Entender a fase 1 da resposta a incidentes dos Serviços Online da Microsoft – preparação

  • 3 minutos

Agora que você conhece as equipes responsáveis pela resposta a incidentes, exploraremos cada fase do processo de resposta a incidentes.

A preparação permite uma resposta rápida quando ocorre um incidente e pode até mesmo impedir incidentes em primeiro lugar. A Microsoft dedica recursos significativos à preparação para incidentes de segurança.

Treinamento

Cada funcionário que trabalha na Microsoft é obrigado a realizar treinamento apropriado para sua função em relação à resposta a incidentes de segurança. O treinamento inicial ocorre quando um novo funcionário começa a trabalhar na Microsoft e o treinamento de atualização anual ocorre todos os anos depois disso. O treinamento foi projetado para fornecer ao funcionário uma compreensão da abordagem fundamental da Microsoft para a segurança. Após a conclusão do treinamento, todos os funcionários poderão:

  • Defina um incidente de segurança.
  • Explicar sua função e responsabilidade para relatar incidentes de segurança.
  • Descreva como as equipes de resposta à segurança respondem a incidentes de segurança.
  • Como escalar um possível incidente de segurança para a equipe de resposta de segurança apropriada.
  • Articule preocupações especiais em relação à privacidade, especialmente à privacidade do cliente.
  • Acesse informações adicionais sobre segurança, privacidade e contatos de escalonamento.

Além do treinamento geral de segurança, os funcionários envolvidos na resposta a incidentes recebem treinamento de segurança suplementar baseado em função.

Mantendo os OCEs (engenheiros de plantão)

Todas as equipes de operações de serviço, incluindo equipes de resposta à segurança, mantêm uma rotação de chamada para garantir que haja recursos disponíveis 24x7x365. A rotação ao chamar inclui backups para disponibilidade e pontos de escalonamento para garantir a responsabilidade. Os OCEs e seus horários de chamada são listados centralmente para cada equipe de serviço no mesmo dashboard em que os incidentes são gerenciados. Nossas rotações de chamada permitem que a Microsoft monte uma resposta efetiva a incidentes a qualquer momento ou escala, incluindo eventos generalizados ou simultâneos.

Os OCEs usam estações de trabalho secure Administração para acessar o ambiente de produção, e seu acesso é limitado a tempo e com escopo para as tarefas necessárias para a resposta a incidentes.

Ferramentas e recursos

As equipes de resposta à segurança da Microsoft são responsáveis por manter todas as ferramentas e recursos associados à resposta a incidentes de segurança. Isso inclui recursos de ajuda online projetados para informar rapidamente os engenheiros de chamada sobre os procedimentos adequados e como escalonar possíveis problemas de forma rápida e segura. Os recursos de resposta a incidentes também incluem ferramentas personalizadas, scripts e processos para ajudar as equipes de resposta à segurança a resolver uma variedade de problemas de segurança e tipos de ataque. Os OCEs devem concluir o treinamento anual e obter verificações atualizadas em segundo plano para manter a elegibilidade para acesso a ferramentas e recursos de resposta a incidentes.

Teste de resposta a incidentes

A Microsoft testa, revisa e atualiza regularmente seu plano de resposta a incidentes para responder por alterações no ambiente e novas ameaças à segurança. Nossa metodologia de teste de resposta a incidentes usa ataques imprevisíveis em tempo real de equipes internas de testadores de penetração de segurança que chamamos de Equipe Vermelha. A Equipe Vermelha usa uma variedade de técnicas para tentar comprometer os sistemas dos Serviços Online da Microsoft sem detecção. Os esforços da Equipe Vermelha simulam ataques reais e testam as funcionalidades das equipes de resposta de segurança da Microsoft.

No contexto de testes de penetração interna, as equipes de resposta de segurança da Microsoft são conhecidas como Equipe Azul. A Equipe Azul usa o processo de resposta a incidentes para detectar e responder a ataques da Equipe Vermelha como se fossem incidentes de segurança originais. Os dados do cliente nunca são alvo de testes de penetração, mas esses exercícios ajudam a garantir que os Serviços Microsoft Online estejam preparados para detectar, prevenir e responder a novos tipos de ameaças à segurança.

Duas caixas com definição de Equipe Vermelha e Equipe Azul. Equipe Vermelha: especialistas em segurança cibernética que tentam constantemente violar nossos próprios serviços de produção sem detecção para simular invasores por adversários avançados. Equipe Azul: defensores cibernéticos que usam ferramentas e técnicas de segurança sofisticadas para detectar e vencer os esforços da Equipe Vermelha.

Além dos testes de penetração interna em andamento, a Microsoft realiza uma variedade de outros exercícios de resposta a incidentes, incluindo eventos de "capturar o sinalizador", exercícios de tabela únicos e outros eventos improvisados ou organizados. Esses exercícios complementam os testes contínuos de penetração interna para garantir que todas as equipes estejam adequadamente preparadas para atender às suas responsabilidades no caso de um incidente de segurança real.

Proteção de evidências

Os dados coletados durante uma resposta a incidentes geralmente são confidenciais e devem permanecer seguros. As equipes de resposta à segurança da Microsoft são responsáveis por garantir criptografia e proteção de informações adequadas para todas as comunicações e documentação relacionadas a incidentes. Isso inclui o uso de cofres de evidências protegidas para armazenamento de evidências forenses coletadas durante investigações. A equipe segue processos aprovados para lidar com evidências forenses, incluindo cadeia de custódia, para garantir que todas as evidências relacionadas a incidentes permaneçam seguras e não modificados.

Saiba mais