Microsoft 보안 인시던트 관리
Microsoft는 Microsoft 고객에게 매우 안전한 엔터프라이즈급 서비스를 제공하기 위해 지속적으로 노력하고 있지만 보안 인시던트가 철저하고 신속하게 관리되어야 하는 불가피한 현실입니다. 이 문서에서는 Microsoft가 시도된 진정한 방법과 기술을 사용하여 보안 인시던트를 처리하는 방법에 대한 개요를 제공하여 잠재적 영향을 최소화합니다. 보안 인시던트란 Microsoft 장비 또는 Microsoft의 시설에 저장된 고객 데이터에 대한 불법 액세스 또는 고객 데이터의 손실, 공개 또는 변경을 초래할 가능성이 있는 이러한 장비 또는 시설에 대한 무단 액세스를 의미합니다. 보안 인시던트에 대응할 때 Microsoft의 목표는 고객 데이터 및 Microsoft의 온라인 서비스 보호하는 것입니다.
Microsoft 온라인 서비스 보안 팀과 다양한 서비스 팀이 공동으로 작업하고 보안 인시던트에 대해 동일한 접근 방식을 취합니다.
- 준비
- 검색 및 분석
- 봉쇄, 근절 및 복구
- 인시던트 후 활동
보안 인시던트 관리에 대한 Microsoft 접근 방식
보안 인시던트 관리에 대한 Microsoft의 접근 방식은 NIST(National Institute of Standards and Technology) SP(Special Publication) 800-61을 준수합니다. Microsoft에는 보안 인시던트 방지, 모니터링, 검색 및 대응을 위해 협력하는 여러 전담 팀이 있습니다.
| 팀/영역 | 설명 |
|---|---|
| Microsoft 보안 대응 센터 | 보안 인시던트 및 Microsoft 소프트웨어 보안 취약성을 식별, 모니터링, 해결 및 대응합니다. |
| 사이버 방어 운영 센터 | 사이버 방어 운영 센터는 실시간으로 위협을 보호, 감지 및 대응할 수 있도록 회사 전체의 보안 대응 팀과 전문가를 모은 물리적 위치입니다. |
| 회사, 외부 및 법률 업무 | 의심되는 보안 인시던트에 대한 법률 및 규제 자문을 제공합니다. |
| Microsoft Datacenter 보안 팀 | 서비스 아키텍처 위험 및 위협을 보호, 감지 및 대응하기 위해 일반적인 보안 엔지니어링 투자에 대한 다양한 서비스에 중점을 둔 팀입니다. |
| Microsoft 보안 대응 팀 | 적절한 보안 인시던트 관리 프로세스를 빌드하고 보안 인시던트 대응을 추진하기 위해 서비스 팀과 협력하는 독립 Azure, Dynamics 365 및 Microsoft 365 보안 팀. |
| MICROSOFT GRC(거버넌스, 위험 및 규정 준수) 팀 | 규정 요구 사항, 규정 준수 및 개인 정보에 대한 지침을 제공합니다. |
| 서비스 팀 | 각 서비스에 대한 보안 관련 정책 및 결정을 담당하는 Azure, Dynamics 365, Microsoft 365용 엔지니어링 팀. |
| Azure 운영 관리자 | Azure 관련 보안 및 개인 정보 인시던트에 대한 조사 및 해결을 감독합니다. |
| MSTIC(Microsoft Threat Intelligence Center) | Microsoft 인프라 및 자산에 대한 디지털 보안 위협의 현재 상태를 제공하고, Microsoft 내 파트너 팀이 완화 및 방지 작업 계획의 우선 순위를 지정하고, 근 실시간 인시던트 모니터링/검색을 채택하여 보호를 강화할 수 있도록 도와줍니다. |
| 고객 환경 커뮤니케이션 팀 | 보안 및 서비스 인시던트에 대한 모든 고객 통신을 담당하는 엔지니어링 팀. 별도의 팀은 Azure, Dynamics 365 및 Microsoft 365 전용입니다. |
응답 관리 프로세스
Microsoft 온라인 서비스 보안 팀과 서비스 팀이 함께 작업하고 NIST 800-61 응답 관리 단계를 기반으로 하는 보안 인시던트에 대해 동일한 접근 방식을 취합니다.
- 준비: 도구, 프로세스, 역량 및 준비 상태를 포함하여 응답할 수 있는 데 필요한 조직 준비를 나타냅니다.
- 검색 & 분석: 프로덕션 환경에서 보안 인시던트 검색 및 모든 이벤트를 분석하여 보안 인시던트 신뢰성을 확인하는 활동을 나타냅니다.
- 봉쇄, 근절, 복구: 이전 단계에서 수행된 분석을 기반으로 보안 인시던트 포함을 위해 수행된 필수 및 적절한 작업을 나타냅니다. 보안 인시던트에서 완전히 복구하려면 이 단계에서 더 많은 분석이 필요할 수도 있습니다.
- 인시던트 후 활동: 보안 인시던트가 복구된 후 수행된 사후 분석을 나타냅니다. 프로세스 중에 수행되는 운영 작업을 검토하여 준비 또는 검색 및 분석 단계에서 변경해야 하는지 여부를 확인합니다.
페더레이션 보안 응답 모델
Microsoft 온라인 서비스 Azure, Dynamics 365 및 Microsoft 365를 비롯한 핵심 Microsoft 제품으로 구성됩니다. 이러한 각 서비스는 자체 보안 운영 프로세스를 갖춘 별도의 팀에서 운영됩니다. MSTIC와 같은 Microsoft의 다른 팀도 Microsoft 온라인 서비스 다양한 보안 측면에 참여하고 있습니다. Microsoft 온라인 서비스 구성하는 모든 다양한 서비스에서 보안 운영 관리에 종사하는 수많은 팀 때문에 Microsoft는 페더레이션된 보안 대응 모델을 구현했습니다.
이 표에서는 다양한 Microsoft 온라인 서비스 보안 운영 팀과 Microsoft 서비스 팀 간의 운영 경계를 제공합니다.
| 활동 | Microsoft 보안 팀 운영 | Microsoft 서비스 팀 운영 |
|---|---|---|
| 검색 및 분석 | - 검색 요구 사항 - 보안 모니터링 및 분석 - IOC(손상 지표) 스윕 - 위반 사냥 - 24x7 보안 온-콜 및 인시던트 대응 리드 |
- 검색 요구 사항 - 인프라 배포 모니터링 - 서비스 분석 및 인사이트 - 이벤트 및 경고 심사 - 24x7 서비스 엔지니어링 온-콜 |
| 봉쇄, 근절, 복구 | - 인시던트 대응 리드 - 법의학 조사 - 보안 전문 지식 및 컨설팅 - 복구 지침 |
- 보안 인시던트 소유자 - 서비스 인사이트 및 전문 지식 - 포함, 근절 및 복구 실행 |
| 인시던트 후 활동 | - 인시던트 후 분석 리드 - 데이터 수집 및 보관 - 학습된 단원 및 버그 요청 - 인시던트 보고 |
- 서비스 쪽 인시던트 분석 - 후속 작업 우선 순위 지정 - 보안 투자 구현 - 서비스 보안 준비 상태 |
관련 문서
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기