Compreender a fase 1 da resposta a incidentes do Microsoft Online Services – preparação

  • 3 minutos

Agora que você conhece as equipes responsáveis pela resposta a incidentes, exploraremos cada fase do processo de resposta a incidentes.

A preparação permite uma resposta rápida quando ocorre um incidente e pode até mesmo impedir incidentes em primeiro lugar. A Microsoft dedica recursos significativos à preparação para incidentes de segurança.

Treinamento

Cada funcionário que trabalha na Microsoft tem de ter formação adequada à sua função no que diz respeito à resposta a incidentes de segurança. O treinamento inicial ocorre quando um novo funcionário começa a trabalhar na Microsoft e o treinamento de atualização anual ocorre todos os anos depois disso. O treinamento foi projetado para fornecer ao funcionário uma compreensão da abordagem fundamental da Microsoft para a segurança. Após a conclusão do treinamento, todos os funcionários poderão:

  • Defina um incidente de segurança.
  • Explicar sua função e responsabilidade para relatar incidentes de segurança.
  • Descreva como as equipas de resposta de segurança respondem a incidentes de segurança.
  • Como escalar um possível incidente de segurança para a equipa de resposta de segurança adequada.
  • Articule preocupações especiais em relação à privacidade, especialmente à privacidade do cliente.
  • Acesse informações adicionais sobre segurança, privacidade e contatos de escalonamento.

Além do treinamento geral de segurança, os funcionários envolvidos na resposta a incidentes recebem treinamento de segurança suplementar baseado em função.

Manter os engenheiros de serviço (OCEs)

Todas as equipas de operações de serviço, incluindo as equipas de resposta de segurança, mantêm uma rotação de chamada para garantir que existem recursos disponíveis 24x7x365. A rotação ao chamar inclui backups para disponibilidade e pontos de escalonamento para garantir a responsabilidade. Os OCEs e os respetivos tempos de chamada são listados centralmente para cada equipa de serviço no mesmo dashboard onde os incidentes são geridos. As nossas rotações de chamada permitem à Microsoft montar uma resposta eficaz a incidentes em qualquer altura ou dimensionamento, incluindo eventos generalizados ou simultâneos.

Os OCEs utilizam Estações de Trabalho de Administração Segura para aceder ao ambiente de produção e o respetivo acesso está vinculado ao tempo e está limitado às tarefas necessárias para a resposta a incidentes.

Ferramentas e recursos

As equipas de resposta de segurança da Microsoft são responsáveis por manter todas as ferramentas e recursos associados à resposta a incidentes de segurança. Isso inclui recursos de ajuda online projetados para informar rapidamente os engenheiros de chamada sobre os procedimentos adequados e como escalonar possíveis problemas de forma rápida e segura. Os recursos de resposta a incidentes também incluem ferramentas personalizadas, scripts e processos para ajudar as equipas de resposta de segurança a resolver uma variedade de problemas de segurança e tipos de ataque. Os OCEs têm de concluir a preparação anual e obter verificações de antecedentes atualizadas para manter a elegibilidade para acesso a ferramentas e recursos de resposta a incidentes.

Teste de resposta a incidentes

A Microsoft testa, revê e atualiza regularmente o seu plano de resposta a incidentes para ter em conta as alterações ao ambiente e novas ameaças de segurança. A nossa metodologia de teste de resposta a incidentes utiliza ataques imprevisíveis em tempo real de equipas internas de testes de penetração de segurança a que chamamos Equipa Vermelha. A Equipa Vermelha utiliza várias técnicas para tentar comprometer os sistemas do Microsoft Online Services sem deteção. Os esforços da Equipa Vermelha simulam ataques do mundo real e testam as capacidades das equipas de resposta de segurança da Microsoft.

No contexto dos testes de penetração internos, as equipas de resposta de segurança da Microsoft são conhecidas como a Equipa Azul. A Equipe Azul usa o processo de resposta a incidentes para detectar e responder a ataques da Equipe Vermelha como se fossem incidentes de segurança originais. Os dados dos clientes nunca são alvo de testes de penetração, mas estes exercícios ajudam a garantir que os Serviços Online da Microsoft estão preparados para detetar, prevenir e responder a novos tipos de ameaças de segurança.

Duas caixas com definição de Equipe Vermelha e Equipe Azul. Equipe Vermelha: especialistas em segurança cibernética que tentam constantemente violar nossos próprios serviços de produção sem detecção para simular invasores por adversários avançados. Equipe Azul: defensores cibernéticos que usam ferramentas e técnicas de segurança sofisticadas para detectar e vencer os esforços da Equipe Vermelha.

Além dos testes de penetração internos em curso, a Microsoft realiza uma variedade de outros exercícios de resposta a incidentes, incluindo eventos de "captura do sinalizador", exercícios pontuais de tabletop e outros eventos improvisados ou organizados. Esses exercícios complementam os testes contínuos de penetração interna para garantir que todas as equipes estejam adequadamente preparadas para atender às suas responsabilidades no caso de um incidente de segurança real.

Proteção de evidências

Os dados coletados durante uma resposta a incidentes geralmente são confidenciais e devem permanecer seguros. As equipas de resposta de segurança da Microsoft são responsáveis por garantir a proteção adequada de informações e encriptação para todas as comunicações e documentação relacionadas com incidentes. Isso inclui o uso de cofres de evidências protegidas para armazenamento de evidências forenses coletadas durante investigações. A equipe segue processos aprovados para lidar com evidências forenses, incluindo cadeia de custódia, para garantir que todas as evidências relacionadas a incidentes permaneçam seguras e não modificados.

Saiba mais