Recomendaciones para la respuesta a incidentes de seguridad
Se aplica a la recomendación de la lista de verificación de seguridad bien diseñada: Power Platform
| SE:11 | Defina y pruebe procedimientos efectivos de respuesta a incidentes que cubran un espectro de incidentes, desde problemas localizados hasta recuperación ante desastres. Defina claramente qué equipo o persona se encarga de un procedimiento. |
|---|
Esta guía describe las recomendaciones para implementar una respuesta a incidentes de seguridad para una carga de trabajo. Si la seguridad de un sistema se ve comprometida, un enfoque sistemático de respuesta a incidentes ayuda a reducir el tiempo que se tarda en identificar, gestionar y mitigar los incidentes de seguridad. Estos incidentes pueden amenazar la confidencialidad, integridad y disponibilidad de los sistemas y datos de software.
La mayoría de las empresas tienen un equipo de operaciones de seguridad central (también conocido como Centro de Operaciones de Seguridad [SOC] o SecOps). La responsabilidad del equipo de operaciones de seguridad es detectar, priorizar y clasificar rápidamente posibles ataques. El equipo también supervisa datos de telemetría relacionados con la seguridad e investiga infracciones de seguridad.
Sin embargo, también tiene la responsabilidad de proteger su carga de trabajo. Es importante que cualquier actividad de comunicación, investigación y búsqueda sea un esfuerzo de colaboración entre el equipo de carga de trabajo y el equipo de SecOps.
Esta guía proporciona recomendaciones para usted y su equipo de carga de trabajo para ayudarle a detectar, clasificar e investigar ataques rápidamente.
Definiciones
| Término | Definición |
|---|---|
| Alert | Una notificación que contiene información sobre un incidente. |
| Fidelidad de alerta | La exactitud de los datos que determinan una alerta. Las alertas de alta fidelidad contienen el contexto de seguridad necesario para tomar medidas inmediatas. Las alertas de baja fidelidad carecen de información o contienen ruido. |
| Falso positivo | Una alerta que indica un incidente que no ocurrió. |
| Incidente | Un evento que indica acceso no autorizado a un sistema. |
| Respuesta ante incidentes | Un proceso que detecta, responde y mitiga los riesgos asociados con un incidente. |
| Selección | Una operación de respuesta a incidentes que analiza los problemas de seguridad y prioriza su mitigación. |
Estrategias clave de diseño
Usted y su equipo realizan operaciones de respuesta a incidentes cuando una señal o alerta indica un posible incidente de seguridad. Las alertas de alta fidelidad contienen un amplio contexto de seguridad que facilita a los analistas la toma de decisiones. Las alertas de alta fidelidad dan como resultado una cantidad baja de falsos positivos. Esta guía supone que un sistema de alerta filtra señales de baja fidelidad y se centra en alertas de alta fidelidad que podrían indicar un incidente real.
Asignar notificación de incidentes
Las alertas de seguridad deben llegar a las personas adecuadas de su equipo y de su organización. Establezca un punto de contacto designado en su equipo de carga de trabajo para recibir notificaciones de incidentes. Estas notificaciones deben incluir la mayor cantidad de información posible sobre el recurso comprometido y el sistema. La alerta debe incluir los siguientes pasos para que su equipo pueda acelerar las acciones.
Le recomendamos que registre y administre las notificaciones y acciones de incidentes mediante el uso de herramientas especializadas que mantienen un registro de auditoría. Al utilizar herramientas estándar, puede conservar pruebas que podrían ser necesarias para posibles investigaciones legales. Busque oportunidades para implementar automatización que pueda enviar notificaciones basadas en las responsabilidades de las partes responsables. Mantenga una cadena clara de comunicación e informes durante un incidente.
Aproveche las soluciones de información de seguridad administración de eventos (SIEM) y las soluciones de respuesta automatizada de orquestación de seguridad (SOAR) que proporciona su organización. Alternativamente, puede adquirir herramientas de gestión de incidentes y alentar a su organización a estandarizarlas para todos los equipos de carga de trabajo.
Investigar con un equipo de triaje
El miembro del equipo que recibe una notificación de incidente es responsable de establecer un proceso de clasificación que involucre a las personas adecuadas en función de los datos disponibles. El equipo de triaje, a menudo llamado equipo de puente, debe ponerse de acuerdo sobre el modo y proceso de comunicación. ¿Este incidente requiere discusiones asincrónicas o llamadas puente? ¿Cómo debe el equipo seguir y comunicar el progreso de las investigaciones? ¿Dónde puede el equipo tener acceso a los activos del incidente?
La respuesta a incidentes es una razón crucial para mantener la documentación actualizada, como el diseño arquitectónico del sistema, la información a nivel de componente, la clasificación de privacidad o seguridad, los propietarios y los puntos de contacto clave. Si la información es inexacta o está desactualizada, el equipo del puente pierde un tiempo valioso tratando de comprender cómo funciona el sistema, quién es responsable de cada área y cuál podría ser el efecto del evento.
Para futuras investigaciones, involucre a las personas adecuadas. Puede incluir un administrador de incidentes, un responsable de seguridad o clientes potenciales centrados en la carga de trabajo. Para mantener el triaje centrado, excluya a las personas que estén fuera del ámbito del problema. A veces, equipos separados investigan el incidente. Puede haber un equipo que investigue inicialmente el problema e intente mitigar el incidente, y otro equipo especializado que pueda realizar una investigación forense en profundidad para averiguar problemas de mayor envergadura. Puede poner en cuarentena el entorno de carga de trabajo para permitir que el equipo forense realice sus investigaciones. En algunos casos, el mismo equipo podría encargarse de toda la investigación.
En la fase inicial, el equipo de clasificación es responsable de determinar el vector potencial y su efecto en la confidencialidad, integridad y disponibilidad (también llamado CIA) del sistema.
Dentro de las categorías de CIA, asigne un nivel de gravedad inicial que indique la profundidad del daño y la urgencia de su remediación. Se espera que este nivel cambie con el tiempo a medida que se descubra más información en los niveles de triaje.
En la fase de detección, es importante determinar un curso de acción inmediato y planes de comunicación. ¿Hay algún cambio en el estado de ejecución del sistema? ¿Cómo se puede contener el ataque para detener una mayor explotación? ¿Necesita el equipo enviar comunicaciones internas o externas, como una divulgación responsable? Tenga en cuenta el tiempo de detección y respuesta. Puede que esté obligado legalmente a informar de algunos tipos de infracciones a una autoridad reguladora en un plazo de tiempo específico, que suele ser de horas o días.
Si decide apagar el sistema, los siguientes pasos conducen al proceso de recuperación ante desastres (DR) de la carga de trabajo.
Si no apaga el sistema, determine cómo solucionar el incidente sin afectar a la funcionalidad del sistema.
Recuperarse de un incidente
Trate un incidente de seguridad como un desastre. Si la corrección requiere una recuperación completa, utilice mecanismos de recuperación ante desastres adecuados desde una perspectiva de seguridad. El proceso de recuperación debe prevenir posibilidades de periodicidad. De lo contrario, la recuperación de una copia de seguridad dañada reintroduce el problema. Volver a implementar un sistema con la misma vulnerabilidad conduce al mismo incidente. Valide los pasos y procesos de conmutación por error y conmutación por recuperación.
Si el sistema sigue funcionando, evalúe el efecto en las partes en funcionamiento del sistema. Siga supervisando el sistema para garantizar que se cumplen o reajustan otros objetivos de fiabilidad y rendimiento mediante la aplicación de procesos de degradación adecuados. No comprometa la privacidad debido a la mitigación.
El diagnóstico es un proceso interactivo hasta que se identifica el vector y una posible solución y respaldo. Después del diagnóstico, el equipo trabaja en la remediación, que identifica y aplica la solución requerida dentro de un período aceptable.
Las métricas de recuperación miden cuánto tiempo se tarda en solucionar un problema. En caso de un cierre, puede haber urgencia en cuanto a los tiempos de remediación. Para estabilizar el sistema, se necesita tiempo para aplicar correcciones, parches y pruebas, e implementar actualizaciones. Determine estrategias de contención para evitar mayores daños y la propagación del incidente. Desarrolle procedimientos de erradicación para eliminar completamente la amenaza del medio ambiente.
Compensación: Existe una compensación entre los objetivos de confiabilidad y los tiempos de remediación. Durante un incidente, es probable que no cumpla con otros requisitos funcionales o no funcionales. Por ejemplo, es posible que necesite desactivar partes de su sistema mientras investiga el incidente, o incluso puede que necesite desconectar todo el sistema hasta que determine el alcance del incidente. Los responsables de la toma de decisiones empresariales deben decidir explícitamente cuáles son los objetivos aceptables durante el incidente. Especifique claramente la persona responsable de esa decisión.
Aprender de un incidente
Un incidente descubre lagunas o puntos vulnerables en un diseño o una implementación. Es una oportunidad de mejora impulsada por lecciones en aspectos técnicos de diseño, automatización, procesos de desarrollo de productos que incluyen pruebas y la efectividad del proceso de respuesta a incidentes. Mantenga registros detallados de incidentes, incluidas las acciones tomadas, las escalas de tiempo y los hallazgos.
Le recomendamos encarecidamente que realice revisiones estructuradas posteriores al incidente, como análisis de causa raíz y retrospectivas. Realice un seguimiento y priorice el resultado de esas revisiones y considere utilizar lo que aprenda en futuros diseños de cargas de trabajo.
Los planes de mejora deben incluir actualizaciones de los simulacros y pruebas de seguridad, como los simulacros de continuidad empresarial y recuperación ante desastres (BCDR). Utilice el ataque a la seguridad como escenario para realizar un simulacro BCDR. Los simulacros pueden validar cómo funcionan los procesos documentados. No debería haber múltiples manuales de respuesta a incidentes. Utilice una única fuente que pueda ajustar en función del tamaño del incidente y de lo extendido o localizado que esté el efecto. Los simulacros se basan en situaciones hipotéticas. Realice simulacros en un entorno de bajo riesgo e incluya la fase de aprendizaje en los simulacros.
Realice revisiones posteriores al incidente, o postmortems, para identificar los puntos débiles del proceso de respuesta y las áreas susceptibles de mejora. Según las lecciones que aprenda del incidente, actualice el plan de respuesta a incidentes (IRP) y los controles de seguridad.
Enviar la comunicación necesaria
Implementar un plan de comunicación para notificar a los usuarios sobre una interrupción e informar a las partes interesadas internas sobre la remediación y las mejoras. Es necesario notificar a otras personas de su organización sobre cualquier cambio en la línea base de seguridad de la carga de trabajo para evitar incidentes futuros.
Genere informes de incidentes para uso interno y, si es necesario, para el cumplimiento de la normativa o con fines legales. Además, adopte un informe de formato estándar (una plantilla de documento con secciones definidas) que el equipo SOC utilice para todos los incidentes. Asegúrese de que cada incidente tenga un informe asociado antes de cerrar la investigación.
Facilitación de Power Platform
Las siguientes secciones describen los mecanismos que puede emplear como parte de sus procedimientos de respuesta a incidentes de seguridad.
Microsoft Centinela
Microsoft La solución Sentinel permite a los clientes detectar diversas actividades sospechosas, entre ellas: Microsoft Power Platform
- Ejecución de Power Apps desde geografías no autorizadas
- Destrucción de datos sospechosos por Power Apps
- Eliminación masiva de Power Apps
- Ataques de phishing realizados a través de Power Apps
- Actividad de flujos de Power Automate de empleados que abandonan la empresa
- Conectores de Microsoft Power Platform agregados a un entorno
- Actualización o eliminación de directivas de prevención de pérdida de datos de Microsoft Power Platform
Para obtener más información, consulte la Microsoft solución Sentinel para obtener una descripción general Microsoft Power Platform .
Microsoft Registro de actividades de Purview
Power Apps, Power Automate, Los conectores, los datos respuesta y el registro de actividad administrativa se rastrean y visualizan desde el portal de cumplimiento de Purview. Power Platform Microsoft
Para obtener más información, consulte:
- Power Apps registro de actividad
- Power Automate registro de actividad
- Copilot Studio registro de actividad
- Power Pages registro de actividad
- Power Platform registro de actividad del conector
- Registro de actividad de datos prevención de pérdidas
- Power Platform Registro de actividades de acciones administrativas
- Microsoft Dataverse y registro de actividad de aplicaciones basadas en modelos
Caja de seguridad del cliente
La mayoría de las operaciones, el soporte y la resolución de problemas realizados por el personal (incluidos los subprocesadores) no requieren acceso a los datos del cliente. Microsoft Con Power Platform Customer Lockbox, Microsoft se proporciona una interfaz para que los clientes revisen y aprueben (o rechacen) solicitudes de acceso a datos en las raras ocasiones en que se necesita acceder a los datos del cliente. Se utiliza en casos en los que un ingeniero necesita acceder a datos del cliente, ya sea en respuesta, en un ticket de soporte iniciado por el cliente o en un problema identificado por Microsoft . Microsoft Para obtener más información, consulte Acceda de forma segura a los datos del cliente utilizando la Caja de seguridad del cliente en Power Platform y Dynamics 365.
Actualizaciones de seguridad
Los equipos de servicios realizan regularmente lo siguiente para garantizar la seguridad del sistema:
- Análisis del servicio para identificar posibles vulnerabilidades de seguridad.
- Evaluaciones del servicio para garantizar que los controles de seguridad clave están funcionando con eficacia.
- Evaluaciones del servicio para determinar la exposición a cualquier vulnerabilidad identificada por el Centro de Seguridad (MSRC), que monitorea periódicamente los sitios externos de concientización sobre vulnerabilidades. Microsoft
Estos equipos también identifican y siguen los problemas identificados, y toman medidas rápidas para mitigar los riesgos cuando es necesario.
¿Cómo puedo obtener información sobre las actualizaciones de seguridad?
Puesto que los equipos de servicios se esfuerzan por aplicar las mitigaciones de riesgo de forma que no requieran tiempo de inactividad del servicio, los administradores no suelen ver las notificaciones del Centro de mensajes para actualizaciones de seguridad. Si una actualización de seguridad requiere un impacto del servicio, se considera mantenimiento previsto y se registrará con la duración estimada del impacto y la ventana en la que se producirá el trabajo.
Para obtener más información sobre seguridad, consulte el Centro de confianza Microsoft .
Administre su ventana de mantenimiento
Microsoft Realiza actualizaciones periódicamente y mantenimiento para garantizar la seguridad, el rendimiento, la disponibilidad y para proporcionar nuevas características y funcionalidades. Este proceso de actualización ofrece semanalmente mejoras de seguridad y servicios menores, y cada actualización se implementa región por región, de acuerdo con un programa de implementación seguro, organizado por estaciones. Para obtener información sobre la ventana de mantenimiento predeterminada para entornos, consulte Directivas y comunicaciones para incidencias del servicio. Consulte también Administrar la ventana de mantenimiento.
Asegúrese de que el portal de inscripción de Azure incluya la información de contacto Administrador para que las operaciones de seguridad puedan notificarse directamente a través de un proceso interno. Si desea obtener más información, consulte Actualizar la configuración de notificación.
Alineación de la organización
Cloud Adoption Framework para Azure proporciona orientación sobre la planificación de respuesta a incidentes y las operaciones de seguridad. Para obtener más información, consulte Operaciones de seguridad.
Información relacionada
- Microsoft Solución Sentinel para una descripción general Microsoft Power Platform
- Crear automáticamente incidentes a partir de alertas de seguridad Microsoft
- Realice una búsqueda de amenazas de extremo a extremo mediante la función Hunts
- Utilice Hunts para realizar una búsqueda de amenazas proactiva de extremo a extremo en Sentinel Microsoft
- Descripción general del incidente respuesta
Lista de verificación de seguridad
Consulte el conjunto completo de recomendaciones.