Planowanie reagowania na zdarzenia

Użyj tej tabeli jako listy kontrolnej, aby przygotować centrum operacji zabezpieczeń (SOC) do reagowania na zdarzenia cyberbezpieczeństwa.

Gotowe Działanie Opis Korzyść
Ćwiczenia na górze tabeli Przeprowadzaj okresowe ćwiczenia obejmujące przewidywalne incydenty cybernetyczne wpływające na działalność biznesową, które zmuszają kierownictwo organizacji do kontemplowania trudnych decyzji opartych na ryzyku. Firma stanowczo ustanawia i ilustruje cyberbezpieczeństwo jako problem biznesowy. Rozwija pamięć mięśni i powierzchnie trudne decyzje i decyzje kwestie praw w całej organizacji.
Określanie decyzji przed atakami i decydentów Jako uzupełnienie najlepszych ćwiczeń, określ decyzje oparte na ryzyku, kryteria podejmowania decyzji i kto musi podejmować i wykonywać te decyzje. Przykład:

Kto/kiedy/jeśli szukać pomocy ze strony organów ścigania?

Kto/kiedy/jeśli zarejestrować osoby reagujące na zdarzenia?

Kto/kiedy/jeśli zapłacić okup?

Kto/kiedy/jeśli powiadomić zewnętrznych audytorów?

Kto/kiedy/jeśli powiadomić organy regulacyjne dotyczące prywatności?

Kto/kiedy/jeżeli powiadomić organy regulacyjne dotyczące papierów wartościowych?

Kto/kiedy/jeżeli powiadomić zarząd lub komisję rewizyjną?

Kto ma uprawnienia do zamykania obciążeń o znaczeniu krytycznym?
Definiuje parametry początkowej odpowiedzi i kontakty w celu włączenia, które usprawniają reagowanie na zdarzenie.
Utrzymywanie uprawnień Ogólnie rzecz biorąc, porady mogą być uprzywilejowane, ale fakty są wykrywalne. Szkolenie kluczowych liderów incydentów w informowaniu o poradach, faktach i opiniach pod przywilejem, aby przywilej został zachowany i ryzyko zostało zmniejszone. Utrzymanie uprawnień może być niechlujnym procesem podczas rozważania wielu kanałów komunikacyjnych, w tym poczty e-mail, platform współpracy, czatów, dokumentów, artefaktów. Można na przykład użyć aplikacji Microsoft Teams Rooms. Spójne podejście między personelem incydentów i wspieraniem organizacji zewnętrznych może pomóc w zmniejszeniu potencjalnej ekspozycji prawnej.
Zagadnienia dotyczące handlu poufnymi Rozważanie powiadomień dotyczących zarządzania, które należy podjąć w celu zmniejszenia ryzyka naruszenia zabezpieczeń. Zarządy i audytorzy zewnętrzni mają tendencję do uznania, że masz środki zaradcze, które zmniejszają ryzyko wątpliwych transakcji papierów wartościowych w okresach turbulencji.
Podręcznik ról i obowiązków dotyczących zdarzeń Ustanów podstawowe role i obowiązki, które umożliwiają różnym procesom zachowanie koncentracji uwagi i postępu.

Gdy zespół reagowania jest zdalny, może wymagać dodatkowych zagadnień dotyczących stref czasowych i odpowiedniego przekazywania śledczym.

Może być konieczne komunikowanie się między innymi zespołami, które mogą być zaangażowane, takie jak zespoły dostawców.
Kierownik zdarzenia technicznego — zawsze w zdarzeniu , synchronizowanie danych wejściowych i ustaleń oraz planowanie następnych działań.

Łącznik komunikacji — usuwa ciężar komunikacji z kierownictwem kierownika ds. zdarzeń technicznych, aby mógł pozostać zaangażowany w incydent bez utraty uwagi.

Powinno to obejmować zarządzanie wiadomościami wykonawczymi i interakcjami oraz innymi firmami trzecimi, takimi jak organy regulacyjne.

Incident Recorder — usuwa ciężar rejestrowania wyników, decyzji i działań od reagowania na zdarzenia i tworzy dokładną księgowość zdarzenia od początku do końca.

Forward Planner — współpraca z właścicielami procesów biznesowych o krytycznym znaczeniu, formułuje działania i przygotowania zapewniające ciągłość działalności biznesowej, które kontemplują upośledzenie systemu informacyjnego, który trwa przez 24, 48, 72, 96 godzin lub więcej.

Public Relations — w przypadku incydentu, który może zdobyć uwagę opinii publicznej, i w połączeniu z Forward Planner, rozważa i projektuje podejście do komunikacji publicznej, które odnoszą się do prawdopodobnych wyników.
Podręcznik reagowania na zdarzenia związane z prywatnością Aby spełnić coraz bardziej rygorystyczne przepisy dotyczące prywatności, opracuj wspólny podręcznik między SecOps i biurem prywatności, który umożliwia szybką ocenę potencjalnych problemów z prywatnością, które mają uzasadnione prawdopodobieństwo wystąpienia zdarzeń związanych z bezpieczeństwem. Ocena zdarzeń związanych z bezpieczeństwem pod kątem ich potencjalnego wpływu na prywatność jest trudna ze względu na fakt, że większość zdarzeń związanych z bezpieczeństwem występuje w wysoce technicznej SOC, która musi szybko pojawić się w biurze prywatności, w którym jest określone ryzyko regulacyjne, często z 72-godzinnym oczekiwaniem na powiadomienie.
Testy penetracyjne Przeprowadzaj symulowane ataki typu punkt w czasie na systemy krytyczne dla działania firmy, krytyczną infrastrukturę i kopie zapasowe w celu zidentyfikowania słabych punktów w stanie zabezpieczeń. Jest to zwykle prowadzone przez zespół zewnętrznych ekspertów koncentruje się na pomijaniu mechanizmów kontroli prewencyjnej i przekazywaniu kluczowych luk w zabezpieczeniach. W świetle ostatnich zdarzeń związanych z oprogramowaniem wymuszającym okup przez człowieka testy penetracyjne powinny być przeprowadzane w większym zakresie infrastruktury, w szczególności możliwość atakowania i kontrolowania kopii zapasowych systemów i danych o znaczeniu krytycznym.
Red Team / Blue Team / Purple Team / Green Team Przeprowadzaj ciągłe lub okresowe symulowane ataki na systemy krytyczne dla działania firmy, infrastrukturę krytyczną, kopie zapasowe, aby identyfikować słabe strony stanu zabezpieczeń. Jest to zwykle prowadzone przez wewnętrzne zespoły ataków (zespoły czerwone), które koncentrują się na testowaniu skuteczności mechanizmów kontroli detektywów i zespołów (zespoły Niebieskie).

Na przykład możesz użyć trenowania symulacji ataku dla usługi Microsoft 365 Defender dla usługi Office 365 i samouczków dotyczących ataków & dla usługi Microsoft 365 Defender dla punktu końcowego.
Symulacje ataków zespołu Red, Blue i Purple, gdy są dobrze wykonane, służą wielu celom:
  • Umożliwia inżynierom z całej organizacji IT symulowanie ataków na własną dyscyplinę infrastruktury.
  • Powierzchnie luki w widoczności i wykrywaniu.
  • Podnosi umiejętności inżynieryjne w zakresie zabezpieczeń we wszystkich dziedzinach.
  • Służy jako bardziej ciągły i ekspansywny proces.


Green Team implementuje zmiany w konfiguracji IT lub zabezpieczeń.
Planowanie ciągłości działania W przypadku procesów biznesowych o znaczeniu krytycznym należy projektować i testować procesy ciągłości działania, które umożliwiają minimalnej opłacalności działania firmy w okresach upośledzonych systemów informacyjnych.

Na przykład użyj planu tworzenia i przywracania kopii zapasowych platformy Azure , aby chronić krytyczne systemy biznesowe podczas ataku w celu zapewnienia szybkiego odzyskiwania operacji biznesowych.
  • Podkreśla fakt, że nie ma obejścia ciągłości dla upośledzenie lub brak systemów IT.
  • Może podkreślić potrzebę i finansowanie zaawansowanej odporności cyfrowej nad prostszą kopią zapasową i odzyskiwaniem.
Odzyskiwanie po awarii W przypadku systemów informacyjnych, które obsługują procesy biznesowe o krytycznym znaczeniu, należy zaprojektować i przetestować scenariusze gorącej/zimnej i gorącej/ciepłej kopii zapasowej oraz odzyskiwania, w tym czas przejściowy. Organizacje, które przeprowadzają kompilacje bez systemu operacyjnego, często znajdują działania, które są niemożliwe do replikacji lub nie mieszczą się w celach poziomu usług.

Systemy o znaczeniu krytycznym działające na nieobsługiwanym sprzęcie wiele razy nie mogą zostać przywrócone do nowoczesnego sprzętu.

Przywracanie kopii zapasowych często nie jest testowane i występują problemy. Kopie zapasowe mogą być dalej w trybie offline, tak aby czas przejściowy nie został uwzględniony w celach odzyskiwania.
Komunikacja poza pasmem Przygotuj się do komunikowania się w przypadku upośledzenia poczty e-mail i usługi współpracy, okupu repozytoriów dokumentacji i niedostępności numerów telefonów personelu. Chociaż jest to trudne ćwiczenie, określ, jak kopie pozawierszowe i niezmienne zasoby przechowujące numery telefonów, topologie, dokumenty kompilacji i procedury przywracania IT mogą być przechowywane na urządzeniach pozawierszowych i lokalizacjach oraz dystrybuowane na dużą skalę.
Wzmacnianie zabezpieczeń, higiena i zarządzanie cyklem życia Zgodnie z center for Internet Security (CIS) Top 20 security controls, harden your infrastructure and perform dokładne czynności higieniczne. W odpowiedzi na ostatnie zdarzenia związane z oprogramowaniem wymuszającym okup obsługiwane przez człowieka firma Microsoft wydała konkretne wskazówki dotyczące wzmacniania i ochrony każdego etapu łańcucha zagrożeń cybernetycznych, zarówno z możliwościami firmy Microsoft, jak i innymi dostawcami. Szczególną uwagę należy zwrócić na następujące kwestie:
  • Tworzenie i konserwacja niezmiennych kopii zapasowych w przypadku okupowanych systemów. Możesz również rozważyć sposób przechowywania niezmiennych plików dziennika, które komplikują zdolność osoby atakującej do okrycia ich śladów.
  • Zagrożenia związane z nieobsługiwanym sprzętem na potrzeby odzyskiwania po awarii.
Planowanie reagowania na zdarzenia Na początku zdarzenia zdecyduj się na:
  • Ważne parametry organizacyjne.
  • Przypisywanie osób do ról i obowiązków.
  • Poczucie pilności (na przykład 24x7 i godziny pracy).
  • Pracownicy na rzecz zrównoważonego rozwoju na czas trwania.
Istnieje tendencja do rzucania wszystkich dostępnych zasobów na początku i nadzieję na szybkie rozwiązanie. Po rozpoznaniu lub przewidywaniu, że incydent przejdzie przez dłuższy czas, weź pod uwagę inną postawę, która z pracownikami i dostawcami, która pozwala im osiedlić się na dłuższy czas.
Osoby reagujące na zdarzenia Ustal jasne oczekiwania ze sobą. Popularny format raportowania bieżących działań obejmuje:
  • Co zrobiliśmy (i jakie były wyniki)?
  • Co robimy (i jakie wyniki zostaną wygenerowane i kiedy)?
  • Co planujemy zrobić dalej (i kiedy jest realistyczne oczekiwać wyników)?
Osoby reagujące na zdarzenia mają różne techniki i podejścia, w tym analizę dead box, analizę danych big data i możliwość generowania wyników przyrostowych. Począwszy od jasnych oczekiwań, ułatwi jasne komunikaty.

Zasoby reagowania na zdarzenia

Kluczowe zasoby zabezpieczeń firmy Microsoft

Zasób Opis
2021 Microsoft Digital Defense Report Raport, który obejmuje wnioski ekspertów w dziedzinie zabezpieczeń, praktyków i obrońców w firmie Microsoft, aby umożliwić ludziom na całym świecie obronę przed cyberzagrożeniami.
Architektury referencyjne cyberbezpieczeństwa firmy Microsoft Zestaw diagramów architektury wizualnej przedstawiający możliwości cyberbezpieczeństwa firmy Microsoft oraz ich integrację z platformami w chmurze firmy Microsoft, takimi jak Microsoft 365 i Microsoft Azure oraz platformy i aplikacje w chmurze innych firm.
Pobieranie grafik informacyjnych w minutach Omówienie sposobu reagowania zespołu SecOps firmy Microsoft na zdarzenia w celu wyeliminowania trwających ataków.
Operacje zabezpieczeń platformy Azure Cloud Adoption Framework Strategiczne wskazówki dla liderów ustanawiających lub modernizujących funkcję operacji zabezpieczeń.
Najlepsze rozwiązania w zakresie zabezpieczeń firmy Microsoft dotyczące operacji zabezpieczeń Jak najlepiej używać centrum SecOps, aby poruszać się szybciej niż osoby atakujące skierowane do organizacji.
Zabezpieczenia w chmurze firmy Microsoft dla modelu architektów IT Zabezpieczenia usług i platform w chmurze firmy Microsoft na potrzeby tożsamości i dostępu do urządzeń, ochrony przed zagrożeniami i ochrony informacji.
Dokumentacja zabezpieczeń firmy Microsoft Dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft.