Grundlegendes zur Reaktion auf Microsoft Online Services-Vorfälle – Phase 1 – Vorbereitung
Da Sie nun die Teams kennen, die für die Reaktion auf Vorfälle verantwortlich sind, werden wir jede Phase des Prozesses der Reaktion auf Vorfälle untersuchen.
Die Vorbereitung ermöglicht eine schnelle Reaktion, wenn ein Vorfall eintritt, und kann sogar Vorfälle von vornherein verhindern. Microsoft stellt erhebliche Ressourcen für die Vorbereitung auf Sicherheitsvorfälle bereit.
Schulungen
Jeder Mitarbeiter, der bei Microsoft arbeitet, muss schulungen absolvieren, die seiner Rolle im Hinblick auf die Reaktion auf Sicherheitsvorfälle angemessen sind. Die Erstschulung findet statt, wenn ein neuer Mitarbeiter seine Arbeit bei Microsoft aufnimmt, und danach findet jedes Jahr eine jährliche Auffrischungsschulung statt. Die Schulung ist so konzipiert, dass die Mitarbeiter ein Verständnis für den grundlegenden Sicherheitsansatz von Microsoft erhalten. Nach Abschluss der Schulung sind alle Mitarbeiter in der Lage:
- Einen Sicherheitsvorfall zu definieren.
- Ihre Rolle und Verantwortung für die Meldung von Sicherheitsvorfällen zu erklären.
- Beschreiben, wie Sicherheitsteams auf Sicherheitsvorfälle reagieren.
- Erfahren Sie, wie Sie einen potenziellen Sicherheitsvorfall an das entsprechende Sicherheitsreaktionsteam eskalieren.
- Besondere Bedenken hinsichtlich des Datenschutzes zu artikulieren, insbesondere hinsichtlich der Privatsphäre der Kunden.
- Auf zusätzliche Informationen zu Sicherheit, Datenschutz und Kontakten für die Eskalation zuzugreifen.
Zusätzlich zur allgemeinen Sicherheitsschulung erhalten Mitarbeiter, die an der Reaktion auf Zwischenfälle beteiligt sind, eine zusätzliche rollenbasierte Sicherheitsschulung.
Wartung der Bereitschaftstechniker (OCEs)
Alle Dienstbetriebsteams, einschließlich Sicherheitsreaktionsteams, verwalten eine Rotation auf Abruf, um sicherzustellen, dass Ressourcen 24 x 7x365 verfügbar sind. Die Bereitschaftsdienstrotation umfasst Backups für die Verfügbarkeit und Eskalationspunkte, um Verantwortlichkeiten sicherzustellen. Die OCEs und ihre Bereitschaftszeiten werden für jedes Serviceteam innerhalb desselben Dashboard, in dem Vorfälle verwaltet werden, zentral aufgeführt. Mit unseren Rotationen im Bereitschaftsdienst kann Microsoft jederzeit eine effektive Reaktion auf Vorfälle bereitstellen, einschließlich weit verbreiteter oder gleichzeitiger Ereignisse.
OCEs verwenden Secure Admin Workstations für den Zugriff auf die Produktionsumgebung, und ihr Zugriff ist zeitgebunden und auf die Aufgaben begrenzt, die für die Reaktion auf Vorfälle erforderlich sind.
Tools und Ressourcen
Microsoft Security Response-Teams sind für die Wartung aller Tools und Ressourcen im Zusammenhang mit der Reaktion auf Sicherheitsvorfälle verantwortlich. Dazu gehören Online-Hilfsressourcen, die dazu dienen, Techniker im Bereitschaftsdienst schnell über ordnungsgemäße Verfahren und die schnelle und sichere Eskalation potenzieller Probleme zu informieren. Ressourcen zur Reaktion auf Vorfälle umfassen auch benutzerdefinierte Tools, Skripts und Prozesse, die den Sicherheitsreaktionsteams helfen, eine Vielzahl von Sicherheitsproblemen und Angriffstypen zu beheben. OCEs müssen jährliche Schulungen absolvieren und aktuelle Hintergrundüberprüfungen erhalten, um die Berechtigung für den Zugriff auf Tools und Ressourcen zur Reaktion auf Vorfälle zu erhalten.
Vorfallreaktionstests
Microsoft testet, überprüft und aktualisiert regelmäßig seinen Plan zur Reaktion auf Vorfälle, um Änderungen an der Umgebung und neue Sicherheitsbedrohungen zu berücksichtigen. Unsere Testmethodik für die Reaktion auf Vorfälle verwendet unvorhersehbare Echtzeitangriffe von internen Teams von Sicherheitsdurchdringungstestern, die wir als Red Team bezeichnen. Das Rote Team verwendet eine Vielzahl von Techniken, um zu versuchen, Microsoft Online Services-Systeme ohne Erkennung zu kompromittieren. Red Team-Bemühungen simulieren reale Angriffe und testen die Funktionen der Sicherheitsreaktionsteams von Microsoft.
Im Rahmen interner Penetrationstests werden die Sicherheitsreaktionsteams von Microsoft als "Blue Team" bezeichnet. Das blaue Team nutzt das Vorfallreaktionsverfahren, um Angriffe des roten Teams zu erkennen und darauf zu reagieren, als wären es echte Sicherheitsvorfälle. Kundendaten sind nie das Ziel von Penetrationstests, aber diese Übungen helfen, sicherzustellen, dass Microsoft Online Services darauf vorbereitet sind, neue Arten von Sicherheitsbedrohungen zu erkennen, zu verhindern und darauf zu reagieren.
Zusätzlich zu laufenden internen Penetrationstests führt Microsoft eine Vielzahl anderer Übungen zur Reaktion auf Vorfälle durch, darunter "Capture the Flag"-Ereignisse, einmalige Tabletop-Übungen und andere spontane oder organisierte Ereignisse. Diese Übungen ergänzen laufende interne Penetrationstests, um sicherzustellen, dass alle Teams angemessen vorbereitet sind, um ihre Aufgaben im Falle eines tatsächlichen Sicherheitsvorfalls erfüllen zu können.
Schutz von Beweisen
Die bei der Reaktion auf einen Vorfall gesammelten Daten sind oft vertraulich und müssen sicher bleiben. Die Sicherheitsreaktionsteams von Microsoft sind für die Gewährleistung einer angemessenen Verschlüsselung und des Informationsschutzes für alle incidentbezogenen Kommunikationen und Dokumentationen verantwortlich. Dazu gehört auch die Verwendung von gesicherten Beweisschränken für die Aufbewahrung von forensischem Beweismaterial, das während der Untersuchungen gesammelt wurde. Das Team befolgt genehmigte Verfahren für den Umgang mit forensischem Beweismaterial, einschließlich der Überwachungskette, um zu gewährleisten, dass alle vorfallbezogenen Beweise sicher und unverändert bleiben.