Raccomandazioni per la risposta agli eventi imprevisti di sicurezza
Si applica alla raccomandazione per l'elenco di controllo di sicurezza di Azure Well-Architected Framework:
| SE:12 | Definire e testare procedure di risposta agli eventi imprevisti efficaci che coprono uno spettro di eventi imprevisti, da problemi localizzati al ripristino di emergenza. Definire chiaramente quale team o singolo esegue una procedura. |
|---|
Questa guida descrive i consigli per l'implementazione di una risposta agli eventi imprevisti di sicurezza per un carico di lavoro. Se si verifica una compromissione della sicurezza in un sistema, un approccio di risposta agli eventi imprevisti sistematici consente di ridurre il tempo necessario per identificare, gestire e attenuare gli eventi imprevisti di sicurezza. Questi eventi imprevisti possono minacciare la riservatezza, l'integrità e la disponibilità di sistemi e dati software.
La maggior parte delle aziende ha un team di operazioni di sicurezza centrale (noto anche come Centro operazioni di sicurezza (SOC) o SecOps. La responsabilità del team dell'operazione di sicurezza consiste nel rilevare rapidamente, definire le priorità e valutare potenziali attacchi. Il team monitora anche i dati di telemetria correlati alla sicurezza e analizza le violazioni della sicurezza.
Tuttavia, si ha anche la responsabilità di proteggere il carico di lavoro. È importante che tutte le attività di comunicazione, indagine e ricerca siano un impegno collaborativo tra il team del carico di lavoro e il team SecOps.
Questa guida fornisce consigli per l'utente e il team del carico di lavoro per consentire di rilevare rapidamente, valutare e analizzare gli attacchi.
Definizioni
| Termine | Definizione |
|---|---|
| Avviso | Notifica che contiene informazioni su un evento imprevisto. |
| Fedeltà degli avvisi | Accuratezza dei dati che determinano un avviso. Gli avvisi ad alta fedeltà contengono il contesto di sicurezza necessario per eseguire azioni immediate. Gli avvisi a bassa fedeltà non contengono informazioni o contengono rumore. |
| Falso positivo | Avviso che indica un evento imprevisto che non si è verificato. |
| Evento imprevisto | Evento che indica l'accesso non autorizzato a un sistema. |
| Risposta agli eventi imprevisti | Un processo che rileva, risponde e riduce i rischi associati a un evento imprevisto. |
| Valutazione | Operazione di risposta agli eventi imprevisti che analizza i problemi di sicurezza e assegna priorità alla loro mitigazione. |
Strategie di progettazione chiave
L'utente e il team eseguono operazioni di risposta agli eventi imprevisti quando è presente un segnale o un avviso per una potenziale compromissione. Gli avvisi ad alta fedeltà contengono un ampio contesto di sicurezza che semplifica le decisioni degli analisti. Gli avvisi ad alta fedeltà comportano un numero basso di falsi positivi. Questa guida presuppone che un sistema di avvisi filtri segnali a bassa fedeltà e si concentra sugli avvisi ad alta fedeltà che potrebbero indicare un evento imprevisto reale.
Assegnare la notifica degli eventi imprevisti
Gli avvisi di sicurezza devono raggiungere le persone appropriate nel team e nell'organizzazione. Stabilire un punto di contatto designato nel team del carico di lavoro per ricevere notifiche sugli eventi imprevisti. Queste notifiche devono includere il maggior numero possibile di informazioni sulla risorsa compromessa e sul sistema. L'avviso deve includere i passaggi successivi, in modo che il team possa accelerare le azioni.
È consigliabile registrare e gestire le notifiche e le azioni degli eventi imprevisti usando strumenti specializzati che mantengono un audit trail. Usando strumenti standard, è possibile conservare prove che potrebbero essere necessarie per potenziali indagini legali. Cercare opportunità di implementare l'automazione che può inviare notifiche in base alle responsabilità delle parti responsabili. Mantenere una catena chiara di comunicazione e segnalazione durante un evento imprevisto.
Sfruttare le soluzioni SIEM (Security Information Management) e le soluzioni di orchestrazione automatica della sicurezza (SOAR) fornite dall'organizzazione. In alternativa, è possibile acquistare strumenti di gestione degli eventi imprevisti e incoraggiare l'organizzazione a standardizzarli per tutti i team del carico di lavoro.
Analizzare con un team di valutazione
Il membro del team che riceve una notifica degli eventi imprevisti è responsabile della configurazione di un processo di valutazione che coinvolge le persone appropriate in base ai dati disponibili. Il team di valutazione, spesso chiamato team bridge, deve accettare la modalità e il processo di comunicazione. Questo evento imprevisto richiede discussioni asincrone o chiamate bridge? In che modo il team deve tenere traccia e comunicare lo stato di avanzamento delle indagini? Dove è possibile accedere agli asset imprevisti del team?
La risposta agli eventi imprevisti è un motivo fondamentale per mantenere aggiornata la documentazione, ad esempio il layout dell'architettura del sistema, le informazioni a livello di componente, la privacy o la classificazione della sicurezza, i proprietari e i punti chiave di contatto. Se le informazioni sono imprecise o obsolete, il team bridge perde tempo prezioso cercando di comprendere il funzionamento del sistema, chi è responsabile di ogni area e l'effetto dell'evento potrebbe essere.
Per ulteriori indagini, coinvolgere le persone appropriate. È possibile includere un responsabile eventi imprevisti, un responsabile della sicurezza o un lead incentrato sul carico di lavoro. Per mantenere incentrato il triage, escludere persone esterne all'ambito del problema. A volte i team separati esaminano l'evento imprevisto. Potrebbe esserci un team che inizialmente analizza il problema e tenta di attenuare l'evento imprevisto e un altro team specializzato che potrebbe eseguire analisi forensi per un'indagine approfondita per verificare problemi di ampia scala. È possibile quarantenare l'ambiente del carico di lavoro per consentire al team forense di eseguire le indagini. In alcuni casi, lo stesso team potrebbe gestire l'intera indagine.
Nella fase iniziale, il team di valutazione è responsabile della determinazione del vettore potenziale e del relativo effetto sulla riservatezza, l'integrità e la disponibilità (denominata anche CIA) del sistema.
Nelle categorie della CIA assegnare un livello di gravità iniziale che indica la profondità del danno e l'urgenza della correzione. Questo livello dovrebbe cambiare nel tempo, poiché altre informazioni vengono individuate nei livelli di valutazione.
Nella fase di individuazione è importante determinare un corso immediato di azioni e piani di comunicazione. Sono state apportate modifiche allo stato in esecuzione del sistema? Come può essere contenuto l'attacco per arrestare ulteriormente lo sfruttamento? Il team deve inviare comunicazioni interne o esterne, ad esempio una divulgazione responsabile? Prendere in considerazione il tempo di rilevamento e risposta. Potrebbe essere legalmente obbligatorio segnalare alcuni tipi di violazioni a un'autorità normativa entro un periodo di tempo specifico, spesso ore o giorni.
Se si decide di arrestare il sistema, i passaggi successivi portano al processo di ripristino di emergenza del carico di lavoro.
Se non si arresta il sistema, determinare come correggere l'evento imprevisto senza influire sulla funzionalità del sistema.
Ripristino da un evento imprevisto
Trattare un evento imprevisto di sicurezza come un disastro. Se la correzione richiede il ripristino completo, usare meccanismi di ripristino di emergenza appropriati da un punto di vista della sicurezza. Il processo di ripristino deve impedire la ricorrenza. In caso contrario, il ripristino da un backup danneggiato reintroduce il problema. La ridistribuzione di un sistema con la stessa vulnerabilità comporta lo stesso evento imprevisto. Convalidare i passaggi e i processi di failover e failback.
Se il sistema rimane funzionante, valutare l'effetto sulle parti in esecuzione del sistema. Continuare a monitorare il sistema per garantire che altre destinazioni di affidabilità e prestazioni vengano soddisfatte o rilette implementando processi di riduzione appropriati. Non compromettere la privacy a causa della mitigazione.
La diagnosi è un processo interattivo fino a quando il vettore, e un potenziale correzione e fallback, viene identificato. Dopo la diagnosi, il team lavora sulla correzione, che identifica e applica la correzione necessaria entro un periodo accettabile.
Le metriche di ripristino misurano il tempo necessario per risolvere un problema. In caso di arresto, potrebbe verificarsi un'urgenza rispetto ai tempi di correzione. Per stabilizzare il sistema, è necessario tempo per applicare correzioni, patch e test e distribuire gli aggiornamenti. Determinare le strategie di contenimento per evitare ulteriori danni e la diffusione dell'incidente. Sviluppare procedure di eradicazione per rimuovere completamente la minaccia dall'ambiente.
Compromesso: c'è un compromesso tra obiettivi di affidabilità e tempi di correzione. Durante un evento imprevisto, è probabile che non soddisfi altri requisiti non funzionali o funzionali. Ad esempio, potrebbe essere necessario disabilitare parti del sistema durante l'analisi dell'evento imprevisto oppure potrebbe anche essere necessario prendere offline l'intero sistema finché non si determina l'ambito dell'evento imprevisto. I responsabili delle decisioni aziendali devono decidere in modo esplicito quali sono gli obiettivi accettabili durante l'incidente. Specificare chiaramente la persona che è responsabile di tale decisione.
Informazioni su un evento imprevisto
Un evento imprevisto rileva lacune o punti vulnerabili in una progettazione o implementazione. È un'opportunità di miglioramento guidata dalle lezioni sugli aspetti tecnici della progettazione, l'automazione, i processi di sviluppo dei prodotti che includono test e l'efficacia del processo di risposta agli eventi imprevisti. Mantenere i record dettagliati degli eventi imprevisti, tra cui azioni eseguite, sequenze temporali e risultati.
È consigliabile condurre revisioni post-eventi imprevisti strutturate, ad esempio l'analisi della causa radice e le retrospettive. Tenere traccia e assegnare priorità al risultato di tali revisioni e valutare l'uso di ciò che si apprende nei progetti futuri del carico di lavoro.
I piani di miglioramento devono includere aggiornamenti per i drill e i test di sicurezza, ad esempio le esercitazioni di continuità aziendale e ripristino di emergenza (BCDR). Usare la compromissione della sicurezza come scenario per eseguire un drill-end BCDR. I drill possono convalidare il funzionamento dei processi documentati. Non dovrebbero essere presenti più playbook di risposta agli eventi imprevisti. Usare un'unica origine che è possibile modificare in base alle dimensioni dell'evento imprevisto e alla diffusione o localizzata dell'effetto. Le esercitazioni si basano su situazioni ipotetiche. Eseguire il drill-drill in un ambiente a basso rischio e includere la fase di apprendimento nelle esercitazioni.
Condurre revisioni post-eventi imprevisti o postmortem per identificare le debolezze nel processo di risposta e nelle aree per un miglioramento. In base alle lezioni apprese dall'evento imprevisto, aggiornare il piano di risposta agli eventi imprevisti (IRP) e i controlli di sicurezza.
Inviare la comunicazione necessaria
Implementare un piano di comunicazione per informare gli utenti di un'interruzione e informare gli stakeholder interni sulla correzione e i miglioramenti. Altre persone dell'organizzazione devono ricevere una notifica delle modifiche apportate alla baseline di sicurezza del carico di lavoro per evitare eventi imprevisti futuri.
Generare report sugli eventi imprevisti per l'uso interno e, se necessario, per scopi normativi o legali. Adottare anche un report di formato standard (un modello di documento con sezioni definite) usato dal team SOC per tutti gli eventi imprevisti. Assicurarsi che ogni evento imprevisto abbia un report associato prima di chiudere l'indagine.
Facilitazione di Azure
Microsoft Sentinel è una soluzione SIEM e SOAR. È un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la gestione delle minacce. Per altre informazioni, vedere Informazioni su Microsoft Sentinel?
Assicurarsi che il portale di registrazione di Azure includa le informazioni di contatto dell'amministratore in modo che le operazioni di sicurezza possano essere notificate direttamente tramite un processo interno. Per altre informazioni, vedere Aggiornare le impostazioni di notifica.
Per altre informazioni sulla creazione di un punto di contatto designato che riceve le notifiche degli eventi imprevisti di Azure da Microsoft Defender for Cloud, vedere Configurare le notifiche di posta elettronica per gli avvisi di sicurezza.
Allineamento dell'organizzazione
Cloud Adoption Framework per Azure fornisce indicazioni sulla pianificazione della risposta agli eventi imprevisti e sulle operazioni di sicurezza. Per altre informazioni, vedere Operazioni di sicurezza.
Collegamenti correlati
- Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft
- Eseguire la ricerca delle minacce end-to-end usando la funzionalità di caccia
- Configurare le notifiche tramite posta elettronica per gli avvisi di sicurezza
- Panoramica della risposta agli eventi imprevisti
- Conformità degli eventi imprevisti di Microsoft Azure
- Esplorare e analizzare gli eventi imprevisti in Microsoft Sentinel
- Controllo sicurezza: risposta agli eventi imprevisti
- Soluzioni SOAR in Microsoft Sentinel
- Training: Introduzione alla conformità agli eventi imprevisti di Azure
- Aggiornare le impostazioni di notifica portale di Azure
- Che cos'è un SOC?
- Che cos'è Microsoft Sentinel?
Elenco di controllo relativo alla sicurezza
Fare riferimento al set completo di raccomandazioni.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per