Общие сведения об реагировании на инциденты Microsoft Online Services, этап 1 — подготовка

  • 3 мин

Теперь, когда вы знаете, какие команды отвечают за реагирование на инциденты, мы рассмотрим каждый этап процесса реагирования на инциденты.

Подготовка позволяет быстро реагировать на возникающие инциденты и даже предотвращать инциденты. Корпорация Майкрософт выделяет значительные ресурсы для подготовки к инцидентам безопасности.

Обучение

Каждый сотрудник, работающий в корпорации Майкрософт, должен пройти обучение, соответствующее их роли в отношении реагирования на инциденты безопасности. Начальное обучение проводится, когда новый сотрудник начинает работу в корпорации Майкрософт, а затем каждый год проводится ежегодное повышение квалификации. Целью обучения является обеспечение понимания сотрудником основного подхода Майкрософт к безопасности. После завершения обучения все сотрудники могут:

  • Определить инцидент безопасности.
  • Объяснить свою роль и обязанности по уведомлению об инцидентах безопасности.
  • Описать, как группы реагирования на вопросы безопасности реагируют на инциденты безопасности.
  • Сведения о потенциальном инциденте безопасности в соответствующую группу реагирования на безопасность.
  • Сформулировать отдельные проблемы, связанные с конфиденциальностью, в частности с конфиденциальностью клиентов.
  • Получить доступ к дополнительной информации о безопасности, конфиденциальности и контактных данных для эскалации.

Помимо общего обучения безопасности, сотрудники, связанные с реагированием на инциденты, проходят дополнительное обучение по безопасности на основе ролей.

Обслуживание инженеров по вызову (OCEs)

Все операционные группы служб, включая группы реагирования на вопросы безопасности, поддерживают смену по вызову, чтобы обеспечить наличие доступных ресурсов 24x7x365. Ротация дежурного персонала включает резерв для доступности и эскалации с целью обеспечения ответственности. OCEs и время их звонков централизованно перечислены для каждой группы обслуживания на одной панели мониторинга, где управляются инциденты. Наша смена по вызову позволяет корпорации Майкрософт в любое время и в любом масштабе эффективно реагировать на инциденты, включая широко распространенные или одновременные события.

OCEs используют рабочие станции secure admin для доступа к рабочей среде, и их доступ ограничен по времени и ограничивается задачами, необходимыми для реагирования на инциденты.

Средства и ресурсы

Группы реагирования на проблемы безопасности Майкрософт отвечают за обслуживание всех средств и ресурсов, связанных с реагированием на инциденты безопасности. К ним относятся ресурсы справки в Интернете, предназначенные для быстрого информирования дежурных инженеров о соответствующих процедурах, а также о быстрых и надежных способах эскалации потенциальных проблем. Ресурсы реагирования на инциденты также включают в себя пользовательские инструменты, скрипты и процессы, помогающие группам реагирования на проблемы безопасности решать различные проблемы безопасности и типы атак. OCEs должны проходить ежегодное обучение и получать актуальные проверки фона, чтобы обеспечить право доступа к средствам и ресурсам реагирования на инциденты.

Тестирование реагирования на инциденты

Корпорация Майкрософт регулярно проверяет, проверяет и обновляет свой план реагирования на инциденты, чтобы учесть изменения в среде и новые угрозы безопасности. Наша методология тестирования реагирования на инциденты использует непредсказуемые атаки в режиме реального времени от внутренних команд тестировщиков на проникновение безопасности, которые мы называем Red Team. Red Team использует различные методы, чтобы попытаться скомпрометировать системы Microsoft Online Services без обнаружения. Усилия Red Team имитируют реальные атаки и тестируют возможности групп по реагированию на безопасность Майкрософт.

В контексте внутреннего тестирования на проникновение группы майкрософт по реагированию на безопасность называются Синей командой. Синяя команда использует процесс реагирования на инциденты для обнаружения атак Красной команды и реагирования на них, как если бы они были подлинными инцидентами безопасности. Данные клиентов никогда не являются целью тестирования на проникновение, но эти упражнения помогают убедиться, что веб-службы Майкрософт готовы обнаруживать, предотвращать и реагировать на новые типы угроз безопасности.

Два поля с определением Красной и Синей команды. Красная команда: эксперты по кибербезопасности, которые постоянно пытаются взломать наши собственные рабочие службы без обнаружения для имитации продвинутых злоумышленников. Синяя команда: сотрудники защиты от киберугроз, которые используют сложные средства и методы защиты для обнаружения и устранения попыток Красной команды.

В дополнение к текущему внутреннему тестированию на проникновение корпорация Майкрософт проводит ряд других упражнений по реагированию на инциденты, включая события "захват флага", однократные настольные упражнения и другие импровизированные или организованные события. Эти упражнения дополняют непрерывное внутреннее тестирование на проникновение, чтобы обеспечить надлежащую готовность всех команд к выполнению своих обязанностей в случае реального инцидента безопасности.

Защита доказательств

Данные, собранные во время реагирования на инцидент, часто являются конфиденциальными и должны оставаться под защитой. Группы по реагированию на вопросы безопасности корпорации Майкрософт отвечают за обеспечение надлежащего шифрования и защиты информации для всех сообщений и документации, связанных с инцидентами. Сюда относится использование защищенных хранилищ доказательств для хранения судебных доказательств, собранных во время расследований. Оперативная служба следует утвержденным процессам обработки судебных доказательств, включая цепочку обеспечения сохранности, чтобы гарантировать безопасность и неизменность всех доказательств, связанных с инцидентом.

Подробнее