Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте эту таблицу в качестве контрольного списка для подготовки вашего центра информационной безопасности (SOC) к реагированию на инциденты кибербезопасности.
| Выполнено | Действие (Activity) | Описание | Преимущества |
|---|---|---|---|
| Учения в формате настольных игр | Регулярно проводите учения на основе сценариев по прогнозируемым киберинцидентам, влияющим на бизнес, которые вынуждают руководство вашей организации принимать сложные решения с учетом рисков. | Четко обозначает аспекты кибербезопасности и демонстрирует ее важность для бизнеса. Развивает мышечную память и выявляет сложные решения и проблемы прав на принятие решений в организации. | |
| Определите принимаемые перед атакой решения и ответственных лиц | В дополнение к учебным тренировкам за столом, определите решения, основанные на оценке рисков, критерии для принятия решений, и кто должен принимать и выполнять эти решения. Например: Кто и когда будет обращаться за помощью к правоохранительным органам и следует ли это делать? Кто и когда будет назначать лиц, реагирующих на инциденты, и следует ли это делать? Кто и когда будет платить выкуп и следует ли это делать? Кто и когда будет уведомлять внешних аудиторов и следует ли это делать? Кто и когда будет уведомлять регуляторные органы по вопросам конфиденциальности и следует ли это делать? Кого/когда/если следует уведомлять регуляторов ценных бумаг? Кто и когда будет уведомлять совет директоров или аудиторский комитет и следует ли это делать? Кто имеет полномочия на остановку критически важных рабочих нагрузок? |
Определяет исходные параметры реагирования и контактные лица, которые необходимо привлечь для ускоренного разрешения инцидента. | |
| Сохранение конфиденциальности | Как правило, советы могут быть привилегированными, но факты доступны для обнаружения. Обучите ключевых руководителей по реагированию на инциденты тому, как предоставлять рекомендации, факты и мнения в условиях привилегии, чтобы сохранить её и снизить риск. | Сохранение конфиденциальности может быть сложней задачей с учетом множества коммуникационных каналов, включая электронную почту, платформы совместной работы, чаты, документы и артефакты. Например, можно использовать Microsoft Teams Rooms. Согласованный подход, применяемый специалистами, которые вовлечены в реагирование на инцидент, и обслуживающими внешними организациями, может минимизировать потенциальные юридические риски. | |
| Вопросы, связанные с инсайдерской торговлей | Запланируйте для руководителей рассылку оповещений, связанных с действиями, которые необходимо предпринять для минимизации рисков нарушения безопасности. | Советы директоров и внешние аудиторы высоко ценят наличие мер для минимизации рисков сомнительных сделок в периоды неопределенности. | |
| Сборник схем по ролям и обязанностям в случае инцидентов | Определите базовые роли и обязанности, которые позволят поддерживать сосредоточенность и движение вперёд в различных процессах. Если ваша группа реагирования работает удаленно, это может потребовать внимания к часовым зонам и надлежащей передачи дел следователям. Возможно, вам придется общаться с другими командами, например со специалистами поставщиков. |
Технический руководитель по инцидентам — полностью занимается инцидентом, обрабатывает входные данные и результаты, планирует последующие действия. Координатор по коммуникациям — убирает нагрузку по коммуникации с руководством с Технического лидера инцидента, чтобы он мог оставаться вовлечённым в инцидент без потери концентрации. Это действие должно включать управление сообщениями исполнительной власти и взаимодействие с другими сторонними сторонами, такими как регуляторы. Регистратор инцидента — освобождает респондента от необходимости самостоятельно фиксировать результаты, решения и действия, обеспечивая точный и полный учет инцидента с начала до конца. Планировщик — взаимодействует с владельцами критически важных для бизнеса процессов, разрабатывает мероприятия по обеспечению непрерывности бизнес-процессов и рекомендации на случай нарушения работы информационных систем на 24, 48, 72, 96 и более часов. Связи с общественностью — в случае инцидента, который, скорее всего, привлечет внимание общественности, с учетом Forward Planner рассматривает и разрабатывает подходы к общественной коммуникации, которые решают вероятные результаты. |
|
| Сборник схем реагирования на инциденты с нарушением конфиденциальности | Чтобы удовлетворить все более строгие правила конфиденциальности, разработайте совместно принадлежащий план действий между SecOps и службой конфиденциальности. Эта сборник схем позволит быстро оценить потенциальные проблемы конфиденциальности, которые могут возникнуть из инцидентов безопасности. | Трудно оценить инциденты безопасности для их потенциального влияния на конфиденциальность, так как большинство инцидентов безопасности возникают в высокотехнических SOC. Инциденты должны быстро поступать в офис по вопросам конфиденциальности (часто с ожидаемым уведомлением в течение 72 часов), где оценивается регуляторный риск. | |
| тест на проникновение; | Выполняйте точечные имитированные атаки на бизнес-критически важные системы, критическую инфраструктуру и резервные копии, чтобы выявить уязвимости в положении безопасности. Как правило, эта деятельность проводится группой внешних экспертов, направленных на обход предотвращения контроля и обнаружения ключевых уязвимостей. | Так как за последнее время инциденты с программами-шантажистами участились, тест на проникновение необходимо выполнять для расширенной области инфраструктуры, особенно учитывая возможность злоумышленников выполнять атаки и управлять резервными копиями критически важных для бизнеса систем и данных. | |
| Красная команда, синяя команда, фиолетовая команда, зеленая команда | Выполняйте непрерывные или периодические имитированные атаки на критические для бизнеса системы и инфраструктуру, а также резервные копии, чтобы определить уязвимости в состоянии безопасности. Как правило, это действие проводится командами внутренних атак (красные команды), которые сосредоточены на тестировании эффективности детективных элементов управления и команд (голубые команды). Например, можно использовать обучение моделированию атак в Microsoft Defender XDR для Office 365 и учебные пособия и симуляции атак для Microsoft Defender XDR для конечной точки. |
Имитации атак красной, синей и фиолетовой команд, если они проведены хорошо, служат множеству целей.
Зеленая команда реализует изменения в конфигурации ИТ и безопасности. |
|
| Планирование непрерывности бизнес-процессов | Для критически важных для бизнеса процессов необходимо разработать процессы обеспечения непрерывности и протестировать их. Это позволит бизнесу поддерживать минимально необходимые операции в случае нарушения работы информационных систем. Например, используйте план резервного копирования и восстановления Azure для защиты критически важных бизнес-систем во время атаки, чтобы обеспечить быстрое восстановление бизнес-операций. |
|
|
| Аварийное восстановление | Для информационных систем, которые обслуживают критически важные для бизнеса процессы, вам необходимо разработать и протестировать сценарии горячего и холодного, а также горячего и теплого резервного копирования и восстановления, включая промежуточные этапы. | Организации, которые проводят сборки без операционной системы, часто находят действия, которые невозможно реплицировать или не вписываются в цели уровня обслуживания. Критически важные системы, работающие на неподдерживаемом оборудовании, многократно не могут быть восстановлены на современном оборудовании. Восстановление резервных копий часто не тестируется, что приводит к проблемам. Резервные копии могут быть в большей степени оффлайн, таким образом, чтобы время подготовительных этапов не было учтено в целях восстановления. |
|
| Нестандартный подход к коммуникации | Подготовьтесь к обмену данными в следующих сценариях:
|
Хотя это сложное упражнение, определите, как хранить важную информацию в неизменяемом виде в оффлайн-устройствах и местах для массового распространения. Например:
|
|
| Усиление защиты, гигиена и управление жизненным циклом | Усильте защиту своей инфраструктуры и проведите комплексные мероприятия по снижению рисков в соответствии с основными 20 директивами по безопасности, определенными организацией Center for Internet Security (CIS). | В ответ на недавние инциденты с программами-вымогателями, управляемыми человеком, корпорация Майкрософт выпустила конкретные рекомендации по защите каждой стадии цепочки устранения киберугроз. Это руководство относится к возможностям Майкрософт или возможностям других поставщиков. В частности, следует отметить следующее:
|
|
| Планирование реагирования на инциденты | В начале инцидента решите:
|
Существует тенденция бросать все доступные ресурсы в начале инцидента, в надежде на быстрое решение. Как только вы распознаете или предвидите, что инцидент будет длиться продолжительное время, необходимо изменить свой подход к взаимодействию с персоналом и поставщиками, что позволит им подготовиться к долгому периоду. | |
| Лица, реагирующие на инциденты | Определите четкие ожидания для всех сторон. Популярный формат отчетов о текущих действиях включает в себя:
|
Лица, реагирующие на инциденты, могут использовать разные техники и подходы, в том числе анализ хранимых данных, анализ больших данных и возможность получать инкрементные результаты. Наличие четких ожиданий с самого начала упростит коммуникацию. |
Ресурсы по реагированию на инциденты
- Обзор продуктов и ресурсов безопасности Майкрософт для новых сотрудников и опытных аналитиков
- Сборники схем с подробными рекомендациями по реагированию на распространенные методы атак
- Реагирование на инциденты с помощью Microsoft Defender XDR
- Microsoft Defender для облака (Azure)
- Реагирование на инциденты Microsoft Sentinel
- Руководство группы реагирования на инциденты Майкрософт предоставляет рекомендации для групп безопасности и лидеров
- Руководства по реагированию на инциденты Майкрософт помогают командам безопасности анализировать подозрительные действия
Основные ресурсы Майкрософт, связанные с безопасностью
| Ресурс | Описание |
|---|---|
| Отчет Майкрософт о цифровой защите за 2021 г. | Отчет, в котором учтены знания экспертов, практиков и специалистов по защите корпорации Майкрософт, разработанный, чтобы помочь людям во всем мире защищаться от киберугроз. |
| Эталонная архитектура кибербезопасности корпорации Майкрософт | Набор схем визуальной архитектуры, показывающих возможности кибербезопасности Майкрософт и их интеграцию с облачными платформами Майкрософт, такими как Microsoft 365 и Microsoft Azure, а также сторонние облачные платформы и приложения. |
| Инфографика "На счету каждая минута" (файл для скачивания) | Общие сведения о том, как команда Майкрософт SecOps реагирует на инциденты для устранения текущих атак. |
| Azure Cloud Adoption Framework: операции по обеспечению безопасности | Стратегическое руководство для руководителей, которые внедряют или модернизируют операции системы безопасности. |
| Рекомендации по обеспечению безопасности Майкрософт для операций безопасности | Сведения о том, как лучше использовать центр SecOps для оперативного реагирования на действия злоумышленников, атакующих вашу организацию. |
| Модель системы облачной безопасности Майкрософт для ИТ-архитекторов | Система безопасности в облачных службах и на платформах корпорации Майкрософт для идентификации, доступа к устройствам, защиты от угроз и защиты информации. |
| Документация по безопасности Майкрософт | Дополнительные рекомендации по обеспечению безопасности от корпорации Майкрософт. |