Compreender a fase 2 da resposta a incidentes do Microsoft Online Services – deteção e análise
A Microsoft concentra-se nos principais cenários de ameaças e nas atividades complementares de deteção e análise para permitir a resposta de segurança o mais cedo possível no ciclo de vida do ataque. As ferramentas de detecção são configuradas para fornecer informações suficientes para ações de resposta eficazes e eficientes quando um possível incidente é detectado. A Microsoft tem equipas de sinais de segurança dedicadas que são responsáveis por melhorar a deteção de potenciais incidentes de segurança através das aprendizagens das equipas de resposta de segurança e dos respetivos parceiros.
Ferramentas e estratégias de detecção
Enquanto a Microsoft está preparada para lidar com qualquer incidente, as estratégias de deteção concentram-se em vetores de ataque comuns, como ameaças internas, ataques de serviço Web, ataques denial-of-service e ataques de inquilino. Os sinais de incidentes enquadram-se numa de duas categorias: precursores e indicadores. Um precursor é um sinal de que um incidente pode ocorrer no futuro e um indicador é um sinal de que um incidente pode ter ocorrido ou pode estar a ocorrer agora.
Uma das partes mais desafiantes do processo de resposta a incidentes é detetar e avaliar com precisão possíveis incidentes devido ao grande volume de atividade associado ao Microsoft Online Services. Mesmo que um indicador seja preciso, não significa necessariamente que tenha ocorrido um incidente. A Microsoft utiliza múltiplas técnicas com diferentes níveis de detalhe e fidelidade para detetar potenciais incidentes.
O registo e a análise de auditoria centralizados são um dos principais métodos utilizados para detetar atividades anómalos ou suspeitas. Os ficheiros de registo dos servidores do Microsoft Online Services e dos dispositivos de infraestrutura são recolhidos e armazenados numa base de dados central e consolidada. A análise de registos centralizada permite que as equipas de resposta de segurança da Microsoft monitorizem de forma abrangente o ambiente e correlacionem as entradas de registo de diferentes serviços.
Outras ferramentas de deteção incluem sistemas de deteção de intrusões baseados na rede e no anfitrião, conjuntos de antivírus e antimalware geridos centralmente e métodos de deteção manual, tais como observações de engenheiros e utilizadores finais. A Microsoft emprega pessoas altamente experientes, competentes e qualificadas com competências em todos os componentes da pilha de cloud. A experiência de nossos engenheiros complementa e dá suporte a nossos mecanismos de detecção automatizados.
Escalonamento e investigação
Uma vez que cada observação pode não ser um problema de segurança, as equipas de serviço têm de realizar uma triagem inicial e uma revisão preliminar para examinar a natureza do problema e determinar a sua gravidade. As equipas de resposta de segurança da Microsoft criam e mantêm os critérios e procedimentos de escalamento que as equipas de serviço devem seguir se a observação for determinada como um verdadeiro incidente de segurança.
Uma vez escalada, a equipa de resposta de segurança serve como o orquestrador-chave para o resto do processo de resposta a incidentes de segurança. A equipa de resposta de segurança é responsável por analisar os indicadores de deteção para determinar se ocorreu um incidente de segurança e ajustar o nível de gravidade, se necessário. Se a qualquer momento a equipe descobrir que os dados do cliente foram divulgados, modificados ou destruídos, a equipe iniciará o processo de notificação de segurança do cliente.
No início da investigação, a equipa de resposta de segurança, trabalhando em conjunto com a equipa de serviço, regista todas as informações relevantes para o incidente e mantém a exatidão ao longo do processo de resposta a incidentes. As informações relevantes podem incluir:
- Um resumo do incidente
- A severidade e a prioridade do incidente com base em seu impacto potencial
- Uma lista de todos os indicadores que levaram à detecção do incidente
- Uma lista de incidentes relacionados
- Uma lista de todas as ações realizadas pela equipa de resposta de segurança e quaisquer equipas de serviço associadas
- Qualquer evidência coletada durante o processo de resposta a incidentes, que será preservada para análise pós-mortem e possíveis investigações forenses
- Próximas etapas e ações recomendadas
Quando um possível incidente de segurança é escalonado, a equipe de investigação correspondente inclui apenas a equipe que é crítica para a investigação. Funcionários que não são da Microsoft em tempo integral, como subprocessadores ou aumento de funcionários, são desalojados. Esses funcionários só serão reacionados se necessário e em uma capacidade com escopo limitado.