Empfehlungen für die Reaktion auf Sicherheitsvorfälle
Gilt für die Empfehlung der Sicherheitsprüfliste für Azure Well-Architected Framework:
| SE:12 | Definieren und testen Sie effektive Verfahren zur Reaktion auf Vorfälle, die ein Spektrum von Vorfällen abdecken, von lokalisierten Problemen bis hin zur Notfallwiederherstellung. Definieren Sie klar, welches Team oder welche Einzelperson eine Prozedur ausführt. |
|---|
In diesem Leitfaden werden die Empfehlungen für die Implementierung einer Reaktion auf Sicherheitsvorfälle für eine Workload beschrieben. Wenn es eine Sicherheitsgefährdung für ein System gibt, trägt ein systematischer Ansatz zur Reaktion auf Vorfälle dazu bei, die Zeit zu reduzieren, die zum Identifizieren, Verwalten und Mindern von Sicherheitsvorfällen benötigt wird. Diese Vorfälle können die Vertraulichkeit, Integrität und Verfügbarkeit von Softwaresystemen und -daten gefährden.
Die meisten Unternehmen verfügen über ein zentrales Sicherheitsbetriebsteam (auch bekannt als Security Operations Center (SOC) oder SecOps). Das Sicherheitsbetriebsteam ist dafür verantwortlich, potenzielle Angriffe schnell zu erkennen, zu priorisieren und zu selektieren. Das Team überwacht auch sicherheitsbezogene Telemetriedaten und untersucht Sicherheitsverletzungen.
Sie sind jedoch auch dafür verantwortlich, Ihre Workload zu schützen. Es ist wichtig, dass alle Kommunikations-, Untersuchungs- und Hunting-Aktivitäten eine Zusammenarbeit zwischen Workloadteam und SecOps-Team sind.
Dieser Leitfaden enthält Empfehlungen für Sie und Ihr Workloadteam, damit Sie Angriffe schnell erkennen, selektieren und untersuchen können.
Definitionen
| Begriff | Definition |
|---|---|
| Warnung | Eine Benachrichtigung, die Informationen zu einem Vorfall enthält. |
| Warnungstreue | Die Genauigkeit der Daten, die eine Warnung bestimmen. Warnungen mit hoher Genauigkeit enthalten den Sicherheitskontext, der für sofortige Maßnahmen erforderlich ist. Warnungen mit niedriger Genauigkeit fehlen Informationen oder enthalten Rauschen. |
| Falsch positiv | Eine Warnung, die auf einen Vorfall hinweist, der nicht aufgetreten ist. |
| Incident | Ein Ereignis, das auf den nicht autorisierten Zugriff auf ein System hinweist. |
| Reaktion auf Incidents | Ein Prozess, der Risiken erkennt, darauf reagiert und entschärft, die mit einem Incident verbunden sind. |
| Eingrenzung | Ein Vorgang zur Reaktion auf Vorfälle, der Sicherheitsprobleme analysiert und deren Entschärfung priorisiert. |
Wichtige Entwurfsstrategien
Sie und Ihr Team führen Vorgänge zur Reaktion auf Vorfälle durch, wenn ein Signal oder eine Warnung für eine potenzielle Kompromittierung vorliegt. Warnungen mit hoher Genauigkeit enthalten einen ausreichenden Sicherheitskontext, der analysten das Treffen von Entscheidungen erleichtert. Warnungen mit hoher Genauigkeit führen zu einer geringen Anzahl falsch positiver Ergebnisse. In diesem Leitfaden wird davon ausgegangen, dass ein Warnungssystem Signale mit niedriger Genauigkeit filtert und sich auf Warnungen mit hoher Genauigkeit konzentriert, die auf einen echten Vorfall hinweisen können.
Zuweisen von Incidentbenachrichtigungen
Sicherheitswarnungen müssen die entsprechenden Personen in Ihrem Team und in Ihrem organization erreichen. Richten Sie einen bestimmten Ansprechpartner für Ihr Workloadteam ein, um Incidentbenachrichtigungen zu erhalten. Diese Benachrichtigungen sollten so viele Informationen wie möglich über die kompromittierte Ressource und das System enthalten. Die Warnung muss die nächsten Schritte enthalten, damit Ihr Team Aktionen beschleunigen kann.
Es wird empfohlen, dass Sie Incidentbenachrichtigungen und -aktionen mithilfe spezieller Tools protokollieren und verwalten, die einen Überwachungspfad beibehalten. Mithilfe von Standardtools können Sie Beweise aufbewahren, die für potenzielle rechtliche Untersuchungen erforderlich sind. Suchen Sie nach Möglichkeiten zur Implementierung einer Automatisierung, die Benachrichtigungen basierend auf den Verantwortlichkeiten verantwortlicher Parteien senden kann. Führen Sie während eines Incidents eine klare Kommunikations- und Berichtskette.
Profitieren Sie von SIEM-Lösungen (Security Information Event Management) und SOAR-Lösungen (Security Orchestration Automated Response), die Ihr organization bereitstellt. Alternativ können Sie Tools zur Verwaltung von Vorfällen erwerben und Ihre organization dazu ermutigen, sie für alle Workloadteams zu standardisieren.
Untersuchen mit einem Selektierungsteam
Das Teammitglied, das eine Incidentbenachrichtigung empfängt, ist für die Einrichtung eines Selektierungsprozesses verantwortlich, der die entsprechenden Personen auf der Grundlage der verfügbaren Daten einbezieht. Das Selageteam, das oft als Bridgeteam bezeichnet wird, muss sich über den Modus und den Prozess der Kommunikation einigen. Sind für diesen Vorfall asynchrone Diskussionen oder Brückenaufrufe erforderlich? Wie sollte das Team den Fortschritt der Untersuchungen nachverfolgen und kommunizieren? Wo kann das Team auf Incidentressourcen zugreifen?
Die Reaktion auf Vorfälle ist ein wichtiger Grund, die Dokumentation auf dem neuesten Stand zu halten, z. B. das architektonische Layout des Systems, Informationen auf Komponentenebene, Datenschutz- oder Sicherheitsklassifizierung, Besitzer und wichtige Kontaktpunkte. Wenn die Informationen ungenau oder veraltet sind, verschwendet das Bridgeteam wertvolle Zeit, um zu verstehen, wie das System funktioniert, wer für jeden Bereich verantwortlich ist und welche Auswirkungen das Ereignis haben könnte.
Beziehen Sie für weitere Untersuchungen die entsprechenden Personen ein. Sie können einen Incident-Manager, einen Sicherheitsbeauftragten oder workloadorientierte Leads einschließen. Um den Fokus der Selektierung zu behalten, schließen Sie Personen aus, die außerhalb des Bereichs des Problems liegen. Manchmal untersuchen separate Teams den Vorfall. Möglicherweise gibt es ein Team, das das Problem zunächst untersucht und versucht, den Vorfall zu entschärfen, und ein anderes spezialisiertes Team, das Forensik für eine umfassende Untersuchung durchführt, um umfassende Probleme zu ermitteln. Sie können die Workloadumgebung unter Quarantäne stellen, damit das Forensikteam seine Untersuchungen durchführen kann. In einigen Fällen kann dasselbe Team die gesamte Untersuchung übernehmen.
In der Anfangsphase ist das Selektierungsteam für die Ermittlung des potenziellen Vektors und seiner Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit (auch CIA genannt) des Systems verantwortlich.
Weisen Sie innerhalb der Kategorien der CIA einen anfänglichen Schweregrad zu, der die Tiefe des Schadens und die Dringlichkeit der Behebung angibt. Es wird erwartet, dass sich diese Ebene im Laufe der Zeit ändert, wenn weitere Informationen in den Selektierungsebenen ermittelt werden.
In der Ermittlungsphase ist es wichtig, ein sofortiges Vorgehen und Kommunikationspläne zu bestimmen. Gibt es Änderungen am Ausführungsstatus des Systems? Wie kann der Angriff eingedämmt werden, um die weitere Ausnutzung zu stoppen? Muss das Team interne oder externe Kommunikation senden, z. B. eine verantwortungsvolle Offenlegung? Berücksichtigen Sie die Erkennungs- und Antwortzeit. Möglicherweise sind Sie gesetzlich verpflichtet, einige Arten von Verstößen innerhalb eines bestimmten Zeitraums, der oft Stunden oder Tage dauert, an eine Regulierungsbehörde zu melden.
Wenn Sie sich entscheiden, das System herunterzufahren, führen die nächsten Schritte zum Notfallwiederherstellungsprozess der Workload.
Wenn Sie das System nicht herunterfahren, bestimmen Sie, wie der Vorfall behoben werden soll, ohne die Funktionalität des Systems zu beeinträchtigen.
Wiederherstellen nach einem Incident
Behandeln Sie einen Sicherheitsvorfall wie einen Notfall. Wenn die Wiederherstellung eine vollständige Wiederherstellung erfordert, verwenden Sie aus Sicherheitssicht die richtigen Notfallwiederherstellungsmechanismen. Der Wiederherstellungsprozess muss die Wahrscheinlichkeit einer Wiederholung verhindern. Andernfalls wird das Problem bei der Wiederherstellung aus einer beschädigten Sicherung erneut eingeführt. Die erneute Bereitstellung eines Systems mit demselben Sicherheitsrisiko führt zu demselben Vorfall. Überprüfen Sie Failover- und Failbackschritte und -prozesse.
Wenn das System weiterhin funktioniert, bewerten Sie die Auswirkungen auf die ausgeführten Teile des Systems. Überwachen Sie das System weiterhin, um sicherzustellen, dass andere Zuverlässigkeits- und Leistungsziele erreicht oder neu ausgerichtet werden, indem sie geeignete Degradationsprozesse implementieren. Gefährden Sie den Datenschutz nicht aufgrund von Entschärfung.
Die Diagnose ist ein interaktiver Prozess, bis der Vektor und eine mögliche Fixierung und ein Fallback identifiziert werden. Nach der Diagnose arbeitet das Team an der Korrektur, die die erforderliche Korrektur identifiziert und innerhalb eines akzeptablen Zeitraums anwendet.
Wiederherstellungsmetriken messen, wie lange es dauert, ein Problem zu beheben. Im Falle eines Herunterfahrens kann es eine Dringlichkeit hinsichtlich der Wiederherstellungszeiten geben. Um das System zu stabilisieren, dauert es einige Zeit, Fixes, Patches und Tests anzuwenden und Updates bereitzustellen. Legen Sie Eindämmungsstrategien fest, um weitere Schäden und die Ausbreitung des Vorfalls zu verhindern. Entwickeln Sie Ausrottungsverfahren, um die Bedrohung vollständig aus der Umgebung zu entfernen.
Kompromiss: Es gibt einen Kompromiss zwischen Zuverlässigkeitszielen und Wiederherstellungszeiten. Während eines Incidents erfüllen Sie wahrscheinlich keine anderen nicht funktionalen oder funktionalen Anforderungen. Beispielsweise müssen Sie möglicherweise Teile Ihres Systems deaktivieren, während Sie den Vorfall untersuchen, oder Sie müssen möglicherweise sogar das gesamte System offline schalten, bis Sie den Umfang des Incidents festgelegt haben. Unternehmensentscheidungsträger müssen explizit entscheiden, welche Ziele während des Vorfalls zulässig sind. Geben Sie die Person, die für diese Entscheidung verantwortlich ist, eindeutig an.
Aus einem Incident lernen
Ein Incident deckt Lücken oder anfällige Punkte in einem Entwurf oder einer Implementierung auf. Es handelt sich um eine Verbesserungschance, die von Lektionen in technischen Entwurfsaspekten, Automatisierung, Produktentwicklungsprozessen, einschließlich Tests, und der Effektivität des Prozesses zur Reaktion auf Vorfälle bestimmt wird. Verwalten Sie detaillierte Incidentdatensätze, einschließlich durchgeführter Aktionen, Zeitachsen und Ergebnissen.
Es wird dringend empfohlen, strukturierte Überprüfungen nach Vorfällen durchzuführen, z. B. Ursachenanalysen und Retrospektiven. Verfolgen und priorisieren Sie das Ergebnis dieser Überprüfungen, und erwägen Sie die Verwendung ihrer Erkenntnisse in zukünftigen Workloadentwürfen.
Verbesserungspläne sollten Updates für Sicherheitsübungen und -tests wie BcDR-Drills (Geschäftskontinuität und Notfallwiederherstellung) enthalten. Verwenden Sie eine Sicherheitskompromittierung als Szenario für die Durchführung eines BCDR-Drills. Drills können überprüfen, wie die dokumentierten Prozesse funktionieren. Es sollte nicht mehrere Playbooks zur Reaktion auf Vorfälle geben. Verwenden Sie eine einzelne Quelle, die Sie basierend auf der Größe des Vorfalls und der Verbreitung oder Lokalisierung des Effekts anpassen können. Drills basieren auf hypothetischen Situationen. Führen Sie Drills in einer Umgebung mit geringem Risiko durch, und schließen Sie die Lernphase in die Drills ein.
Führen Sie Überprüfungen nach Vorfällen oder Postmortems durch, um Schwachstellen im Reaktionsprozess und verbesserungswürdige Bereiche zu identifizieren. Aktualisieren Sie basierend auf den Erkenntnissen, die Sie aus dem Vorfall ziehen, den Plan für die Reaktion auf Vorfälle (Incident Response Plan, IRP) und die Sicherheitskontrollen.
Senden der erforderlichen Kommunikation
Implementieren Sie einen Kommunikationsplan, um Benutzer über eine Unterbrechung zu informieren und interne Projektbeteiligte über die Korrekturen und Verbesserungen zu informieren. Andere Personen in Ihrem organization müssen über Änderungen an der Sicherheitsbaseline der Workload benachrichtigt werden, um zukünftige Vorfälle zu verhindern.
Erstellen Sie Incidentberichte für die interne Verwendung und, falls erforderlich, für die Einhaltung gesetzlicher Bestimmungen oder rechtlicher Zwecke. Übernehmen Sie außerdem einen Standardformatbericht (eine Dokumentvorlage mit definierten Abschnitten), den das SOC-Team für alle Vorfälle verwendet. Stellen Sie sicher, dass jedem Vorfall ein Bericht zugeordnet ist, bevor Sie die Untersuchung schließen.
Azure-Erleichterung
Microsoft Sentinel ist eine SIEM- und SOAR-Lösung. Es ist eine Einzellösung für Warnungserkennung, Einblicke in Bedrohungen, proaktives Hunting und die Reaktion auf Bedrohungen. Weitere Informationen finden Sie unter Was ist Microsoft Sentinel?
Stellen Sie sicher, dass das Azure-Registrierungsportal Kontaktinformationen für Administratoren enthält, damit Sicherheitsvorgänge direkt über einen internen Prozess benachrichtigt werden können. Weitere Informationen finden Sie unter Aktualisieren von Benachrichtigungseinstellungen.
Weitere Informationen zum Einrichten eines bestimmten Kontaktpunkts, der Azure-Incidentbenachrichtigungen von Microsoft Defender für Cloud empfängt, finden Sie unter Konfigurieren von E-Mail-Benachrichtigungen für Sicherheitswarnungen.
Organisationsausrichtung
Cloud Adoption Framework für Azure bietet Anleitungen zur Planung der Reaktion auf Vorfälle und zu Sicherheitsvorgängen. Weitere Informationen finden Sie unter Sicherheitsvorgänge.
Verwandte Links
- Automatisches Erstellen von Incidents aus Microsoft-Sicherheitswarnungen
- Durchführen der End-to-End-Bedrohungssuche mithilfe des Features "Jagden"
- Konfigurieren von E-Mail-Benachrichtigungen für Sicherheitswarnungen
- Übersicht über die Reaktion auf Vorfälle
- Bereitschaft von Microsoft Azure-Vorfällen
- Navigieren und Untersuchen von Incidents mit Microsoft Sentinel
- Sicherheitskontrolle: Reaktion auf Vorfälle
- SOAR-Lösungen in Microsoft Sentinel
- Schulung: Einführung in die Azure-Incidentbereitschaft
- Aktualisieren Azure-Portal Benachrichtigungseinstellungen
- Was ist ein SOC?
- Was ist Microsoft Sentinel?
Checkliste für die Sicherheit
Sehen Sie sich den vollständigen Satz von Empfehlungen an.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für