Compreender a fase 3 da resposta a incidentes do Microsoft Online Services – contenção, erradicação e recuperação

  • 2 minutos

Com base na análise coordenada pela equipa de resposta de segurança, é desenvolvido um plano de contenção e recuperação adequado para minimizar o impacto do incidente de segurança, preservar provas e remover a ameaça do ambiente. As equipas de serviço relevantes implementam o plano com suporte da equipa de resposta de segurança para garantir que a ameaça é eliminada com êxito e que os serviços afetados são submetidos a uma recuperação completa.

Contenção

O principal objetivo da contenção é limitar os danos aos sistemas, aplicativos, clientes e dados do cliente da Microsoft. Durante esta fase, a equipa de resposta de segurança trabalha com as equipas de serviço afetadas para limitar o impacto do incidente de segurança e evitar mais danos. As estratégias de contenção dependem do tipo de incidente, mas podem incluir a reconstrução do sistema afetado, segregar e isolar anfitriões infectados ou controlar o acesso a recursos críticos. Para incidentes de maior impacto, os planos são determinados caso a caso devido à sua complexidade. Várias respostas automatizadas no Microsoft Online Services também podem ajudar a equipa a conter o incidente.

A coleta e a análise de dados continuam na fase de contenção para garantir que a causa raiz do incidente tenha sido identificada corretamente e que todos os serviços e locatários afetados sejam incluídos no plano de eliminação e recuperação. O rastreamento bem-sucedido de todos os serviços afetados possibilita a eliminação e a recuperação completas.

Erradicação

A eliminação é o processo de eliminar a causa raiz do incidente de segurança com um alto grau de confiança. A meta de eliminação é dupla: remover completamente o adversário do ambiente e atenuar todas as vulnerabilidades que contribuíram para o incidente ou podem permitir que o adversário reinsira o ambiente.

As etapas de eliminação para remover o adversário e atenuar vulnerabilidades são baseadas na análise executada nas fases de resposta a incidentes anteriores. Consoante o impacto dos incidentes, as atividades podem incluir a remoção de artefactos adversários, a eliminação de processos maliciosos, a reposição de segredos ou, em alguns casos, uma reconstrução completa do sistema. Ao longo deste processo, a equipa de resposta de segurança continua a monitorizar e monitorizar a atividade do adversário através de estratégias como a monitorização de rede e processos. A equipa de resposta de segurança coordena-se com as equipas de serviço afetadas para garantir que o plano é executado conforme concebido e que a ameaça é removida com êxito do ambiente. A recuperação não é possível até que a ameaça tenha sido removida e suas causas subjacentes tenham sido resolvidas.

Recuperação

Quando a equipa de resposta de segurança está confiante de que o adversário foi expulso do ambiente e as vulnerabilidades conhecidas foram remediadas, trabalham com as equipas de serviço afetadas para iniciar a recuperação. A recuperação leva os serviços afetados para uma configuração segura conhecida. O processo de recuperação inclui identificar o último estado válido conhecido do serviço, restaurar a partir de cópias de segurança para este estado e confirmar que o estado restaurado mitiga as vulnerabilidades que contribuíram para o incidente.

Um aspecto importante do processo de recuperação são os controles de detecção aprimorados para validar se o plano de recuperação foi executado com êxito e que nenhum sinais de violação permanece dentro do ambiente. Exemplos de controles de detecção adicionais incluem o aumento do monitoramento no nível da rede, alertas direcionados para vetores de ataque identificados durante o processo de resposta a incidentes e a supervisão adicional da equipe de segurança para recursos críticos. O monitoramento aprimorado ajuda a garantir que a eliminação foi bem-sucedida e que o adversário não consegue reinserir o ambiente.

Saiba mais