Introdução à gestão de incidentes de segurança do Microsoft Online Services

  • 4 minutos

Em ambientes de nuvem, os clientes e provedores de serviços de nuvem compartilham a responsabilidade de alcançar um ambiente de computação em conformidade e seguro. A Microsoft adota um modelo de responsabilidade compartilhada para definir a segurança e a responsabilidade operacional nos serviços do Microsoft 365. Embora o Microsoft 365 proteja a infraestrutura de nuvem e os serviços subjacentes, os clientes precisam estar cientes de suas responsabilidades para garantir um ambiente de locatário seguro para seus usuários e dados.

Observação

O Microsoft Secure Score fornece aos clientes uma análise clara de sua configuração de locatário e faz sugestões acionáveis para melhorar a segurança. Incentivamos todos os clientes a usar ferramentas de autoavaliação, como o Microsoft Secure Score, para garantir que nossas responsabilidades compartilhadas de segurança e privacidade sejam atendidas.

Na Microsoft, usamos uma abordagem de defesa aprofundada para proteger nossos serviços aplicando proteções de segurança em várias camadas. A defesa em profundidade fornece proteções sobrepostas para proteger contra ameaças à segurança. Enquanto criamos nossos serviços com a segurança em mente, também preparamos nossos serviços para a possibilidade de comprometimento usando uma estratégia de Assume Breach. Pressupor violação limita a confiança colocada em aplicativos, serviços, identidades e redes abordando todas elas, internas e externas, como inseguras e já comprometidas. Os princípios de Pressupor Violação ajudam a limitar o impacto de incidentes de segurança, reduzindo os danos que um adversário pode causar e habilitando a detecção rápida e a resposta a ameaças à segurança.

Neste módulo, vamos focar-nos na forma como os Serviços Online da Microsoft investigam, gerem e respondem a ameaças de segurança para proteger os clientes no ambiente cloud da Microsoft.

O que é um incidente de segurança?

A Microsoft define um incidente de segurança nos seus serviços online como um problema que pode resultar numa falha de segurança de dados do cliente, incluindo violações de políticas de segurança, políticas de utilização aceitáveis ou práticas de segurança padrão. Isto inclui não só situações como falhas confirmadas de sistemas Microsoft, mas também falta de conformidade com as políticas e práticas de segurança da Microsoft.

Sempre que ocorrer um incidente de segurança, a Microsoft esforça-se por responder de forma rápida e eficaz para proteger os Serviços Online da Microsoft e os dados dos clientes. Os compromissos de notificação do cliente da Microsoft são detalhados na Adenda à Proteção de Dados dos Produtos e Serviços da Microsoft:

Se a Microsoft ficar ciente de uma violação de segurança que leva à destruição acidental ou ilegal, à perda, à alteração, à divulgação não autorizada ou ao acesso aos Dados do Cliente ou aos Dados Pessoais durante o processamento pela Microsoft (cada um deles um "Incidente de Segurança"), a Microsoft notificará imediatamente e sem atraso indevido (1) o Cliente sobre o Incidente de Segurança; (2) investigar o Incidente de Segurança e fornecer ao Cliente informações detalhadas sobre o Incidente de Segurança; (3) tome medidas razoáveis para atenuar os efeitos e minimizar os danos resultantes do Incidente de Segurança.

Resposta a incidentes federados na Microsoft

Para responder efetivamente a incidentes de segurança, a Microsoft emprega um modelo de resposta a incidentes de segurança federado. Cada serviço online principal, como o Azure e o Microsoft 365, tem as suas próprias equipas de segurança dedicadas com competências de engenharia especializadas. Ao mesmo tempo, cada equipa adere a um processo de gestão de incidentes partilhado, definições partilhadas e formação partilhada para fornecer consistência em todos os Serviços Online.

Cada equipa de resposta de segurança do Serviço Online fornece às equipas de serviço conhecimentos de segurança centralizados e orientações de resposta a incidentes como parte do nosso modelo de resposta de segurança federado. Consoante a natureza do incidente, as equipas de serviço e resposta de segurança podem envolver parceiros de segurança e especialistas em assuntos de outras organizações na Microsoft para obter assistência de investigação, tais como:

  • Centro de Inteligência contra Ameaças da Microsoft – para suporte a inteligência contra ameaças e suporte a ameaças
  • Segurança digital e engenharia de risco da Microsoft Core Engineering – para obter assistência de investigação com incidentes que envolvem redes e ativos corporativos da Microsoft
  • Microsoft Security Response Center – para obter suporte sobre vulnerabilidades relatadas externamente e Resposta a Incidentes de Software e Serviços
  • Microsoft Corporativo, Externo, Assuntos Jurídicos – para obter informações legais e diretrizes sobre investigações de incidentes de segurança
  • Equipas de privacidade – para obter orientações sobre requisitos regulamentares, conformidade e privacidade. As equipas separadas são dedicadas a cada serviço online principal
  • Equipas de comunicação da experiência do cliente – para comunicações internas e externas relacionadas com incidentes. As equipas separadas são dedicadas a cada serviço online principal

Resposta a incidentes no Microsoft Online Services

No Microsoft Online Services, as responsabilidades pela resposta a incidentes de segurança são partilhadas entre as equipas de resposta de segurança e cada equipa de serviço da Microsoft. As equipas de resposta de segurança coordenam-se com as equipas de serviço para implementar a estratégia de resposta a incidentes a nível empresarial, tirando partido dos conhecimentos da equipa de serviço.

Nossa estratégia de resposta a incidentes, baseada nas fases de gerenciamento de resposta NIST 800-61, prossegue por quatro fases da atividade interconectada: preparação; detecção e análise; contenção, eliminação e recuperação; e atividade pós-incidente.

Diagrama das fases do NIST: preparação; detecção e análise; contenção, erradicação e recuperação; e, finalmente, a atividade pós-incidente antes que o ciclo comece novamente.

Cada fase do processo de gerenciamento de resposta é importante para uma resposta a incidentes eficaz.

Saiba mais