Planejamento de resposta a incidentes
Use essa tabela como uma lista de verificação para preparar seu SOC (Centro de Operações de Segurança) para responder a incidentes de segurança cibernética.
Concluído | Atividade | Descrição | Benefício |
---|---|---|---|
Exercícios da parte superior da tabela | Conduza os exercícios periódicos da parte superior da tabela de incidentes cibernéticos que podem afetar os negócios que forçam o gerenciamento da sua organização a tomar decisões difíceis baseadas em risco. | Estabelece e ilustra a segurança cibernética como um problema de negócios. Desenvolve memória muscular e revela problemas de direitos de decisões e decisões difíceis em toda a organização. | |
Determinar decisões de pré-ataque e tomadores de decisão | Como um complemento aos exercícios da parte superior da tabela, determine decisões baseadas em risco, critérios para tomar decisões e quem deve tomar e executar essas decisões. Por exemplo: Quem/quando/se deve buscar assistência da aplicação da lei? Quem/quando/se deve inscrever respondentes de incidentes? Quem/quando/se deve pagar o resgate? Quem/quando/se deve notificar auditores externos? Quem/quando/se deve notificar autoridades regulatórias de privacidade? Quem/quando/se deve notificar os regulamentadores de títulos? Quem/quando/se deve notificar o comitê de diretores ou o comitê de auditoria? Quem tem autoridade para desligar cargas de trabalho críticas? |
Define os parâmetros de resposta iniciais e os contatos a envolver que simplificam a resposta a um incidente. | |
Mantendo o privilégio | Normalmente, os conselhos podem ser privilegiados, mas os fatos podem ser descobertos. Treine os principais líderes de incidentes na comunicação de conselhos, fatos e opiniões sob privilégio para que o privilégio seja preservado e o risco seja reduzido. | Manter o privilégio pode ser um processo confuso ao se considerar a variedade de canais de comunicação, incluindo email, plataformas de colaboração, chats, documentos, artefatos. Por exemplo, você pode usar as Salas do Microsoft Teams. Uma abordagem consistente entre a equipe de incidentes e as organizações externas de suporte pode ajudar a reduzir qualquer exposição legal potencial. | |
Considerações sobre a negociação de informações privilegiadas | Contemple notificações para o gerenciamento que devem ser tomadas para reduzir o risco de violações de títulos. | Comitês e auditores externos tendem a gostar que você tenha mitigações que reduzirão o risco de trocas de título questionáveis durante períodos de instabilidade. | |
Guia estratégico de funções e responsabilidades de incidentes | Estabeleça funções e responsabilidades básicas que permitem que vários processos mantenham o foco e avancem o progresso. Quando sua equipe de resposta é remota, ela pode exigir outras considerações sobre fusos horários e a entrega adequada aos investigadores. Talvez você precise se comunicar com outras equipes que possam estar envolvidas, como as equipes dos fornecedores. |
Líder de Incidentes Técnicos – Sempre no incidente, sintetizando entradas e descobertas e planejando as próximas ações. Contato de Comunicações – Remove o fardo da comunicação com a gerência por parte do Líder de Incidentes Técnicos para que ele possa permanecer envolvido no incidente, sem perder o foco. Essa atividade deve incluir o gerenciamento de mensagens e interações executivas com outros terceiros, tais como as agências reguladoras. Gravador de Incidentes – Remove o fardo de registrar descobertas, decisões e ações do gerenciador do incidente e produz um registro preciso do incidente do início ao fim. Planejador de Missões – Trabalhando com proprietários de processos empresariais críticos, formula atividades de continuidade de negócios e preparações que reagem contra a deficiência do sistema de informações que dura 24, 48, 72, 96 horas ou mais. Relações Públicas – No caso de um incidente que provavelmente chame a atenção pública e, com o Planejador de Missões, contempla e esboça abordagens de comunicação pública que endereçam os resultados prováveis. |
|
Guia estratégico de resposta a incidente de privacidade | Para satisfazer regulamentos de privacidade cada vez mais rigorosos, desenvolva um guia estratégico de propriedade conjunta entre a SecOps e o escritório de privacidade. Este guia estratégico permitirá uma avaliação rápida de potenciais problemas de privacidade que possam surgir de incidentes de segurança. | É difícil avaliar os incidentes de segurança pelo seu potencial de afetar a privacidade, porque a maioria dos incidentes de segurança surge em um SOC altamente técnico. Os incidentes devem ser rapidamente levados a um escritório de privacidade (geralmente com uma expectativa de notificação de 72 horas), onde o risco regulatório é determinado. | |
Teste de penetração | Conduza ataques simulados pontuais contra sistemas comercialmente críticos, infraestrutura crítica e backups para identificar pontos fracos na postura de segurança. Normalmente, essa atividade é realizada por uma equipe de especialistas externos focados em ignorar controles preventivos e descobrir de vulnerabilidades principais. | À luz dos recentes incidentes de ransomware operados por humanos, os testes de penetração devem ser realizados em um escopo maior de infraestrutura, especialmente a capacidade de atacar e controlar backups de dados e sistemas críticos. | |
Equipe Vermelha / Equipe Azul / Equipe Roxa / Equipe Verde | Conduza ataques simulados contínuos ou periódicos contra sistemas comercialmente críticos, infraestrutura crítica e backups para identificar pontos fracos na postura de segurança. Normalmente, essa atividade é realizada por equipes de ataque internas (equipes Vermelhas) que se concentram em testar a eficácia de controles de detetives e equipes (equipes Azuis). Por exemplo, você pode usar o treinamento de simulação Attack do Microsoft Defender XDR para o Office 365 e as simulações e os tutoriais do Attack para o Microsoft Defender XDR for Endpoint. |
As simulações de ataque de Equipe vermelho, azul e roxo, quando bem-feitas, atendem a muitas finalidades:
A Equipe Verde implementa alterações em TI ou nas configurações de segurança. |
|
Planejamento de continuidade de negócios | Para processos de negócios críticos, projetar e testar processos de continuidade que permitem que os negócios mínimos viáveis funcionem durante períodos de deficiência dos sistemas de informações. Por exemplo, use um plano de restauração e de backup do Azure para proteger seus sistemas comercialmente críticos durante um ataque para garantir uma recuperação rápida das operações de negócios. |
|
|
Recuperação de desastre | Para sistemas de informações que dão suporte a processos de negócios críticos, você deve projetar e testar cenários de backup e recuperação quente/frio e quente/quente, incluindo tempos de preparo. | As organizações que realizam builds bare-metal geralmente encontram atividades que são impossíveis de replicar ou não se ajustam aos objetivos de nível de serviço. Sistemas críticos em execução em hardware sem suporte muitas vezes não podem ser restaurados para hardware moderno. A restauração de backups geralmente não é testada e tem problemas. Os backups podem estar ainda mais offline, de modo que os tempos de preparo não tenham sido fatorados em objetivos de recuperação. |
|
Comunicações fora de banda | Prepare-se para como você se comunicaria nos seguintes cenários:
|
Embora seja um exercício difícil, determine como armazenar informações importantes de forma imutável em dispositivos off-line e locais para distribuição em escala. Por exemplo:
|
|
Proteção, limpeza e gerenciamento do ciclo de vida | Em linha com os 20 principais controles de segurança do CIS (Center for Internet Security), proteja sua infraestrutura e execute atividades de limpeza completas. | Em resposta a incidentes de ransomware operados por humanos recentes, a Microsoft emitiu diretrizes específicas para proteger cada fase da cadeia de ataque cibernético. Estas diretrizes aplicam-se aos recursos da Microsoft ou aos recursos de outros provedores. Uma observação específica é:
|
|
Planejamento de resposta a incidentes | No início do incidente, decida:
|
Há uma tendência de lançar todos os recursos disponíveis em um incidente no início e esperar por uma resolução rápida. Depois de reconhecer ou prever que um incidente acontecerá por um longo período de tempo, tome uma postura diferente que, com sua equipe e fornecedores, permite que eles se estanciem por um período mais longo. | |
Respondentes a incidentes | Estabeleça expectativas claras entre si. Um formato popular de relatar atividades em andamento inclui:
|
Os respondentes de incidentes vêm com diferentes técnicas e abordagens, incluindo análise de caixa morta, análise de Big Data e a capacidade de produzir resultados incrementais. Começar com expectativas claras facilitará comunicações claras. |
Recursos de resposta a incidentes
- Visão geral dos produtos e recursos de segurança da Microsoft para analistas novos e experientes na função
- Guias estratégicos para obter diretrizes detalhadas sobre como responder a métodos de ataque comuns
- Resposta a incidentes do Microsoft Defender XDR
- Microsoft Defender para Nuvem (Azure)
- Resposta a incidentes do Microsoft Sentinel
- O guia da equipe de Resposta a Incidentes da Microsoft compartilha as melhores práticas para equipes de segurança e líderes
- Os guias de Resposta a Incidentes da Microsoft ajudam as equipes de segurança a analisar atividades suspeitas
Principais recursos de segurança da Microsoft
Recurso | Descrição |
---|---|
Relatório de Defesa Digital da Microsoft de 2021 | Um relatório que abrange aprendizados de especialistas em segurança, profissionais e consultores da Microsoft para capacitar pessoas de todos os lugares a se defenderem contra ameaças cibernéticas. |
Arquiteturas de referência de segurança cibernética da Microsoft | Um conjunto de diagramas de arquitetura visual que mostram os recursos de segurança cibernética da Microsoft e a integração deles com as plataformas de nuvem da Microsoft, como Microsoft 365 e Microsoft Azure, bem como aplicativos e plataformas de nuvem de terceiros. |
Download do infográfico Cada minuto importa | Uma visão geral de como a equipe de SecOps da Microsoft responde a incidentes para atenuar ataques contínuos. |
Operações de segurança da Cloud Adoption Framework do Azure | Diretrizes estratégicas para líderes que estão estabelecendo ou modernizando uma função de operação de segurança. |
Melhores práticas de segurança da Microsoft para operações de segurança | Como fazer o melhor uso do centro do SecOps para agir mais rapidamente que os invasores que visam sua organização. |
Modelo de arquitetura de segurança de nuvem da Microsoft para arquitetos de IT | Segurança em serviços em nuvem da Microsoft e plataformas para acesso de identidade e dispositivo, proteção contra ameaças e proteção de informações. |
Documentação de segurança da Microsoft | Diretrizes de segurança adicionais da Microsoft. |