Administración de incidentes de seguridad de Microsoft
Microsoft trabaja continuamente para proporcionar servicios de nivel empresarial altamente seguros para los clientes de Microsoft, pero los incidentes de seguridad son una realidad inevitable que debe administrarse exhaustiva y rápidamente. En este documento se proporciona información general sobre cómo Controla Microsoft los incidentes de seguridad mediante métodos y tecnologías probados y verdaderos para minimizar su posible impacto. Un incidente de seguridad hace referencia a cualquier acceso ilegal a los datos del cliente almacenados en el equipo de Microsoft o en las instalaciones de Microsoft, o el acceso no autorizado a dichos equipos o instalaciones que puedan dar lugar a la pérdida, divulgación o alteración de los datos del cliente. Los objetivos de Microsoft al responder a incidentes de seguridad son proteger los datos de los clientes y los servicios en línea de Microsoft.
Los equipos de seguridad de Microsoft servicios en línea y los distintos equipos de servicio trabajan conjuntamente y adoptan el mismo enfoque para los incidentes de seguridad:
- Preparación
- Detección y análisis
- Contención, erradicación y recuperación
- Actividad posterior al incidente
Enfoque de Microsoft para la administración de incidentes de seguridad
El enfoque de Microsoft para administrar un incidente de seguridad se ajusta a la publicación especial 800-61 del Instituto Nacional de Estándares y Tecnología (NIST). Microsoft tiene varios equipos dedicados que trabajan juntos para prevenir, supervisar, detectar y responder a incidentes de seguridad.
| Equipo o área | Descripción |
|---|---|
| Centro de respuestas de seguridad de Microsoft | Identifica, supervisa, resuelve y responde a incidentes de seguridad y vulnerabilidades de seguridad de software de Microsoft. |
| Centro de operaciones de ciberdefensa | El Centro de operaciones de ciberdefensa es la ubicación física que reúne a equipos de respuesta de seguridad y expertos de toda la empresa para ayudar a proteger, detectar y responder a amenazas en tiempo real. |
| Asuntos corporativos, externos y jurídicos | Proporciona asesoramiento legal y normativo para un incidente de seguridad sospechoso. |
| Equipo de seguridad de Microsoft Datacenter | Equipo que se centra en los distintos servicios en inversiones comunes en ingeniería de seguridad para proteger, detectar y responder a riesgos y amenazas de la arquitectura de servicio. |
| Equipos de respuesta de seguridad de Microsoft | Equipos de seguridad independientes de Azure, Dynamics 365 y Microsoft 365 que se asocian con los equipos de servicio para crear el proceso de administración de incidentes de seguridad adecuado e impulsar cualquier respuesta a incidentes de seguridad. |
| Equipos de gobernanza, riesgo y cumplimiento de Microsoft (GRC) | Proporcione instrucciones sobre los requisitos normativos, el cumplimiento y la privacidad. |
| Equipos de servicio | Equipos de ingeniería de Azure, Dynamics 365 y Microsoft 365 que son responsables de las directivas y decisiones relacionadas con la seguridad de cada servicio. |
| Administradores de operaciones de Azure | Supervisa la investigación y resolución de incidentes de seguridad y privacidad relacionados con Azure. |
| Centro de inteligencia sobre amenazas de Microsoft (MSTIC) | Proporciona el estado actual de las amenazas de seguridad digital contra la infraestructura y los recursos de Microsoft, ayuda a los equipos asociados dentro de Microsoft a priorizar los planes de acción de mitigación y prevención, y aumenta la protección mediante la adopción de la supervisión y detección de incidentes casi en tiempo real. |
| Equipos de comunicación de experiencia del cliente | Equipos de ingeniería responsables de todas las comunicaciones de los clientes sobre incidentes de seguridad y servicio. Los equipos independientes están dedicados a Azure, Dynamics 365 y Microsoft 365. |
Proceso de administración de respuestas
Los equipos de seguridad y los equipos de servicio de Microsoft servicios en línea trabajan juntos y adoptan el mismo enfoque para los incidentes de seguridad, que se basa en las fases de administración de respuestas nist 800-61:
- Preparación: hace referencia a la preparación de la organización necesaria para poder responder, incluidas herramientas, procesos, competencias y preparación.
- Detección & análisis: hace referencia a la actividad para detectar un incidente de seguridad en un entorno de producción y analizar todos los eventos para confirmar la autenticidad del incidente de seguridad.
- Contención, erradicación, recuperación: hace referencia a las acciones necesarias y adecuadas adoptadas para contener el incidente de seguridad en función del análisis realizado en la fase anterior. También puede ser necesario realizar más análisis en esta fase para recuperarse completamente del incidente de seguridad.
- Actividad posterior al incidente: hace referencia al análisis posterior a la muerte realizado después de la recuperación de un incidente de seguridad. Las acciones operativas realizadas durante el proceso se revisan para determinar si es necesario realizar algún cambio en las fases de preparación o detección y análisis.
Modelo de respuesta de seguridad federada
Microsoft servicios en línea consta de productos principales de Microsoft, como Azure, Dynamics 365 y Microsoft 365. Cada uno de estos servicios son operados por equipos independientes con sus propios procesos operativos de seguridad. Otros equipos de Microsoft, como MSTIC, también se dedican a diversos aspectos de seguridad de Microsoft servicios en línea. Debido a la multitud de equipos que trabajan en la administración de operaciones de seguridad en todos los diversos servicios que componen Microsoft servicios en línea, Microsoft ha implementado un modelo de respuesta de seguridad federada.
En esta tabla se presentan los límites operativos entre los distintos equipos de operaciones de seguridad del servicio en línea de Microsoft y los equipos de servicio de Microsoft:
| Actividad | Operaciones del equipo de seguridad de Microsoft | Operaciones del equipo de servicio de Microsoft |
|---|---|---|
| Detección y análisis | - Requisitos de detección - Supervisión y análisis de seguridad - Indicador de barridos de compromiso (COI) - Búsqueda de infracciones - Cliente potencial de respuesta a incidentes y seguridad 24x7 |
- Requisitos de detección - Supervisión de la implementación de la infraestructura - Análisis e información del servicio - Evaluación de eventos y alertas - Ingeniería de servicios 24x7 en llamada |
| Contención, erradicación, recuperación | - Cliente potencial de respuesta a incidentes - Investigación forense - Consultoría y experiencia en seguridad - Guía de recuperación |
- Propietario de incidentes de seguridad - Conocimientos y conocimientos del servicio - Ejecución de la contención, erradicación y recuperación |
| Actividad posterior al incidente | - Clientes potenciales de análisis posteriores a incidentes - Recopilación y archivo de datos - Lecciones aprendidas y solicitudes de errores - Informes de incidentes |
- Análisis de incidentes del lado del servicio - Priorizar las actividades de seguimiento - Inversiones en seguridad de implementación - Preparación de la seguridad del servicio |
Artículos relacionados
- Administración de incidentes de seguridad de Microsoft: Preparación
- Administración de incidentes de seguridad de Microsoft: detección y análisis
- Administración de incidentes de seguridad de Microsoft: contención, erradicación y recuperación
- Administración de incidentes de seguridad de Microsoft: actividad posterior al incidente
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de