Планирование реагирования на инциденты
Используйте эту таблицу в качестве контрольного списка для подготовки вашего центра информационной безопасности (SOC) к реагированию на инциденты кибербезопасности.
| Выполнено | Действие (Activity) | Description | Преимущества |
|---|---|---|---|
| Теоретические учения | Регулярно проводите теоретические учения по прогнозируемым инцидентам, которые могут повлиять на ведение бизнеса и которые вынуждают руководителей вашей организации принимать сложные решения с учетом рисков. | Четко обозначает аспекты кибербезопасности и демонстрирует ее важность для бизнеса. Развивает навыки реагирования и выявляет проблемы с принятием сложных решений в организации. | |
| Определите принимаемые перед атакой решения и ответственных лиц | В дополнение к таблицам топ упражнений, определите решения на основе рисков, критерии принятия решений, а также которые должны принимать и выполнять эти решения. Пример: Кто и когда будет обращаться за помощью к правоохранительным органам и следует ли это делать? Кто и когда будет назначать лиц, реагирующих на инциденты, и следует ли это делать? Кто и когда будет платить выкуп и следует ли это делать? Кто и когда будет уведомлять внешних аудиторов и следует ли это делать? Кто и когда будет уведомлять регуляторные органы по вопросам конфиденциальности и следует ли это делать? Кто и когда будет уведомлять регуляторные органы по вопросам безопасности и следует ли это делать? Кто и когда будет уведомлять совет директоров или аудиторский комитет и следует ли это делать? Кто имеет полномочия на остановку критически важных рабочих нагрузок? |
Определяет исходные параметры реагирования и контактные лица, которые необходимо привлечь для ускоренного разрешения инцидента. | |
| Сохранение конфиденциальности | Как правило, советы могут быть привилегированными, но факты доступны для обнаружения. Обучите ключевых руководителей по реагированию на инциденты предоставлению рекомендаций, фактов и мнений с сохранением конфиденциальности для снижения риска. | Сохранение конфиденциальности может быть сложней задачей с учетом множества коммуникационных каналов, включая электронную почту, платформы совместной работы, чаты, документы и артефакты. Например, можно использовать Комнаты в Microsoft Teams. Согласованный подход, применяемый специалистами, которые вовлечены в реагирование на инцидент, и обслуживающими внешними организациями, может минимизировать потенциальные юридические риски. | |
| Факторы, связанные с использованием инсайдерской информации | Запланируйте для руководителей рассылку оповещений, связанных с действиями, которые необходимо предпринять для минимизации рисков нарушения безопасности. | Советы директоров и внешние аудиторы высоко ценят наличие мер для минимизации рисков сомнительных сделок в периоды неопределенности. | |
| Сборник схем по ролям и обязанностям в случае инцидентов | Определите базовые роли и обязанности, которые позволят поддерживать и реализовывать различные процессы. Если ваша группа реагирования удалена, она может потребовать других соображений для часовых поясов и надлежащей передачи следователям. Возможно, вам придется общаться с другими командами, например со специалистами поставщиков. |
Технический руководитель по инцидентам — полностью занимается инцидентом, обрабатывает входные данные и результаты, планирует последующие действия. Координатор по коммуникациям — берет на себя обязанности по коммуникации между руководителями и техническим руководителем по инцидентам, чтобы обеспечить их вовлечение в процесс решения без негативного влияния на работу. Это действие должно включать управление сообщениями исполнительной власти и взаимодействие с другими сторонними сторонами, такими как регуляторы. Регистратор инцидента — отвечает за регистрацию результатов, решений и действий от респондента на инциденты, а также ведет полный и точный учет инцидентов. Планировщик — взаимодействует с владельцами критически важных для бизнеса процессов, разрабатывает мероприятия по обеспечению непрерывности бизнес-процессов и рекомендации на случай нарушения работы информационных систем на 24, 48, 72, 96 и более часов. Общественные отношения — в случае инцидента, который, скорее всего, будет привлечь внимание общественности, с пересылкой планировщика, созерцает и проектирует подходы к общественной коммуникации, которые решают вероятные результаты. |
|
| Сборник схем реагирования на инциденты с нарушением конфиденциальности | Чтобы удовлетворить все более строгие правила конфиденциальности, разработайте совместно принадлежащий сборник схем между SecOps и офисом конфиденциальности. Эта сборник схем позволит быстро оценить потенциальные проблемы конфиденциальности, которые могут возникнуть из инцидентов безопасности. | Трудно оценить инциденты безопасности для их потенциального влияния на конфиденциальность, так как большинство инцидентов безопасности возникают в высокотехнических SOC. Инциденты должны быстро получить доступ к офису конфиденциальности (часто с ожиданием 72-часового уведомления), где определяется нормативный риск. | |
| тест на проникновение; | Выполняйте запланированные имитированные атаки на критические важные для бизнеса системы и инфраструктуру, а также резервные копии, чтобы определить уязвимости в состоянии безопасности. Как правило, эта деятельность проводится группой внешних экспертов, направленных на обход предотвращения контроля и обнаружения ключевых уязвимостей. | Так как за последнее время инциденты с программами-шантажистами участились, тест на проникновение необходимо выполнять для расширенной области инфраструктуры, особенно учитывая возможность злоумышленников выполнять атаки и управлять резервными копиями критически важных для бизнеса систем и данных. | |
| Красная команда, синяя команда, фиолетовая команда, зеленая команда | Выполняйте непрерывные или периодические имитированные атаки на критические для бизнеса системы и инфраструктуру, а также резервные копии, чтобы определить уязвимости в состоянии безопасности. Как правило, это действие проводится командами внутренних атак (красные команды), которые сосредоточены на тестировании эффективности детективных элементов управления и команд (голубые команды). Например, вы можете использовать Обучение эмуляции атак в microsoft 365 Defender для Office 365 и учебниках по атакам & для Microsoft 365 Defender для конечной точки. |
Имитации атак красной, синей и фиолетовой команды, когда это сделано хорошо, служит множеством целей:
Зеленая команда реализует изменения в конфигурации ИТ и безопасности. |
|
| Планирование непрерывности бизнес-процессов | Для критически важных для бизнеса процессов необходимо разработать процессы обеспечения непрерывности и протестировать их. Это позволит бизнесу поддерживать минимально необходимые операции в случае нарушения работы информационных систем. Например, используйте план резервного копирования и восстановления Azure для защиты критически важных бизнес-систем во время атаки, чтобы обеспечить быстрое восстановление бизнес-операций. |
|
|
| Аварийное восстановление | Для информационных систем, которые обслуживают критически важные для бизнеса процессы, вам необходимо разработать и протестировать сценарии горячего и холодного, а также горячего и теплого резервного копирования и восстановления, включая промежуточные этапы. | Организации, которые проводят сборки без операционной системы, часто находят действия, которые невозможно реплика te или не соответствуют целям уровня обслуживания. Критически важные системы, работающие на неподдерживаемом оборудовании, многократно не могут быть восстановлены на современном оборудовании. Восстановление резервных копий часто не тестируется, что приводит к проблемам. Резервные копии могут быть более автономными, чтобы промежуточные периоды не были учтены в целях восстановления. |
|
| Нестандартный подход к коммуникации | Подготовьтесь к обмену данными в следующих сценариях:
|
Хотя это сложное упражнение, определите, как хранить важную информацию неизменяемо в внестроковых устройствах и расположениях для распределения в масштабе. Пример:
|
|
| Усиление защиты, гигиена и управление жизненным циклом | Усильте защиту своей инфраструктуры и проведите комплексные мероприятия по снижению рисков в соответствии с основными 20 директивами по безопасности, определенными организацией Center for Internet Security (CIS). | В ответ на недавние инциденты, связанные с вредоносными программами-шантажистов, корпорация Майкрософт выпустила конкретные рекомендации по защите каждой стадии кибератаки. Это руководство относится к возможностям Майкрософт или возможностям других поставщиков. В частности, следует отметить следующее:
|
|
| Планирование реагирования на инциденты | В начале инцидента решите:
|
Существует тенденция бросать все доступные ресурсы в начале инцидента, в надежде на быстрое решение. Как только вы примете или определите, что инцидент будет длиться продолжительное время, вы сможете изменить свой подход к взаимодействию с персоналом и поставщиками, что позволит им учитывать длительность процесса. | |
| Лица, реагирующие на инциденты | Определите четкие ожидания для всех сторон. Популярный формат отчетов о текущих действиях включает в себя:
|
Лица, реагирующие на инциденты, могут использовать разные техники и подходы, в том числе анализ хранимых данных, анализ больших данных и возможность получать инкрементные результаты. Наличие четких ожиданий с самого начала упростит коммуникацию. |
Ресурсы по реагированию на инциденты
- Обзор продуктов и ресурсов безопасности Майкрософт для новых сотрудников и опытных аналитиков
- Сборники схем с подробными рекомендациями по реагированию на распространенные методы атак
- Microsoft 365 Defender: реагирование на инциденты
- Microsoft Defender для облака (Azure)
- Реагирование на инциденты Microsoft Sentinel
Основные ресурсы Майкрософт, связанные с безопасностью
| Ресурс | Description |
|---|---|
| Отчет Майкрософт о цифровой защите за 2021 г. | Отчет, в котором учтены знания экспертов, практиков и специалистов по защите корпорации Майкрософт, разработанный, чтобы помочь людям во всем мире защищаться от киберугроз. |
| Эталонная архитектура кибербезопасности корпорации Майкрософт | Набор схем визуальной архитектуры, показывающих возможности кибербезопасности Майкрософт и их интеграцию с облачными платформами Майкрософт, такими как Microsoft 365 и Microsoft Azure, а также сторонние облачные платформы и приложения. |
| Инфографика "На счету каждая минута" (файл для скачивания) | Общие сведения о том, как команда Майкрософт SecOps реагирует на инциденты для устранения текущих атак. |
| Azure Cloud Adoption Framework: операции по обеспечению безопасности | Стратегическое руководство для руководителей, которые внедряют или модернизируют операции системы безопасности. |
| Рекомендации по обеспечению безопасности Майкрософт для операций безопасности | Сведения о том, как лучше использовать центр SecOps для оперативного реагирования на действия злоумышленников, атакующих вашу организацию. |
| Модель системы облачной безопасности Майкрософт для ИТ-архитекторов | Система безопасности в облачных службах и на платформах корпорации Майкрософт для идентификации, доступа к устройствам, защиты от угроз и защиты информации. |
| Документация по безопасности Майкрософт | Дополнительные рекомендации по обеспечению безопасности от корпорации Майкрософт. |