Grundlegendes zur Reaktion auf Microsoft Online Services-Vorfälle, Phase 2: Erkennung und Analyse
Microsoft konzentriert sich auf wichtige Bedrohungsszenarien und ergänzende Erkennungs- und Analyseaktivitäten, um die Sicherheitsreaktion so früh wie möglich im Angriffslebenszyklus zu ermöglichen. Erkennungstools sind so konfiguriert, dass genügend Informationen für effektive und effiziente Reaktionen bereitgestellt werden, wenn ein potenzieller Vorfall erkannt wird. Microsoft verfügt über dedizierte Sicherheitssignalteams, die dafür verantwortlich sind, die Erkennung potenzieller Sicherheitsvorfälle mithilfe der Erkenntnisse der Sicherheitsreaktionsteams und ihrer Partner zu verbessern.
Erkennungstools und Strategien
Während Microsoft bereit ist, jeden Vorfall zu behandeln, konzentrieren sich die Erkennungsstrategien auf gängige Angriffsvektoren wie Insider-Bedrohungen, Webdienstangriffe, Denial-of-Service-Angriffe und Mandantenangriffe. Anzeichen von Vorfällen fallen in eine von zwei Kategorien: Vorläufer und Indikatoren. Ein Vorläufer ist ein Zeichen dafür, dass ein Vorfall in der Zukunft auftreten kann, und ein Indikator ist ein Zeichen dafür, dass ein Vorfall aufgetreten sein kann oder jetzt auftreten kann.
Einer der herausforderndsten Teile des Prozesses zur Reaktion auf Vorfälle ist die genaue Erkennung und Bewertung möglicher Vorfälle aufgrund des schieren Aktivitätsvolumens im Zusammenhang mit Microsoft Online Services. Selbst wenn ein Indikator genau ist, bedeutet dies nicht unbedingt, dass ein Vorfall aufgetreten ist. Microsoft verwendet mehrere Techniken mit unterschiedlichen Detail- und Genauigkeitsgraden, um potenzielle Vorfälle zu erkennen.
Die zentralisierte Überwachungsprotokollierung und -analyse ist eine der Standard Methoden, die verwendet werden, um anomale oder verdächtige Aktivitäten zu erkennen. Protokolldateien von Microsoft Online Services-Servern und Infrastrukturgeräten werden gesammelt und in einer zentralen, konsolidierten Datenbank gespeichert. Die zentralisierte Protokollanalyse ermöglicht es den Sicherheitsreaktionsteams von Microsoft, die Umgebung umfassend zu überwachen und Protokolleinträge von verschiedenen Diensten zu korrelieren.
Weitere Erkennungstools sind netzwerkbasierte und hostbasierte Angriffserkennungssysteme, zentral verwaltete Antiviren- und Antischadsoftwaresammlungen sowie manuelle Erkennungsmethoden, z. B. Beobachtungen von Technikern und Endbenutzern. Microsoft beschäftigt sehr erfahrene, kompetente und qualifizierte Mitarbeiter mit Kompetenzen in allen Komponenten des Cloudstapels. Die Expertise unserer Techniker ergänzt und unterstützt unsere automatisierten Erkennungsmechanismen.
Eskalation und Untersuchung
Da jede Beobachtung möglicherweise kein Sicherheitsproblem ist, müssen Serviceteams eine erste Selektierung und eine vorläufige Überprüfung durchführen, um die Art des Problems zu untersuchen und seinen Schweregrad zu bestimmen. Die Sicherheitsreaktionsteams von Microsoft erstellen und verwalten die Eskalationskriterien und -verfahren für Serviceteams, die befolgt werden müssen, wenn die Beobachtung als wahrer Sicherheitsvorfall ermittelt wird.
Nach der Eskalation fungiert das Sicherheitsreaktionsteam als wichtiger Orchestrator für den rest des Prozesses zur Reaktion auf Sicherheitsvorfälle. Das Sicherheitsreaktionsteam ist für die Analyse der Erkennungsindikatoren verantwortlich, um festzustellen, ob ein Sicherheitsvorfall aufgetreten ist, und seinen Schweregrad bei Bedarf anzupassen. Wenn das Team zu einem beliebigen Zeitpunkt ermittelt, dass Kundendaten offen gelegt, geändert oder vernichtet wurden, startet es den Vorgang der Benachrichtigung zur Kundensicherheit.
Zu Beginn der Untersuchung zeichnet das Security Response-Team in Zusammenarbeit mit dem Serviceteam alle informationen auf, die für den Vorfall relevant sind, und behält ihre Genauigkeit während des gesamten Prozesses zur Reaktion auf Vorfälle bei. Zu den relevanten Informationen gehören:
- Eine Zusammenfassung des Vorfalls
- Schwere und Priorität des Vorfalls basierend auf seinen potenziellen Auswirkungen
- Eine Liste aller Indikatoren, die zur Erkennung des Vorfalls geführt haben
- Eine Liste aller ähnlichen Vorfälle
- Eine Liste aller Aktionen, die vom Sicherheitsreaktionsteam und allen zugehörigen Serviceteams ausgeführt werden
- Alle Nachweise, die während des Vorfalls der Reaktion gesammelt wurden, die für die postmortale Analyse sowie potenzielle forensische Untersuchungen aufbewahrt werden sollen
- Empfohlene nächste Schritte
Beim eskalieren eines potenziellen Sicherheitsvorfalls umfasst das entsprechende Ermittlungsteam nur Mitarbeiter, die für die Untersuchung wichtig sind. Nicht-Vollzeitmitarbeiter von Microsoft, wie Unterauftragsverarbeiter oder Personalaufstockung, werden deaktiviert. Diese Mitarbeiter werden nur bei Bedarf und in einer Kapazität mit eingeschränktem Umfang neu eingebunden.