Entender a fase 3 da resposta a incidentes dos Serviços Online da Microsoft – contenção, erradicação e recuperação
Com base na análise coordenada pela equipe de resposta à segurança, um plano de recuperação e contenção apropriado é desenvolvido para minimizar o impacto do incidente de segurança, preservar evidências e remover a ameaça do ambiente. Equipes de serviço relevantes implementam o plano com suporte da equipe de resposta à segurança para garantir que a ameaça seja eliminada com êxito e que os serviços afetados passem por uma recuperação completa.
Contenção
O principal objetivo da contenção é limitar os danos aos sistemas, aplicativos, clientes e dados do cliente da Microsoft. Durante essa fase, a equipe de resposta à segurança trabalha com equipes de serviço afetadas para limitar o impacto do incidente de segurança e evitar danos adicionais. As estratégias de contenção dependem do tipo de incidente, mas podem incluir a reconstrução do sistema afetado, a segregação e o isolamento de hosts infectados ou o controle do acesso a recursos críticos. Para incidentes de impacto maiores, os planos são determinados caso a caso devido à sua complexidade. Várias respostas automatizadas no Microsoft Online Services também podem ajudar a equipe a conter o incidente.
A coleta e a análise de dados continuam na fase de contenção para garantir que a causa raiz do incidente tenha sido identificada corretamente e que todos os serviços e locatários afetados sejam incluídos no plano de eliminação e recuperação. O rastreamento bem-sucedido de todos os serviços afetados possibilita a eliminação e a recuperação completas.
Erradicação
A eliminação é o processo de eliminar a causa raiz do incidente de segurança com um alto grau de confiança. A meta de eliminação é dupla: remover completamente o adversário do ambiente e atenuar todas as vulnerabilidades que contribuíram para o incidente ou podem permitir que o adversário reinsira o ambiente.
As etapas de eliminação para remover o adversário e atenuar vulnerabilidades são baseadas na análise executada nas fases de resposta a incidentes anteriores. Dependendo do impacto dos incidentes, as atividades podem incluir a remoção de artefatos adversários, matar processos mal-intencionados, redefinir segredos ou, em alguns casos, uma reconstrução completa do sistema. Ao longo desse processo, a equipe de resposta à segurança continua monitorando e monitorando a atividade de adversário usando estratégias como monitoramento de rede e processo. A equipe de resposta à segurança coordena com as equipes de serviço afetadas para garantir que o plano seja executado conforme projetado e que a ameaça seja removida com êxito do ambiente. A recuperação não é possível até que a ameaça tenha sido removida e suas causas subjacentes tenham sido resolvidas.
Recuperação
Quando a equipe de resposta à segurança está confiante de que o adversário foi removido do ambiente e vulnerabilidades conhecidas foram corrigidas, eles trabalham com equipes de serviço afetadas para iniciar a recuperação. A recuperação leva os serviços afetados para uma configuração segura conhecida. O processo de recuperação inclui a identificação do último estado conhecido do serviço, a restauração dos backups para esse estado e a confirmação do estado restaurado atenua as vulnerabilidades que contribuíram para o incidente.
Um aspecto importante do processo de recuperação são os controles de detecção aprimorados para validar se o plano de recuperação foi executado com êxito e que nenhum sinais de violação permanece dentro do ambiente. Exemplos de controles de detecção adicionais incluem o aumento do monitoramento no nível da rede, alertas direcionados para vetores de ataque identificados durante o processo de resposta a incidentes e a supervisão adicional da equipe de segurança para recursos críticos. O monitoramento aprimorado ajuda a garantir que a eliminação foi bem-sucedida e que o adversário não consegue reinserir o ambiente.