del incidente, decida lo siguiente:
|
Hay una tendencia a lanzar todos los recursos disponibles en un incidente al principio y esperar una resolución rápida. Una vez que reconozca o anticipe que un incidente se prolongará durante un período prolongado de tiempo, tome una posición diferente que con su personal y proveedores que les permita instalarse para un largo recorrido. | |
| Respondedores de incidentes | Establecer expectativas claras entre sí. Un formato popular de actividades en curso de informes incluye:
|
Los respondedores de incidentes vienen con diferentes técnicas y enfoques, incluidos análisis de cajas sin respuesta, análisis de big data y la capacidad de producir resultados incrementales. A partir de expectativas claras, se facilitarán las comunicaciones claras. |
Recursos de respuesta a incidentes
- Información general sobre los productos y recursos de seguridad de Microsoft para analistas nuevos y experimentados
- Recomendaciones y procedimientos recomendados para procesos de respuesta a incidentes
- Libros de reproducción para obtener instrucciones detalladas sobre cómo responder a métodos de ataque comunes
- Microsoft 365 Defender de incidentes
- Respuesta a incidentes de Microsoft Sentinel
Recursos de seguridad clave de Microsoft
| Recurso | Descripción |
|---|---|
| Informe de defensa digital de Microsoft 2021 | Un informe que abarca los aprendizajes de expertos en seguridad, profesionales y defensores de Microsoft para que las personas de todas partes puedan defenderse de las ciberamenazas. |
| Arquitecturas de referencia de ciberseguridad de Microsoft | Un conjunto de diagramas de arquitectura visual que muestran las capacidades de ciberseguridad de Microsoft y su integración con plataformas de nube de Microsoft, como Microsoft 365 y Microsoft Azure y aplicaciones en la nube de terceros. |
| Descarga de infografía de cuestión de minutos | Información general sobre cómo el equipo de SecOps de Microsoft responde a incidentes para mitigar los ataques en curso. |
| Operaciones de seguridad de Azure Cloud Adoption Framework | Instrucciones estratégicas para los líderes que establecen o modernizan una función de operación de seguridad. |
| Procedimientos recomendados de seguridad de Microsoft para operaciones de seguridad | Cómo usar mejor el centro de SecOps para moverse más rápido que los atacantes dirigidos a su organización. |
| Modelo de seguridad en la nube de Microsoft para arquitectos de TI | Seguridad en todos los servicios y plataformas en la nube de Microsoft para el acceso a identidades y dispositivos, protección contra amenazas y protección de información. |
| Documentación de seguridad de Microsoft | Instrucciones de seguridad adicionales de Microsoft. |