Общие сведения об управлении инцидентами безопасности microsoft Online Services
В облачных средах заказчики и поставщики облачных служб сообща отвечают за обеспечение безопасной и соответствующей требованиям вычислительной среды. Для определения областей ответственности при эксплуатации и обеспечении безопасности в службах Microsoft 365 корпорация Майкрософт использует модель общей ответственности. Несмотря на то что Microsoft 365 обеспечивает безопасность базовой облачной инфраструктуры и служб, заказчики должны знать свои обязанности по обеспечению безопасной среды клиента для своих пользователей и данных.
Примечание.
Оценка безопасности (Майкрософт) предоставляет клиентам понятный анализ конфигурации клиента и предлагает полезные рекомендации по повышению безопасности. Мы рекомендуем каждому клиенту использовать средства самостоятельной оценки, такие как Оценка безопасности (Майкрософт), чтобы соблюдать принципы общей ответственности за безопасность и конфиденциальность.
Корпорация Майкрософт использует эшелонированную оборону для защиты служб путем применения средств защиты на нескольких уровнях. Эшелонированная оборона обеспечивают перекрывающиеся меры защиты от угроз безопасности. Хотя мы создаем наши службы с учетом обеспечения безопасности, мы также подготавливаем их к возможности компрометации с использованием стратегии "Предполагай наличие нарушения системы безопасности". В рамках концепции "Предполагай наличие нарушения системы безопасности" приложения, службы, удостоверения и сети имеют ограниченное доверие. Все они (как внутренние, так и внешние) считаются небезопасными и уже скомпрометированными. Принципы "Предполагай наличие нарушения системы безопасности" позволяют ограничить влияние инцидентов безопасности, уменьшая ущерб, который может нанести злоумышленник, и обеспечивая быстрое обнаружение угроз безопасности и реагирование на них.
В этом модуле мы сосредоточимся на том, как веб-службы Майкрософт исследуют угрозы безопасности, управляют и реагируют на них для защиты клиентов в облачной среде Майкрософт.
Что такое инцидент безопасности?
Корпорация Майкрософт определяет инцидент безопасности в своих веб-службах как проблему, которая может привести к нарушению данных клиента, включая нарушения политик безопасности, допустимых политик использования или стандартных методов безопасности. Это касается не только ситуаций, таких как подтвержденные нарушения систем Майкрософт, но и несоответствие политик и методов безопасности Майкрософт.
Каждый раз, когда возникает инцидент безопасности, корпорация Майкрософт стремится быстро и эффективно реагировать на защиту веб-служб Майкрософт и данных клиентов. Обязательства майкрософт по уведомлениям клиентов подробно описаны в надстройке по защите данных о продуктах и службах Майкрософт:
Если корпорации Майкрософт станет известно о каком-либо нарушении безопасности, которое ведет к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию Данных клиента или Персональных данных, либо доступу к ним во время обработки корпорацией Майкрософт (в каждом случае — "Инцидент безопасности"), корпорация Майкрософт незамедлительно (1) уведомит Клиента об Инциденте безопасности; (2) расследует Инцидент безопасности и предоставит Клиенту подробную информацию об этом Инциденте безопасности и (3) примет обоснованные меры для смягчения последствий и минимизации какого-либо ущерба, возникшего в результате Инцидента безопасности.
Федеративное реагирование на инциденты в корпорации Майкрософт
Для эффективного реагирования на инциденты безопасности корпорация Майкрософт использует федеративную модель реагирования на инциденты безопасности. У каждой крупной веб-службы, такой как Azure и Microsoft 365, есть собственные специализированные команды по безопасности со специализированными инженерными навыками. В то же время каждая команда придерживается общего процесса управления инцидентами, общих определений и общего обучения, чтобы обеспечить согласованность во всех веб-службах.
Каждая группа реагирования на безопасность веб-служб предоставляет группам служб централизованный опыт в области безопасности и руководство по реагированию на инциденты в рамках нашей федеративной модели реагирования на безопасность. В зависимости от характера инцидента группы реагирования и службы безопасности могут привлекать партнеров по безопасности и экспертов из других организаций корпорации Майкрософт для оказания помощи в расследовании, например:
- Центр анализа угроз Майкрософт — для поддержки при исследованиях и анализе угроз
- Инженеры по цифровой безопасности и рискам для основных инженерных решений Майкрософт — для помощи в исследованиях инцидентов, связанных с корпоративными ресурсами и сетями Майкрософт
- Центр Майкрософт по реагированию на угрозы — для поддержки реагирования на уязвимости, о которых сообщают извне, и реагирование на инциденты программного обеспечения и служб
- Корпоративные, внешние, юридические вопросы Майкрософт — для юридической аналитики и руководства по исследованию инцидентов безопасности
- Команды по обеспечению конфиденциальности — для получения рекомендаций по нормативным требованиям, соответствию требованиям и конфиденциальности. Для каждой крупной веб-службы выделены отдельные команды.
- Команды по взаимодействию с клиентами — для внутренней и внешней связи, связанной с инцидентами. Для каждой крупной веб-службы выделены отдельные команды.
Реагирование на инциденты в Microsoft Online Services
В веб-службах Майкрософт обязанности по реагированию на инциденты безопасности распределяются между группами реагирования на проблемы безопасности и каждой командой служб Майкрософт. Группы по реагированию на проблемы безопасности координируют работу с группами обслуживания для реализации стратегии реагирования на инциденты на уровне предприятия, используя опыт группы обслуживания.
Наша стратегия реагирования на инциденты, основанная на этапах управления реагированием NIST 800-61, проходит четыре этапа взаимосвязанных действий: подготовка, обнаружение и анализ, локализация, уничтожение и восстановление, а также действия после инцидента.
Схема показывает, что этапы обнаружения и анализа, а также сдерживания, искоренения и восстановления повторяются до тех пор, пока инцидент не будет устранен.
Каждый этап процесса управления реагированием важен для эффективного реагирования на инциденты.