Suojaustapausten käsittelyä koskevat suositukset
Koskee hyvin suunniteltua tietoturvan tarkistuslistasuositusta Power Platform :
| SE:11 | Määritä ja testaa tehokkaat tapausten käsittelymenettelyt, jotka kattavat tapahtumat lokalisoiduista ongelmista järjestelmäpalautukseen. Määritä selkeästi, mikä tiimi tai henkilö suorittaa menettelyn. |
|---|
Tässä oppaassa on tietoja työmäärän suojaustapauksen käsittelyn toteuttamista koskevista suosituksista. Jos järjestelmän suojaus on vaarantunut, järjestelmällinen tapauksen käsittelymenettely auttaa vähentämään suojaustapausten tunnistamiseen, hallintaan ja lievennykseen kuluvaa aikaa. Tällaiset tapaukset voivat uhata ohjelmistojärjestelmien ja -tietojen luottamuksellisuutta, yhtenäisyyttä ja käytettävyyttä.
Useilla yrityksillä on keskitetty suojaustoimintojen ryhmä (jota kutsutaan myös suojaustoimintojen keskukseksi, Security Operations Center eli SOC) Suojaustoimintoryhmän vastuualueeseen kuuluu mahdollisten hyökkäysten nopea tunnistaminen, priorisoiminen ja luokitteleminen. Ryhmä valvoo myös suojaukseen liittyviä telemetriatietoja ja tutkii tietoturvarikkomuksia.
Työmäärän suojaamisen vastuu koskee myös yrityksiä. Kaikki viestintään, tutkintaan ja etsintään liittyvät aktiviteetit on tehtävä työmäärän ja suojaustoimintojen ryhmän välisenä yhteistyönä.
Tässä oppaassa on suosituksia, joiden avulla työmääräryhmä voi nopeasti tunnistaa, luokitella ja tutkia hyökkäyksiä.
Määritelmät
| Termi | Määritelmä |
|---|---|
| Hälytys | Ilmoitus, joka sisältää tietoja tapauksesta. |
| Hälytyksen tarkkuus | Hälytyksen määrittävien tietojen tarkkuus. Erittäin tarkat hälytykset sisältävät suojauskontekstia, jonka perusteella on toimittava heti. Alhaisen tarkkuuden hälytyksissä ei ole riittävästi tietoja, tai ne sisältävät turhia tietoja. |
| Virheellinen positiivinen | Hälytys, joka osoittaa tapauksen, jota ei tapahtunut. |
| Tapaus | Tapahtuma, joka osoittaa järjestelmän luvattoman käytön. |
| Tapauksen käsittely | Prosessi, joka havaitsee tapaukseen liittyvät riskit sekä käsittelee ja pienentää niitä. |
| Luokitteleminen | Tapauksen käsittelytoiminto, joka analysoi suojausongelmat ja priorisoi niiden vähentämisen. |
Tärkeimmät suunnittelustrategiat
Ryhmä suorittaa tapausten käsittelytoimintoja signaalin tai hälytyksen osoittaessa mahdollisen suojaustapauksen. Erittäin tarkat hälytykset sisältävät runsaasti suojauskontekstia, jonka ansiosta analyytikot voivat tehdä päätöksiä helposti. Erittäin tarkat hälytykset tuottavat vain vähän vääriä positiivisia hälytyksiä. Tässä oppaassa oletetaan, että hälytysjärjestelmä suodattaa pois alhaisen tarkkuuden signaalit ja keskittyy erittäin tarkkoihin hälytyksiin, jotka saattavat osoittaa todellisen tapauksen.
Tapausilmoituksen määrittäminen
Suojaushälytysten on saavutettava ryhmästä ja organisaatiosta juuri oikeat henkilöt. Luo työmääräryhmälle määritetty yhteyshenkilö, joka vastaanottaa tapausilmoitukset. Ilmoituksissa on oltava mahdollisimman paljon tietoja vaarantuneesta resurssista ja järjestelmästä. Ilmoituksessa on oltava seuraavat vaiheet, jotta ryhmä voi tehdä toimintoja nopeasti.
Tapausilmoitusten ja erityisten kirjausketjua käyttävien työkalujen avulla tehtävien toimintojen lokiin kirjaaminen ja hallinta on suositeltavaa. Vakiotyökalujen avulla voit säilyttää todistusaineiston, jota saatetaan tarvita mahdollisissa oikeudellisissa tutkimuksissa. Etsi mahdollisuuksia ottaa käyttöön automaatio, joka lähettää ilmoitukset vastuussa olevien osapuolten vastuualueiden perusteella. Säilytä selvä viestintä- ja raportointiketju tapauksen aikana.
Hyödynnä organisaation tarjoamia suojaustietojen ja tapahtumien hallinnan ja suojauksen orkestroinnin automaattisen vastauksen ratkaisuja. Vaihtoehtoisesti voit hankkia tapausten hallinnan työkaluja ja kannustaa organisaatiota standardoimaan ne kaikille työmääräryhmille.
Tutkiminen luokitteluryhmän kanssa
Ryhmän jäsen, joka vastaanottaa tapausilmoituksen, on vastuussa luokitteluprosessin määrittämisestä. Luokitteluprosessissa ovat mukana soveltuvat henkilöt käytettävissä olevien tietojen mukaan. Luokitteluryhmän, jota kutsutaan usein myös siltaryhmäksi, on käytettävä viestinnän tilaa ja prosessia. Edellyttääkö tämä tapaus asynkronisia keskusteluja tai siltapuheluita? Miten ryhmän tulee seurata tutkinnan edistymistä ja kertoa siitä? Missä ryhmä voi käyttää tapauksen resursseja?
Tapauksen käsittely on tärkeä syy päivittää ohjeet, kuten järjestelmän arkkitehtuurin asettelu, osatason tiedot, tietosuojan ja suojauksen luokittelu, omistajat ja tärkeät yhteyshenkilöt. Jos tiedot ovat virheellisiä tai vanhentuneita, siltaryhmä käyttää aikaa turhaan yrittäessään ymmärtää, miten järjestelmä toimii, kuka on vastuussa mistäkin alueesta ja millaisia vaikutuksia tapahtumalla mahdollisesti on.
Ota lisätutkimuksiin mukaan tarvittavat henkilöt. Voit lisätä esimerkiksi tapauspäällikön, tietosuojavastaavan tai työmääräkeskeiset liidit. Jos haluat pitää kohdistuksen luokittelussa, jätä pois henkilöt, jotka eivät toimi ongelmaan liittyvien aiheiden parissa. Joskus tapausta on tutkimassa erillisiä ryhmiä. Tutkinnassa voi olla mukana ryhmä, joka aloittaa ongelman tutkimisen ja yrittää lieventää tapausta. Toinen erikoistunut ryhmä saattaa suorittaa jälkiselvittelyn, jossa selvitetään ongelmaa laajemmin. Voit eristää työmäärän ympäristön, jotta jälkiselvitysryhmä voi tehdä tutkimukset. Joissakin tapauksissa sama ryhmä saattaa tehdä koko tutkimuksen.
Ensimmäisessä vaiheessa luokitteluryhmä on vastuussa mahdollisen vektorin ja sen vaikutusten määrittämisestä järjestelmän luottamuksellisuuteen, eheyteen ja käytettävyyteen (tätä kutsutaan myös lyhenteellä CIA, joka tulee sanoista confidentiality, integrity ja availability).
Määritä CIA-luokkien sisällä ensimmäinen vakavuustaso, joka osoittaa vaurion syvyyden ja korjauksen kiireellisyyden. Tämän tason odotetaan muutevan ajan mittaan, kun luokittelun tasoista löytyy lisää tietoja.
Etsintävaiheessa on tärkeää määrittää välittömästi toiminta- ja viestintäsuunnitelmat. Onko järjestelmän käytössä olevaan tilaan tullut muutoksia? Miten hyökkäys voidaan eristää, jotta se ei voi tehdä lisävahinkoja? Onko ryhmän lähetettävä sisäistä tai ulkoista viestintää, kuten vastuuilmoitus? Ota huomioon tunnistuksen ja käsittelyn aika. Jotkin rikkomustyypit on ehkä raportoitava valvontaviranomaisille tietyn ajan kuluessa. Aika on usein joitakin tunteja tai päiviä.
Jos päätät sammuttaa järjestelmän, seuraavat vaiheet johtavat työmäärän järjestelmäpalautusprosessiin.
Jos et sammuta järjestelmää, selvitä, miten tapaus ratkaistaan ilman, että se vaikuttaa järjestelmän toimintoihin.
Tapauksesta palautuminen
Käsittele suojaustapausta kuin järjestelmäpalautusta edellyttävää tapausta Jos korjaus edellyttää täydellistä palautusta, käytä suojauksen näkökulmasta asianmukaisia järjestelmäpalautusmenetelmiä. Palautusprosessin on estettävä toistumisen mahdollisuus. Muussa tapauksessa korruptoituneen varmuuskopion käyttö palautuksessa aiheuttaa ongelman uudelleen. Jos järjestelmä otetaan käyttöön uudelleen saman haavoittuvuuden kanssa, tapaus koetaan uudelleen. Tarkista vikasieto- ja palautusvaiheet ja -prosessit.
Jos järjestelmä säilyy toiminnassa, arvioi vaikutus järjestelmän toiminnassa oleviin osiin. Jatka järjestelmän seuraamista, jotta voidaan varmistaa, että muut luotettavuus- ja suorituskykytavoitteet täyttyvät tai että niitä on muutettu ottamalla käyttöön oikeat heikentymiseen tarkoitetut prosessit. Älä heikennä tietoturvaa lievennyksen vuoksi.
Diagnosointi on vuorovaikutteinen prosessi, kunnes vektori ja mahdollinen korjaus ja palautus on tunnistettu. Diagnoosin jälkeen ryhmä käsittelee parannusta, joka tunnistaa vaaditun korjauksen ja ottaa sen käyttöön hyväksyttävissä olevan ajanjakson aikana.
Palautusmittarit mittaavat sitä, miten kauan ongelman korjaukseen menee aikaa. Sammutuksessa saatetaan vaatia korjausaikojen tuntemista. Järjestelmän stabilointi vie aikaa, koska korjaukset, korjaustiedostot, testit ja päivitykset on otettava käyttöön. Määritä sisällytysstrategiat, joiden avulla estetään lisävahingot ja tapauksen leviäminen. Kehittää hävittämismenetelmät, jotka poistavat uhan kokonaan ympäristöstä.
Kompromissi: Luotettavuustavoitteiden ja korjausaikojen välillä on kompromissi. Tapauksen aikana muita ei-toiminnallisia tai toiminnallisia vaatimuksia ei todennäköisesti täytetä. Esimerkiksi järjestelmän osia on ehkä poistettava käytöstä tapauksen tutkimisen aikana. Joissakin tapauksissa koko järjestelmä on määritettävä offline-tilaan, kunnes tapauksen laajuus saadaan määritettyä. Yrityksen päätöksentekijöiden on erikseen päätettävä, mitkä hyväksyttävät tavoitteet ovat tapauksen aikana. Määritä selvästi henkilö, joka on vastuussa tästä päätöksestä.
Tapauksesta oppiminen
Tapaus paljastaa rakenteesta tai toteutuksesta aukkoja ja heikkoja kohtia. Se on parannusmahdollisuus, jossa hyödynnetään teknisen suunnittelun näkökulmia, automaatiota, testauksen sisältäviä tuotekehitysprosesseja ja tapauksen käsittelyprosessin tehokkuutta. Ylläpidä yksityiskohtaisia tapaustietueita, mukaan lukien tehdyt toiminnot, aikajanat ja havainnot.
On erittäin suositeltavaa suorittaa rakenteellisia tapauksen jälkeisiä tarkistuksia, kuten juurisyyanalyysi ja tapauksen jälkeiset keskustelut. Voit seurata ja priorisoida näiden arviointien tuloksia ja käyttää opittuja asioita hyödyksi tulevien työmäärien suunnitelmissa.
Parannussuunnitelmiin on sisällyttävä suojausharjoitukset ja -testit, kuten liiketoiminnan jatkuvuuden ja järjestelmäpalautuksen harjoitukset. Käytä suojauksen vaarantumista skenaariona liiketoiminnan jatkuvuuden ja järjestelmäpalautuksen harjoituksessa. Harjoitukset voivat varmistaa dokumentoidut prosessien toiminnan. Tapauksen käsittelyn käsikirjoja ei saa olla useita. Käytä yhtä lähdettä, jota muutetaan sen mukaan, mikä tapauksen koko on ja miten levinnyt tai paikallinen vaikutus on. Harjoitukset perustuvat hypoteettisiin tilanteisiin. Tee harjoituksia vähäisen riskin ympäristössä. Sisällytä harjoituksiin mukaan oppimisvaihe.
Suorita tapauksen jälkeisiä tarkistuksia tai jälkiselvittelyitä, joiden avulla tunnistetaan käsittelyprosessin heikkoudet ja parannettavat alueet. Päivitä tapauksen käsittelysuunnitelma ja suojauksen ohjausobjektit tapauksesta opittujen asioiden perusteella.
Tarpeellinen viestintä
Toteuta viestintäsuunnitelma, jonka mukaan käyttäjille ilmoitetaan häiriöistä ja sisäisille sidosryhmien jäsenille korjaamisesta ja parannuksista. Organisaation muille käyttäjille on ilmoitettava muutoksista, joita työmäärän suojauksen perustasolla on tehty tulevien tapausten estämiseksi.
Luo tapausraportit sisäistä käyttöä ja tarvittaessa säädösten noudattamista tai lainsäädännöllisiä vaatimuksia varten. Ota käyttöön myös vakiomuotoinen raportti (asiakirjamalli, jossa on määritetyt osat), jota SOC-ryhmä käyttää kaikissa tapauksissa. Varmista, että jokaiseen tapaukseen on liitetty raportti, ennen kuin suljet tutkimuksen.
Power Platform – avustaminen
Seuraavissa osissa kuvataan menetelmät, joita voidaan käyttää suojaustapahtuman käsittelymenetelmien osana.
Microsoft Vahti
Microsoft Sentinel-ratkaisun Microsoft Power Platform avulla asiakkaat voivat havaita erilaisia epäilyttäviä toimintoja, kuten:
- Power Appsin toteuttaminen valtuuttamattomilla maantieteellisillä alueilla
- Power Appsin tekemä epäilyttävien tietojen tuhoaminen
- Tietojen joukkopoisto Power Appsissa
- Tietojenkalasteluhyökkäykset Power Appsin kautta
- Power Automate -työnkulkuaktiviteetti poistamalla käyttäjiä
- Ympäristöön lisätyt Microsoft Power Platform -yhdistimet
- Microsoft Power Platformin tietojen menetyksen estämiskäytäntöjen päivittäminen tai poistaminen
Lisätietoja on yleiskatsauksessa Microsoft Microsoft Power Platform kohdassaSentinel-ratkaisu.
Microsoft Purview-toimintojen kirjaaminen
Power Apps, Power Automate, yhdistimiä, tietojen menetyksen estämistä ja Power Platform hallinnollisten toimintojen kirjaamista seurataan ja tarkastellaan Purview-yhteensopivuusportaalissa Microsoft .
Lisätietoja:
- Power Apps Toimintojen kirjaaminen lokiin
- Power Automate Toimintojen kirjaaminen lokiin
- Copilot Studio Toimintojen kirjaaminen lokiin
- Power Pages Toimintojen kirjaaminen lokiin
- Power Platform Yhdistimen toimintojen kirjaaminen lokiin
- Tietojen menetyksen estämisen toimintojen kirjaaminen
- Power Platform Hallinnollisten toimien toimintojen kirjaaminen
- Microsoft Dataverse ja mallipohjaisten sovellusten toimintojen kirjaaminen
Asiakkaan Lockbox
Useimmat henkilöstön (mukaan lukien alikäsittelijät) suorittamat Microsoft toiminnot, tuki ja vianmääritys eivät edellytä pääsyä asiakastietoihin. Power Platform Customer Lockbox tarjoaa käyttöliittymän, jonka avulla asiakkaat voivat tarkistaa ja hyväksyä (tai hylätä) tietojen käyttöpyyntöjä niissä harvoissa tapauksissa, Microsoft joissa tarvitaan pääsyä asiakastietoihin. Sitä käytetään tapauksissa, joissa insinöörin Microsoft on käytettävä asiakastietoja, joko asiakkaan aloittaman tukilipun tai sen tunnistaman Microsoft ongelman vastaus. Lisätietoja on kohdassa Asiakastietojen käyttäminen turvallisesti asiakkaan Lockboxin avulla Power Platformissa ja Dynamics 365:ssä.
Suojauspäivitys
Palvelutiimit suorittavat säännöllisesti seuraavat toimet järjestelmän suojauksen varmistamiseksi:
- Palvelun tarkistaminen mahdollisten tietoturvauhkien tunnistamiseksi.
- Palvelun arvioinnit, joiden avulla varmistetaan, että tärkeimpien suojaustoimintojen hallinta toimii tehokkaasti.
- Palvelun arvioinnit, jotta voidaan määrittää altistuminen ulkoisia haavoittuvuustietoisuussivustoja säännöllisesti valvovan Security vastaus Centerin (MSRC) havaitsemille Microsoft haavoittuvuuksille.
Nämä tiimit tunnistavat ja seuraavat tunnistettuja ongelmia ja toimivat tarvittaessa nopeasti riskien vähentämiseksi.
Miten saan tietoa tietoturvapäivityksistä?
Koska palveluryhmät pyrkivät vähentämään riskejä tavalla, joka ei vaadi huoltokatkoja, järjestelmänvalvojille ei yleensä lähetetä sähköpostia suojauspäivityksistä. Jos suojauspäivitys vaatii palveluun tehtävää muutosta, sen katsotaan olevan suunniteltu ylläpito, ja sen yhteydessä julkaistaan arvioitu vaikutuksen kesto ja työn suoritusajankohta.
Lisätietoja suojauksesta on kohdassa Microsoft Valvontakeskus.
Ylläpitoajan hallinta
Microsoft suorittaa säännöllisesti päivityksiä ja ylläpito tietoturvan, suorituskyvyn ja käytettävyyden varmistamiseksi sekä uusien ominaisuuksien ja toimintojen tarjoamiseksi. Tämä päivitysprosessi tarjoaa suojauksen ja pieniä palveluparannuksia viikoittain, ja jokainen päivitys otetaan käyttöön alueittain asemiksi järjestetyn turvallisen käyttöönottoaikataulun mukaisesti. Tietoja ympäristöjen ylläpidon oletusikkunasta on ohjeaiheessa Palvelutapausten käytännöt ja viestintä. Also see Ylläpitoajan hallinta.
Varmista, että Azure-rekisteröintiportaali sisältää järjestelmänvalvojan yhteystiedot, jotta suojaustoiminnoille voidaan ilmoittaa suoraan sisäisessä prosessissa. Lisätietoja on kohdassa Ilmoitusasetusten päivittäminen.
Organisaation kohdistus
Azuren Cloud Adoption Framework tarjoaa tapauksen käsittelyn suunnittelua ja suojaustoimintoja koskevia ohjeita. Lisätietoja on kohdassa Suojaustoiminnot.
Liittyvät tiedot
- Microsoft Sentinel-ratkaisu yleiskatsaukseen Microsoft Power Platform
- Luo tapahtumia automaattisesti suojaushälytyksistä Microsoft
- Suorita kokonaisvaltaista uhkien metsästystä Hunts-ominaisuuden avulla
- Huntsin avulla voit suorittaa ennakoivaa uhkien metsästystä alusta loppuun Sentinelissä Microsoft
- Tapahtumien vastaus yleiskatsaus
Suojauksen tarkistusluettelo
Katso lisätietoja suositusten kokoelmasta.