Administración de incidentes de seguridad de Microsoft: contención, erradicación y recuperación

En función del análisis realizado por el equipo de respuesta de seguridad, el equipo de servicio desarrolla un plan de contención y recuperación adecuado para minimizar el efecto del incidente de seguridad. A continuación, los equipos de servicio adecuados aplican ese plan en producción con el soporte técnico del equipo de respuesta de seguridad.

Contención

Después de detectar un incidente de seguridad, es importante contener la intrusión antes de que el adversario pueda acceder a más recursos o causar más daños. El objetivo principal de nuestros procedimientos de respuesta a incidentes de seguridad es limitar el impacto a los clientes o sus datos, o a los sistemas, servicios y aplicaciones de Microsoft.

Erradicación

La confidencialidad es el proceso de eliminación de la causa principal del incidente de seguridad con un alto grado de confianza. El objetivo es doble:

  • para expulsar completamente al adversario del entorno
  • para mitigar la vulnerabilidad (si se conoce) que habilitó o podría permitir que el adversario vuelva a entrar en el entorno.

En función de la naturaleza del incidente, el ámbito del incidente de seguridad, la profundidad de la penetración y las posibles repercusiones, el equipo de respuesta de seguridad recomienda que los equipos de servicio adopten técnicas de erradicación. Teniendo en cuenta el posible impacto empresarial que pueden deberse a estos pasos de erradicación, estas decisiones las toman los equipos de servicio y el equipo de respuesta de seguridad después de un análisis detallado y la aprobación del Administrador ejecutivo de incidentes (si es necesario).

Recuperación

A medida que el equipo de respuesta obtiene un nivel razonable de confianza de que el adversario ha sido desalojado del entorno y se han eliminado todas las rutas vulnerables conocidas, los equipos de servicio individuales inician los pasos de restauración para llevar el servicio a una configuración conocida y correcta. Estos pasos de restauración se consultan con el equipo de respuesta de seguridad. Esta actividad incluye la identificación del último estado correcto conocido del servicio, la restauración de copias de seguridad a este estado, la inspección de rutas de acceso de ataque vulnerables en el estado restaurado, etc. El equipo de respuesta de seguridad, en consulta con los equipos de servicio, determina el mejor plan de recuperación posible para el entorno.

Un aspecto clave de la recuperación es tener controles y vigilancia mejorados para validar que el plan de recuperación se ha ejecutado correctamente y que no existen signos de infracción en el entorno.

Notificación del cliente del incidente de seguridad

Si Microsoft determina que se ha producido un incidente de seguridad, le notificaremos con retraso indebido y dentro de los requisitos contractuales y de cumplimiento que aceptamos. Después de identificar todos los inquilinos afectados, el equipo de comunicaciones correspondiente trabaja para identificar las regulaciones pertinentes que puedan aplicarse a los inquilinos afectados. El equipo de comunicaciones usa el canal de comunicación adecuado definido en las regulaciones aplicables para notificar al contacto de inquilino adecuado.

Proceso de respuesta a incidentes.

La notificación incluye información detallada sobre el incidente, como una descripción del incidente, el efecto en los datos del cliente, si los hubiera, las acciones realizadas por Microsoft o las acciones sugeridas para que los clientes realicen para resolver el problema y evitar la periodicidad. La notificación se entrega a los administradores designados del inquilino de Microsoft servicios en línea. Para asegurarse de que se reciben notificaciones, debe asegurarse de que los administradores proporcionan y mantienen información de contacto precisa en sus perfiles de inquilino. Además, en función de la naturaleza del incidente, los clientes de Microsoft 365 también pueden recibir notificaciones a través del Panel de estado del servicio de Microsoft 365.