Plánování reakce na incidenty
Tuto tabulku použijte jako kontrolní seznam k přípravě služby Security Operations Center (SOC) na reakci na incidenty kybernetické bezpečnosti.
| Hotovo | Aktivita | Popis | Výhoda |
|---|---|---|---|
| Cvičení v horní části tabulky | Proveďte pravidelná cvičení s hlavními cvičeními o předvídatelných obchodních incidentech ovlivňujících kybernetický incident, které vynutí řízení vaší organizace zvážit obtížná rozhodnutí založená na rizicích. | Pevně vytváří a ilustruje kybernetickou bezpečnost jako obchodní problém. Vyvíjí svalovou paměť a zvrtá obtížná rozhodnutí a problémy s právy k rozhodování v celé organizaci. | |
| Určení rozhodnutí před útokem a rozhodovacích pravomocí | Jako doplněk k hlavním cvičením tabulky určete rozhodnutí založená na rizicích, kritéria pro rozhodování a to, kdo musí tato rozhodnutí provádět a spouštět. Příklad: Kdo/kdy/kdy/kdy/kdy požádat o pomoc od vymáhání práva? Kdo/kdy/kdy/kdy/pokud chcete zavést reakce na incidenty? Kdo/kdy/kdy/kdy zaplatit výkupné? Kdo/kdy/kdy/kdy/ chcete informovat externí auditory? Kdo/kdy/kdy/kdy oznámit regulačním orgánům pro ochranu osobních údajů? Kdo/kdy/kdy/kdy oznámit regulátorům cenných papírů? Kdo/kdy/kdy/kdy oznámit správní radě nebo kontrolnímu výboru? Kdo má pravomoc vypnout důležité úlohy? |
Definuje parametry počáteční odpovědi a kontakty, které zahrnují zjednodušení reakce na incident. | |
| Zachování oprávnění | Rady mohou být obvykle privilegované, ale fakta jsou zjistitelná. Vytrénujte klíčové vedoucí incidenty při komunikaci rad, faktů a názorů na základě oprávnění, aby se oprávnění zachovala a riziko se snížila. | Zachování oprávnění může být neuspořádaný proces při zvažování množství komunikačních kanálů, včetně e-mailů, platforem pro spolupráci, chatů, dokumentů, artefaktů. Můžete například použít Microsoft Teams Rooms. Konzistentní přístup pracovníků incidentů a podpora externích organizací může pomoct snížit potenciální právní expozici. | |
| Aspekty obchodování insiderů | Zvažte oznámení o správě, která by měla být přijata, aby se snížilo riziko porušení cenných papírů. | Desky a externí auditoři si váží toho, že máte omezení rizik, která sníží riziko sporných obchodů s cennými papíry během období turbulence. | |
| Playbook rolí incidentů a zodpovědností | Vytvořte základní role a odpovědnosti, které umožňují různým procesům udržovat zaměření a vpřed. Když je váš tým odpovědí vzdálený, může vyžadovat další aspekty časových pásem a správné předání vyšetřovatelům. Možná budete muset komunikovat mezi ostatními týmy, které by mohly být zapojeny, jako jsou týmy dodavatelů. |
Technický vedoucí incidentu – vždy v incidentu, syntezizaci vstupů a zjištění a plánování dalších akcí. Komunikační spojení – eliminuje zátěž při komunikaci s vedením vedoucího technického incidentu, aby se mohli do incidentu zapojit, aniž by se museli soustředit. Tato aktivita by měla zahrnovat správu výkonných zpráv a interakcí s jinými třetími stranami, jako jsou regulační orgány. Zapisovač incidentu – odebere zátěž záznamu zjištění, rozhodnutí a akcí od reakce na incidenty a vytvoří přesné účetnictví incidentu od začátku do konce. Forward Planner – Práce s klíčovými vlastníky obchodních procesů, formuluje aktivity kontinuity podnikových procesů a přípravy, které uvažují o zhoršení informačního systému, které trvá 24, 48, 72, 96 hodin nebo více. Vztahy s veřejností – V případě incidentu, který by pravděpodobně získal veřejnou pozornost, s Forward Plannerem zvažuje a připravuje přístupy veřejné komunikace, které řeší pravděpodobné výsledky. |
|
| Playbook reakce na incidenty ochrany osobních údajů | Pokud chcete uspokojovat stále přísnější předpisy týkající se ochrany osobních údajů, vytvořte společně vlastněný playbook mezi SecOps a úřadem pro ochranu osobních údajů. Tento playbook umožní rychlé vyhodnocení potenciálních problémů s ochranou osobních údajů, které můžou vzniknout z incidentů zabezpečení. | Je obtížné vyhodnotit bezpečnostní incidenty, aby mohly ovlivnit ochranu osobních údajů, protože většina bezpečnostních incidentů vzniká v vysoce technickém SOC. Incidenty se musí rychle dostat do kanceláře pro ochranu osobních údajů (často s 72hodinovým očekáváním oznámení), kde se určuje regulační riziko. | |
| Testování průniku | Proveďte simulované útoky k určitému bodu v čase proti kritickým obchodním systémům, kritické infrastruktuře a zálohám za účelem identifikace slabých míst v stavu zabezpečení. Tuto aktivitu obvykle provádí tým externích odborníků, který se zaměřuje na obejití preventivních kontrol a zpřístupnění klíčových ohrožení zabezpečení. | Vzhledem k nedávným incidentům ransomwaru provozovanému člověkem by se mělo provádět penetrační testování s větším rozsahem infrastruktury, zejména schopností útoku a řízení záloh kritických systémů a dat. | |
| Červený tým / modrý tým / fialový tým / zelený tým | Provádění průběžných nebo pravidelných simulovaných útoků na důležité obchodní systémy, kritickou infrastrukturu, zálohy za účelem identifikace slabých míst v stavu zabezpečení Tuto aktivitu obvykle provádějí interní útočné týmy (červené týmy), které se zaměřují na testování účinnosti detektivů a týmů (modré týmy). Můžete například použít Simulační nácvik útoku v XDR v programu Microsoft Defender pro Office 365 a kurzy útoku pro XDR v programu Microsoft Defender pro koncový bod. |
Červené, modré a fialové simulace útoku týmu, když je to dobře, slouží mnoha účelům:
Zelený tým implementuje změny v konfiguraci IT nebo zabezpečení. |
|
| Plánování kontinuity podnikových procesů | Pro klíčové obchodní procesy navrhujte a testujte procesy kontinuity, které umožňují fungování minimálního realizovatelného podniku v době poškození informačních systémů. Pomocí plánu zálohování a obnovení Azure můžete například chránit důležité obchodní systémy během útoku, abyste zajistili rychlé obnovení obchodních operací. |
|
|
| Zotavení po havárii | V případě informačních systémů, které podporují klíčové obchodní procesy, byste měli navrhnout a otestovat scénáře horkého/ studeného a teplého zálohování a obnovení, včetně přípravných dob. | Organizace, které provádějí holé kovy, často najdou aktivity, které není možné replikovat nebo se nevejdou do cílů na úrovni služeb. Důležité systémy běžící na nepodporovaném hardwaru se často nedají obnovit na moderní hardware. Obnovení záloh se často neotestuje a dochází k problémům. Zálohy můžou být dále offline, aby se do cílů obnovení nezohlednily pracovní doby. |
|
| Komunikace mimo pásmo | Připravte se na to, jak byste komunikují v následujících scénářích:
|
I když je to obtížné cvičení, určete, jak ukládat důležité informace neměnně do off-line zařízení a umístění pro distribuci ve velkém měřítku. Příklad:
|
|
| Posílení, hygiena a správa životního cyklu | V souladu s 20 hlavními bezpečnostními prvky Centra pro internet security (CIS) posílit infrastrukturu a provádět důkladné hygienické aktivity. | V reakci na nedávné incidenty ransomwaru provozované lidmi společnost Microsoft vydala specifické pokyny pro ochranu každé fáze řetězce cyberattack kill chain. Tyto pokyny platí pro možnosti Microsoftu nebo možnosti jiných poskytovatelů. Konkrétní poznámka:
|
|
| Plánování reakce na incidenty | Na začátku incidentu se rozhodněte o:
|
Na začátku má tendenci hodit všechny dostupné prostředky na incident, a to v naději na rychlé řešení. Jakmile poznáte nebo předpokládáte, že incident po delší dobu poběží, vezměte u svých zaměstnanců a dodavatelů jiný postoj, který jim umožní usadit se na delší cestu. | |
| Reakce na incidenty | Stanovit jasná očekávání mezi sebou. Mezi oblíbené formáty probíhajících aktivit vytváření sestav patří:
|
Reakce na incidenty mají různé techniky a přístupy, včetně analýzy mrtvých krabic, analýzy velkých objemů dat a schopnosti vytvářet přírůstkové výsledky. Počínaje jasnými očekáváními bude usnadnit jasnou komunikaci. |
Zdroje informací o reakcích na incidenty
- Přehled produktů a prostředků zabezpečení Microsoftu pro nové role a zkušené analytiky
- Playbooky s podrobnými pokyny k reagování na běžné metody útoku
- Reakce na incident XDR v programu Microsoft Defender
- Microsoft Defender for Cloud (Azure)
- Reakce na incidenty Microsoft Sentinelu
- Průvodce týmem reakce na incidenty Microsoftu sdílí osvědčené postupy pro týmy zabezpečení a vedoucí pracovníky.
- Průvodci reakcemi na incidenty Microsoftu pomáhají týmům zabezpečení analyzovat podezřelou aktivitu
Klíčové prostředky zabezpečení Microsoftu
| Resource | Popis |
|---|---|
| 2021 Microsoft Digital Defense Report | Sestava, která zahrnuje poznatky od odborníků na zabezpečení, odborníků a obránců v Microsoftu, aby lidem na celém světě posílila ochranu před kybernetickými hrozbami. |
| Referenční architektury kyberbezpečnosti Microsoftu | Sada diagramů vizuální architektury, které ukazují možnosti kybernetické bezpečnosti Microsoftu a jejich integraci s cloudovými platformami Microsoftu, jako jsou Microsoft 365 a Microsoft Azure a cloudové platformy a aplikace třetích stran. |
| Infografika s minutovou hmotou ke stažení | Přehled toho, jak tým SecOps od Microsoftu reaguje na incidenty za účelem zmírnění probíhajících útoků. |
| Operace zabezpečení architektury přechodu na cloud Azure | Strategické pokyny pro vedoucí pracovníky, kteří navazují nebo modernizují funkci operace zabezpečení. |
| Osvědčené postupy zabezpečení Microsoftu pro operace zabezpečení | Jak nejlépe využít centrum SecOps k rychlejšímu pohybu než útočníci, kteří cílí na vaši organizaci. |
| Zabezpečení cloudu Microsoftu pro model IT architektů | Zabezpečení napříč cloudovými službami a platformami Microsoftu pro přístup k identitám a zařízením, ochranu před hrozbami a ochranu informací |
| Dokumentace k zabezpečení Microsoftu | Další pokyny k zabezpečení od Microsoftu |