Perencanaan respons insiden

Gunakan tabel ini sebagai daftar periksa untuk menyiapkan Pusat Operasi Keamanan (SOC) Anda untuk merespons insiden keamanan cyber.

Selesai Aktivitas Deskripsi Manfaat
Latihan teratas tabel Lakukan latihan teratas tabel berkala dari insiden cyber yang berdampak pada bisnis yang dapat diperkirakan yang memaksa manajemen organisasi Anda untuk mempertimbangkan keputusan berbasis risiko yang sulit. Dengan tegas menetapkan dan menggambarkan keamanan cyber sebagai masalah bisnis. Mengembangkan memori otot dan menampilkan keputusan yang sulit dan masalah hak keputusan di seluruh organisasi.
Menentukan keputusan pra-serangan dan pembuat keputusan Sebagai pelengkap untuk latihan teratas tabel, tentukan keputusan berbasis risiko, kriteria untuk membuat keputusan, dan siapa yang harus membuat dan menjalankan keputusan tersebut. Contohnya:

Siapa/kapan/jika mencari bantuan dari penegak hukum?

Siapa/kapan/jika untuk mendaftarkan responden insiden?

Siapa/kapan/jika harus membayar tebusan?

Siapa/kapan/jika memberi tahu auditor eksternal?

Siapa/kapan/jika memberi tahu otoritas peraturan privasi?

Siapa/kapan/jika memberi tahu regulator sekuritas?

Siapa/kapan/jika akan memberi tahu dewan direksi atau komite audit?

Siapa yang memiliki wewenang untuk mematikan beban kerja misi-kritis?
Menentukan parameter respons awal dan kontak untuk melibatkan yang menyederhanakan respons terhadap insiden.
Mempertahankan hak istimewa Umumnya, saran dapat diistimewakan, tetapi fakta dapat ditemukan. Latih pemimpin insiden utama dalam mengkomunikasikan saran, fakta, dan pendapat di bawah hak istimewa sehingga hak istimewa dipertahankan dan risiko berkurang. Mempertahankan hak istimewa dapat menjadi proses yang berantakan ketika mempertimbangkan banyak saluran komunikasi, termasuk email, platform kolaborasi, obrolan, dokumen, artefak. Misalnya, Anda dapat menggunakan Microsoft Teams Rooms. Pendekatan yang konsisten di seluruh personel insiden dan mendukung organisasi eksternal dapat membantu mengurangi potensi paparan hukum.
Pertimbangan perdagangan orang dalam Pertimbangkan pemberitahuan kepada manajemen yang harus diambil untuk mengurangi risiko pelanggaran sekuritas. Dewan dan auditor eksternal cenderung menghargai bahwa Anda memiliki mitigasi yang akan mengurangi risiko perdagangan sekuritas yang dipertanyakan selama periode turbulensi.
Playbook peran dan tanggung jawab insiden Menetapkan peran dan tanggung jawab dasar yang memungkinkan berbagai proses untuk mempertahankan fokus dan maju kemajuan.

Ketika tim respons Anda jarak jauh, tim respons dapat memerlukan pertimbangan tambahan untuk zona waktu dan handoff yang tepat kepada penyelidik.

Anda mungkin harus berkomunikasi di seluruh tim lain yang mungkin terlibat, seperti tim vendor.
Pemimpin Insiden Teknis - Selalu dalam insiden, mensintesis input dan temuan dan merencanakan tindakan berikutnya.

Communications Liaison – Menghapus beban komunikasi ke manajemen dari Pemimpin Insiden Teknis sehingga mereka dapat tetap terlibat dalam insiden tanpa kehilangan fokus.

Ini harus mencakup pengelolaan olahpesan dan interaksi eksekutif dan pihak ketiga lainnya seperti regulator.

Perekam Insiden – Menghapus beban temuan rekaman, keputusan, dan tindakan dari responden insiden dan menghasilkan akuntansi insiden yang akurat dari awal hingga akhir.

Forward Planner – Bekerja dengan pemilik proses bisnis yang sangat penting, merumuskan kegiatan kelangsungan bisnis dan persiapan yang merenungkan gangguan sistem informasi yang berlangsung selama 24, 48, 72, 96 jam, atau lebih.

Hubungan Masyarakat – Jika terjadi insiden yang kemungkinan akan menarik perhatian publik, dan bersama dengan Forward Planner, merenungkan dan menyusun pendekatan komunikasi publik yang mengatasi kemungkinan hasil.
Playbook respons insiden privasi Untuk memenuhi peraturan privasi yang semakin ketat, kembangkan playbook yang dimiliki bersama antara SecOps dan kantor privasi yang memungkinkan evaluasi cepat terhadap potensi masalah privasi yang memiliki kemungkinan wajar untuk timbul dari insiden keamanan. Mengevaluasi insiden keamanan untuk potensi dampak privasi mereka sulit karena fakta bahwa sebagian besar insiden keamanan muncul di SOC yang sangat teknis yang harus dengan cepat muncul ke kantor privasi di mana risiko peraturan ditentukan, seringkali dengan harapan pemberitahuan 72 jam.
uji penetrasi Lakukan serangan simulasi titik waktu terhadap sistem penting bisnis, infrastruktur penting, dan pencadangan untuk mengidentifikasi kelemahan dalam postur keamanan. Ini umumnya dilakukan oleh tim ahli eksternal yang berfokus pada melewati kontrol pencegahan dan memunculkan kerentanan utama. Mengingat insiden ransomware yang dioperasikan manusia baru-baru ini, pengujian penetrasi harus dilakukan terhadap peningkatan cakupan infrastruktur, terutama kemampuan untuk menyerang dan mengontrol cadangan sistem dan data misi penting.
Tim Merah / Tim Biru / Tim Ungu / Tim Hijau Lakukan serangan simulasi berkelanjutan atau berkala terhadap sistem penting bisnis, infrastruktur penting, pencadangan untuk mengidentifikasi kelemahan dalam postur keamanan. Hal ini umumnya dilakukan oleh tim penyerang internal (tim Merah) yang berfokus pada pengujian efektivitas kontrol detektif dan tim (tim Biru).

Misalnya, Anda dapat menggunakan pelatihan simulasi Serangan untuk simulasi Tutorial & Pertahanan Microsoft 365 untuk Office 365 dan Serangan untuk Pertahanan Microsoft 365 untuk Titik Akhir.
Simulasi serangan tim Merah, Biru, dan Ungu, ketika dilakukan dengan baik, melayani banyak tujuan:
  • Memungkinkan teknisi dari seluruh organisasi TI untuk mensimulasikan serangan pada disiplin infrastruktur mereka sendiri.
  • Menampilkan celah dalam visibilitas dan deteksi.
  • Meningkatkan keterampilan rekayasa keamanan di seluruh papan.
  • Berfungsi sebagai proses yang lebih berkelanjutan dan ekspansif.


Tim Hijau menerapkan perubahan dalam ti atau konfigurasi keamanan.
Perencanaan kelangsungan bisnis Untuk proses bisnis yang sangat penting, rancang dan uji proses kelangsungan yang memungkinkan bisnis layak minimum berfungsi selama waktu gangguan sistem informasi.

Misalnya, gunakan rencana pencadangan dan pemulihan Azure untuk melindungi sistem bisnis penting Anda selama serangan untuk memastikan pemulihan operasi bisnis Anda yang cepat.
  • Menyoroti fakta bahwa tidak ada solusi kelangsungan untuk gangguan atau tidak adanya sistem TI.
  • Dapat menekankan kebutuhan dan pendanaan untuk ketahanan digital yang canggih atas pencadangan dan pemulihan yang lebih sederhana.
Pemulihan bencana Untuk sistem informasi yang mendukung proses bisnis misi penting, Anda harus merancang dan menguji skenario pencadangan dan pemulihan panas/dingin dan panas/hangat, termasuk waktu penahapan. Organisasi yang melakukan pembangunan bare metal sering menemukan aktivitas yang tidak mungkin untuk direplikasi atau tidak sesuai dengan tujuan tingkat layanan.

Sistem misi penting yang berjalan pada perangkat keras yang tidak didukung berkali-kali tidak dapat dipulihkan ke perangkat keras modern.

Pemulihan cadangan sering kali tidak diuji dan mengalami masalah. Pencadangan mungkin lebih offline sehingga waktu penahapan belum diperhitungkan ke dalam tujuan pemulihan.
Komunikasi di luar band Bersiaplah untuk bagaimana Anda akan berkomunikasi jika terjadi gangguan layanan email dan kolaborasi, tebusan repositori dokumentasi, dan tidak tersedianya nomor telepon personil. Meskipun ini adalah latihan yang sulit, tentukan bagaimana salinan sumber daya off-line dan tidak dapat diubah yang menyimpan nomor telepon, topologi, membangun dokumen, dan prosedur pemulihan TI dapat disimpan di perangkat dan lokasi off-line dan didistribusikan dalam skala besar.
Pengerasan, kebersihan, dan manajemen siklus hidup Sejalan dengan kontrol keamanan Center for Internet Security (CIS) Top 20, perkuat infrastruktur Anda dan lakukan aktivitas kebersihan menyeluruh. Menanggapi insiden ransomware yang dioperasikan manusia baru-baru ini, Microsoft telah mengeluarkan panduan khusus untuk memperkuat dan melindungi setiap tahap rantai pembunuhan serangan cyber baik dengan kemampuan Microsoft atau penyedia lain. Dari catatan tertentu adalah:
  • Pembuatan dan pemeliharaan salinan cadangan yang tidak dapat diubah jika terjadi sistem tebusan. Anda mungkin juga mempertimbangkan cara menyimpan file log yang tidak dapat diubah yang mempersulit kemampuan adversary untuk menutupi treknya.
  • Risiko yang terkait dengan perangkat keras yang tidak didukung untuk pemulihan bencana.
Perencanaan respons insiden Pada awal insiden, putuskan:
  • Parameter organisasi penting.
  • Penugasan orang untuk peran dan tanggung jawab.
  • Indera urgensi (seperti 24x7 dan jam kerja).
  • Staf untuk keberlanjutan selama durasi.
Ada kecenderungan untuk membuang semua sumber daya yang tersedia pada insiden di awal dan berharap untuk resolusi cepat. Setelah Anda mengenali atau mengantisipasi bahwa insiden akan berlangsung untuk jangka waktu yang lama, ambil postur yang berbeda dengan staf dan pemasok Anda yang memungkinkan mereka untuk menetap untuk pengangkutan yang lebih lama.
Responden insiden Tetapkan harapan yang jelas satu dengan yang lain. Format populer dari pelaporan aktivitas yang sedang berlangsung meliputi:
  • Apa yang telah kami lakukan (dan apa hasilnya)?
  • Apa yang kita lakukan (dan hasil apa yang akan dihasilkan dan kapan)?
  • Apa yang kita rencanakan untuk dilakukan selanjutnya (dan kapan realistis untuk mengharapkan hasil)?
Responden insiden hadir dengan teknik dan pendekatan yang berbeda, termasuk analisis kotak mati, analisis big data, dan kemampuan untuk menghasilkan hasil inkremental. Dimulai dengan harapan yang jelas akan memfasilitasi komunikasi yang jelas.

Sumber daya respons insiden

Sumber daya keamanan Microsoft utama

Sumber daya Deskripsi
Laporan Pertahanan Digital Microsoft 2021 Laporan yang mencakup pembelajaran dari pakar keamanan, praktisi, dan pembela di Microsoft untuk memberdayakan orang-orang di mana saja untuk bertahan dari ancaman cyber.
Arsitektur Referensi Keamanan Cyber Microsoft Serangkaian diagram arsitektur visual yang menunjukkan kemampuan keamanan cyber Microsoft dan integrasinya dengan platform cloud Microsoft seperti Microsoft 365 dan Microsoft Azure serta platform dan aplikasi cloud pihak ketiga.
Pengunduhan infografis menit penting Gambaran umum tentang bagaimana tim SecOps Microsoft melakukan respons insiden untuk mengurangi serangan yang sedang berlangsung.
Operasi keamanan Azure Cloud Adoption Framework Panduan strategis bagi para pemimpin yang menetapkan atau memodernisasi fungsi operasi keamanan.
Praktik terbaik keamanan Microsoft untuk operasi keamanan Cara terbaik menggunakan pusat SecOps Anda untuk bergerak lebih cepat daripada penyerang yang menargetkan organisasi Anda.
Keamanan cloud Microsoft untuk model arsitek TI Keamanan di seluruh layanan dan platform cloud Microsoft untuk akses identitas dan perangkat, perlindungan ancaman, dan perlindungan informasi.
Dokumentasi keamanan Microsoft Panduan keamanan tambahan dari Microsoft.