Incidensmegoldás-tervezés
Ezzel a táblázattal ellenőrzőlistaként előkészítheti a Security Operations Centert (SOC) a kiberbiztonsági incidensekre való reagáláshoz.
Kész | Tevékenység | Leírás | Juttatás |
---|---|---|---|
Táblázatos felső gyakorlatok | Rendszeresen végezzen rendszeres táblázatos top gyakorlatokat az előre látható, üzleti szempontból befolyásoló kibereseményekről, amelyek arra kényszerítik a szervezet vezetését, hogy mérlegelje a nehéz, kockázatalapú döntéseket. | Szilárdan kialakítja és szemlélteti a kiberbiztonságot üzleti problémaként. Fejleszti az izommemóriát, és nehéz döntéseket és döntési jogokkal kapcsolatos problémákat tapasztal a szervezetben. | |
Támadás előtti döntések és döntéshozók meghatározása | A táblázatos gyakorlatok kiegészítéseként határozza meg a kockázatalapú döntéseket, a döntések meghozatalának feltételeit, és hogy kinek kell meghoznia és végrehajtania ezeket a döntéseket. Például: Ki/mikor/ha szeretne segítséget kérni a bűnüldöző szervektől? Ki/mikor/ha az incidens válaszadóit kívánja bevonni? Ki/mikor/ha váltságdíjat fizet? Ki/mikor/ha értesíti a külső auditorokat? Ki/mikor/ha értesíti az adatvédelmi szabályozó hatóságokat? Ki/mikor/ha értesíti az értékpapír-szabályozókat? Ki/mikor/ha értesíti az igazgatótanácsot vagy az ellenőrző bizottságot? Kinek van jogosultsága a kritikus fontosságú számítási feladatok leállítására? |
Meghatározza azokat a kezdeti válaszparamétereket és névjegyeket, amelyek megkönnyítik az incidensekre adott választ. | |
Jogosultság fenntartása | A tanácsok általában emelt szintűek lehetnek, de a tények felderíthetők. Betanítsa a legfontosabb incidens-vezetőket a tanácsok, tények és vélemények privilégiumok szerinti közlésére, hogy a jogosultság megmaradjon, és a kockázat csökkenjen. | A jogosultságok fenntartása rendetlen folyamat lehet, ha figyelembe vesszük a kommunikációs csatornák sokaságát, beleértve az e-maileket, az együttműködési platformokat, a csevegéseket, a dokumentumokat, az összetevőket. Használhatja például a Microsoft Teams Konferencia. Az incidensek személyzetének egységes megközelítése és a külső szervezetek támogatása segíthet csökkenteni a lehetséges jogi kitettséget. | |
Insider kereskedési szempontok | Az értékpapír-jogsértések kockázatának csökkentése érdekében érdemes értesítéseket küldeni a vezetőségnek. | A tanácsok és a külső ellenőrök általában értékelik, hogy vannak olyan kockázatcsökkentések, amelyek csökkentik a megkérdőjelezhető értékpapír-kereskedelem kockázatát a turbulencia időszakában. | |
Incidensszerepkörök és felelősségek forgatókönyve | Olyan alapvető szerepkörök és felelősségek létrehozása, amelyek lehetővé teszik a különböző folyamatok számára a fókusz és a haladás fenntartását. Ha a válaszcsapat távoli, az időzónákra vonatkozó egyéb szempontokat és a nyomozóknak való megfelelő átadást igényelhet. Előfordulhat, hogy más csapatok között is kommunikálnia kell, például szállítói csapatok között. |
Technikai incidensvezető – Mindig az incidensben, a bemenetek és az eredmények szintetizálása és a következő műveletek tervezése. Kommunikációs összekötő – Eltávolítja a vezetéssel való kommunikáció terheit a műszaki incidensvezetőtől, hogy a fókusz elvesztése nélkül is részt vehessenek az incidensben. Ennek a tevékenységnek magában kell foglalnia a vezetői üzenetkezelést és a más harmadik felekkel, például a szabályozókkal folytatott interakciókat. Incidensrögzítő – Eltávolítja a megállapítások, döntések és műveletek rögzítésének terheit az incidens-válaszadóktól, és az incidens pontos nyilvántartását végzi az elejétől a végéig. Forward Planner – A kritikus fontosságú üzleti folyamatok tulajdonosaival együttműködve olyan üzletmenet-folytonossági tevékenységeket és előkészületeket dolgoz ki, amelyek az információs rendszerek 24, 48, 72, 96 órán át tartó vagy annál tovább tartó károsodását tervezik. Public Relations – Olyan incidens esetén, amely valószínűleg felkelti a nyilvánosság figyelmét, a Forward Plannerrel olyan nyilvános kommunikációs megközelítéseket tervez és fogalmaz meg, amelyek a valószínű kimeneteleket kezelik. |
|
Adatvédelmi incidensek válasz forgatókönyve | Az egyre szigorúbb adatvédelmi előírásoknak való megfelelés érdekében dolgozzon ki egy közös tulajdonban lévő forgatókönyvet a SecOps és az adatvédelmi iroda között. Ez a forgatókönyv lehetővé teszi a biztonsági incidensekből esetlegesen felmerülő adatvédelmi problémák gyors kiértékelését. | Nehéz kiértékelni a biztonsági incidenseket, mert a biztonsági incidensek többsége magas technikai szintű soC-ban fordul elő. Az incidenseket gyorsan fel kell fedni egy adatvédelmi irodában (gyakran 72 órás értesítési várakozással), ahol a szabályozási kockázat meghatározásra kerül. | |
Behatolás tesztelése | Időről időre szimulált támadásokat hajthat végre az üzleti szempontból kritikus rendszerek, a kritikus infrastruktúra és a biztonsági mentések ellen a biztonsági helyzet gyengeségeinek azonosítása érdekében. Ezt a tevékenységet általában egy külső szakértőkből álló csapat végzi, amely a megelőző vezérlők megkerülésével és a kulcsfontosságú biztonsági rések feltárásával foglalkozik. | A közelmúltban ember által üzemeltetett zsarolóprogram-incidensek fényében a behatolási tesztelést az infrastruktúra megnövekedett hatókörén kell elvégezni, különösen a kritikus fontosságú rendszerek és adatok biztonsági mentéseinek támadására és ellenőrzésére való képességen. | |
Piros csapat / Kék csapat / Lila csapat / Zöld csapat | Folyamatos vagy időszakos szimulált támadásokat hajthat végre az üzleti szempontból kritikus rendszerek, a kritikus infrastruktúra és a biztonsági mentések ellen a biztonsági helyzet gyengeségeinek azonosításához. Ezt a tevékenységet általában belső támadási csapatok (vörös csapatok) végzik, akik a nyomozói vezérlők és csapatok (Kék csapatok) hatékonyságának tesztelésére összpontosítanak. Használhatja például a Támadási szimulációs tréning az Office 365-höz készült Microsoft Defender XDR-ben és a Microsoft Defender XDR for Endpoint támadási oktatóanyagaiban és szimulációiban. |
A vörös, kék és lila csapat támadási szimulációi, ha jól tették, számos célt szolgálnak:
A zöld csapat az informatikai vagy biztonsági konfiguráció változásait valósítja meg. |
|
Üzletmenet-folytonosság tervezése | A kritikus fontosságú üzleti folyamatok esetében olyan tervezési és tesztelési folytonossági folyamatokat kell megtervezni és tesztelni, amelyek lehetővé teszik, hogy a minimálisan működőképes vállalkozás működjön az információs rendszerek romlása esetén. Használhat például egy Azure biztonsági mentési és visszaállítási tervet a kritikus fontosságú üzleti rendszerek védelmére egy támadás során, hogy biztosítsa az üzleti műveletek gyors helyreállítását. |
|
|
Vészhelyreállítás | A kritikus fontosságú üzleti folyamatokat támogató információs rendszerek esetében érdemes a gyakori/ritka elérésű és a meleg/meleg biztonsági mentési és helyreállítási forgatókönyveket megtervezni és tesztelni, beleértve az előkészítési időket is. | A operációs rendszer nélküli buildeket végző szervezetek gyakran olyan tevékenységeket találnak, amelyeket lehetetlen replikálni, vagy nem férnek bele a szolgáltatási szint célkitűzéseibe. A nem támogatott hardvereken futó kritikus fontosságú rendszerek sokszor nem állíthatók vissza a modern hardverre. A biztonsági másolatok visszaállítását gyakran nem tesztelik, és problémákat tapasztalnak. Előfordulhat, hogy a biztonsági másolatok offline állapotban lesznek, így az előkészítési idők nem lettek belevéve a helyreállítási célkitűzésekbe. |
|
Sávon kívüli kommunikáció | Készüljön fel arra, hogyan kommunikálna a következő forgatókönyvekben:
|
Bár ez nehéz feladat, határozza meg, hogyan tárolhat fontos információkat nem módosítható módon az off-line eszközökön és a nagy léptékű terjesztés helyeiben. Például:
|
|
Edzettség, higiénia és életciklus-kezelés | A Center for Internet Security (CIS) 20 legfontosabb biztonsági vezérlőjével összhangban edzse meg az infrastruktúrát, és végezzen alapos higiéniai tevékenységeket. | A közelmúltban ember által üzemeltetett zsarolóvírus-incidensekre válaszul a Microsoft konkrét útmutatást adott a kibertámadási gyilkossági lánc minden szakaszának védelméhez. Ez az útmutató a Microsoft képességeire vagy más szolgáltatók képességeire vonatkozik. Különösen fontos megjegyzés:
|
|
Incidensmegoldás-tervezés | Az incidens elején döntsön a következőről:
|
Az elején hajlamosak vagyunk az összes rendelkezésre álló erőforrást egy incidensre dobni, a gyors megoldás reményében. Ha felismeri vagy előrevetíti, hogy egy incidens hosszabb ideig fog tartani, vegyen fel egy másik helyzetet, amely a személyzet és a beszállítók számára lehetővé teszi számukra, hogy hosszabb ideig utaznak. | |
Incidens-válaszadók | Világos elvárásokat támasztunk egymással. A folyamatban lévő tevékenységek jelentésének népszerű formátuma a következők:
|
Az incidens-válaszadók különböző technikákkal és megközelítésekkel járnak, beleértve a holtdoboz-elemzést, a big data-elemzést és a növekményes eredmények előállításának képességét. A világos elvárásoktól kezdve az egyértelmű kommunikációt is megkönnyíti. |
Incidenskezelési erőforrások
- A Microsoft biztonsági termékeinek és erőforrásainak áttekintése új szerepkörű és tapasztalt elemzők számára
- Forgatókönyvek a gyakori támadási módszerekre való reagálás részletes útmutatóihoz
- Microsoft Defender XDR incidensválasz
- Felhőhöz készült Microsoft Defender (Azure)
- Microsoft Sentinel incidensre adott válasz
- A Microsoft incidenskezelési csapatának útmutatója a biztonsági csapatok és vezetők számára ajánlott eljárásokat osztja meg
- A Microsoft incidenskezelési útmutatói segítenek a biztonsági csapatoknak a gyanús tevékenységek elemzésében
A Microsoft legfontosabb biztonsági erőforrásai
Erőforrás | Leírás |
---|---|
2021-Microsoft Digitális védelmi jelentés | Egy jelentés, amely a Microsoft biztonsági szakértőitől, gyakorlóitól és védőitől származó ismereteket foglalja magában, hogy mindenhol lehetővé tegye a felhasználók számára a kibertámadások elleni védekezést. |
A Microsoft kiberbiztonsági referenciaarchitektúrái | Vizuális architektúradiagramok, amelyek bemutatják a Microsoft kiberbiztonsági képességeit és a Microsoft felhőplatformokkal , például a Microsoft 365-kel és a Microsoft Azure-nal, valamint külső felhőplatformokkal és alkalmazásokkal való integrációját. |
Percek anyagának infografika letöltése | Áttekintés arról, hogy a Microsoft SecOps csapata hogyan reagál az incidensekre a folyamatban lévő támadások mérséklése érdekében. |
Azure felhőadaptálási keretrendszer biztonsági műveletek | Stratégiai útmutató a biztonsági műveleti funkció kialakításához vagy modernizálásához vezető vezetők számára. |
A Microsoft biztonsági ajánlott eljárásai a biztonsági műveletekhez | Hogyan használhatja a Legjobban a SecOps-központot, hogy gyorsabban mozogjon, mint a szervezetet célzó támadók. |
Microsoft cloud security for IT architects model | A Microsoft felhőszolgáltatásainak és platformjainak biztonsága identitás- és eszközhozzáférés, fenyegetésvédelem és információvédelem céljából. |
A Microsoft biztonsági dokumentációja | További biztonsági útmutató a Microsofttól. |