Поделиться через


Управление инцидентами безопасности Майкрософт

Корпорация Майкрософт постоянно работает над предоставлением высокозащищенных служб корпоративного уровня для клиентов Майкрософт, но инциденты безопасности являются неизбежной реальностью, которую необходимо тщательно и быстро контролировать. В этом документе содержится обзор того, как корпорация Майкрософт обрабатывает инциденты безопасности, используя проверенные методы и технологии, чтобы свести к минимуму их потенциальное влияние. Под инцидентом безопасности понимается любой незаконный доступ к данным клиентов, хранящимся на оборудовании Корпорации Майкрософт или в помещениях Корпорации Майкрософт, или несанкционированный доступ к такому оборудованию или объектам, которые могут привести к потере, раскрытию или изменению данных клиента. Целью корпорации Майкрософт при реагировании на инциденты безопасности является защита данных клиентов и веб-службы Майкрософт.

Группы безопасности Майкрософт веб-службы и различные группы служб работают совместно и подход к инцидентам безопасности:

  • Подготовка
  • Обнаружение и анализ
  • Сдерживание, ликвидация и восстановление
  • Действия после инцидента

Подход Майкрософт к управлению инцидентами безопасности

Подход Корпорации Майкрософт к управлению инцидентом безопасности соответствует специальной публикации Национального института стандартов и технологий (NIST) 800-61. Корпорация Майкрософт имеет несколько специализированных групп, которые совместно работают над предотвращением, мониторингом, обнаружением инцидентов безопасности и реагированием на них.

Команда или область Описание
Центр Майкрософт по реагированию на угрозы Определяет, отслеживает, разрешает инциденты безопасности и уязвимости программного обеспечения Майкрософт и реагирует на них.
Центр операций киберзащиты Центр киберзащиты — это физическое расположение, которое объединяет группы реагирования на вопросы безопасности и экспертов со всей компании для защиты, обнаружения угроз и реагирования на них в режиме реального времени.
Корпоративные, внешние и юридические вопросы Предоставляет юридические и нормативные рекомендации по предполагаемому инциденту безопасности.
Группа по безопасности центра обработки данных Майкрософт Команда, которая сосредоточена в различных службах на общих инвестициях в инженерию безопасности для защиты, обнаружения и реагирования на риски и угрозы архитектуры служб.
Группы реагирования на вопросы безопасности Майкрософт Независимые группы безопасности Azure, Dynamics 365 и Microsoft 365, которые сотрудничают с командами служб для создания соответствующего процесса управления инцидентами безопасности и реагирования на любые инциденты безопасности.
Команды майкрософт по управлению, рискам и соответствию (GRC) Предоставление рекомендаций по нормативным требованиям, соответствию требованиям и конфиденциальности.
Команды обслуживания Группы инженеров для Azure, Dynamics 365 и Microsoft 365, которые отвечают за политики, связанные с безопасностью, и решения для каждой службы.
Диспетчеры операций Azure Контролирует расследование и устранение инцидентов безопасности и конфиденциальности, связанных с Azure.
Центр аналитики угроз Майкрософт (MSTIC) Предоставляет актуальные сведения об угрозах цифровой безопасности для инфраструктуры и ресурсов Майкрософт, помогает командам партнеров в корпорации Майкрософт определять приоритеты планов действий по устранению рисков и предотвращению, а также повышает защиту, внедряя мониторинг и обнаружение инцидентов практически в реальном времени.
Команды по взаимодействию с клиентами Группы инженеров отвечают за все сообщения клиентов об инцидентах безопасности и обслуживания. Отдельные команды предназначены для Azure, Dynamics 365 и Microsoft 365.

Процесс управления ответами

Группы безопасности и службы поддержки Майкрософт веб-службы совместно работают над инцидентами безопасности и принимают одинаковый подход к инцидентам безопасности, основанный на этапах управления реагированием NIST 800-61:

  • Подготовка. Относится к подготовке организации, которая необходима для реагирования, включая инструменты, процессы, компетенции и готовность.
  • Анализ обнаружения &. Относится к действиям по обнаружению инцидента безопасности в рабочей среде и анализу всех событий для подтверждения подлинности инцидента безопасности.
  • Сдерживание, ликвидация, восстановление. Указывает на необходимые и соответствующие действия, предпринятые для сдерживания инцидента безопасности на основе анализа, выполненного на предыдущем этапе. На этом этапе также может потребоваться дополнительный анализ для полного восстановления после инцидента безопасности.
  • Действия после инцидента. Относится к анализу вскрытия, выполненного после восстановления инцидента безопасности. Операционные действия, выполняемые во время процесса, проверяются, чтобы определить, нужно ли вносить какие-либо изменения на этапах подготовки, обнаружения и анализа.

Этапы управления инцидентами безопасности.

Федеративная модель реагирования безопасности

Microsoft веб-службы состоит из основных продуктов Майкрософт, включая Azure, Dynamics 365 и Microsoft 365. Каждая из этих служб управляется отдельными командами с собственными операционными процессами безопасности. Другие команды корпорации Майкрософт, такие как MSTIC, также занимаются различными аспектами безопасности Microsoft веб-службы. Из-за множества команд, работающих над управлением операциями безопасности во всех различных службах, составляющих Microsoft веб-службы, корпорация Майкрософт реализовала федеративную модель реагирования на безопасность.

В этой таблице представлены операционные границы между различными группами по обеспечению безопасности веб-служб Майкрософт и группами служб Майкрософт:

Действия Операции группы безопасности Майкрософт Microsoft Service Team Operations
Обнаружение и анализ — Требования к обнаружению
— Мониторинг и анализ безопасности
— Индикатор компрометации (МОК)
— охота на брейк
- 24x7 безопасность по вызову и реагирование на инциденты
— Требования к обнаружению
— Мониторинг развертывания инфраструктуры
— Анализ и аналитика служб
— Рассмотрение событий и оповещений
- 24x7 сервисное проектирование по вызову
Сдерживание, ликвидация, восстановление — Потенциальный руководитель по реагированию на инциденты
- Судебно-медицинские исследования
— опыт в области безопасности и консультации
— Руководство по восстановлению
— Владелец инцидента безопасности
— Аналитика и опыт службы
— выполнение сдерживания, ликвидации и восстановления
Действия после инцидента — руководитель по анализу инцидентов
— Сбор и архивация данных
— Извлеченные уроки и запросы ошибок
— Отчеты об инцидентах
— Анализ инцидентов на стороне службы
— Определение приоритетов последующих мероприятий
— Внедрение инвестиций в обеспечение безопасности
— Готовность к обеспечению безопасности службы