Verwaltung von Microsoft-Sicherheitsvorfällen
Microsoft arbeitet kontinuierlich daran, hochsichere Dienste auf Unternehmensniveau für Microsoft-Kunden bereitzustellen, aber Sicherheitsvorfälle sind eine unvermeidliche Realität, die gründlich und schnell verwaltet werden muss. Dieses Dokument bietet einen Überblick darüber, wie Microsoft Sicherheitsvorfälle mit bewährten Methoden und Technologien umgeht, um deren potenzielle Auswirkungen zu minimieren. Ein Sicherheitsvorfall bezieht sich auf jeden unrechtmäßigen Zugriff auf Kundendaten, die auf microsoft-Geräten oder in Microsoft-Einrichtungen gespeichert sind, oder auf unbefugten Zugriff auf solche Geräte oder Einrichtungen, die das Risiko haben, dass Kundendaten verloren gehen, offengelegt oder geändert werden. Die Ziele von Microsoft bei der Reaktion auf Sicherheitsvorfälle sind der Schutz von Kundendaten und der Onlinedienste von Microsoft.
Microsoft Onlinedienste Sicherheitsteams und die verschiedenen Serviceteams arbeiten gemeinsam und verfolgen den gleichen Ansatz für Sicherheitsvorfälle:
- Vorbereitung
- Erkennung und Analyse
- Eindämmung, Tilgung und Wiederherstellung
- Post-Incident-Aktivität
Microsoft-Ansatz für die Verwaltung von Sicherheitsvorfällen
Der Ansatz von Microsoft zur Verwaltung eines Sicherheitsvorfalls entspricht der NIST Special Publication (SP) 800-61 des National Institute of Standards and Technology (NIST ). Microsoft verfügt über mehrere dedizierte Teams, die zusammenarbeiten, um Sicherheitsvorfälle zu verhindern, zu überwachen, zu erkennen und darauf zu reagieren.
Team/Bereich | Beschreibung |
---|---|
Microsoft Security Response Center | Identifiziert, überwacht, behebt und reagiert auf Sicherheitsvorfälle und Sicherheitsrisiken bei Microsoft-Software. |
Cyber Defense Operations Center | Das Cyber Defense Operations Center ist der physische Ort, an dem Sicherheitsteams und Experten aus dem gesamten Unternehmen zusammen kommen, um Bedrohungen in Echtzeit zu schützen, zu erkennen und darauf zu reagieren. |
Unternehmens-, Außen- und Rechtsangelegenheiten | Bietet rechtliche und behördliche Beratung für einen vermuteten Sicherheitsvorfall. |
Microsoft Datacenter Security Team | Team, das sich in den verschiedenen Diensten auf gemeinsame Investitionen in die Sicherheitstechnik konzentriert, um Risiken und Bedrohungen der Dienstarchitektur zu schützen, zu erkennen und darauf zu reagieren. |
Microsoft-Sicherheitsreaktionsteams | Unabhängige Azure-, Dynamics 365- und Microsoft 365-Sicherheitsteams, die mit Serviceteams zusammenarbeiten, um den geeigneten Prozess zur Verwaltung von Sicherheitsvorfällen zu erstellen und die Reaktion auf Sicherheitsvorfälle zu fördern. |
Microsoft-Teams für Governance, Risiko und Compliance (GRC) | Stellen Sie Anleitungen zu gesetzlichen Anforderungen, Compliance und Datenschutz bereit. |
Serviceteams | Entwicklungsteams für Azure, Dynamics 365, Microsoft 365, die für sicherheitsbezogene Richtlinien und Entscheidungen für jeden Dienst verantwortlich sind. |
Azure Operations Manager | Überwacht die Untersuchung und Lösung von Azure-bezogenen Sicherheits- und Datenschutzvorfällen. |
Microsoft Threat Intelligence Center (MSTIC) | Stellt den aktuellen Stand der Technik in Bezug auf digitale Sicherheitsbedrohungen für Microsoft-Infrastruktur und -Ressourcen bereit, unterstützt Partnerteams innerhalb von Microsoft bei der Priorisierung von Maßnahmen zur Entschärfung und Prävention und erhöht den Schutz, indem die Überwachung/Erkennung von Vorfällen nahezu in Echtzeit übernommen wird. |
Kommunikationsteams für die Kundenerfahrung | Entwicklungsteams, die für die gesamte Kundenkommunikation über Sicherheits- und Servicevorfälle verantwortlich sind. Separate Teams sind für Azure, Dynamics 365 und Microsoft 365 vorgesehen. |
Reaktionsverwaltungsprozess
Microsoft Onlinedienste Sicherheitsteams und Serviceteams arbeiten gemeinsam an sicherheitsrelevanten Vorfällen und verfolgen denselben Ansatz, der auf den NIST 800-61-Antwortverwaltungsphasen basiert:
- Vorbereitung: Bezieht sich auf die organisatorische Vorbereitung, die erforderlich ist, um reagieren zu können, einschließlich Tools, Prozesse, Kompetenzen und Bereitschaft.
- Erkennung & Analyse: Bezieht sich auf die Aktivität, um einen Sicherheitsvorfall in einer Produktionsumgebung zu erkennen und alle Ereignisse zu analysieren, um die Authentizität des Sicherheitsvorfalls zu bestätigen.
- Eindämmung, Ausrottung, Wiederherstellung: Bezieht sich auf die erforderlichen und geeigneten Maßnahmen zur Eindämmung des Sicherheitsvorfalls basierend auf der Analyse, die in der vorherigen Phase durchgeführt wurde. In dieser Phase kann auch eine weitere Analyse erforderlich sein, um eine vollständige Wiederherstellung nach dem Sicherheitsvorfall zu ermöglichen.
- Post-Incident-Aktivität: Bezieht sich auf die post-mortem-Analyse, die nach der Wiederherstellung eines Sicherheitsincidents durchgeführt wird. Die während des Prozesses ausgeführten operativen Aktionen werden überprüft, um festzustellen, ob in den Vorbereitungs- oder Erkennungs- und Analysephasen Änderungen vorgenommen werden müssen.
Verbundsicherheitsreaktionsmodell
Microsoft Onlinedienste bestehen aus Kernprodukten von Microsoft, einschließlich Azure, Dynamics 365 und Microsoft 365. Jeder dieser Dienste wird von separaten Teams mit eigenen Sicherheitsbetriebsprozessen betrieben. Andere Teams bei Microsoft, z. B. MSTIC, beschäftigen sich ebenfalls mit verschiedenen Sicherheitsaspekten von Microsoft Onlinedienste. Aufgrund der Vielzahl von Teams, die an der Verwaltung von Sicherheitsvorgängen in allen verschiedenen Diensten arbeiten, aus denen Microsoft Onlinedienste besteht, hat Microsoft ein Verbundsicherheitsreaktionsmodell implementiert.
In dieser Tabelle werden die operativen Grenzen zwischen den verschiedenen Microsoft Online Service Security Operations Teams und den Microsoft-Serviceteams dargestellt:
Aktivität | Microsoft Security Team Operations | Microsoft Service Team Operations |
---|---|---|
Erkennung und Analyse | - Erkennungsanforderungen - Sicherheitsüberwachung und -analyse - Indikator der Kompromittierung (IOC) Sweeps - Jagd auf Sicherheitsverletzungen - 24 x 7 Sicherheits-On-Call- und Incident Response-Lead |
- Erkennungsanforderungen – Überwachen der Infrastrukturbereitstellung - Dienstanalyse und Erkenntnisse – Selektierung von Ereignissen und Warnungen - 24x7 Service Engineering on-call |
Eindämmung, Tilgung, Wiederherstellung | - Lead zur Reaktion auf Vorfälle - Forensische Untersuchung - Sicherheitskompetenz und Beratung – Anleitung zur Wiederherstellung |
- Besitzer von Sicherheitsvorfällen - Service insights and expertise – Ausführen von Einschluss, Tilgung und Wiederherstellung |
Aktivitäten nach dem Vorfall | - Lead für die Analyse nach dem Vorfall - Datensammlung und -archivierung – Gewonnene Erkenntnisse und Fehleranforderungen - Vorfallberichterstattung |
– Dienstseitige Incidentanalyse – Priorisieren von Folgeaktivitäten - Investitionen in die Implementierungssicherheit - Bereitschaft zur Dienstsicherheit |