Планирование реагирования на инциденты
Используйте эту таблицу в качестве контрольного списка для подготовки вашего центра информационной безопасности (SOC) к реагированию на инциденты кибербезопасности.
| Готово | Действие | Описание | Преимущество |
|---|---|---|---|
| Теоретические учения | Регулярно проводите теоретические учения по прогнозируемым инцидентам, которые могут повлиять на ведение бизнеса и которые вынуждают руководителей вашей организации принимать сложные решения с учетом рисков. | Четко обозначает аспекты кибербезопасности и демонстрирует ее важность для бизнеса. Развивает навыки реагирования и выявляет проблемы с принятием сложных решений в организации. | |
| Определите принимаемые перед атакой решения и ответственных лиц | В дополнение к упражнениям на основе таблиц определите решения, основанные на рисках, критерии для принятия решений, а также кто должен принимать и выполнять эти решения. Пример: Кто и когда будет обращаться за помощью к правоохранительным органам и следует ли это делать? Кто и когда будет назначать лиц, реагирующих на инциденты, и следует ли это делать? Кто и когда будет платить выкуп и следует ли это делать? Кто и когда будет уведомлять внешних аудиторов и следует ли это делать? Кто и когда будет уведомлять регуляторные органы по вопросам конфиденциальности и следует ли это делать? Кто и когда будет уведомлять регуляторные органы по вопросам безопасности и следует ли это делать? Кто и когда будет уведомлять совет директоров или аудиторский комитет и следует ли это делать? Кто имеет полномочия на остановку критически важных рабочих нагрузок? |
Определяет исходные параметры реагирования и контактные лица, которые необходимо привлечь для ускоренного разрешения инцидента. | |
| Сохранение конфиденциальности | Как правило, советы могут быть привилегированными, но факты можно обнаружить. Обучите ключевых руководителей по реагированию на инциденты предоставлению рекомендаций, фактов и мнений с сохранением конфиденциальности для снижения риска. | Сохранение конфиденциальности может быть сложней задачей с учетом множества коммуникационных каналов, включая электронную почту, платформы совместной работы, чаты, документы и артефакты. Например, можно использовать Комнаты в Microsoft Teams. Согласованный подход, применяемый специалистами, которые вовлечены в реагирование на инцидент, и обслуживающими внешними организациями, может минимизировать потенциальные юридические риски. | |
| Факторы, связанные с использованием инсайдерской информации | Запланируйте для руководителей рассылку оповещений, связанных с действиями, которые необходимо предпринять для минимизации рисков нарушения безопасности. | Советы директоров и внешние аудиторы высоко ценят наличие мер для минимизации рисков сомнительных сделок в периоды неопределенности. | |
| Сборник схем по ролям и обязанностям в случае инцидентов | Определите базовые роли и обязанности, которые позволят поддерживать и реализовывать различные процессы. Если ваша группа реагирования находится на удаленном компьютере, она может потребовать других соображений для часовых поясов и надлежащей передачи следователям. Возможно, вам придется общаться с другими командами, например со специалистами поставщиков. |
Технический руководитель по инцидентам — полностью занимается инцидентом, обрабатывает входные данные и результаты, планирует последующие действия. Координатор по коммуникациям — берет на себя обязанности по коммуникации между руководителями и техническим руководителем по инцидентам, чтобы обеспечить их вовлечение в процесс решения без негативного влияния на работу. Эта деятельность должна включать управление обменом сообщениями руководителей и взаимодействием с другими третьими лицами, такими как регулирующие органы. Регистратор инцидента — отвечает за регистрацию результатов, решений и действий от респондента на инциденты, а также ведет полный и точный учет инцидентов. Планировщик — взаимодействует с владельцами критически важных для бизнеса процессов, разрабатывает мероприятия по обеспечению непрерывности бизнес-процессов и рекомендации на случай нарушения работы информационных систем на 24, 48, 72, 96 и более часов. Связи с общественностью — в случае инцидента, который, скорее всего, заручится вниманием общественности, с помощью Forward Planner рассматривает и разрабатывает подходы к общественной коммуникации, которые касаются вероятных результатов. |
|
| Сборник схем реагирования на инциденты с нарушением конфиденциальности | Чтобы удовлетворить все более строгие правила конфиденциальности, разработайте сборник схем, принадлежащий secOps и офису по обеспечению конфиденциальности. Этот сборник схем позволит быстро оценить потенциальные проблемы конфиденциальности, которые могут возникнуть в результате инцидентов безопасности. | Трудно оценить инциденты безопасности на предмет их потенциального влияния на конфиденциальность, так как большинство инцидентов безопасности возникают в высокотехнических SOC. Инциденты должны быстро всплывать в офисе конфиденциальности (часто с 72-часовыми ожиданиями уведомления), где определяется нормативный риск. | |
| тест на проникновение; | Выполняйте запланированные имитированные атаки на критические важные для бизнеса системы и инфраструктуру, а также резервные копии, чтобы определить уязвимости в состоянии безопасности. Как правило, эта деятельность проводится группой внешних экспертов, сосредоточенных на обходе профилактических средств контроля и поиске ключевых уязвимостей. | Так как за последнее время инциденты с программами-шантажистами участились, тест на проникновение необходимо выполнять для расширенной области инфраструктуры, особенно учитывая возможность злоумышленников выполнять атаки и управлять резервными копиями критически важных для бизнеса систем и данных. | |
| Красная команда, синяя команда, фиолетовая команда, зеленая команда | Выполняйте непрерывные или периодические имитированные атаки на критические для бизнеса системы и инфраструктуру, а также резервные копии, чтобы определить уязвимости в состоянии безопасности. Как правило, это действие осуществляется внутренними командами атак (красные команды), которые сосредоточены на тестировании эффективности элементов управления детективом и команд (голубых команд). Например, вы можете использовать Обучение эмуляции атак в Microsoft 365 Defender для моделирования Office 365 и атак & для Microsoft 365 Defender для конечной точки. |
При надлежащем выполнении имитации атак с привлечением красных, синих и фиолетовых команд позволяют добиться нескольких целей:
Зеленая команда реализует изменения в конфигурации ИТ и безопасности. |
|
| Планирование непрерывности бизнес-процессов | Для критически важных для бизнеса процессов необходимо разработать процессы обеспечения непрерывности и протестировать их. Это позволит бизнесу поддерживать минимально необходимые операции в случае нарушения работы информационных систем. Например, используйте план резервного копирования и восстановления Azure для защиты критически важных бизнес-систем во время атаки, чтобы обеспечить быстрое восстановление бизнес-операций. |
|
|
| Аварийное восстановление | Для информационных систем, которые обслуживают критически важные для бизнеса процессы, вам необходимо разработать и протестировать сценарии горячего и холодного, а также горячего и теплого резервного копирования и восстановления, включая промежуточные этапы. | Организации, которые выполняют сборки без операционной системы, часто находят действия, которые невозможно реплицировать или не соответствуют целям уровня обслуживания. Критически важные системы, работающие на неподдерживаемом оборудовании, часто не могут быть восстановлены на современном оборудовании. Восстановление резервных копий часто не тестируется, что приводит к проблемам. Резервные копии могут находиться в автономном режиме, так что время промежуточного хранения не учитывается в целях восстановления. |
|
| Нестандартный подход к коммуникации | Подготовьтесь к тому, как вы будете общаться в следующих сценариях:
|
Несмотря на то, что это трудное упражнение, определите, как хранить важную информацию в автономном режиме на устройствах и в расположениях для распространения в большом масштабе. Пример:
|
|
| Усиление защиты, гигиена и управление жизненным циклом | Усильте защиту своей инфраструктуры и проведите комплексные мероприятия по снижению рисков в соответствии с основными 20 директивами по безопасности, определенными организацией Center for Internet Security (CIS). | В ответ на недавние инциденты программ-шантажистов, управляемых человеком, корпорация Майкрософт выпустила конкретные рекомендации по защите каждого этапа цепочки кибератак. Это руководство относится к возможностям Корпорации Майкрософт или к возможностям других поставщиков. Среди них следующие:
|
|
| Планирование реагирования на инциденты | На начальном этапе инцидента определите следующее:
|
Существует тенденция бросать все доступные ресурсы на инцидент в начале, в надежде на быстрое решение. Как только вы примете или определите, что инцидент будет длиться продолжительное время, вы сможете изменить свой подход к взаимодействию с персоналом и поставщиками, что позволит им учитывать длительность процесса. | |
| Лица, реагирующие на инциденты | Определите четкие ожидания для всех сторон. Популярен такой формат создания отчетов по текущим действиям:
|
Лица, реагирующие на инциденты, могут использовать разные техники и подходы, в том числе анализ хранимых данных, анализ больших данных и возможность получать инкрементные результаты. Наличие четких ожиданий с самого начала упростит коммуникацию. |
Ресурсы по реагированию на инциденты
- Обзор продуктов и ресурсов безопасности Майкрософт для новых сотрудников и опытных аналитиков
- Сборники схем с подробными рекомендациями по реагированию на распространенные методы атак
- Microsoft 365 Defender: реагирование на инциденты
- Microsoft Defender для облака (Azure)
- Реагирование на инциденты Microsoft Sentinel
Основные ресурсы Майкрософт, связанные с безопасностью
| Ресурс | Описание |
|---|---|
| Отчет Майкрософт о цифровой защите за 2021 г. | Отчет, в котором учтены знания экспертов, практиков и специалистов по защите корпорации Майкрософт, разработанный, чтобы помочь людям во всем мире защищаться от киберугроз. |
| Эталонная архитектура кибербезопасности корпорации Майкрософт | Набор схем визуальной архитектуры, показывающих возможности кибербезопасности Майкрософт и их интеграцию с облачными платформами Майкрософт, такими как Microsoft 365 и Microsoft Azure, а также сторонними облачными платформами и приложениями. |
| Инфографика "На счету каждая минута" (файл для скачивания) | Общие сведения о том, как команда Майкрософт SecOps реагирует на инциденты для устранения текущих атак. |
| Azure Cloud Adoption Framework: операции по обеспечению безопасности | Стратегическое руководство для руководителей, которые внедряют или модернизируют операции системы безопасности. |
| Рекомендации от Майкрософт по операциям обеспечения безопасности | Сведения о том, как лучше использовать центр SecOps для оперативного реагирования на действия злоумышленников, атакующих вашу организацию. |
| Модель системы облачной безопасности Майкрософт для ИТ-архитекторов | Система безопасности в облачных службах и на платформах корпорации Майкрософт для идентификации, доступа к устройствам, защиты от угроз и защиты информации. |
| Документация по системе безопасности Майкрософт | Дополнительные рекомендации по обеспечению безопасности от корпорации Майкрософт. |