Plánování reakce na incidenty
Tuto tabulku použijte jako kontrolní seznam k přípravě služby Security Operations Center (SOC) na reakci na incidenty kybernetické bezpečnosti.
| Hotovo | Aktivita | Description | Výhoda |
|---|---|---|---|
| Cvičení na začátku tabulky | Provádějte pravidelná tabulkové cvičení předvídatelných kybernetických incidentů, které mají dopad na firmu, které donutí vedení vaší organizace uvažovat o obtížných rozhodnutích založených na rizicích. | Pevně stanovuje a ilustruje kybernetickou bezpečnost jako obchodní problém. Rozvíjí svalovou paměť a v organizaci řeší obtížná rozhodnutí a rozhodovací práva. | |
| Určení rozhodnutí před útokem a rozhodovacích pravomocí | Jako doplněk tabulkových cvičení určete rozhodnutí na základě rizik, kritéria pro rozhodování a to, kdo musí tato rozhodnutí dělat a provádět. Příklad: Kdo, kdy a kdy požádat o pomoc od orgánů činných v trestním řízení? Kdo/ kdy/kdy/kdy narukovat osoby reagující na incidenty? Kdo/kdy/jestli zaplatit výkupné? Kdo, kdy a kdy má informovat externí auditory? Kdo, kdy a kdy upozornit regulační orgány pro ochranu osobních údajů? Kdo, kdy a kdy oznámit regulátorům cenných papírů? Kdo, kdy a kdy oznámit správní radě nebo výboru pro audit? Kdo má oprávnění vypínat důležité úlohy? |
Definuje parametry počáteční odpovědi a kontakty, které mají zjednodušit reakci na incident. | |
| Zachování oprávnění | Doporučení mohou být obvykle privilegovaná, ale fakta jsou zjistitelná. Vyškolte klíčové vedoucí incidenty při předávání rad, faktů a názorů v rámci oprávnění, aby se zachovala oprávnění a snížila se rizika. | Zachování oprávnění může být nepřehledný proces při zvažování velkého množství komunikačních kanálů, včetně e-mailu, platforem pro spolupráci, chatů, dokumentů a artefaktů. Můžete například použít Microsoft Teams Rooms. Konzistentní přístup mezi pracovníky incidentů a podporou externích organizací může pomoct snížit případné právní ohrožení. | |
| Aspekty obchodování programu Insider | Zvažte oznámení vedení, která by měla být přijata za účelem snížení rizika porušení cenných papírů. | Správní rady a externí auditoři obvykle ocení, že máte opatření ke zmírnění rizik, která sníží riziko sporných obchodů s cennými papíry v období turbulence. | |
| Playbook rolí a odpovědností incidentů | Stanovte základní role a zodpovědnosti, které různým procesům umožní zachovat si zaměření a pokrok. Pokud je váš tým pro reakce vzdálený, může to vyžadovat další aspekty časových pásem a řádné předání vyšetřovatelům. Možná budete muset komunikovat mezi jinými týmy, které by mohly být zapojeny, jako jsou například týmy dodavatelů. |
Technický vedoucí incidentu – vždy v incidentu, syntetizuje vstupy a zjištění a plánuje další akce. Komunikační spojení – Odstraní zátěž spojenou s komunikací s vedením od vedoucího technického incidentu, aby mohli zůstat zapojeni do incidentu bez ztráty zaměření. Tato aktivita by měla zahrnovat správu zasílání zpráv a interakcí s jinými třetími stranami, jako jsou regulační orgány. Záznam incidentu – odstraní zátěž spojenou se záznamem zjištění, rozhodnutí a akcí od respondéru incidentu a vytvoří přesnou účetní závěrku incidentu od začátku do konce. Forward Planner – ve spolupráci s vlastníky důležitých obchodních procesů formuluje aktivity a přípravy provozní kontinuity, které zvažují poškození informačního systému, které trvá 24, 48, 72, 96 hodin nebo více. Vztahy s veřejností – v případě incidentu, který pravděpodobně vzbudí pozornost veřejnosti, s Forward Plannerem uvažuje a připravuje přístupy k veřejné komunikaci, které řeší pravděpodobné výsledky. |
|
| Playbook reakce na incidenty ochrany osobních údajů | Pokud chcete splnit stále přísnější předpisy týkající se ochrany osobních údajů, vytvořte playbook ve společném vlastnictví mezi secOps a kanceláří pro ochranu osobních údajů. Tento playbook umožní rychlé vyhodnocení potenciálních problémů s ochranou osobních údajů, které by mohly vzniknout v důsledku incidentů zabezpečení. | Vyhodnotit bezpečnostní incidenty je obtížné, pokud jde o jejich potenciální dopad na ochranu osobních údajů, protože většina incidentů zabezpečení vzniká ve vysoce technickém SOC. Incidenty se musí rychle dostat do kanceláře pro ochranu osobních údajů (často s očekávaným oznámením 72 hodin), kde se stanoví regulační riziko. | |
| Testování průniku | Provádějte simulované útoky k určitému bodu v čase na důležité podnikové systémy, kritickou infrastrukturu a zálohy a identifikujte slabá místa v stavu zabezpečení. Tuto aktivitu obvykle provádí tým externích odborníků, kteří se zaměřují na obcházení preventivních kontrol a zpřístupnění klíčových ohrožení zabezpečení. | S ohledem na nedávné incidenty ransomwaru provozované člověkem by se mělo provádět penetrační testování s větším rozsahem infrastruktury, zejména se schopností napadnout a řídit zálohy kritických systémů a dat. | |
| Červený tým / Modrý tým / Fialový tým / Zelený tým | Provádějte průběžné nebo pravidelné simulované útoky na důležité podnikové systémy, kritickou infrastrukturu a zálohy a identifikujte slabá místa v stavu zabezpečení. Tuto aktivitu obvykle provádějí týmy interních útoků (červené týmy), které se zaměřují na testování efektivity detektivů a týmů (modré týmy). Můžete například použít Simulační nácvik útoku v Microsoft 365 Defender pro Office 365 a kurzy & útoku pro Microsoft 365 Defender pro koncový bod. |
Simulace útoku pomocí červeného, modrého a fialového týmu, pokud jsou provedené dobře, slouží mnoha účelům:
Zelený tým implementuje změny v konfiguraci IT nebo zabezpečení. |
|
| Plánování provozní kontinuity | Pro klíčové obchodní procesy navrhujte a otestujte procesy kontinuity, které umožňují fungování minimálního životaschopného podniku v době narušení informačních systémů. K ochraně důležitých podnikových systémů během útoku můžete například použít plán zálohování a obnovení Azure , abyste zajistili rychlé obnovení obchodních operací. |
|
|
| Zotavení po havárii | V případě informačních systémů, které podporují klíčové obchodní procesy, byste měli navrhnout a otestovat scénáře zálohování a obnovení horké/studené a horké/teplé, včetně příprav. | Organizace, které provádějí sestavení holých počítačů, často najdou aktivity, které není možné replikovat nebo které neodpovídají cílům na úrovni služeb. Důležité systémy, které často běží na nepodporovaném hardwaru, není možné obnovit na moderní hardware. Obnovení záloh se často netestuje a dochází k problémům. Zálohy můžou být dál offline, aby se přípravné časy nezohlednily do cílů obnovení. |
|
| Mimo pásmo komunikace | Připravte se na to, jak byste komunikovali v následujících scénářích:
|
I když je to obtížné, určete, jak ukládat důležité informace neměnně do off-line zařízení a umístění pro distribuci ve velkém měřítku. Příklad:
|
|
| Kalení, hygiena a správa životního cyklu | V souladu s Center for Internet Security (CIS) Top 20 bezpečnostních prvků, posílit svoji infrastrukturu a provádět důkladné hygienické aktivity. | V reakci na nedávné incidenty ransomwaru provozovaného člověkem vydal Microsoft konkrétní pokyny pro ochranu všech fází řetězce kyberútoků. Tyto pokyny se vztahují na možnosti Microsoftu nebo na možnosti jiných poskytovatelů. Za zmínku stojí:
|
|
| Plánování reakce na incidenty | Na začátku incidentu rozhodněte o:
|
Existuje tendence házet všechny dostupné prostředky na začátku incidentu v naději na rychlé řešení. Jakmile zjistíte nebo předvíte, že incident bude trvat delší dobu, zaujděte na jiný postoj, který se svými zaměstnanci a dodavateli umožňuje usadit se na delší vzdálenost. | |
| Osoby reagující na incidenty | Stanovte si mezi sebou jasná očekávání. Oblíbený formát vykazování probíhajících aktivit zahrnuje:
|
Osoby reagující na incidenty se dodávají s různými technikami a přístupy, včetně analýzy mrtvé skříňky, analýzy velkých objemů dat a schopnosti vytvářet přírůstkové výsledky. Když začnete s jasnými očekáváními, usnadníte tím jasnou komunikaci. |
Zdroje informací o reakcích na incidenty
- Přehled bezpečnostních produktů a prostředků Microsoftu pro nováčka a zkušené analytiky
- Playbooky s podrobnými pokyny k reagování na běžné metody útoku
- reakce na incidenty Microsoft 365 Defender
- Microsoft Defender pro cloud (Azure)
- Reakce na incidenty služby Microsoft Sentinel
Klíčové zdroje zabezpečení od Microsoftu
| Prostředek | Popis |
|---|---|
| Microsoft Digital Defense Report 2021 | Zpráva, která zahrnuje poznatky od odborníků na zabezpečení, odborníků a ochránců v Microsoftu, která lidem kdekoli umožňuje bránit se před kybernetickými hrozbami. |
| Referenční architektury microsoftu pro kybernetickou bezpečnost | Sada diagramů vizuální architektury, která znázorňuje možnosti kybernetické bezpečnosti Microsoftu a jejich integraci s cloudovými platformami Microsoftu, jako je Microsoft 365 a Microsoft Azure, a cloudovými platformami a aplikacemi třetích stran. |
| Infografika ke stažení minuty | Přehled toho, jak tým SecOps Microsoftu reaguje na incidenty za účelem zmírnění probíhajících útoků. |
| Operace zabezpečení azure Cloud Adoption Framework | Strategické pokyny pro vedoucí pracovníky, kteří nastavují nebo modernizují funkci operací zabezpečení. |
| Osvědčené postupy zabezpečení microsoftu pro operace zabezpečení | Jak nejlépe využít centrum SecOps k rychlejšímu pohybu než útočníci, kteří cílí na vaši organizaci. |
| Model cloudového zabezpečení Microsoftu pro IT architekty | Zabezpečení cloudových služeb a platforem Microsoftu pro přístup k identitám a zařízením, ochranu před hrozbami a ochranu informací. |
| Dokumentace zabezpečení od Microsoftu | Další pokyny k zabezpečení od Microsoftu |