Condividi tramite


Gestione degli eventi imprevisti della sicurezza Microsoft

Microsoft lavora continuamente per fornire servizi altamente sicuri e di livello aziendale per i clienti Microsoft, ma gli eventi imprevisti di sicurezza sono una realtà inevitabile che deve essere gestita in modo approfondito e rapido. Questo documento offre una panoramica sul modo in cui Microsoft gestisce gli eventi imprevisti di sicurezza usando metodi e tecnologie collaudati e reali per ridurre al minimo il loro potenziale impatto. Un evento imprevisto di sicurezza si riferisce a qualsiasi accesso illecito ai dati dei clienti archiviati nelle apparecchiature di Microsoft o nelle strutture di Microsoft o all'accesso non autorizzato a tali apparecchiature o strutture che potrebbero comportare la perdita, la divulgazione o l'alterazione dei dati dei clienti. Gli obiettivi di Microsoft quando si rispondono agli eventi imprevisti di sicurezza sono proteggere i dati dei clienti e i Servizi online di Microsoft.

Microsoft Servizi online i team di sicurezza e i vari team di servizio lavorano insieme e assumono lo stesso approccio agli eventi imprevisti di sicurezza:

  • Preparazione
  • Rilevamento e analisi
  • Contenimento, eradicazione e ripristino
  • Attività post-evento imprevisto

Approccio Microsoft alla gestione degli eventi imprevisti di sicurezza

L'approccio di Microsoft alla gestione di un evento imprevisto di sicurezza è conforme al National Institute of Standards and Technology (NIST) Special Publication (SP) 800-61. Microsoft dispone di diversi team dedicati che interagiscono per prevenire, monitorare, rilevare e rispondere agli eventi imprevisti di sicurezza.

Team/Area Descrizione
Microsoft Security Response Center Identifica, monitora, risolve e risponde agli eventi imprevisti di sicurezza e alle vulnerabilità di sicurezza software Microsoft.
Cyber Defense Operations Center Il Cyber Defense Operations Center è la posizione fisica che riunisce team di risposta alla sicurezza ed esperti di tutta l'azienda per proteggere, rilevare e rispondere alle minacce in tempo reale.
Affari aziendali, esterni e legali Fornisce consulenza legale e normativa per un sospetto incidente di sicurezza.
Microsoft Datacenter Security Team Team incentrato sui vari servizi sugli investimenti comuni di progettazione della sicurezza per proteggere, rilevare e rispondere ai rischi e alle minacce dell'architettura dei servizi.
Team di risposta alla sicurezza Microsoft Azure indipendente, Dynamics 365 e i team di sicurezza di Microsoft 365 che collaborano con i team del servizio per creare il processo di gestione degli eventi imprevisti di sicurezza appropriato e per guidare qualsiasi risposta agli eventi imprevisti di sicurezza.
Team microsoft di governance, rischi e conformità (GRC) Fornire indicazioni su requisiti normativi, conformità e privacy.
Team di assistenza Team di progettazione per Azure, Dynamics 365, Microsoft 365 responsabili dei criteri e delle decisioni correlati alla sicurezza per ogni servizio.
Responsabili delle operazioni di Azure Supervisiona l'indagine e la risoluzione degli eventi imprevisti relativi alla sicurezza e alla privacy correlati ad Azure.
Microsoft Threat Intelligence Center (MSTIC) Fornisce l'attuale stato dell'arte nelle minacce alla sicurezza digitale contro l'infrastruttura e gli asset Microsoft, aiuta i team partner all'interno di Microsoft a dare priorità ai piani di azione per la prevenzione e la mitigazione e aumenta la protezione adottando il monitoraggio/rilevamento degli eventi imprevisti quasi in tempo reale.
Team di comunicazione dell'esperienza del cliente Team di progettazione responsabili di tutte le comunicazioni dei clienti sugli eventi imprevisti di sicurezza e servizio. I team separati sono dedicati ad Azure, Dynamics 365 e Microsoft 365.

Processo di gestione delle risposte

Microsoft Servizi online i team di sicurezza e i team di servizio collaborano e assumono lo stesso approccio agli eventi imprevisti di sicurezza, basato sulle fasi di gestione delle risposte NIST 800-61:

  • Preparazione: si riferisce alla preparazione dell'organizzazione necessaria per essere in grado di rispondere, inclusi strumenti, processi, competenze e preparazione.
  • Rilevamento & analisi: si riferisce all'attività per rilevare un evento imprevisto di sicurezza in un ambiente di produzione e per analizzare tutti gli eventi per confermare l'autenticità dell'evento imprevisto di sicurezza.
  • Contenimento, eradicazione, ripristino: si riferisce alle azioni necessarie e appropriate intraprese per contenere l'evento imprevisto di sicurezza in base all'analisi eseguita nella fase precedente. In questa fase potrebbe essere necessaria anche una maggiore analisi per il ripristino completo dall'evento imprevisto di sicurezza.
  • Attività post-evento imprevisto: si riferisce all'analisi post-mortem eseguita dopo il ripristino di un evento imprevisto di sicurezza. Le azioni operative eseguite durante il processo vengono esaminate per determinare se è necessario apportare modifiche nelle fasi di preparazione, rilevamento e analisi.

Fasi di gestione degli eventi imprevisti di sicurezza.

Modello di risposta alla sicurezza federata

Microsoft Servizi online è costituito da prodotti Microsoft di base, tra cui Azure, Dynamics 365 e Microsoft 365. Ognuno di questi servizi è gestito da team separati con i propri processi operativi di sicurezza. Anche altri team di Microsoft, ad esempio MSTIC, sono impegnati in vari aspetti della sicurezza di Microsoft Servizi online. A causa della moltitudine di team che lavorano sulla gestione delle operazioni di sicurezza in tutti i vari servizi che costituiscono Microsoft Servizi online, Microsoft ha implementato un modello di risposta alla sicurezza federato.

Questa tabella presenta i limiti operativi tra i vari team delle operazioni di sicurezza dei servizi online Microsoft e i team del servizio Microsoft:

Attività Operazioni del team di sicurezza Microsoft Operazioni del team di servizio Microsoft
Rilevamento e analisi - Requisiti di rilevamento
- Monitoraggio e analisi della sicurezza
- Indicatore di sweep di compromissione (IOC)
- Caccia alle violazioni
- Lead di sicurezza 24x7 su chiamata e risposta agli eventi imprevisti
- Requisiti di rilevamento
- Monitoraggio della distribuzione dell'infrastruttura
- Analisi del servizio e informazioni dettagliate
- Valutazione di eventi e avvisi
- 24x7 service engineering on-call
Contenimento, eradicazione, recupero - Lead della risposta agli eventi imprevisti
- Indagine forense
- Competenze e consulenza in materia di sicurezza
- Indicazioni per il ripristino
- Proprietario dell'evento imprevisto di sicurezza
- Informazioni dettagliate sul servizio e competenze
- Eseguire contenimento, eradicazione e ripristino
Attività post-evento imprevisto - Lead di analisi post-evento imprevisto
- Raccolta e archiviazione dei dati
- Lezioni apprese e richieste di bug
- Segnalazione di eventi imprevisti
- Analisi degli eventi imprevisti sul lato servizio
- Assegnare priorità alle attività di follow-up
- Investimenti di sicurezza di implementazione
- Conformità alla sicurezza del servizio