Поделиться через

Управление инцидентами безопасности Майкрософт: действия после инцидента

  • Статья

Посмертно

Некоторые инциденты безопасности, особенно те инциденты, которые влияют на клиента или приводят к утечке данных, подлежат полному последующему инциденту. Группа реагирования на вопросы безопасности проводит подробную посмертную проверку со всеми сторонами, участвующими в реагировании на инциденты безопасности:

  • Задокументируйте последовательность событий, вызвавших инцидент.
  • Создайте техническую сводку инцидента, которая подтверждается доказательствами, включающими субъектов, участвующих в нарушении (если они известны). Эта сводка содержит способ выполнения ответа и другие ключевые выводы.
  • Определите технические ошибки, процедурные сбои, ошибки вручную, ошибки процесса и сбои связи, а также любые ранее неизвестные векторы атаки, которые были определены во время реагирования на инцидент безопасности.

Посмертный анализ напрямую влияет на улучшение веб-служб Майкрософт, операционные процессы и документацию, устанавливая новые приоритеты в цикле разработки инженерии Microsoft веб-службы.

Документация

Все ключевые технические выводы в процессе посмертной обработки фиксируются в отчете и инвестициях в службу или исправлениях в виде ошибок или запросов на изменение разработки. Эти выводы отслеживаются соответствующими группами инженеров. Проблемы, связанные со сбоями процессов и меж организационными проблемами, задокументированы в базе данных группы реагирования на безопасность, а затем в соответствующих группах для их решения.

Улучшение процессов

Реагирование на инцидент безопасности в Microsoft веб-службы включает в себя координацию с несколькими группами, распределенными в разных организациях корпорации Майкрософт, и, возможно, даже соответствующими внешними организациями, такими как правоохранительные органы. Мы знаем, что очень важно оценивать наши ответы после каждого инцидента безопасности на предмет достаточности и полноты. Для любых выявленных улучшений или изменений группа реагирования на вопросы безопасности оценивает предложения в консультации с соответствующими командами и заинтересованными лицами и при необходимости включает их в стандартные операционные процедуры. Все необходимые изменения, ошибки или улучшения служб, обнаруженные во время реагирования на инциденты безопасности или посмертной активности, регистрируются и отслеживаются во внутренней инженерной базе данных Майкрософт. Все потенциальные ошибки или функции назначаются соответствующему владельцу. Группа реагирования на вопросы безопасности Майкрософт проверяет все записи, пока проблема не будет устранена.