Introdução ao gerenciamento de incidentes de segurança dos Serviços Online da Microsoft
Em ambientes de nuvem, os clientes e provedores de serviços de nuvem compartilham a responsabilidade de alcançar um ambiente de computação em conformidade e seguro. A Microsoft adota um modelo de responsabilidade compartilhada para definir a segurança e a responsabilidade operacional nos serviços do Microsoft 365. Embora o Microsoft 365 proteja a infraestrutura de nuvem e os serviços subjacentes, os clientes precisam estar cientes de suas responsabilidades para garantir um ambiente de locatário seguro para seus usuários e dados.
Observação
O Microsoft Secure Score fornece aos clientes uma análise clara de sua configuração de locatário e faz sugestões acionáveis para melhorar a segurança. Incentivamos todos os clientes a usar ferramentas de autoavaliação, como o Microsoft Secure Score, para garantir que nossas responsabilidades compartilhadas de segurança e privacidade sejam atendidas.
Na Microsoft, usamos uma abordagem de defesa aprofundada para proteger nossos serviços aplicando proteções de segurança em várias camadas. A defesa em profundidade fornece proteções sobrepostas para proteger contra ameaças à segurança. Enquanto criamos nossos serviços com a segurança em mente, também preparamos nossos serviços para a possibilidade de comprometimento usando uma estratégia de Assume Breach. Pressupor violação limita a confiança colocada em aplicativos, serviços, identidades e redes abordando todas elas, internas e externas, como inseguras e já comprometidas. Os princípios de Pressupor Violação ajudam a limitar o impacto de incidentes de segurança, reduzindo os danos que um adversário pode causar e habilitando a detecção rápida e a resposta a ameaças à segurança.
Neste módulo, nos concentraremos em como os Serviços Online da Microsoft investigam, gerenciam e respondem a ameaças de segurança para proteger os clientes no ambiente de nuvem da Microsoft.
O que é um incidente de segurança?
A Microsoft define um incidente de segurança em seu serviços online como um problema que tem o potencial de resultar em uma violação de dados do cliente, incluindo violações de políticas de segurança, políticas de uso aceitáveis ou práticas de segurança padrão. Isso inclui não apenas situações como violações confirmadas de sistemas microsoft, mas também falta de conformidade com as políticas e práticas de segurança da Microsoft.
Sempre que há um incidente de segurança, a Microsoft se esforça para responder de forma rápida e eficaz para proteger os Serviços Online da Microsoft e os dados do cliente. Os compromissos de notificação do cliente da Microsoft são detalhados no Suplemento de Proteção de Dados de Produtos e Serviços da Microsoft:
Se a Microsoft ficar ciente de uma violação de segurança que leva à destruição acidental ou ilegal, à perda, à alteração, à divulgação não autorizada ou ao acesso aos Dados do Cliente ou aos Dados Pessoais durante o processamento pela Microsoft (cada um deles um "Incidente de Segurança"), a Microsoft notificará imediatamente e sem atraso indevido (1) o Cliente sobre o Incidente de Segurança; (2) investigar o Incidente de Segurança e fornecer ao Cliente informações detalhadas sobre o Incidente de Segurança; (3) tome medidas razoáveis para atenuar os efeitos e minimizar os danos resultantes do Incidente de Segurança.
Resposta a incidentes federados na Microsoft
Para responder efetivamente a incidentes de segurança, a Microsoft emprega um modelo de resposta a incidentes de segurança federado. Cada serviço online importante, como o Azure e o Microsoft 365, tem suas próprias equipes de segurança dedicadas com habilidades de engenharia especializadas. Ao mesmo tempo, cada equipe adere a um processo de gerenciamento de incidentes compartilhado, definições compartilhadas e treinamento compartilhado para fornecer consistência em todos os Serviços Online.
Cada equipe de resposta de segurança do Serviço Online fornece às equipes de serviço orientações centralizadas de segurança e resposta a incidentes como parte do nosso modelo federado de resposta à segurança. Dependendo da natureza do incidente, as equipes de segurança e de serviço podem envolver parceiros de segurança e especialistas em assuntos de outras organizações da Microsoft para assistência investigativa, como:
- Centro de Inteligência contra Ameaças da Microsoft – para suporte a inteligência contra ameaças e suporte a ameaças
- Segurança digital e engenharia de risco da Microsoft Core Engineering – para obter assistência de investigação com incidentes que envolvem redes e ativos corporativos da Microsoft
- Microsoft Security Response Center – para obter suporte sobre vulnerabilidades relatadas externamente e Resposta a Incidentes de Software e Serviços
- Microsoft Corporativo, Externo, Assuntos Jurídicos – para obter informações legais e diretrizes sobre investigações de incidentes de segurança
- Equipes de privacidade – para obter diretrizes sobre requisitos regulatórios, conformidade e privacidade. Equipes separadas são dedicadas a cada serviço online principal
- Equipes de comunicação de experiência do cliente – para comunicações internas e externas relacionadas a incidentes. Equipes separadas são dedicadas a cada serviço online principal
Resposta a incidentes no Microsoft Online Services
Nos Serviços Online da Microsoft, as responsabilidades pela resposta a incidentes de segurança são compartilhadas entre as equipes de resposta à segurança e cada equipe de serviço da Microsoft. As equipes de resposta à segurança coordenam com equipes de serviço para implementar a estratégia de resposta a incidentes em toda a empresa, aproveitando a experiência da equipe de serviço.
Nossa estratégia de resposta a incidentes, baseada nas fases de gerenciamento de resposta NIST 800-61, prossegue por quatro fases da atividade interconectada: preparação; detecção e análise; contenção, eliminação e recuperação; e atividade pós-incidente.
O diagrama indica que as fases de detecção e análise e contenção, erradicação e recuperação iteram em loop até que o incidente seja resolvido.
Cada fase do processo de gerenciamento de resposta é importante para uma resposta a incidentes eficaz.