다음을 통해 공유

Microsoft 보안 인시던트 관리: 봉쇄, 근절 및 복구

  • 아티클

서비스 팀은 보안 대응 팀이 수행한 분석에 따라 보안 인시던트 영향을 최소화하기 위한 적절한 봉쇄 및 복구 계획을 개발합니다. 그런 다음 적절한 서비스 팀은 보안 대응 팀의 지원을 받아 프로덕션 환경에서 해당 계획을 적용합니다.

억제

보안 인시던트가 감지되면 악의적 사용자가 더 많은 리소스에 액세스하거나 더 많은 피해를 입힐 수 있으려면 침입을 포함하는 것이 중요합니다. 보안 인시던트 대응 절차의 주요 목표는 고객 또는 해당 데이터 또는 Microsoft 시스템, 서비스 및 애플리케이션에 미치는 영향을 제한하는 것입니다.

근절

근절은 높은 신뢰도로 보안 인시던트의 근본 원인을 제거하는 과정입니다. 목표는 두 배입니다.

  • 악의적 사용자를 환경에서 완전히 제거하려면
  • 악의적 사용자가 환경을 다시 입력할 수 있도록 설정하거나 활성화할 수 있는 취약성(알려진 경우)을 완화합니다.

인시던트 특성, 보안 인시던트 scope, 침투 깊이 및 가능한 영향에 따라 보안 대응 팀은 서비스 팀이 근절 기술을 채택할 것을 권장합니다. 이러한 근절 단계로 인해 발생할 수 있는 잠재적인 비즈니스 영향을 고려할 때 이러한 결정은 필요한 경우 경영진 인시던트 관리자의 자세한 분석 및 승인 후 서비스 팀과 보안 대응 팀이 결정합니다.

복구

대응 팀이 악의적 사용자가 환경에서 제거되고 알려진 모든 취약한 경로가 제거되었다는 합리적인 수준의 확신을 얻게 됨에 따라 개별 서비스 팀은 서비스를 알려진 적절한 구성으로 가져오기 위한 복원 단계를 시작합니다. 이러한 복원 단계는 보안 대응 팀과 협의합니다. 이 활동에는 마지막으로 알려진 서비스 상태 식별, 백업에서 이 상태로 복원, 복원된 상태의 취약한 공격 경로 검사 등이 포함됩니다. 보안 대응 팀은 서비스 팀과 협의하여 환경에 가장 적합한 복구 계획을 결정합니다.

복구의 주요 측면은 복구 계획이 성공적으로 실행되었으며 환경에 위반의 징후가 없는지 확인하기 위해 경계 및 제어를 강화하는 것입니다.

보안 인시던트에 대한 고객 알림

Microsoft가 보안 인시던트가 발생했다고 판단하는 경우, 당사는 과도한 지연으로 귀하에게 알리며, 계약 및 규정 준수 요구 사항 내에서 동의하게 됩니다. 영향을 받는 모든 테넌트 식별 후 해당 통신 팀은 영향을 받는 테넌트에게 적용될 수 있는 관련 규정을 식별하기 위해 작업합니다. 통신 팀은 해당 규정에 정의된 적절한 통신 채널을 사용하여 적절한 테넌트 연락처에 알립니다.

인시던트 대응 프로세스.

알림에는 인시던트에 대한 설명, 고객 데이터에 미치는 영향(있는 경우) Microsoft에서 수행한 작업 및/또는 고객이 문제를 resolve 되풀이를 방지하기 위해 취할 제안된 조치와 같은 인시던트에 대한 자세한 정보가 포함됩니다. 알림은 Microsoft 온라인 서비스 테넌트의 지정된 관리자에게 전달됩니다. 알림이 수신되도록 하려면 관리자가 테넌트 프로필에서 정확한 연락처 정보를 제공하고 유지 관리해야 합니다. 또한 인시던트 특성에 따라 Microsoft 365 고객에게 Microsoft 365 서비스 상태 대시보드를 통해 알림을 받을 수도 있습니다.