Condividi tramite

Gestione degli eventi imprevisti di sicurezza Microsoft: contenimento, eradicazione e ripristino

  • Articolo

In base all'analisi eseguita dal team di risposta alla sicurezza, il team del servizio sviluppa un piano di contenimento e ripristino appropriato per ridurre al minimo l'effetto dell'evento imprevisto di sicurezza. I team di servizio appropriati applicano quindi tale piano nell'ambiente di produzione con il supporto del team di risposta alla sicurezza.

Contenimento

Dopo aver rilevato un evento imprevisto di sicurezza, è importante contenere l'intrusione prima che l'avversario possa accedere a più risorse o causare più danni. L'obiettivo principale delle procedure di risposta agli eventi imprevisti di sicurezza è limitare l'impatto sui clienti o sui dati o sui sistemi, i servizi e le applicazioni Microsoft.

Eliminazione

Questo processo prevede l'eliminazione della causa radice dell'incidente di sicurezza con un livello elevato di confidenza. L'obiettivo è due volte:

  • per rimuovere completamente l'avversario dall'ambiente
  • per attenuare la vulnerabilità (se nota) che ha abilitato o potrebbe consentire all'avversario di reinserire l'ambiente.

A seconda della natura dell'evento imprevisto, dell'ambito dell'evento imprevisto di sicurezza, della profondità della penetrazione e delle possibili ripercussioni, il team di risposta alla sicurezza consiglia ai team di assistenza di adottare tecniche di eradicazione. Considerando il potenziale impatto aziendale che può essere causato da questi passaggi di eradicazione, queste decisioni vengono prese dai team di servizio e dal team di risposta alla sicurezza dopo un'analisi dettagliata e l'approvazione da parte di Executive Incident Manager (se necessario).

Ripristino

Poiché il team di risposta ottiene un ragionevole livello di sicurezza che l'avversario sia stato eliminato dall'ambiente e che tutti i percorsi vulnerabili noti siano stati eliminati, i singoli team di servizio avviano i passaggi di ripristino per portare il servizio a una configurazione nota e valida. Questi passaggi di ripristino sono in consultazione con il team di risposta alla sicurezza. Questa attività include l'identificazione dell'ultimo stato valido noto del servizio, il ripristino dai backup a questo stato, l'ispezione dei percorsi di attacco vulnerabili nello stato ripristinato e così via. Il team di risposta alla sicurezza, in consultazione con i team del servizio, determina il miglior piano di ripristino possibile per l'ambiente.

Un aspetto chiave del ripristino consiste nel disporre di controlli e controlli avanzati per verificare che il piano di ripristino sia stato eseguito correttamente e che non esistano segni di violazione nell'ambiente.

Notifica dell'evento imprevisto di sicurezza da parte del cliente

Se Microsoft determina che si è verificato un evento imprevisto per la sicurezza, l'utente riceverà una notifica con ritardo indebito e entro i requisiti contrattuali e di conformità che accetteremo. Dopo aver identificato tutti i tenant interessati, il team di comunicazione corrispondente lavora per identificare eventuali normative pertinenti che potrebbero applicarsi ai tenant interessati. Il team di comunicazione usa il canale di comunicazione appropriato definito nelle normative applicabili per notificare il contatto tenant appropriato.

Processo di risposta agli eventi imprevisti.

La notifica include informazioni dettagliate sull'evento imprevisto, ad esempio una descrizione dell'evento imprevisto, l'eventuale effetto sui dati dei clienti, le azioni intraprese da Microsoft e/o le azioni suggerite che i clienti devono intraprendere per risolvere il problema e prevenire la ricorrenza. La notifica viene recapitata agli amministratori designati del tenant di Microsoft Servizi online. Per assicurarsi che le notifiche vengano ricevute, è necessario assicurarsi che gli amministratori forniscano e mantengano informazioni di contatto accurate nei profili tenant. Inoltre, a seconda della natura dell'evento imprevisto, i clienti di Microsoft 365 possono ricevere notifiche anche tramite il dashboard integrità dei servizi di Microsoft 365.