המלצות לתגובה לאירוע אבטחה
חל על המלצת רשימת המשימות לביצוע של Well Architected Security של Power Platform:
| SE:11 | הגדר ובדוק נוהלי תגובה יעילים לאירועים מסוגים שונים, החל מבעיות מקומיות ועד התאוששות מאסון. יש להגידר בבירור איזה צוות או אדם מנהל נוהל. |
|---|
מדריך זה מתאר את ההמלצות ליישום תגובה לאירועי אבטחה עבור עומס עבודה. אם יש פגיעה באבטחה של מערכת, גישת תגובה שיטתית לאירועים עוזרת לצמצם את הזמן הדרוש לזיהוי, ניהול והפחתת אירועי אבטחה. אירועים אלו עלולים לאיים על הסודיות, היושרה והזמינות של מערכות תוכנה ונתונים.
לרוב הארגונים יש צוות תפעול אבטחה מרכזי (המכונה גם Security Operations Center [SOC], או SecOps). האחריות של צוות תפעול האבטחה היא לזהות, לתעדף ולבחון במהירות התקפות פוטנציאליות. הצוות גם עוקב אחר נתוני טלמטריה הקשורים לאבטחה וחוקר פרצות אבטחה.
עם זאת, יש לך גם אחריות להגן על עומס העבודה שלך. חשוב שכל פעילויות תקשורת, חקירה וציד יהיו מאמץ שיתופי בין צוות עומס העבודה וצוות SecOps.
מדריך זה מספק המלצות לך ולצוות עומס העבודה שלך כדי לעזור לזהות, לבדוק ולחקור במהירות התקפות.
הגדרות
| מונח | הגדרה |
|---|---|
| התראה | הודעה המכילה מידע על אירוע. |
| אמינות של התראה | דיוק הנתונים משפיע על ההתראה. התראות עם אמינות גבוהה מכילות את הקשר האבטחה הדרוש לביצוע פעולות מיידיות. התראות עם אמינות נמוכה חסרות מידע או מכילות רעש. |
| תוצאה חיובית מוטעית | התראה המעידה על אירוע שלא קרה. |
| מקרה | אירוע המצביע על גישה לא מורשית למערכת. |
| תגובה לאירוע | תהליך שמזהה אירוע, מגיב לו ומפחית סיכונים הקשורים לאירוע. |
| הגדרת סדר עדיפויות | מבצע תגובה לאירועים שכוללת ניתוח של בעיות האבטחה ומתעדפת את הטיפול בהן. |
אסטרטגיות מרכזיות בתכנון
אתה והצוות שלך מבצעים פעולות תגובה לאירועים כאשר אות או התראה מציינים שיש אירוע אבטחה אפשרי. התראות עם אמינות גבוהה מכילות שפע של הקשר אבטחה שמקל על האנליסטים לקבל החלטות. התראות עם אמינות גבוהה מביאות למספר נמוך של תוצאות חיוביות שגויות. מדריך זה מניח שמערכת ההתראה מסננת אותות בעלי אמינות נמוכה ומתמקדת בהתראות עם אמינות גבוהה שעשויות להצביע על תקרית אמיתית.
הקצאה של הודעה על אירוע
התראות אבטחה צריכות להגיע לאנשים המתאימים בצוות ובארגון שלך. הגדר נקודת קשר ייעודית בצוות עומס העבודה כדי לקבל הודעות על תקריות. הודעות אלו צריכות לכלול מידע רב ככל האפשר על המשאב שנפרץ ועל המערכת. ההתראה צריכה לכלול את השלבים הבאים, כדי שהצוות יוכל לזרז את הפעולות.
אנו ממליצים לרשום ולנהל התראות ופעולות על אירועים על ידי שימוש בכלים מיוחדים ששומרים על עקבות ביקורת. על ידי שימוש בכלים סטנדרטיים, אתה יכול לשמר ראיות שעשויות להידרש לחקירות משפטיות אפשריות. חפש הזדמנויות ליישום אוטומציה שיכולה לשלוח הודעות לפי תחומי האחריות של הגורמים האחראיים. שמור על שרשרת ברורה של תקשורת ודיווח במהלך אירוע.
נצל את היתרונות של נתוני אבטחה על ניהול אירועים (SIEM) ופתרונות לתיאום אבטחה אוטומטיים (SOAR) שהארגון שלך מספק. אתה יכול גם לרכוש כלים לניהול אירועים ולעודד את הארגון שלך לתקן אותם עבור כל צוותי עומס העבודה.
חקור עם הצוות שמבצע סינון של ההתראות
חבר הצוות שמקבל הודעה על תקרית אחראי על הקמת תהליך סינון, שכולל את האנשים המתאימים על סמך הנתונים הזמינים. צוות הסינון, המכונה לעתים קרובות צוות הגשר, צריך להסכים על אופן ותהליך התקשורת. האם אירוע זה מצריך דיונים אסינכרוניים או שיחות גשר? כיצד הצוות יעקוב אחר התקדמות החקירות ויתקשר אותן? היכן הצוות יכול לגשת לנכסי אירוע?
תגובה לאירועים היא סיבה חיונית לעדכן את התיעוד, כמו הפריסה הארכיטקטונית של המערכת, מידע ברמת הרכיב, סיווג פרטיות או אבטחה, בעלים ונקודות מפתח ליצירת קשר. אם המידע אינו מדויק או מיושן, צוות הגשר מבזבז זמן יקר בניסיון להבין כיצד המערכת פועלת, מי אחראי על כל אזור ומה עשויה להיות השפעת האירוע.
להמשך החקירה, יש לערב את האנשים המתאימים. אפשר לכלול מנהל אירועים, קצין אבטחה או אנשים שמתמקדים בעומס עבודה. כדי לשמור על הצוות שיהיה ממוקד, הסר אנשים שלא קשורים לתחום הבעיה. לפעמים צוותים נפרדים חוקרים את האירוע. יכול להיות צוות שבהתחלה חוקר את הנושא ומנסה למתן את האירוע, וצוות מיוחד נוסף שעשוי לבצע זיהוי פלילי לחקירה מעמיקה כדי לברר בעיות רחבות. אפשר להעביר להסגר את סביבת עומס העבודה כדי לאפשר לצוות הזיהוי הפלילי לבצע את החקירות שלו. במקרים מסוימים, אותו צוות עשוי לטפל בכל החקירה.
בשלב הראשוני, הצוות אחראי על קביעת הווקטור הפוטנציאלי והשפעתו על הסודיות, השלמות והזמינות (הנקראת גם CIA) של המערכת.
בתוך הקטגוריות של CIA, הקצה רמת חומרה ראשונית המעידה על עומק הנזק ודחיפות התיקון. רמה זו צפויה להשתנות עם הזמן ככל שמתגלה מידע נוסף ברמות הטיפול.
בשלב הגילוי, חשוב לקבוע מסלול פעולה מיידי ותוכניות תקשורת. האם יש שינויים במצב הריצה של המערכת? כיצד ניתן להכיל את המתקפה כדי לעצור פגיעה נוספת? האם הצוות צריך לשלוח תקשורת פנימית או חיצונית, כגון כתב גילוי נאות? שקול את זמן הזיהוי וזמן התגובה. ייתכן שאתה מחויב על פי חוק לדווח על סוגים מסוימים של הפרות לרשות רגולטורית בתוך פרק זמן מסוים, שלרוב הוא שעות או ימים.
אם תחליט לכבות את המערכת, השלבים הבאים יובילו לתהליך התאוששות מאסון (DR) של עומס העבודה.
אם לא תכבה את המערכת, קבע כיצד לתקן את האירוע מבלי להשפיע על הפונקציונליות של המערכת.
התאוששות מתקרית
התייחס לאירוע אבטחה כאל אסון. אם התיקון דורש התאוששות מלאה, השתמש במנגנוני DR מתאימים מנקודת מבט של אבטחה. תהליך ההתאוששות צריך למנוע סיכויי הישנות. אחרת, שחזור מגיבוי פגום מציג מחדש את הבעיה. פריסה מחדש של מערכת עם אותה נקודת חולשה יכולה לגרום לאותו אירוע שוב. אימות שלבים ותהליכים של failover ו-failback.
אם המערכת ממשיכה לפעול, הערך את ההשפעה על החלקים הפועלים של המערכת. המשך לפקח על המערכת כדי להבטיח שיעדי אמינות וביצועים אחרים יעמדו או מותאמים מחדש על ידי יישום תהליכים מתאימים של ירידה בביצועים. אל תתפשר על פרטיות בזמן הטיפול בבעיה.
אבחון הוא תהליך אינטראקטיבי עד לזיהוי הווקטור, ופתרון פוטנציאלי חזרה למצב קודם, אם אפשר. לאחר האבחון, הצוות עובד על תיקון, מזהה ומיישם את התיקון הנדרש תוך פרק זמן מקובל.
מדדי שחזור מודדים כמה זמן לוקח לתקן בעיה. במקרה של השבתה, עשויה להיות דחיפות לגבי זמני התיקון. כדי לייצב את המערכת, לוקח זמן להחיל תיקונים, תיקונים ובדיקות ולפרוס עדכונים. קבע אסטרטגיות בלימה כדי למנוע נזק נוסף והתפשטות האירוע. פתח נוהלי מיגור כדי להסיר לחלוטין את האיום מהסביבה.
פשרות: יש פשרה בין יעדי מהימנות לבין זמני הטיפול. במהלך תקרית, סביר להניח שאינך עומד בדרישות אחרות שאינן פונקציונליות או תפקודיות. לדוגמה, ייתכן שתצטרך להשבית חלקים מהמערכת בזמן חקירת האירוע, או שאפילו תצטרך להעביר את כל המערכת למצב לא מקוון עד שתקבע את היקף האירוע. מקבלי ההחלטות העסקיים צריכים להחליט במפורש מהם היעדים המקובלים במהלך האירוע. ציין בבירור מי אחראי להחלטה זו.
הפקת לקחים מתקריות
אירוע חושף פערים או נקודות חולשה בתכנון או ביישום. זוהי הזדמנות לשיפור שמבוססת על לקחים בהיבטים של עיצוב טכני, אוטומציה, תהליכי פיתוח מוצרים הכוללים בדיקות והיעילות של תהליך התגובה לאירועים. שמור על רישומי אירועים מפורטים, כולל הפעולות שננקטו, לוחות זמנים וממצאים.
אנו ממליצים בחום לערוך סקירות מובנות לאחר תקרית, כגון ניתוח סיבות שורש ורטרוספקטיבות. בצע מעקב ותעדוף של תוצאות הביקורות האלה, ושקול להשתמש במה שאתה לומד בעיצובי עומס עבודה עתידיים.
תוכניות שיפור צריכות לכלול עדכונים לתרגילי אבטחה ובדיקות, כמו תרגילי המשכיות עסקית והתאוששות מאסון (BCDR). השתמש בפגיעה באבטחה כתרחיש לביצוע תרגיל BCDR. תרגולים יכולים לאמת כיצד פועלים התהליכים המתועדים. לא אמורים להיות מדריכים מרובים לתגובה לאירועים. השתמש במקור יחיד שאתה יכול להתאים על סמך גודל התקרית ועד כמה ההשפעה נפוצה או מקומית. תרגולים מבוססים על מצבים היפותטיים. ערוך תרגולים בסביבה בעלת סיכון נמוך, וכלול את שלב הלמידה בתרגולים.
ערוך סקירות לאחר תקרית, או ניתוחים בדיעבד, כדי לזהות נקודות חולשה בתהליך התגובה ואזורים לשיפור. בהתבסס על הלקחים שאתה לומד מהאירוע, עדכן את תוכנית התגובה לאירועים (IRP) ואת אמצעי הבקרה של האבטחה.
שלח את התקשורת הדרושה
יישום תוכנית תקשורת כדי להודיע למשתמשים על הפרעה ולהודיע לבעלי עניין פנימיים על התיקון והשיפורים. אנשים אחרים בארגון צריכים לקבל הודעה על כל שינוי בקו האבטחה של עומס העבודה כדי למנוע תקריות עתידיות.
הפקת דוחות תקריות לשימוש פנימי ובמידת הצורך לציות לתקנות או למטרות משפטיות. כמו כן, אמץ דוח פורמט סטנדרטי (תבנית מסמך עם קטעים מוגדרים) שצוות ה-SOC משתמש בו לכל התקריות. ודא שלכל אירוע יש דיווח שמשויך אליו לפני שאתה סוגר את החקירה.
סיוע ל- Power Platform
הסעיפים הבאים מתארים את המנגנונים שתוכל להפעיל כחלק מהליכי התגובה לאירועי אבטחה.
Microsoft Sentinel
פתרון Microsoft Sentinel עבור Microsoft Power Platform מאפשר ללקוחות לזהות פעילויות חשודות שונות, כולל:
- הפעלה של Power Apps ממקומות גיאוגרפיים לא מורשים
- הרס נתונים חשוד על ידי Power Apps
- מחיקה בכמות גדולה של Power Apps
- התקפות דיוג בוצעו ב- Power Apps
- פעילות זרימה ב- Power Automate על ידי עובדים שעוזבים
- מחברי Microsoft Power Platform שנוספו לסביבה
- עדכון או הסרה של מדיניות למניעת אובדן נתונים מ- Microsoft Power Platform
למידע נוסף, ראה מבט כולל על פתרון Microsoft Sentinel עבור Microsoft Power Platform.
רישום פעילויות ב- Microsoft Purview
מבוצע מעקב אחר רישום פעילות של Power Apps, Power Automate, מחברים, מניעת אובדן נתונים וניהול Power Platform דרך פורטל התאימות של Microsoft Purview.
לקבלת מידע נוסף, ראה:
- רישום פעולות של Power Apps
- רישום פעולות של Power Automate
- רישום פעולות של Power Pages
- רישום פעילות מחברים של Power Platform
- רישום פעילות של מניעת אובדן נתונים
- רישום פעילות של פעולות מנהליות ב- Power Platform
- Microsoft Dataverse ורישום פעילות של יישומים מונחי-דגמים
כספת לקוח
רוב הפעולות, התמיכה ופתרון הבעיות שמבוצעים על ידי עובדי Microsoft (כולל מעבדי משנה) לא דורשים גישה לנתוני לקוחות. בעזרת כספת הלקוח של Power Platform, Microsoft מספקת ממשק שבאמצעותו לקוחות יכולים לסקור ולאשר (או לדחות) בקשות גישה לנתונים במקרים הנדירים שבהם נדרשת גישה לנתוני לקוח. הוא נמצא בשימוש במקרים שבהם מהנדס של Microsoft זקוק לגישה לנתוני לקוח, בין אם כתגובה לכרטיס תמיכה שהלקוח יזם או כתוצאה מבעיה שזוהתה על ידי Microsoft. למידע נוסף, ראה גישה מאובטחת לנתוני לקוחות באמצעות 'כספת לקוח' ב- Power Platform ו- Dynamics 365.
עדכוני אבטחה
צוותי השירות מבצעים את הפעולות הבאות באופן סדיר כדי להבטיח שהמערכת תהיה מאובטחת:
- סריקות של השירות כדי לזהות פגיעויות אבטחה אפשריות.
- הערכות של השירות כדי להבטיח שבקרות אבטחה מרכזיות פועלות ביעילות.
- הערכות של השירות המאפשרות לקבוע את החשיפה לפגיעויות שזוהו על-ידי Microsoft Security Response Center (MSRC), אשר מנטר באופן קבוע אתרים חיצוניים עם שחשופים לפגיעויות.
בנוסף, צוותים אלה גם מזהים בעיות ועוקבים אחרי הבעיות שזוהו, ובעת הצורך נוקטים פעולות מיידיות לנטרול הסיכונים.
כיצד ניתן לקבל מידע על עדכוני אבטחה?
מאחר שצוותי השירות שואפים לצמצם סיכונים בדרך שאינה מחייבת זמן השבתה של השירות, מנהלי המערכת בדרך כלל לא מקבלים הודעות של מרכז ההודעות עבור עדכוני אבטחה. אם עדכון אבטחה מחייב השפעה על השירות, הוא נחשב לתחזוקה מתוכננת ויפורסם עם משך ההשפעה המשוער וחלון הזמן שבו תתבצע העבודה.
לקבלת מידע נוסף על האבטחה, ראה מרכז יחסי האמון של Microsoft.
ניהול חלון התחזוקה שלך
Microsoft מתחזקת ומעדכנת באופן סדיר את יישומי Customer Engagement כדי להבטיח את תקינות האבטחה, הביצועים והזמינות וכדי לספק תכונות ופונקציות חדשות. תהליך עדכון זה מספק שיפורי אבטחה ושיפורי שירות קלים על בסיס שבועי, תוך הפצה של כל עדכון אזור אחר אזור, בהתאם ללוח הזמנים של הפריסה שמאורגן בתחנות. לקבלת מידע על חלון התחזוקה המוגדר כברירת מחדל עבור סביבות, ראה מדיניות ותקשורת עבור מקרי שירות. ראה גם ניהול חלון התחזוקה.
ודא שפורטל ההרשמה של Azure כולל מנהל מערכת פרטי קשר כדי שניתן יהיה להודיע ישירות על פעולות אבטחה באמצעות תהליך פנימי. לקבלת מידע נוסף, ראה עדכון הגדרות של הודעות.
יישור ארגוני
Cloud Adoption Framework עבור Azure מספק הדרכה לגבי תכנון תגובה לאירועים ופעולות אבטחה. למידע נוסף, ראה פעולות אבטחה.
למידע נוסף
- מבט כולל על פתרון Microsoft Sentinel עבור Microsoft Power Platform
- צור תקריות אוטומטית מהתראות אבטחה של Microsoft
- בצע ציד איומים מקצה לקצה באמצעות תכונת הציד
- השתמש ב-Hunts כדי לבצע ציד איומים יזום מקצה לקצה ב-Microsoft Sentinel
- סקירת תגובה לאירועים
רשימת תיוג של אבטחה
עיין במכלול ההמלצות המלא.