Pianificazione della risposta agli eventi imprevisti
Usare questa tabella come elenco di controllo per preparare il Centro operazioni di sicurezza (SOC) per rispondere agli eventi imprevisti di cybersecurity.
| Fatto | Impegno | Descrizione | Vantaggio |
|---|---|---|---|
| Esercizi principali della tabella | Condurre esercizi periodici di primo piano sugli eventi informatici prevedibili che influisce sul business che forzano la gestione dell'organizzazione a contemplare decisioni difficili basate sui rischi. | Stabilisce e illustra con fermezza la cybersecurity come un problema aziendale. Sviluppa la memoria muscolare e presenta difficili decisioni e problemi di decisioni in tutta l'organizzazione. | |
| Determinare le decisioni preliminari all'attacco e i decision maker | Come complemento agli esercizi principali della tabella, determinare decisioni basate sul rischio, criteri per prendere decisioni e chi deve prendere ed eseguire tali decisioni. Ad esempio: Chi/quando/se chiedere assistenza alle forze dell'ordine? Chi/quando/se per integrare gli addetti alle risposte agli eventi imprevisti? Chi/quando/se pagare il riscatto? Chi/quando/se inviare una notifica ai revisori esterni? Chi/quando/se inviare una notifica alle autorità di regolamentazione della privacy? Chi/quando/se notificare alle autorità di regolamentazione dei titoli? Chi/quando/se inviare una notifica al consiglio di amministrazione o al comitato di controllo? Chi ha l'autorità di arrestare carichi di lavoro cruciali? |
Definisce i parametri di risposta iniziali e i contatti da coinvolgere per semplificare la risposta a un evento imprevisto. | |
| Mantenimento dei privilegi | In genere, i consigli possono essere privilegiati, ma i fatti sono individuabili. Formare i principali responsabili degli eventi imprevisti nella comunicazione di consigli, fatti e opinioni con privilegi, in modo che il privilegio venga mantenuto e il rischio venga ridotto. | La gestione dei privilegi può essere un processo disordinato quando si considera la moltitudine di canali di comunicazione, tra cui posta elettronica, piattaforme di collaborazione, chat, documenti, artefatti. Ad esempio, è possibile usare Microsoft Teams Rooms. Un approccio coerente tra il personale degli eventi imprevisti e il supporto di organizzazioni esterne può contribuire a ridurre qualsiasi potenziale esposizione legale. | |
| Considerazioni sul insider trading | Contemplare le notifiche alla gestione che devono essere prese per ridurre i rischi di violazioni dei titoli. | Consigli e revisori esterni tendono a apprezzare che si dispone di mitigazioni che ridurranno il rischio di scambi di titoli discutibili durante periodi di turbolenza. | |
| Playbook ruoli e responsabilità degli eventi imprevisti | Stabilire ruoli e responsabilità di base che consentono a vari processi di mantenere lo stato attivo e l'avanzamento. Quando il team di risposta è remoto, può richiedere altre considerazioni per i fusi orari e il passaggio appropriato agli investigatori. Potrebbe essere necessario comunicare tra altri team che potrebbero essere coinvolti, ad esempio i team del fornitore. |
Technical Incident Leader : sempre nell'evento imprevisto, sintetizzando input e risultati e pianificando le azioni successive. Collegamento delle comunicazioni: rimuove l'onere di comunicare con la gestione dal responsabile degli incidenti tecnici in modo che possano rimanere coinvolti nell'incidente senza perdere attenzione. Questa attività deve includere la gestione della messaggistica e delle interazioni esecutive con altre terze parti, ad esempio le autorità di regolamentazione. Registratore eventi imprevisti: rimuove il carico di registrazione di risultati, decisioni e azioni da un risponditore di eventi imprevisti e produce una contabilità accurata dell'evento imprevisto dall'inizio alla fine. Forward Planner : lavorare con proprietari di processi aziendali cruciali, formula attività di continuità aziendale e preparativi che contemplano problemi del sistema informativo che durano per 24, 48, 72, 96 ore o più. Public Relations : in caso di evento imprevisto che è probabile che si verifichi un'attenzione pubblica, con Forward Planner, contempla e progetta approcci di comunicazione pubblica che affrontano i probabili risultati. |
|
| Playbook sulla risposta agli eventi imprevisti sulla privacy | Per soddisfare normative sulla privacy sempre più rigide, sviluppare un playbook di proprietà congiunta tra SecOps e l'ufficio privacy. Questo playbook consentirà una rapida valutazione dei potenziali problemi di privacy che potrebbero verificarsi da eventi imprevisti di sicurezza. | È difficile valutare gli eventi imprevisti di sicurezza per il potenziale impatto sulla privacy perché la maggior parte degli eventi imprevisti di sicurezza si verifica in un SOC altamente tecnico. Gli eventi imprevisti devono essere rapidamente visualizzati in un ufficio di privacy (spesso con un'aspettativa di notifica di 72 ore) in cui viene determinato il rischio normativo. | |
| Test di penetrazione | Condurre attacchi simulati temporizzato contro sistemi critici aziendali, infrastruttura critica e backup per identificare i punti deboli nel comportamento di sicurezza. In genere, questa attività viene condotta da un team di esperti esterni incentrati sul bypass dei controlli preventivi e sulla visualizzazione delle vulnerabilità chiave. | Alla luce di recenti incidenti ransomware gestiti dall'uomo, i test di penetrazione devono essere condotti contro un maggiore ambito dell'infrastruttura, in particolare la capacità di attaccare e controllare i backup di sistemi e dati cruciali. | |
| Red Team/Blue Team/Purple Team/Green Team | Condurre attacchi simulati continui o periodici contro sistemi critici aziendali, infrastruttura critica, backup per identificare i punti deboli nel comportamento di sicurezza. In genere, questa attività viene condotta da team di attacco interni (squadre rosse) che si concentrano sul test dell'efficacia dei controlli detective e delle squadre (squadre blu). Ad esempio, è possibile usare Formazione con simulazione degli attacchi in Microsoft Defender XDR per Office 365 e esercitazioni sugli attacchi e simulazioni per Microsoft Defender XDR per endpoint. |
Le simulazioni di attacco della squadra rosso, blu e viola, quando fatto bene, servono una moltitudine di scopi:
Il team verde implementa le modifiche nella configurazione IT o della sicurezza. |
|
| Pianificazione della continuità aziendale | Per i processi aziendali cruciali, progettare e testare i processi di continuità che consentono al business minimo funzionante durante i periodi di problemi dei sistemi informativi. Ad esempio, usare un piano di backup e ripristino di Azure per proteggere i sistemi aziendali critici durante un attacco per garantire un rapido ripristino delle operazioni aziendali. |
|
|
| Ripristino di emergenza | Per i sistemi informativi che supportano processi aziendali cruciali, è consigliabile progettare e testare scenari di backup e ripristino ad accesso frequente e ad accesso frequente e ad accesso frequente, inclusi i tempi di gestione temporanea. | Le organizzazioni che eseguono compilazioni bare metal spesso trovano attività impossibili da replicare o non rientrare negli obiettivi del livello di servizio. I sistemi cruciali in esecuzione su hardware non supportato molte volte non possono essere ripristinati nell'hardware moderno. Il ripristino dei backup spesso non viene testato e si verificano problemi. I backup possono essere ulteriormente offline, in modo che i tempi di gestione temporanea non siano stati inseriti in obiettivi di ripristino. |
|
| Comunicazioni fuori banda | Preparare la modalità di comunicazione negli scenari seguenti:
|
Anche se è un esercizio difficile, determinare come archiviare informazioni importanti in modo non modificabile in dispositivi e posizioni off-line per la distribuzione su larga scala. Ad esempio:
|
|
| Protezione avanzata, igiene e gestione del ciclo di vita | In linea con Center for Internet Security (CIS) Primi 20 controlli di sicurezza, rafforzare l'infrastruttura ed eseguire attività di igiene accurata. | In risposta a recenti incidenti ransomware gestiti dall'uomo, Microsoft ha rilasciato linee guida specifiche per proteggere ogni fase della catena di uccisioni cyberattack. Queste indicazioni si applicano alle funzionalità Microsoft o alle funzionalità di altri provider. Di particolare nota sono:
|
|
| Pianificazione della risposta agli eventi imprevisti | All'inizio dell'incidente, decidere:
|
C'è la tendenza a generare tutte le risorse disponibili in un evento imprevisto all'inizio, nella speranza di una risoluzione rapida. Una volta riconosciuto o anticipato che un incidente andrà per un lungo periodo di tempo, assumere una posizione diversa che con il personale e i fornitori che consentono loro di stabilirsi per un trasporto più lungo. | |
| Risponditori di eventi imprevisti | Stabilire aspettative chiare l'una con l'altra. Un formato comune di attività in corso di creazione di report include:
|
I risponditori di eventi imprevisti sono dotati di tecniche e approcci diversi, tra cui l'analisi dei dead box, l'analisi dei Big Data e la possibilità di produrre risultati incrementali. A partire da aspettative chiare faciliteranno le comunicazioni chiare. |
Risorse di risposta agli eventi imprevisti
- Panoramica dei prodotti e delle risorse per la sicurezza Microsoft per analisti esperti e nuovi ruoli
- Playbook per indicazioni dettagliate sulla risposta ai metodi di attacco comuni
- Risposta agli eventi imprevisti di Microsoft Defender XDR
- Microsoft Defender per il cloud (Azure)
- Risposta agli eventi imprevisti di Microsoft Sentinel
- Il team di risposta agli eventi imprevisti Microsoft condivide le procedure consigliate per i team e i responsabili della sicurezza
- Le guide alla risposta agli eventi imprevisti Microsoft aiutano i team di sicurezza ad analizzare le attività sospette
Risorse chiave per la sicurezza Microsoft
| Risorsa | Descrizione |
|---|---|
| Report sulla difesa digitale Microsoft 2021 | Un report che comprende l'apprendimento da esperti di sicurezza, professionisti e difensori di Microsoft per consentire alle persone ovunque di difendersi dalle minacce informatiche. |
| Architetture di riferimento per la cybersecurity Microsoft | Un set di diagrammi di architettura visiva che mostrano le funzionalità e l'integrazione di Microsoft con le piattaforme cloud Microsoft, ad esempio Microsoft 365 e Microsoft Azure e piattaforme cloud e app di terze parti. |
| Download dell'infografica minuti importanti | Panoramica del modo in cui il team SecOps di Microsoft esegue la risposta agli eventi imprevisti per attenuare gli attacchi in corso. |
| Operazioni di sicurezza di Azure Cloud Adoption Framework | Linee guida strategiche per i leader che stabiliscono o modernizzare una funzione operativa di sicurezza. |
| Procedure consigliate per la sicurezza Microsoft per le operazioni di sicurezza | Come usare al meglio il centro SecOps per spostarsi più velocemente rispetto agli utenti malintenzionati destinati all'organizzazione. |
| Modello di Microsoft Cloud Security per architetti IT | Sicurezza tra servizi cloud Microsoft e piattaforme per l'accesso alle identità e ai dispositivi, la protezione dalle minacce e la protezione delle informazioni. |
| Documentazione sulla sicurezza Microsoft | Indicazioni aggiuntive sulla sicurezza di Microsoft. |