Поделиться через

Управление инцидентами безопасности Майкрософт: сдерживание, ликвидация и восстановление

  • Статья

На основе анализа, проведенного группой реагирования на безопасность, команда обслуживания разрабатывает соответствующий план сдерживания и восстановления, чтобы свести к минимуму последствия инцидента безопасности. Затем соответствующие группы обслуживания применяют этот план в рабочей среде при поддержке группы реагирования на безопасность.

Ограничение

После обнаружения инцидента безопасности важно сдержать вторжение, прежде чем злоумышленник сможет получить доступ к дополнительным ресурсам или нанести дополнительный ущерб. Основной целью наших процедур реагирования на инциденты безопасности является ограничение влияния на клиентов или их данные, а также на системы, службы и приложения Майкрософт.

Устранение

Устранение — это процесс ликвидации основной причины инцидента безопасности с высокой степенью достоверности. Цель в два раза:

  • чтобы полностью вытеснить противника из среды
  • для устранения уязвимости (если она известна), которая включает или может позволить злоумышленнику повторно входить в среду.

В зависимости от характера инцидента, область инцидента безопасности, глубины проникновения и возможных последствий группа реагирования на вопросы безопасности рекомендует, чтобы группы обслуживания применяли методы ликвидации. Учитывая потенциальные последствия для бизнеса, которые могут быть вызваны этими шагами по ликвидации, эти решения принимаются группами обслуживания и группой реагирования на безопасность после подробного анализа и утверждения руководителем по инцидентам (при необходимости).

Восстановление

По мере того как группа реагирования получает разумный уровень уверенности в том, что злоумышленник был изгнан из среды и все известные уязвимые пути были устранены, отдельные группы обслуживания инициируют шаги по восстановлению, чтобы привести службу к известной и хорошей конфигурации. Эти шаги по восстановлению выполняются в консультации с группой реагирования на безопасность. Это действие включает определение последнего известного хорошего состояния службы, восстановление из резервных копий в это состояние, проверку уязвимых путей атак в восстановленном состоянии и т. д. Группа реагирования на вопросы безопасности в консультации с группами обслуживания определяет оптимальный план восстановления для среды.

Ключевым аспектом восстановления является наличие повышенной бдительности и средств контроля для проверки успешного выполнения плана восстановления и отсутствия признаков нарушения в среде.

Уведомление клиента об инциденте безопасности

Если корпорация Майкрософт определит, что произошел инцидент безопасности, мы уведомим вас о неоправданной задержке и в соответствии с договорными требованиями и требованиями к соответствию. После определения всех затронутых клиентов соответствующая команда по коммуникациям работает над определением соответствующих правил, которые могут применяться к затронутым клиентам. Команда по коммуникациям использует соответствующий канал связи, определенный в применимых правилах, для уведомления соответствующего контакта клиента.

Процесс реагирования на инциденты.

Уведомление содержит подробные сведения об инциденте, такие как описание инцидента, влияние на данные клиентов, если таковые имеются, действия, предпринятые корпорацией Майкрософт, и (или) предлагаемые действия, которые клиенты могут предпринять для устранения проблемы и предотвращения повторения. Уведомление доставляется назначенным администраторам клиента Microsoft веб-службы. Чтобы обеспечить получение уведомлений, необходимо убедиться, что администраторы предоставляют и поддерживают точные контактные данные в профилях клиентов. Кроме того, в зависимости от характера инцидента клиенты Microsoft 365 также могут получать уведомления через панель мониторинга работоспособности служб Microsoft 365.