Incidensmegoldás-tervezés

Ezt a táblázatot ellenőrzőlistaként használva előkészítheti a Security Operations Centert (SOC) a kiberbiztonsági incidensekre való reagáláshoz.

Kész Tevékenység Description Előny
Táblázatos felső gyakorlatok Rendszeres időközönként tarthatja az üzletmenetet befolyásoló, előre látható kibereseményeket, amelyek arra kényszerítik a szervezet vezetőségét, hogy mérlegelje a nehéz kockázatalapú döntéseket. Szilárdan meghatározza és szemlélteti a kiberbiztonságot mint üzleti problémát. Fejleszti az izommemóriát, és felfedi a szervezeten belüli nehéz döntéseket és döntési jogokkal kapcsolatos problémákat.
Támadás előtti döntések és döntéshozók meghatározása A táblázatos top gyakorlatok kiegészítéseként határozza meg a kockázatalapú döntéseket, a döntések meghozatalának feltételeit, valamint hogy kinek kell meghoznia és végrehajtania ezeket a döntéseket. Például:

Ki/mikor/mikor kérhet segítséget a bűnüldözéstől?

Ki/mikor/mikor veszi fel az incidensre reagálókat?

Ki/mikor/ha váltságdíjat kell fizetnie?

Ki/mikor/mikor értesítse a külső auditorokat?

Ki/mikor/ha értesíti az adatvédelmi szabályozó hatóságokat?

Ki/mikor/mikor értesítse az értékpapír-szabályozókat?

Ki/mikor/ha értesíti az igazgatótanácsot vagy az ellenőrző bizottságot?

Kinek van jogosultsága a kritikus fontosságú számítási feladatok leállítására?
Meghatározza azokat a kezdeti válaszparamétereket és kapcsolattartókat, amelyek leegyszerűsítik az incidensekre adott választ.
Jogosultságok fenntartása A tanácsok általában emelt szintűek lehetnek, de a tények felderíthetők. Betanítsa a legfontosabb incidensvezetőket a jogosultságok alatt álló tanácsok, tények és vélemények közlésére, hogy a jogosultságok megmaradnak és csökkenjen a kockázat. A jogosultságok fenntartása bonyolult folyamat lehet, ha figyelembe vesszük a számos kommunikációs csatornát, beleértve az e-maileket, az együttműködési platformokat, a csevegéseket, a dokumentumokat és az összetevőket. Használhatja például a Microsoft Teams-szobákat. Az incidensek személyzetének egységes megközelítése és a külső szervezetek támogatása segíthet csökkenteni az esetleges jogi kitettséget.
Insider kereskedési szempontok Tervezz értesítéseket a vezetőségnek, amelyeket az értékpapír-szabálysértések kockázatának csökkentése érdekében kell tenni. A tanácsok és a külső auditorok általában értékelik, hogy vannak olyan kockázatcsökkentések, amelyek csökkentik a megkérdőjelezhető értékpapír-kereskedelem kockázatát a turbulencia időszakában.
Incidensszerepkörök és felelősségek forgatókönyve Olyan alapvető szerepkörök és felelősségek kialakítása, amelyek lehetővé teszik, hogy a különböző folyamatok fenntartsák a fókuszt és a haladást.

Ha a válaszcsoport távoli, további szempontokat is figyelembe kell vennie az időzónákban, és megfelelő átadást kell adnia a nyomozóknak.

Előfordulhat, hogy más érintett csapatokkal, például a szállítói csapatokkal kell kommunikálnia.
Technikai incidensvezető – Mindig az incidensben, a bemenetek és eredmények szintetizálása, valamint a következő műveletek megtervezése.

Kommunikációs összekötő – Eltávolítja a vezetéssel való kommunikáció terhét a műszaki incidensvezetőtől, hogy a fókusz elvesztése nélkül is részt vehessenek az incidensben.

Ebbe beletartozik a vezetői üzenetkezelés és az interakciók kezelése, valamint más harmadik felek, például a szabályozók kezelése.

Incidensrögzítő – Eltávolítja a megállapítások, döntések és műveletek rögzítésének terhét az incidenst válaszadóktól, és az elejétől a végéig pontos nyilvántartást készít az incidensről.

Forward Planner – A kritikus fontosságú üzleti folyamatok tulajdonosaival együttműködve olyan üzletmenet-folytonossági tevékenységeket és előkészületeket fogalmaz meg, amelyek az információs rendszer 24, 48, 72, 96 órán át tartó vagy annál tovább tartó károsodását tervezik.

Public Relations – Olyan incidens esetén, amely valószínűleg felkelti a nyilvánosság figyelmét, és a Forward Plannerrel együtt nyilvános kommunikációs megközelítéseket fontolgat és fogalmaz meg, amelyek a valószínű kimeneteleket kezelik.
Adatvédelmi incidensmegoldási forgatókönyv Az egyre szigorúbb adatvédelmi előírások kielégítése érdekében dolgozzon ki egy közös tulajdonban lévő forgatókönyvet a SecOps és az adatvédelmi hivatal között, amely lehetővé teszi a biztonsági incidensekből eredő potenciális adatvédelmi problémák gyors kiértékelését. A biztonsági incidensek kiértékelése az adatvédelemre gyakorolt hatásuk szempontjából nehéz, mivel a legtöbb biztonsági incidens egy magas technikai szintű SOC-ben merül fel, amelynek gyorsan ki kell jutnia egy adatvédelmi irodába, ahol szabályozási kockázat határozható meg, gyakran 72 órás értesítési várakozással.
Behatolás tesztelése Az üzletileg kritikus rendszerek, a kritikus infrastruktúra és a biztonsági mentések elleni, időponthoz kötött szimulált támadásokat hajthat végre a biztonsági helyzet gyengeségeinek azonosításához. Ezt általában külső szakértőkből álló csapat végzi, amelyek a megelőző ellenőrzések megkerülésére és a kulcsfontosságú biztonsági rések feltárására összpontosítanak. A közelmúltban ember által üzemeltetett zsarolóprogram-incidensek fényében a behatolási teszteket az infrastruktúra nagyobb körén kell elvégezni, különösen a kritikus fontosságú rendszerek és adatok biztonsági mentésének támadási és ellenőrzési képességén.
Piros csapat / kék csapat / lila csapat / zöld csapat Folyamatos vagy rendszeres szimulált támadásokat hajthat végre az üzleti szempontból kritikus rendszerek, a kritikus infrastruktúra és a biztonsági mentések ellen a biztonsági helyzet gyengeségeinek azonosításához. Ezt általában belső támadási csapatok (vörös csapatok) végzik, amelyek a detektívvezérlők és a csapatok (kék csapatok) hatékonyságának tesztelésére összpontosítanak.

Használhatja például a Támadásszimulációs képzést az Office 365-höz készült Microsoft 365 Defenderhez, valamint a Microsoft 365 Defender for Endpoint támadásszimulációit&.
A vörös, kék és lila csapat támadásszimulációi, ha jól sikerültek, számos célt szolgálnak:
  • Lehetővé teszi, hogy az informatikai szervezetek mérnökei szimulálják a saját infrastruktúrájukkal kapcsolatos támadásokat.
  • Felfedi a láthatóság és az észlelés hiányosságait.
  • A tábla biztonsági mérnöki szakértelmét emeli ki.
  • Folyamatosabb és kiterjedtebb folyamatként szolgál.


A zöld csapat módosításokat hajt végre az informatikai vagy biztonsági konfigurációban.
Üzletmenet-folytonossági tervezés A kritikus fontosságú üzleti folyamatok esetében olyan tervezési és tesztelési folytonossági folyamatokat tervezzen és teszteljen, amelyek lehetővé teszik, hogy a minimálisan működőképes üzlet működjön az információs rendszerek károsodása esetén.

Használhat például egy Azure biztonsági mentési és visszaállítási tervet a kritikus fontosságú üzleti rendszerek védelmére egy támadás során, hogy biztosítsa az üzleti műveletek gyors helyreállítását.
  • Kiemeli, hogy az informatikai rendszerek sérülésére vagy hiányára nincs folyamatos áthidaló megoldás.
  • Kihangsúlyozhatja az egyszerűbb biztonsági mentés és helyreállítás összetett digitális rugalmasságának szükségességét és finanszírozását.
Vészhelyreállítás A kritikus fontosságú üzleti folyamatokat támogató információs rendszerek esetében érdemes a gyakori és ritka elérésű és a gyakori elérésű/meleg biztonsági mentési és helyreállítási forgatókönyveket megtervezni és tesztelni, beleértve az előkészítési időket is. Az operációs rendszer nélküli buildeket végző szervezetek gyakran olyan tevékenységeket találnak, amelyek nem replikálhatók vagy nem illenek bele a szolgáltatásiszint-célkitűzésekbe.

A nem támogatott hardvereken futó kritikus fontosságú rendszerek sokszor nem állíthatók vissza modern hardverre.

A biztonsági másolatok visszaállítását gyakran nem tesztelik, és problémákat tapasztalnak. Előfordulhat, hogy a biztonsági másolatok offline állapotban vannak, így az előkészítési időket nem vették figyelembe a helyreállítási célkitűzésekben.
Sávon kívüli kommunikáció Készüljön fel arra, hogyan kommunikálna e-mail- és együttműködési szolgáltatásbeli károsodás, dokumentációs tárházak váltságdíja és a személyi telefonszámok elérhetetlensége esetén. Bár ez egy nehéz gyakorlat, határozza meg, hogy a telefonszámokat, topológiákat, builddokumentumokat és informatikai visszaállítási eljárásokat tároló erőforrások nem vonalon tárolt és nem módosítható másolatai hogyan tárolhatók off-line eszközökön és helyeken, és hogyan terjeszthetők nagy méretekben.
Megkeményedés, higiénia és életciklus-kezelés A Center for Internet Security (CIS) 20 legfontosabb biztonsági vezérlőjével összhangban megerősítheti az infrastruktúrát, és alapos higiéniai tevékenységeket végezhet. A közelmúltban ember által üzemeltetett zsarolóprogram-incidensekre reagálva a Microsoft külön útmutatást adott a kibertámadási lánc minden szakaszának megereszkedéséhez és védelméhez, akár a Microsoft képességeivel, akár más szolgáltatókkal. Különös figyelmet fordítunk a következőkre:
  • Nem módosítható biztonsági másolatok létrehozása és karbantartása váltságdíjrendszer esetén. Azt is mérlegelheti, hogyan őrizheti meg a nem módosítható naplófájlokat, amelyek megnehezítik a támadónak a nyomok elfedésének képességét.
  • A vészhelyreállítás nem támogatott hardverével kapcsolatos kockázatok.
Incidensmegoldás-tervezés Az incidens kezdetén döntsön a következőről:
  • Fontos szervezeti paraméterek.
  • Személyek hozzárendelése szerepkörökhöz és felelősségekhez.
  • A sürgősség érzése (például 24x7 és munkaidő).
  • A fenntarthatóságért felelős személyzet az időtartam alatt.
Az elején hajlamosak vagyunk az összes rendelkezésre álló erőforrást eldobni egy incidensnél, és egy gyors megoldásban reménykedünk. Miután felismerte vagy előrejelezte, hogy egy incidens hosszabb ideig fog tartani, vegye fel a személyzet és a beszállítók eltérő helyzetét, amely lehetővé teszi számukra, hogy hosszabb ideig rendezzék a szállítmányt.
Incidens válaszadói Egyértelmű elvárásokat fogalmaznak meg egymással. A folyamatban lévő tevékenységek jelentésének népszerű formátuma a következők:
  • Mit tettünk (és mik voltak az eredmények)?
  • Mit csinálunk (és milyen eredményeket hozunk létre, és mikor)?
  • Mit tervezünk a következő lépésben (és mikor várhatók eredmények)?
Az incidensekre reagálók különböző technikákkal és megközelítésekkel járnak, beleértve a holtablak-elemzést, a big data-elemzést és a növekményes eredmények előállításának képességét. A világos elvárásoktól kezdődően a kommunikáció egyértelművé válik.

Incidensmegoldási erőforrások

A Microsoft legfontosabb biztonsági erőforrásai

Erőforrás Leírás
A Microsoft Digital Defense 2021-ben készített jelentése Egy jelentés, amely a Microsoft biztonsági szakértőitől, szakembereitől és védőitől kapott tanulságokat foglalja magában, hogy mindenhol képessé tegye az embereket a kibertámadások elleni védekezésre.
A Microsoft kiberbiztonsági referenciaarchitektúrái Vizuális architektúradiagramok, amelyek bemutatják a Microsoft kiberbiztonsági képességeit és a Microsoft felhőplatformjaival , például a Microsoft 365-zel és a Microsoft Azure-ral, valamint külső felhőplatformokkal és alkalmazásokkal való integrációjukat.
Percek anyag infografika letöltése Áttekintés arról, hogy a Microsoft SecOps csapata hogyan reagál az incidensekre a folyamatban lévő támadások mérséklése érdekében.
Az Azure Cloud bevezetési keretrendszerének biztonsági műveletei Stratégiai útmutatás biztonsági műveleti funkció kialakításához vagy modernizálásához.
Ajánlott biztonsági eljárások a Microsoft biztonsági műveleteihez Hogyan használhatja a legjobban a SecOps-központot, hogy gyorsabban haladjon, mint a szervezetét célzó támadók.
Microsoft cloud security for IT architects model Biztonság a Microsoft felhőszolgáltatásai és platformjai között identitás- és eszközhozzáférés, fenyegetésvédelem és információvédelem céljából.
A Microsoft biztonsági dokumentációi További biztonsági útmutatás a Microsofttól.