Grundlegendes zur Reaktion auf Microsoft Online Services-Vorfälle, Phase 3: Eindämmung, Tilgung und Wiederherstellung
Basierend auf der Analyse, die vom Sicherheitsreaktionsteam koordiniert wird, wird ein geeigneter Eindämmungs- und Wiederherstellungsplan entwickelt, um die Auswirkungen des Sicherheitsvorfalls zu minimieren, Beweise zu bewahren und die Bedrohung aus der Umgebung zu beseitigen. Relevante Serviceteams implementieren den Plan mit Unterstützung durch das Sicherheitsreaktionsteam, um sicherzustellen, dass die Bedrohung erfolgreich beseitigt und die betroffenen Dienste vollständig wiederherstellungst werden.
Eindämmung
Das Hauptziel der Eindämmung ist das Einschränken von Schaden für Microsoft-Systeme, -Anwendungen, -Kunden und -Kundendaten. Während dieser Phase arbeitet das Sicherheitsreaktionsteam mit den betroffenen Serviceteams zusammen, um die Auswirkungen des Sicherheitsvorfalls zu begrenzen und weitere Schäden zu vermeiden. Eindämmungsstrategien hängen von der Art des Incidents ab, können jedoch die Neuerstellung des betroffenen Systems, das Trennen und Isolieren infizierter Hosts oder das Steuern des Zugriffs auf kritische Ressourcen umfassen. Bei Vorfällen mit größeren Auswirkungen werden Pläne aufgrund ihrer Komplexität von Fall zu Fall bestimmt. Verschiedene automatisierte Antworten innerhalb von Microsoft Online Services können dem Team auch bei der Eindämmung des Incidents helfen.
Während der gesamten Eindämmungsphase werden kontinuierlich Daten erhoben und analysiert, um sicherzustellen, dass die Hauptursache des Vorfalls korrekt identifiziert wurde und alle betroffenen Dienste und Tenants in der Beseitigungs- und Wiederherstellungsstrategie berücksichtigt werden. Das erfolgreiche Nachverfolgen aller betroffenen Dienste ermöglicht eine erfolgreiche Beseitigung und Wiederherstellung.
Beseitigung
Als Beseitigung wird der Prozess bezeichnet, bei dem die Ursache des Sicherheitsvorfalls mit einem hohen Maß an Zuverlässigkeit eliminiert wird. Die Beseitigungsphase verfolgt zwei Ziele: die vollständige Entfernung der Bedrohung aus der Umgebung und die Behebung jeglicher Sicherheitsschwachstellen, die zum betreffenden Vorfall beigetragen haben oder es dem Angreifer ermöglichen könnten, sich erneut Zugang zur Umgebung zu verschaffen.
Die Beseitigungsschritte zur Abwehr des Angreifers und zur Behebung von Sicherheitsschwachstellen basieren auf der Analyse, die in den vorherigen Phasen der Vorfallreaktion durchgeführt wurde. Abhängig von den Auswirkungen der Vorfälle können Aktivitäten das Entfernen von Angreiferartefakten, das Beenden bösartiger Prozesse, das Zurücksetzen von Geheimnissen oder in einigen Fällen eine vollständige Neuerstellung des Systems umfassen. Während dieses gesamten Prozesses verfolgt und überwacht das Sicherheitsreaktionsteam die Aktivitäten von Angreifern mithilfe von Strategien wie Netzwerk- und Prozessüberwachung. Das Sicherheitsreaktionsteam koordiniert sich mit den betroffenen Serviceteams, um sicherzustellen, dass der Plan wie geplant ausgeführt und die Bedrohung erfolgreich aus der Umgebung entfernt wird. Die Wiederherstellung ist erst möglich, nachdem die Bedrohung entfernt und die zugrunde liegenden Ursachen behoben wurden.
Wiederherstellung
Wenn das Sicherheitsreaktionsteam davon überzeugt ist, dass der Angreifer aus der Umgebung entfernt wurde und bekannte Sicherheitsrisiken behoben wurden, arbeitet es mit den betroffenen Serviceteams zusammen, um die Wiederherstellung zu initiieren. Im Rahmen des Wiederherstellungsprozesses werden betroffene Dienste erneut in eine sichere, zuvor definierte Konfiguration überführt. Der Wiederherstellungsprozess umfasst das Identifizieren des letzten als fehlerfrei bekannten Zustands des Diensts, das Wiederherstellen von Sicherungen in diesen Zustand und die Bestätigung, dass der wiederhergestellte Zustand die Sicherheitsrisiken entschärft, die zu dem Vorfall beigetragen haben.
Ein wichtiger Aspekt des Wiederherstellungsprozesses sind verbesserte Erkennungskontrollen, um zu überprüfen, ob die Wiederherstellungsstrategie erfolgreich umgesetzt wurde und ob keine Anzeichen eines Sicherheitsvorfalls in der Umgebung verbleiben. Beispiele für zusätzliche Erkennungskontrollen sind eine verstärkte Überwachung auf Netzwerkebene, eine gezielte Benachrichtigung über Angriffsvektoren, die im Rahmen der Vorfallreaktion erkannt wurden, sowie zusätzliche Wachsamkeit von Sicherheitsteams im Hinblick auf kritische Ressourcen. Eine erweiterte Überwachung fördert einen erfolgreichen Beseitigungsprozess und trägt dazu bei, dass der Angreifer sich nicht erneut Zugang zur Umgebung verschaffen kann.