Planering av incidentsvar
Använd den här tabellen som en checklista för att förbereda säkerhetsoperationscentret (SOC) för att hantera cybersäkerhetsincidenter.
| Klar | Aktivitet | Beskrivning | Förmån |
|---|---|---|---|
| Övningarna i tabellerna | Genomför periodiska tabeller med toppar på förutsebara affärsincidenter som tvingar organisationens hantering att drabbas av svåra riskbaserade beslut. | Starkt upprättar och illustrerar cybersäkerhet som en verksamhetsfråga. Utvecklar muskler minne och ytor svåra beslut och beslut rättighetsproblem i hela organisationen. | |
| Fastställa beslut före attack och beslutsfattare | Som en komplement till den högsta tabellens övningar, avgör riskbaserade beslut, kriterier för att fatta beslut och vem som måste fatta och genomföra dessa beslut. Till exempel: Vem, när, när eller om du behöver hjälp med att upprätthålla lag? Vem till/när/om incidentsvarare ska listas? Vem/när/om du vill betala utpressningstrojaner? Vem/när/om externa granskare ska meddelas? Vem/när/om du ska meddela sekretessreglerande myndigheter? Vem att meddela säkerhetsregler till en säkerhetsreglerare? Vem när/om för att meddela direktörer eller revisions kommittéer? Vem har behörighet att stänga av verksamhetskritiska arbetsbelastningar? |
Definierar parametrar för inledande svar och kontakter för att innebära att effektivisera svaret på en incident. | |
| Underhålla behörigheter | I allmänhet kan råd vara behöriga, men fakta kan upptäckas. Utbilda viktiga incidentledare i kommunikationer, fakta och åsikter under behörighet så att behörigheten bevaras och risken minskar. | Att behålla behörigheter kan vara en rörig process när man överväger de många kommunikationskanalerna, inklusive e-post, samarbetsplattformar, chattar, dokument och artefakter. Du kan till exempel använda Microsoft Teams Rum. En konsekvent metod för incidentpersonalen och stöd för externa organisationer kan minska eventuell juridisk exponering. | |
| Att tänka på för Insider-handel | Misstänkta meddelanden till ledningen som bör vidtas för att minska risken för säkerhetsöverträdelser. | Anslagstavlor och externa granskare uppskattar att du har åtgärder som minskar risken för tveksamma börstransaktioner under perioder med turbulens. | |
| Händelseroller och spelbok för ansvarsområden | Upprätta grundläggande roller och ansvarsområden som gör det möjligt för olika processer att behålla fokus och fortsätta framåt. När ditt svarsteam är på distans kan det kräva ytterligare överväganden för tidszoner och korrekt handoff till miljön. Du kanske måste kommunicera mellan andra team som kan vara inblandade, till exempel leverantörsteam. |
Technical Incident Leader – Alltid med incidenten, synkronisering av indata och resultat samt planering av nästa åtgärder. Samordnare för kommunikation – Tar bort belastningen på meddelanden till ledningen från den tekniska incidentledaren så att de kan fortsätta att vara inblandade i händelsen utan att förlora fokus. Det bör innefatta hantering av meddelanden och interaktioner från ledningen samt andra tredje parter, till exempel programregler. Incidentinspelare – Gör att du inte behöver registrera resultat, beslut eller åtgärder från en incident svarare och ger en korrekt redovisning av incidenten från början till slut. Forward Planner – Utforma affärskontinuktionsaktiviteter och förberedelser som kan skada informationssystemets funktionsnedsättningar och som varar i minst 24, 48, 72, 96 timmar eller mer. PUBLIC Relations – I händelse av en händelse som troligtvis kommer att uppmärksamma allmänheten, och i samband med Vidarebefordra Planner, närmar sig den offentliga kommunikationen och utkast till lösningar med troliga utfall. |
|
| Spelbok för svar om sekretessincident | För att uppfylla allt striktare sekretessregler utvecklar du en spelbok som har samma ägare mellan SecOps och sekretesskontoret som gör det möjligt att snabbt utvärdera potentiella sekretessproblem som har en rimlig sannolikhet att uppstå till följd av säkerhetstillbud. | Det är svårt att utvärdera säkerhetsincidenter utifrån deras möjlighet att påverka sekretessen, eftersom de flesta säkerhetsincidenter uppstår i en högst teknisk soc som snabbt måste hitta till ett sekretesskontor där regleringsrisken fastställs, ofta med en förväntan på 72 timmar i aviseringen. | |
| Test av testning | Genomför punkt-i-tid-simulerade attacker mot affärskritiska system, kritisk infrastruktur och säkerhetskopior för att identifiera svagheter i säkerhetsbristen. Det utförs vanligen av en grupp externa experter som fokuserar på att kringgå preventativa kontroller och upptäcka viktiga svagheter. | Mot bakgrund av de senaste människor som drivs av utpressningstrojaner bör test utföras mot en ökad infrastrukturomfång, särskilt möjligheten att attackera och kontrollera säkerhetskopior av verksamhetskritiska system och data. | |
| Rött team / Blått team / Lila team / Grönt team | Genomför kontinuerliga eller periodiska simulerade attacker mot affärskritiska system, kritisk infrastruktur och säkerhetskopior för att identifiera svagheter i säkerhetsbrister. Det utförs generellt av interna attackteam (röda team) som fokuserar på att testa effektiviteten i kontroller och team (blå team). Du kan till exempel använda simuleringsutbildning för attackattacker för Microsoft 365 Defender för Office 365 och simuleringar av attackattacker Microsoft 365 Defender slutpunkt. |
Simuleringar av röda, blå och lila teamattacker när de görs bra har flera syften:
Gröna teamet implementerar ändringar i IT- eller säkerhetskonfigurationen. |
|
| Planering av affärskontinuiering | För verksamhetskritiska affärsprocesser bör du utforma och testa kontinuitetsprocesser som gör att så lite möjligt företag kan fungera under tider med funktionsnedsättning i informationssystem. Du kan till exempel använda en plan för säkerhetskopiering och återställning i Azure för att skydda dina kritiska affärssystem under en attack för att säkerställa en snabb återställning av affärsåtgärder. |
|
|
| Katastrofåterställning | För informationssystem som stöder verksamhetskritiska affärsprocesser bör du utforma och testa varmt/kallt och varmt säkerhetskopierings- och återställningsscenarier, inklusive mellanlagringstider. | Organisationer som utför bare metall-byggen hittar ofta aktiviteter som är omöjligt att replikera eller inte passar in i mål på servicenivå. Verksamhetskritiska system som körs på maskinvara som inte stöds många gånger kan inte återställas till modern maskinvara. Återställning av säkerhetskopior testas ofta inte och uppstår problem. Säkerhetskopior kan göras ytterligare offline så att mellanlagringstider inte har använts i återställningsmålen. |
|
| Kommunikationer som inte är i tid | Förbered dig för hur du kommunicerar vid störningar i e-post- och samarbetstjänsten, utpressningstrojaner av dokumentationsställen och om personaltelefonnummer inte är tillgängliga. | Även om det är en svår övning kan du avgöra hur off-line och oföränderliga kopior av resurser som lagrar telefonnummer, topologier, bygga dokument och IT-återställning kan lagras på enheter och platser och distribueras i stor skala. | |
| Härdning, livscykelhantering och livscykelhantering | I linje med CIS (Center for Internet Security) – de 20 främsta säkerhetskontrollerna kan du hårdna infrastrukturen och utföra noggranna aktiviteter. | Som svar på de senaste utpressningstrojanerna har Microsoft utfärdat specifik vägledning för att hårdna och skydda alla steg i cyberattackens killkedja, oavsett om det är med Microsofts funktioner eller med andra leverantörers. Tänk på följande:
|
|
| Planering av incidentsvar | I början av händelsen bestämmer du följande:
|
Det finns en tendens att kasta alla tillgängliga resurser vid en händelse i början och hoppas på en snabb lösning. När du känner igen eller tror att en händelse kommer att fortsätta under en längre tid kan du ta en annan plats som med din personal och leverantörer kan ge dem möjlighet att vänta på ett längre transportföretag. | |
| Incident svarare | Klara förväntningar med varandra. Ett populärt format för rapportering av pågående aktiviteter omfattar:
|
Incident svarare kommer med olika tekniker och metoder, inklusive analys av incidenter, stora dataanalyser och möjligheten att skapa stegvisa resultat. Om du börjar med klara förväntningar underlättar du tydlig kommunikation. |
Resurser för incidentsvar
- Översikt över Microsofts säkerhetsprodukter och resurser för nya roller och erfarna analytiker
- Process för rekommendationer och metodtips för incidentsvarsprocessen
- Spelböcker för detaljerad vägledning om hur du svarar på vanliga attackmetoder
- Microsoft 365 Defender incidentsvar
- Svar på Microsoft Sentinel-incidenter
Viktiga Säkerhetsresurser från Microsoft
| Resurs | Beskrivning |
|---|---|
| 2021 Microsoft Digital Defense Report | En rapport som omfattar inlärning från säkerhetsexperter, lärare och expertutbildning på Microsoft för att göra det möjligt för människor överallt att försvara sig mot cyberhot. |
| Microsoft Cybersecurity Reference-arkitekturer | En uppsättning visuella arkitekturdiagram som visar Microsofts cybersäkerhetsfunktioner och deras integrering med Microsoft-molnplattformar, till exempel Microsoft 365 och Microsoft Azure och molnplattformar och appar från tredje part. |
| Infografik för minuter | En översikt över hur Microsofts SecOps-team gör incidentsvar för att minimera pågående attacker. |
| Säkerhetsåtgärder för Azure Cloud Adoption Framework | Strategiska riktlinjer för ledare vid etablering eller modernisering av en säkerhetsåtgärdsfunktion. |
| Microsofts metodtips för säkerhetsåtgärder | Så här använder du ditt SecOps-center på bästa sätt för att flytta snabbare än attacker som riktar sig till din organisation. |
| Microsoft Cloud-säkerhet för MODELL för IT-arkitekter | Säkerhet i Microsofts molntjänster och plattformar för identitet och enhetsåtkomst, skydd mot hot och informationsskydd. |
| Microsofts säkerhetsdokumentation | Ytterligare säkerhetsvägledning från Microsoft. |