Plánování reakce na incidenty

Tuto tabulku použijte jako kontrolní seznam k přípravě služby Security Operations Center (SOC) na reakci na incidenty kybernetické bezpečnosti.

Hotovo Aktivita Popis Výhoda
Cvičení s horní tabulkou Provádějte pravidelná tabulkové cvičení předvídatelných kybernetických incidentů s dopadem na podnikání, které nutí vedení vaší organizace uvažovat o obtížných rozhodnutích založených na rizicích. Pevně zavádí a ilustruje kybernetickou bezpečnost jako obchodní problém. Rozvíjí svalovou paměť a vysvítá obtížná rozhodnutí a problémy s rozhodovacími právy v rámci organizace.
Určení rozhodnutí před útokem a osoby s rozhodovací pravomocí Jako doplněk k tabulkovým cvičením určete rozhodnutí založená na riziku, kritéria pro rozhodování a to, kdo musí tato rozhodnutí dělat a provádět. Příklad:

Kdo/kdy/jestli požádat o pomoc od donucovacích orgánů?

Kdo, kdy a kdy se má na incidenty reagovat?

Kdo/kdy/jestli zaplatit výkupné?

Kdo, kdy a kdy upozornit externí auditory?

Kdo, kdy a kdy oznámit regulačním orgánům pro ochranu osobních údajů?

Kdo/ kdy a kdy oznámit regulátorům cenných papírů?

Kdo/ kdy a kdy oznámit správní radě nebo výboru pro audit?

Kdo má oprávnění vypínat důležité úlohy?
Definuje parametry počáteční odpovědi a kontakty, které budou zahrnovat, aby se zjednodušila reakce na incident.
Zachování oprávnění Obvykle může být poradenství privilegované, ale fakta jsou zjistitelná. Vytrénujte vedoucí klíčových incidentů při předávání rad, faktů a názorů v rámci oprávnění, aby se tato oprávnění zachovala a snížila se rizika. Zachování oprávnění může být nepřehledný proces při zvažování množství komunikačních kanálů, včetně e-mailu, platforem pro spolupráci, chatů, dokumentů a artefaktů. Můžete například použít Microsoft Teams Rooms. Konzistentní přístup mezi pracovníky incidentů a podporou externích organizací může pomoct snížit potenciální právní riziko.
Aspekty obchodování programu Insider Zvažte oznámení vedení, která by měla být přijata ke snížení rizika porušení cenných papírů. Správní rady a externí auditoři mají tendenci oceňovat, že máte zmírnění rizik, která sníží riziko pochybných obchodů s cennými papíry v období turbulence.
Playbook rolí a odpovědností incidentů Stanovte základní role a odpovědnosti, které různým procesům umožňují zachovat zaměření a pokrok vpřed.

Pokud je váš tým odpovědí vzdálený, může to vyžadovat další aspekty týkající se časových pásem a správného předání vyšetřovatelům.

Možná budete muset komunikovat mezi dalšími týmy, které by mohly být zapojeny, jako jsou týmy dodavatelů.
Technický vedoucí incidentů – vždy v incidentu, syntetizuje vstupy a zjištění a plánuje další akce.

Komunikační spojení – Odstraňuje zátěž komunikace s vedením od vedoucího technického incidentu, aby mohli zůstat zapojeni do incidentu bez ztráty zaměření.

Tato aktivita by měla zahrnovat správu zasílání zpráv vedoucích pracovníků a interakce s jinými třetími stranami, jako jsou regulační orgány.

Záznam incidentů – odstraňuje zátěž spojenou se záznamem zjištění, rozhodnutí a akcí z respondenta incidentu a vytváří přesné vyhodnocení incidentu od začátku do konce.

Forward Planner – ve spolupráci s vlastníky klíčových obchodních procesů formuluje aktivity a přípravy provozní kontinuity, které uvažují o poškození informačního systému, které trvá 24, 48, 72, 96 hodin nebo více.

Vztahy s veřejností – v případě incidentu, který pravděpodobně vzbudí pozornost veřejnosti, spolu s Forward Plannerem uvažuje a navrhuje přístupy k veřejné komunikaci, které řeší pravděpodobné výsledky.
Playbook reakce na incidenty ochrany osobních údajů Pro splnění stále přísnějších předpisů o ochraně osobních údajů vytvořte společně vlastněný playbook mezi secOps a kanceláří pro ochranu osobních údajů. Tento playbook umožní rychlé vyhodnocení potenciálních problémů s ochranou osobních údajů, které mohou vzniknout v důsledku bezpečnostních incidentů. Je obtížné vyhodnotit incidenty zabezpečení z hlediska jejich potenciálního dopadu na soukromí, protože většina incidentů zabezpečení vzniká ve vysoce technickém SOC. Incidenty se musí rychle zobrazit v kanceláři pro ochranu osobních údajů (často s očekávaným 72hodinovým oznámením), kde se stanoví regulační riziko.
Testování průniku Proveďte simulované útoky k určitému bodu v čase proti důležitým podnikovým systémům, kritické infrastruktuře a zálohám, abyste identifikovali slabá místa v stavu zabezpečení. Tuto aktivitu obvykle provádí tým externích odborníků, kteří se zaměřují na obcházení preventivních kontrol a zpřístupnění klíčových ohrožení zabezpečení. Vzhledem k nedávným incidentům ransomwaru provozovanému člověkem by se mělo provádět penetrační testování s větším rozsahem infrastruktury, zejména schopností napadnout a řídit zálohy kritických systémů a dat.
Červený tým / Modrý tým / Fialový tým / Zelený tým Provádějte průběžné nebo pravidelné simulované útoky na důležité podnikové systémy, kritickou infrastrukturu a zálohy, abyste identifikovali slabá místa v stavu zabezpečení. Tuto aktivitu obvykle provádějí týmy interních útoků (červené týmy), které se zaměřují na testování účinnosti detektivních kontrolních mechanismů a týmů (modré týmy).

Můžete například použít Simulační nácvik útoku v Microsoft 365 Defender pro simulace kurzů Office 365 a útoku & pro Microsoft 365 Defender pro koncový bod.
Simulace útoku červeného, modrého a fialového týmu, pokud jsou hotové dobře, slouží mnoha účelům:
  • Umožňuje technikům z celé IT organizace simulovat útoky na vlastní disciplíny infrastruktury.
  • Odhalí mezery ve viditelnosti a detekci.
  • Zvyšuje dovednosti v oblasti bezpečnostního inženýrství v celé oblasti.
  • Slouží jako souvislější a rozsáhlejší proces.


Zelený tým implementuje změny v konfiguraci IT nebo zabezpečení.
Plánování provozní kontinuity Pro klíčové obchodní procesy je potřeba navrhnout a otestovat procesy kontinuity, které umožňují fungování minimálního životaschopného podniku v době poškození informačních systémů.

Můžete například použít plán zálohování a obnovení Azure k ochraně důležitých obchodních systémů během útoku, abyste zajistili rychlé obnovení obchodních operací.
  • Zdůrazňuje skutečnost, že neexistuje žádné řešení kontinuity pro poškození nebo absenci IT systémů.
  • Může zdůraznit potřebu a financování sofistikované digitální odolnosti před jednodušším zálohováním a obnovením.
Zotavení po havárii U informačních systémů, které podporují klíčové obchodní procesy, byste měli navrhnout a otestovat scénáře zálohování a obnovení horkého/studeného a horkého/teplého zálohování a obnovení, včetně přípravných časů. Organizace, které provádějí sestavení holých počítačů, často najdou aktivity, které není možné replikovat nebo které neodpovídají cílům na úrovni služeb.

Důležité systémy, které jsou často spuštěné na nepodporovaném hardwaru, nejde obnovit na moderní hardware.

Obnovení záloh se často netestuje a dochází k problémům. Zálohy můžou být dál offline, aby se přípravné časy nezohlednily do cílů obnovení.
Komunikace mimo pásmo Připravte se na to, jak budete komunikovat v následujících scénářích:
  • Email a poškození služeb pro spolupráci
  • Výkupné za úložiště dokumentace
  • Nedostupnost telefonních čísel personálu.
I když je to obtížné cvičení, určete, jak ukládat důležité informace neměnně v off-line zařízeních a umístěních pro distribuci ve velkém měřítku. Příklad:
  • Telefonní čísla
  • Topologie
  • Vytváření dokumentů
  • Postupy obnovení IT
Posílení, hygiena a správa životního cyklu V souladu s 20 hlavními bezpečnostními prvky center for Internet Security (CIS) zpevněte svou infrastrukturu a proveďte důkladnou hygienu. V reakci na nedávné incidenty ransomwaru provozované lidmi vydala Společnost Microsoft konkrétní pokyny pro ochranu všech fází řetězu útoků kyberútoku. Tyto pokyny se vztahují k možnostem Microsoftu nebo možnostem jiných poskytovatelů. Za zmínku stojí:
  • Vytváření a údržba neměnných záložních kopií v případě vykouření systémů. Můžete také zvážit, jak zachovat neměnné soubory protokolu, které komplikují schopnost útočníka zakrýt jeho stopy.
  • Rizika související s nepodporovaným hardwarem pro zotavení po havárii
Plánování reakce na incidenty Na začátku incidentu se rozhodněte o:
  • Důležité organizační parametry.
  • Přiřazení lidí k rolím a zodpovědnostem.
  • Smysl pro naléhavost (například 24× 7 a pracovní dobu).
  • Pracovníci pro udržitelnost po dobu trvání.
Na začátku je tendence vyhodit všechny dostupné prostředky na incident v naději na rychlé řešení. Jakmile zjistíte nebo předvíte, že incident bude trvat delší dobu, zaujděte na jiný postoj, který se svými zaměstnanci a dodavateli umožňuje usadit se na delší vzdálenost.
Osoby reagující na incidenty Stanovte si mezi sebou jasná očekávání. Oblíbený formát vykazování probíhajících aktivit zahrnuje:
  • Co jsme udělali (a jaké byly výsledky)?
  • Co děláme (a jaké výsledky budou vytvořeny a kdy)?
  • Co plánujeme udělat dál (a kdy je reálné očekávat výsledky)?
Osoby reagující na incidenty mají různé techniky a přístupy, včetně analýzy mrtvé skříňky, analýzy velkých objemů dat a schopnosti vytvářet přírůstkové výsledky. Když začnete s jasnými očekáváními, usnadníte tím jasnou komunikaci.

Zdroje informací o reakcích na incidenty

Klíčové zdroje zabezpečení od Microsoftu

Prostředek Popis
Microsoft Digital Defense Report 2021 Zpráva, která zahrnuje poznatky od odborníků na zabezpečení, odborníků a ochránců v Microsoftu, která lidem kdekoli umožňuje bránit se před kybernetickými hrozbami.
Referenční architektury microsoftu pro kybernetickou bezpečnost Sada diagramů vizuální architektury, která znázorňuje možnosti kybernetické bezpečnosti Microsoftu a jejich integraci s cloudovými platformami Microsoftu, jako je Microsoft 365 a Microsoft Azure, a cloudovými platformami a aplikacemi třetích stran.
Infografika ke stažení minut Přehled toho, jak tým SecOps Microsoftu reaguje na incidenty za účelem zmírnění probíhajících útoků.
Operace zabezpečení azure Cloud Adoption Framework Strategické pokyny pro vedoucí pracovníky, kteří nastavují nebo modernizují funkci operací zabezpečení.
Osvědčené postupy zabezpečení microsoftu pro operace zabezpečení Jak nejlépe využít centrum SecOps k rychlejšímu pohybu než útočníci, kteří cílí na vaši organizaci.
Model cloudového zabezpečení Microsoftu pro IT architekty Zabezpečení cloudových služeb a platforem Microsoftu pro přístup k identitám a zařízením, ochranu před hrozbami a ochranu informací.
Dokumentace zabezpečení od Microsoftu Další pokyny k zabezpečení od Microsoftu