Gerenciamento de incidentes de segurança da Microsoft: contenção, erradicação e recuperação

  • Artigo

Com base na análise executada pela equipe de resposta à segurança, a equipe de serviço desenvolve um plano de recuperação e contenção apropriado para minimizar o efeito do incidente de segurança. Em seguida, as equipes de serviço apropriadas aplicam esse plano em produção com suporte da equipe de resposta à segurança.

Contenção

Depois de detectar um incidente de segurança, é importante conter a intrusão antes que o adversário possa acessar mais recursos ou causar mais danos. O objetivo principal de nossos procedimentos de resposta a incidentes de segurança é limitar o impacto aos clientes ou seus dados ou aos sistemas, serviços e aplicativos da Microsoft.

Erradicação

A eliminação é o processo de eliminar a causa raiz do incidente de segurança com um alto grau de confiança. O objetivo é duas vezes:

  • para despejar o adversário completamente do ambiente
  • para atenuar a vulnerabilidade (se conhecida) que habilitou ou poderia permitir que o adversário reentradasse o ambiente.

Dependendo da natureza do incidente, do escopo do incidente de segurança, da profundidade da penetração e das possíveis repercussões, a equipe de resposta à segurança recomenda que as equipes de serviço adotem técnicas de erradicação. Considerando o potencial impacto comercial que pode ser causado por essas etapas de erradicação, essas decisões são tomadas pelas equipes de serviço e pela equipe de resposta à segurança após uma análise detalhada e aprovação do Gerente Executivo de Incidentes (se necessário).

Recuperação

À medida que a equipe de resposta ganha um nível razoável de confiança de que o adversário foi removido do ambiente e todos os caminhos vulneráveis conhecidos foram eliminados, as equipes de serviço individuais iniciam etapas de restauração para levar o serviço a uma configuração conhecida e boa. Essas etapas de restauração estão em consulta com a equipe de resposta à segurança. Essa atividade inclui identificar o último bom estado conhecido do serviço, restaurar de backups para esse estado, inspecionar caminhos de ataque vulneráveis no estado restaurado etc. A equipe de resposta de segurança, em consulta com as equipes de serviço, determina o melhor plano de recuperação possível para o ambiente.

Um aspecto fundamental para a recuperação é ter vigilância e controles aprimorados em vigor para validar que o plano de recuperação foi executado com êxito e que não existem sinais de violação no ambiente.

Notificação do cliente sobre incidente de segurança

Se a Microsoft determinar que ocorreu um incidente de segurança, notificaremos você com atrasos indevidos e dentro dos requisitos contratuais e de conformidade com os quais concordamos. Depois de identificar todos os locatários afetados, a equipe de comunicação correspondente trabalha para identificar quaisquer regulamentos relevantes que possam se aplicar aos locatários afetados. A equipe de comunicação usa o canal de comunicação apropriado definido em regulamentos aplicáveis para notificar o contato de locatário apropriado.

Processo de resposta a incidentes.

A notificação inclui informações detalhadas sobre o incidente, como uma descrição do incidente, o efeito sobre os dados do cliente, se houver, ações tomadas pela Microsoft e/ou ações sugeridas para que os clientes tomem para resolve o problema e evitar a recorrência. A notificação é entregue aos administradores designados do locatário do Microsoft serviços online. Para garantir que as notificações sejam recebidas, você deve garantir que seus administradores forneçam e mantenham informações de contato precisas em seus perfis de locatário. Além disso, dependendo da natureza do incidente, os clientes do Microsoft 365 também podem ser notificados por meio do Painel de Integridade do Serviço do Microsoft 365.