Планирование реагирования на инциденты
Используйте эту таблицу в качестве контрольного списка для подготовки вашего центра информационной безопасности (SOC) к реагированию на инциденты кибербезопасности.
| Выполнено | Действие (Activity) | Description | Преимущества |
|---|---|---|---|
| Теоретические учения | Регулярно проводите теоретические учения по прогнозируемым инцидентам, которые могут повлиять на ведение бизнеса и которые вынуждают руководителей вашей организации принимать сложные решения с учетом рисков. | Четко обозначает аспекты кибербезопасности и демонстрирует ее важность для бизнеса. Развивает навыки реагирования и выявляет проблемы с принятием сложных решений в организации. | |
| Определите принимаемые перед атакой решения и ответственных лиц | В дополнение к таблицам топ упражнений, определите решения на основе рисков, критерии принятия решений, а также которые должны принимать и выполнять эти решения. Например: Кто и когда будет обращаться за помощью к правоохранительным органам и следует ли это делать? Кто и когда будет назначать лиц, реагирующих на инциденты, и следует ли это делать? Кто и когда будет платить выкуп и следует ли это делать? Кто и когда будет уведомлять внешних аудиторов и следует ли это делать? Кто и когда будет уведомлять регуляторные органы по вопросам конфиденциальности и следует ли это делать? Кто и когда будет уведомлять регуляторные органы по вопросам безопасности и следует ли это делать? Кто и когда будет уведомлять совет директоров или аудиторский комитет и следует ли это делать? Кто имеет полномочия на остановку критически важных рабочих нагрузок? |
Определяет исходные параметры реагирования и контактные лица, которые необходимо привлечь для ускоренного разрешения инцидента. | |
| Сохранение конфиденциальности | Как правило, советы могут быть привилегированными, но факты доступны для обнаружения. Обучите ключевых руководителей по реагированию на инциденты предоставлению рекомендаций, фактов и мнений с сохранением конфиденциальности для снижения риска. | Сохранение конфиденциальности может быть сложней задачей с учетом множества коммуникационных каналов, включая электронную почту, платформы совместной работы, чаты, документы и артефакты. Например, можно использовать Комнаты в Microsoft Teams. Согласованный подход, применяемый специалистами, которые вовлечены в реагирование на инцидент, и обслуживающими внешними организациями, может минимизировать потенциальные юридические риски. | |
| Факторы, связанные с использованием инсайдерской информации | Запланируйте для руководителей рассылку оповещений, связанных с действиями, которые необходимо предпринять для минимизации рисков нарушения безопасности. | Советы директоров и внешние аудиторы высоко ценят наличие мер для минимизации рисков сомнительных сделок в периоды неопределенности. | |
| Сборник схем по ролям и обязанностям в случае инцидентов | Определите базовые роли и обязанности, которые позволят поддерживать и реализовывать различные процессы. Если ваша группа реагирования удалена, она может потребовать других соображений для часовых поясов и надлежащей передачи следователям. Возможно, вам придется общаться с другими командами, например со специалистами поставщиков. |
Технический руководитель по инцидентам — полностью занимается инцидентом, обрабатывает входные данные и результаты, планирует последующие действия. Координатор по коммуникациям — берет на себя обязанности по коммуникации между руководителями и техническим руководителем по инцидентам, чтобы обеспечить их вовлечение в процесс решения без негативного влияния на работу. Это действие должно включать управление сообщениями исполнительной власти и взаимодействие с другими сторонними сторонами, такими как регуляторы. Регистратор инцидента — отвечает за регистрацию результатов, решений и действий от респондента на инциденты, а также ведет полный и точный учет инцидентов. Планировщик — взаимодействует с владельцами критически важных для бизнеса процессов, разрабатывает мероприятия по обеспечению непрерывности бизнес-процессов и рекомендации на случай нарушения работы информационных систем на 24, 48, 72, 96 и более часов. Общественные отношения — в случае инцидента, который, скорее всего, будет привлечь внимание общественности, с пересылкой планировщика, созерцает и проектирует подходы к общественной коммуникации, которые решают вероятные результаты. |
|
| Сборник схем реагирования на инциденты с нарушением конфиденциальности | Чтобы удовлетворить все более строгие правила конфиденциальности, разработайте совместно принадлежащий сборник схем между SecOps и офисом конфиденциальности. Эта сборник схем позволит быстро оценить потенциальные проблемы конфиденциальности, которые могут возникнуть из инцидентов безопасности. | Трудно оценить инциденты безопасности для их потенциального влияния на конфиденциальность, так как большинство инцидентов безопасности возникают в высокотехнических SOC. Инциденты должны быстро получить доступ к офису конфиденциальности (часто с ожиданием 72-часового уведомления), где определяется нормативный риск. | |
| тест на проникновение; | Выполняйте запланированные имитированные атаки на критические важные для бизнеса системы и инфраструктуру, а также резервные копии, чтобы определить уязвимости в состоянии безопасности. Как правило, эта деятельность проводится группой внешних экспертов, направленных на обход предотвращения контроля и обнаружения ключевых уязвимостей. | Так как за последнее время инциденты с программами-шантажистами участились, тест на проникновение необходимо выполнять для расширенной области инфраструктуры, особенно учитывая возможность злоумышленников выполнять атаки и управлять резервными копиями критически важных для бизнеса систем и данных. | |
| Красная команда, синяя команда, фиолетовая команда, зеленая команда | Выполняйте непрерывные или периодические имитированные атаки на критические для бизнеса системы и инфраструктуру, а также резервные копии, чтобы определить уязвимости в состоянии безопасности. Как правило, это действие проводится командами внутренних атак (красные команды), которые сосредоточены на тестировании эффективности детективных элементов управления и команд (голубые команды). Например, можно использовать Обучение эмуляции атак в руководствах по XDR Microsoft Defender для Office 365 и атак и моделированиях для XDR в Microsoft Defender для конечной точки. |
Имитации атак красной, синей и фиолетовой команды, когда это сделано хорошо, служит множеством целей:
Зеленая команда реализует изменения в конфигурации ИТ и безопасности. |
|
| Планирование непрерывности бизнес-процессов | Для критически важных для бизнеса процессов необходимо разработать процессы обеспечения непрерывности и протестировать их. Это позволит бизнесу поддерживать минимально необходимые операции в случае нарушения работы информационных систем. Например, используйте план резервного копирования и восстановления Azure для защиты критически важных бизнес-систем во время атаки, чтобы обеспечить быстрое восстановление бизнес-операций. |
|
|
| Аварийное восстановление | Для информационных систем, которые обслуживают критически важные для бизнеса процессы, вам необходимо разработать и протестировать сценарии горячего и холодного, а также горячего и теплого резервного копирования и восстановления, включая промежуточные этапы. | Организации, которые проводят сборки без операционной системы, часто находят действия, которые невозможно реплицировать или не вписываются в цели уровня обслуживания. Критически важные системы, работающие на неподдерживаемом оборудовании, многократно не могут быть восстановлены на современном оборудовании. Восстановление резервных копий часто не тестируется, что приводит к проблемам. Резервные копии могут быть более автономными, чтобы промежуточные периоды не были учтены в целях восстановления. |
|
| Нестандартный подход к коммуникации | Подготовьтесь к обмену данными в следующих сценариях:
|
Хотя это сложное упражнение, определите, как хранить важную информацию неизменяемо в внестроковых устройствах и расположениях для распределения в масштабе. Например:
|
|
| Усиление защиты, гигиена и управление жизненным циклом | Усильте защиту своей инфраструктуры и проведите комплексные мероприятия по снижению рисков в соответствии с основными 20 директивами по безопасности, определенными организацией Center for Internet Security (CIS). | В ответ на недавние инциденты, связанные с вредоносными программами-шантажистов, корпорация Майкрософт выпустила конкретные рекомендации по защите каждой стадии кибератаки. Это руководство относится к возможностям Майкрософт или возможностям других поставщиков. В частности, следует отметить следующее:
|
|
| Планирование реагирования на инциденты | В начале инцидента решите:
|
Существует тенденция бросать все доступные ресурсы в начале инцидента, в надежде на быстрое решение. Как только вы примете или определите, что инцидент будет длиться продолжительное время, вы сможете изменить свой подход к взаимодействию с персоналом и поставщиками, что позволит им учитывать длительность процесса. | |
| Лица, реагирующие на инциденты | Определите четкие ожидания для всех сторон. Популярный формат отчетов о текущих действиях включает в себя:
|
Лица, реагирующие на инциденты, могут использовать разные техники и подходы, в том числе анализ хранимых данных, анализ больших данных и возможность получать инкрементные результаты. Наличие четких ожиданий с самого начала упростит коммуникацию. |
Ресурсы по реагированию на инциденты
- Обзор продуктов и ресурсов безопасности Майкрософт для новых сотрудников и опытных аналитиков
- Сборники схем с подробными рекомендациями по реагированию на распространенные методы атак
- Реагирование на инциденты XDR в Microsoft Defender
- Microsoft Defender для облака (Azure)
- Реагирование на инциденты Microsoft Sentinel
- Руководство группы реагирования на инциденты Майкрософт предоставляет рекомендации для групп безопасности и лидеров
- Руководства по реагированию на инциденты Майкрософт помогают командам безопасности анализировать подозрительные действия
Основные ресурсы Майкрософт, связанные с безопасностью
| Ресурс | Description |
|---|---|
| Отчет Майкрософт о цифровой защите за 2021 г. | Отчет, в котором учтены знания экспертов, практиков и специалистов по защите корпорации Майкрософт, разработанный, чтобы помочь людям во всем мире защищаться от киберугроз. |
| Эталонная архитектура кибербезопасности корпорации Майкрософт | Набор схем визуальной архитектуры, показывающих возможности кибербезопасности Майкрософт и их интеграцию с облачными платформами Майкрософт, такими как Microsoft 365 и Microsoft Azure, а также сторонние облачные платформы и приложения. |
| Инфографика "На счету каждая минута" (файл для скачивания) | Общие сведения о том, как команда Майкрософт SecOps реагирует на инциденты для устранения текущих атак. |
| Azure Cloud Adoption Framework: операции по обеспечению безопасности | Стратегическое руководство для руководителей, которые внедряют или модернизируют операции системы безопасности. |
| Рекомендации по обеспечению безопасности Майкрософт для операций безопасности | Сведения о том, как лучше использовать центр SecOps для оперативного реагирования на действия злоумышленников, атакующих вашу организацию. |
| Модель системы облачной безопасности Майкрософт для ИТ-архитекторов | Система безопасности в облачных службах и на платформах корпорации Майкрософт для идентификации, доступа к устройствам, защиты от угроз и защиты информации. |
| Документация по безопасности Майкрософт | Дополнительные рекомендации по обеспечению безопасности от корпорации Майкрософт. |