Planowanie reagowania na zdarzenia

Użyj tej tabeli jako listy kontrolnej, aby przygotować Centrum Operacji Bezpieczeństwa (SOC) do reagowania na incydenty cyberbezpieczeństwa.

Gotowe	Aktywność	opis	Korzyści
	Ćwiczenia na szczycie tabeli	Przeprowadzaj okresowe ćwiczenia dotyczące przewidywalnych zdarzeń cybernetycznych wpływających na działalność biznesową, które zmuszają kierownictwo organizacji do kontemplowania trudnych decyzji opartych na ryzyku.	Zdecydowanie określa i przedstawia cyberbezpieczeństwo jako kluczowy aspekt dla biznesu. Rozwija pamięć mięśniową i ukazuje trudne decyzje oraz problemy z prawidłami decyzyjnymi w całej organizacji.
	Określanie decyzji przed atakiem i osób podejmujących decyzje	Jako uzupełnienie ćwiczeń przy stole, określ podejmowanie decyzji w oparciu o ryzyko, oraz kryteria ich podejmowania, a także kto musi je podejmować i realizować. Na przykład: Kto/kiedy/jeśli szukać pomocy ze strony organów ścigania? Kto/kiedy/czy zaangażować osoby reagujące na incydenty? Kto/kiedy/jeśli zapłacić okup? Kto/kiedy/jeśli powiadomić zewnętrznych audytorów? Kto/kiedy/jeśli powiadomić organy regulacyjne dotyczące prywatności? Kto/kiedy/jeśli powiadomić organy regulacyjne dotyczące papierów wartościowych? Kto/kiedy/czy powiadomić radę dyrektorów lub komitet audytowy? Kto ma uprawnienia do zamykania obciążeń o znaczeniu krytycznym?	Określa początkowe parametry reakcji oraz kontakty, które usprawniają reagowanie na incydent.
	Utrzymywanie uprawnień	Zazwyczaj porady mogą być uprzywilejowane, ale fakty są odnajdywalne. Szkolenie kluczowych liderów ds. incydentów w przekazywaniu porad, faktów i opinii pod osłoną przywileju prawnika w celu zachowania tej osłony i zmniejszenia ryzyka.	Utrzymywanie przywilejów może być złożonym procesem, zważywszy na mnogość kanałów komunikacyjnych, w tym pocztę e-mail, platformy współpracy, czaty, dokumenty i artefakty. Można na przykład użyć usługi Microsoft Teams Rooms. Spójne podejście między personelem incydentów i wspieraniem organizacji zewnętrznych może pomóc zmniejszyć potencjalne ryzyko prawne.
	Zagadnienia dotyczące handlu niejawnego	Przemyśl powiadomienia do zarządu, które należy wysłać, aby zmniejszyć ryzyko naruszenia przepisów dotyczących papierów wartościowych.	Zarządy i audytorzy zewnętrzni mają tendencję do doceniania, że masz środki zaradcze, które zmniejszy ryzyko wątpliwych transakcji papierów wartościowych w okresach turbulencji.
	Podręcznik ról i obowiązków dotyczących incydentów	Ustanów podstawowe role i obowiązki, które umożliwiają różnym procesom utrzymanie koncentracji uwagi i postępu. Gdy zespół reagowania jest zdalny, może wymagać uwzględnienia innych kwestii dotyczących stref czasowych i odpowiedniego przekazania śledczym. Być może trzeba będzie komunikować się między innymi zespołami, które mogą być zaangażowane, takie jak zespoły dostawców.	Lider incydentów technicznych — zawsze w incydencie, syntezowanie danych wejściowych i ustaleń oraz planowanie kolejnych działań. Łącznik komunikacji — usuwa ciężar komunikowania się z kierownictwem z kierownika ds. zdarzeń technicznych, dzięki czemu mogą pozostać zaangażowani w incydent bez utraty uwagi. To działanie powinno obejmować zarządzanie wiadomościami wykonawczymi i interakcjami z innymi firmami trzecimi, takimi jak organy regulacyjne. Incident Recorder — usuwa ciężar rejestrowania ustaleń, decyzji i działań z osoby reagującej na incydent i tworzy dokładny zapis zdarzenia od początku do końca. Forward Planner — Współpraca z właścicielami kluczowych procesów biznesowych, formułuje działania i przygotowuje plany ciągłości biznesowej, które uwzględniają utratę systemu informacyjnego trwającą przez 24, 48, 72, 96 godzin lub dłużej. Public Relations — w przypadku incydentu, który może zebrać uwagę opinii publicznej, z Forward Planner, rozważa i projektuje podejścia do komunikacji publicznej, które odnoszą się do prawdopodobnych wyników.
	Podręcznik reagowania na zdarzenia dotyczące prywatności	Aby spełnić coraz bardziej rygorystyczne przepisy dotyczące prywatności, opracuj wspólny podręcznik między secOps i biurem ochrony prywatności. Ten podręcznik umożliwi szybką ocenę potencjalnych problemów z prywatnością, które mogą wynikać z zdarzeń związanych z bezpieczeństwem.	Trudno jest ocenić incydenty bezpieczeństwa pod względem ich potencjalnego wpływu na prywatność, ponieważ większość z nich ma miejsce w wysoce technicznym SOC (Security Operations Center). Incydenty muszą szybko zostać ujawnione w biurze ochrony prywatności (często z 72-godzinnym oczekiwaniem na powiadomienie), w którym jest określane ryzyko regulacyjne.
	Testy penetracyjne	Przeprowadzanie symulowanych ataków w określonym czasie na systemy o znaczeniu krytycznym dla firmy, infrastrukturę krytyczną i kopie zapasowe w celu zidentyfikowania słabych punktów w poziomie zabezpieczeń. Zazwyczaj to działanie jest przeprowadzane przez zespół zewnętrznych ekspertów, który koncentruje się na pomijaniu mechanizmów kontroli prewencyjnych i przeglądaniu kluczowych luk w zabezpieczeniach.	W świetle ostatnich zdarzeń związanych z oprogramowaniem wymuszającym okup przez człowieka testy penetracyjne powinny być przeprowadzane przeciwko zwiększonemu zakresowi infrastruktury, szczególnie możliwości atakowania i kontrolowania kopii zapasowych systemów i danych o znaczeniu krytycznym.
	Czerwony zespół / Niebieski zespół / Purpurowy zespół / Zielony zespół	Przeprowadzaj ciągłe lub okresowe symulowane ataki na systemy krytyczne dla działania firmy, infrastrukturę krytyczną, kopie zapasowe w celu identyfikowania słabych stron w stanie zabezpieczeń. Zazwyczaj ta aktywność jest prowadzona przez wewnętrzne zespoły ataków (Zespoły czerwone), które koncentrują się na testowaniu skuteczności mechanizmów kontroli detektywów i zespołów (zespoły Blue). Na przykład, możesz użyć szkolenia z symulacji ataków w Microsoft Defender XDR dla Office 365 i samouczków i symulacji ataków w Microsoft Defender XDR dla punktu końcowego.	Symulacje ataków zespołu Red, Blue i Purple, gdy są dobrze wykonane, służą wielu celom: Umożliwia inżynierom z całej organizacji IT symulowanie ataków na własne dyscypliny infrastruktury. Ujawnia luki w widoczności i wykrywaniu. Podnosi umiejętności inżynieryjne ds. zabezpieczeń we wszystkich dziedzinach. Służy jako bardziej ciągły i ekspansywny proces. Zespół Zielony implementuje zmiany w konfiguracji IT lub konfiguracji zabezpieczeń.
	Planowanie ciągłości działania	W przypadku procesów biznesowych o krytycznym znaczeniu należy projektować i testować procesy ciągłości działania, które umożliwiają działanie minimalnej opłacalności w czasie upośledzenia systemów informacyjnych. Na przykład użyj planu tworzenia i przywracania kopii zapasowych platformy Azure, aby chronić krytyczne systemy biznesowe podczas ataku, aby zapewnić szybkie odzyskiwanie operacji biznesowych.	Podkreśla fakt, że nie ma sposobu na zapewnienie ciągłości w przypadku uszkodzonych lub braku systemów IT. Może podkreślić potrzebę i finansowanie zaawansowanej odporności cyfrowej w przeciwieństwie do prostszych procesów kopii zapasowej i odzyskiwania.
	Odzyskiwanie po awarii	W przypadku systemów informacyjnych, które obsługują procesy biznesowe o krytycznym znaczeniu, należy zaprojektować i przetestować scenariusze tworzenia kopii zapasowych i odzyskiwania gorące/zimne i gorące/ciepłe, w tym czasy przełączania.	Organizacje, które przeprowadzają kompilacje bez systemu operacyjnego, często znajdują działania, które są niemożliwe do replikacji lub nie pasują do celów poziomu usług. Systemy o krytycznym znaczeniu działające na nieobsługiwanym sprzęcie wiele razy nie mogą zostać przywrócone do nowoczesnego sprzętu. Przywracanie kopii zapasowych często nie jest testowane i występują problemy. Kopie zapasowe mogą być dalej w trybie offline, tak aby czas przejściowy nie został uwzględniony w celach odzyskiwania.
	Komunikacja poza pasmem	Przygotuj się do komunikowania się w następujących scenariuszach: Upośledzenie usługi poczty e-mail i współpracy Okup repozytoriów dokumentacji Niedostępność numerów telefonów personelu.	Chociaż jest to trudne ćwiczenie, określ sposób przechowywania ważnych informacji w sposób niezmienny na urządzeniach i w lokalizacjach poza siecią dla dystrybucji na dużą skalę. Na przykład: Numery telefonów Topologie Kompilowanie dokumentów Procedury przywracania IT
	Utwardzanie, higiena i zarządzanie cyklem życia	W zgodzie z Centrum ds. Bezpieczeństwa Internetowego (CIS) i ich Top 20 kontrolami bezpieczeństwa, utwardź swoją infrastrukturę i przeprowadzaj dokładne działania higieniczne.	W odpowiedzi na ostatnie zdarzenia wymuszające okup obsługiwane przez człowieka firma Microsoft wydała konkretne wskazówki dotyczące ochrony każdego etapu łańcucha zagrożeń cybernetycznych. Te wskazówki dotyczą możliwości firmy Microsoft lub możliwości innych dostawców. Należy zwrócić szczególną uwagę na następujące kwestie: Tworzenie i konserwacja niezmiennych kopii zapasowych w przypadku okupowanych systemów. Możesz również rozważyć, jak zachować niezmienne pliki dziennika, które komplikują zdolność osoby atakującej do zakrywania ich śladów. Zagrożenia związane z nieobsługiwanym sprzętem na potrzeby odzyskiwania po awarii.
	Planowanie reagowania na zdarzenia	Na początku zdarzenia zdecyduj się na: Ważne parametry organizacyjne. Przypisywanie osób do ról i obowiązków. Poczucie pilności (na przykład 24x7 i godziny pracy). Personel ds. zrównoważonego rozwoju na określony czas.	Istnieje tendencja do rzucania wszystkich dostępnych zasobów na incydent na początku, w nadziei na szybkie rozwiązanie. Po rozpoznaniu lub przewidywaniu, że incydent potrwa dłuższy czas, przyjmij inną postawę wobec swojego personelu i dostawców, która pozwoli im przygotować się na dłuższą perspektywę.
	Osoby reagujące na zdarzenia	Ustal jasne oczekiwania ze sobą. Popularny format raportowania bieżących działań obejmuje: Co zrobiliśmy (i jakie były wyniki)? Co robimy (i jakie wyniki zostaną wygenerowane i kiedy)? Co planujemy zrobić dalej (i kiedy jest realistyczne oczekiwać wyników)?	Osoby reagujące na zdarzenia mają różne techniki i podejścia, w tym analizę utraconych pól, analizę danych big data i możliwość generowania wyników przyrostowych. Począwszy od jasnych oczekiwań, ułatwi jasne komunikacje.

Zasoby reagowania na zdarzenia

• Omówienie produktów i zasobów zabezpieczeń firmy Microsoft dla nowych i doświadczonych analityków
• Podręczniki zawierające szczegółowe wskazówki dotyczące reagowania na typowe metody ataku
• Reagowanie na zdarzenia XDR w usłudze Microsoft Defender
• Microsoft Defender dla Chmury (Azure)
• Reagowanie na zdarzenia w usłudze Microsoft Sentinel
• Przewodnik zespołu reagowania na zdarzenia firmy Microsoft udostępnia najlepsze rozwiązania dla zespołów ds. zabezpieczeń i liderów
• Przewodniki reagowania na zdarzenia firmy Microsoft ułatwiają zespołom ds. zabezpieczeń analizowanie podejrzanych działań

Kluczowe zasoby zabezpieczeń firmy Microsoft

Zasób	opis
Raport firmy Microsoft na temat ochrony zasobów cyfrowych 2021 r.	Raport, który obejmuje wnioski ekspertów w dziedzinie zabezpieczeń, praktyków i obrońców firmy Microsoft, aby umożliwić ludziom na całym świecie obronę przed cyberatakami.
Architektury referencyjne cyberbezpieczeństwa firmy Microsoft	Zestaw diagramów architektury wizualnej, które pokazują możliwości cyberbezpieczeństwa firmy Microsoft i ich integrację z platformami w chmurze firmy Microsoft, takimi jak Microsoft 365 i Microsoft Azure oraz platformy i aplikacje w chmurze innych firm.
Pobieranie infografiki w minutach	Omówienie sposobu reagowania zespołu SecOps firmy Microsoft na zdarzenia w celu wyeliminowania bieżących ataków.
Operacje zabezpieczeń platformy Azure Cloud Adoption Framework	Strategiczne wskazówki dla liderów ustanawiających lub modernizujących funkcję operacji zabezpieczeń.
Najlepsze rozwiązania dotyczące zabezpieczeń firmy Microsoft dotyczące operacji zabezpieczeń	Jak najlepiej używać centrum SecOps, aby działać szybciej niż atakujący twoją organizację.
Zabezpieczenia w chmurze firmy Microsoft dla modelu architektów IT	Zabezpieczenia usług i platform w chmurze firmy Microsoft na potrzeby tożsamości i dostępu do urządzeń, ochrony przed zagrożeniami i ochrony informacji.
Dokumentacja zabezpieczeń firmy Microsoft	Dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft.