Planering av incidenthantering
Använd den här tabellen som en checklista för att förbereda Ditt Security Operations Center (SOC) för att svara på cybersäkerhetsincidenter.
| Klart | Aktivitet | beskrivning | Förmån |
|---|---|---|---|
| Övningar i tabelltop | Utför periodiska tabelltoppövningar med förutsebara cyberincidenter som påverkar verksamheten och som tvingar din organisations ledning att överväga svåra riskbaserade beslut. | Etablerar och illustrerar cybersäkerhet som en affärsfråga. Utvecklar muskelminne och ytor svåra beslut och beslut rättighetsfrågor i hela organisationen. | |
| Fastställa beslut före angrepp och beslutsfattare | Som ett komplement till tabelltoppövningar fastställer du riskbaserade beslut, kriterier för att fatta beslut och vem som måste fatta och genomföra dessa beslut. Till exempel: Vem/när/om för att söka hjälp från brottsbekämpande myndigheter? Vem/när/om för att registrera incidentsvarare? Vem/när/om ska betala lösensumma? Vem/när/om för att meddela externa granskare? Vem/när/om ska tillsynsmyndigheterna meddelas? Vem/när/om ska meddela värdepapperstillsynsmyndigheter? Vem/när/om ska meddela styrelsen eller revisionsutskottet? Vem har behörighet att stänga ner verksamhetskritiska arbetsbelastningar? |
Definierar de inledande svarsparametrarna och kontakterna för att effektivisera svaret på en incident. | |
| Upprätthålla behörighet | Vanligtvis kan råd vara privilegierade, men fakta kan upptäckas. Utbilda viktiga incidentledare i att kommunicera råd, fakta och åsikter under privilegier så att privilegiet bevaras och risken minskas. | Att upprätthålla privilegier kan vara en rörig process när man överväger de många kommunikationskanalerna, inklusive e-post, samarbetsplattformar, chattar, dokument, artefakter. Du kan till exempel använda Microsoft Teams Rum. En konsekvent metod för incidentpersonal och stöd till externa organisationer kan bidra till att minska eventuell juridisk exponering. | |
| Överväganden för insiderhandel | Överväg anmälningar till ledningen som bör vidtas för att minska risken för säkerhetsöverträdelser. | Styrelser och externa revisorer tenderar att uppskatta att du har åtgärder som minskar risken för tvivelaktiga värdepappersaffärer under perioder av turbulens. | |
| Spelbok för incidentroller och ansvarsområden | Upprätta grundläggande roller och ansvarsområden som gör det möjligt för olika processer att behålla fokus och framåt. När ditt svarsteam är fjärranslutet kan det kräva andra överväganden för tidszoner och korrekt överlämning till utredare. Du kan behöva kommunicera mellan andra team som kan vara inblandade, till exempel leverantörsteam. |
Technical Incident Leader – Alltid i incidenten, syntetisera indata och resultat och planera nästa åtgärder. Kommunikationskontakt – Tar bort ansvaret för att kommunicera med ledningen från den tekniska incidentledaren så att de kan fortsätta vara inblandade i incidenten utan att förlora fokus. Den här aktiviteten bör omfatta hantering av exekutiva meddelanden och interaktioner med andra tredje parter, till exempel tillsynsmyndigheter. Incidentinspelare – Tar bort belastningen för att registrera resultat, beslut och åtgärder från en incidentsvarare och skapar en korrekt redovisning av incidenten från början till slut. Forward Planner – Arbeta med verksamhetskritiska affärsprocessägare, formulerar verksamhetskontinuitetsaktiviteter och förberedelser som överväger att försämra informationssystemet som varar i 24, 48, 72, 96 timmar eller mer. PR – I händelse av en incident som sannolikt kommer att få allmänhetens uppmärksamhet, med Forward Planner, överväger och utarbetar offentliga kommunikationsmetoder som tar itu med sannolika resultat. |
|
| Spelbok för sekretessincidenter | För att uppfylla allt striktare sekretessregler, utveckla en gemensamt ägd spelbok mellan SecOps och integritetskontoret. Den här spelboken gör det möjligt att snabbt utvärdera potentiella sekretessproblem som kan uppstå till följd av säkerhetsincidenter. | Det är svårt att utvärdera säkerhetsincidenter för deras potential att påverka sekretessen eftersom de flesta säkerhetsincidenter uppstår i en mycket teknisk SOC. Incidenterna måste snabbt komma upp till ett sekretesskontor (ofta med en 72-timmars meddelandeförväntning) där regelrisk bestäms. | |
| Intrångstest | Utför simulerade angrepp från tidpunkt mot affärskritiska system, kritisk infrastruktur och säkerhetskopior för att identifiera svagheter i säkerhetsstatusen. Den här aktiviteten utförs vanligtvis av ett team med externa experter som fokuserar på att kringgå förebyggande kontroller och upptäcka viktiga säkerhetsrisker. | Mot bakgrund av den senaste tidens incidenter med utpressningstrojaner som drivs av människor bör intrångstester utföras mot en ökad omfattning av infrastrukturen, särskilt förmågan att attackera och kontrollera säkerhetskopior av verksamhetskritiska system och data. | |
| Rött lag/blått lag/lila lag/grönt lag | Utför kontinuerliga eller periodiska simulerade attacker mot affärskritiska system, kritisk infrastruktur, säkerhetskopior för att identifiera svagheter i säkerhetsstatusen. Vanligtvis utförs den här aktiviteten av interna attackteam (röda team) som fokuserar på att testa effektiviteten hos detektivkontroller och team (blå team). Du kan till exempel använda Övning av attacksimulering i självstudierna Microsoft Defender XDR för Office 365 och Attack och simuleringar för Microsoft Defender XDR för Endpoint. |
Red, Blue och Purple team attack simuleringar, när det görs bra, tjänar en mängd olika syften:
Det gröna teamet implementerar ändringar i IT- eller säkerhetskonfigurationen. |
|
| Planering av affärskontinuitet | För verksamhetskritiska affärsprocesser, design och testkontinuitetsprocesser som gör det möjligt för minsta livskraftiga verksamhet att fungera under tider av funktionsnedsättning i informationssystem. Använd till exempel en azure-plan för säkerhetskopiering och återställning för att skydda dina kritiska affärssystem under en attack för att säkerställa en snabb återställning av din verksamhet. |
|
|
| Haveriberedskap | För informationssystem som stöder verksamhetskritiska affärsprocesser bör du utforma och testa scenarier för frekvent/kall och varm/varm säkerhetskopiering och återställning, inklusive mellanlagringstider. | Organisationer som utför bare metal-byggen hittar ofta aktiviteter som är omöjliga att replikera eller som inte passar in i servicenivåmålen. Verksamhetskritiska system som körs på maskinvara som inte stöds många gånger kan inte återställas till modern maskinvara. Återställning av säkerhetskopior testas ofta inte och det uppstår problem. Säkerhetskopior kan vara ytterligare offline så att mellanlagringstider inte har räknats in i återställningsmål. |
|
| Out-of-band-kommunikation | Förbered dig för hur du kommunicerar i följande scenarier:
|
Även om det är en svår övning kan du bestämma hur viktig information ska lagras oföränderligt på enheter och platser för distribution i stor skala. Till exempel:
|
|
| Härdning, hygien och livscykelhantering | I linje med Center for Internet Security (CIS) Top 20 säkerhetskontroller, hårdnar din infrastruktur och utför noggranna hygienaktiviteter. | Som svar på de senaste incidenterna med utpressningstrojaner som drivs av människor har Microsoft utfärdat specifik vägledning för att skydda varje steg i cyberattackens dödskedja. Den här vägledningen gäller microsofts funktioner eller andra leverantörers funktioner. Av särskild anmärkning är:
|
|
| Planering av incidenthantering | I början av incidenten ska du besluta om:
|
Det finns en tendens att kasta alla tillgängliga resurser vid en incident i början, i hopp om en snabb lösning. När du känner igen eller förväntar dig att en incident kommer att pågå under en längre tid, får du en annan hållning än med din personal och dina leverantörer som gör det möjligt för dem att bosätta sig under en längre tid. | |
| Incidentsvarare | Upprätta tydliga förväntningar med varandra. Ett populärt format för rapportering av pågående aktiviteter omfattar:
|
Incidentre responders levereras med olika tekniker och metoder, inklusive dead box-analys, stordataanalys och möjligheten att producera inkrementella resultat. Att börja med tydliga förväntningar kommer att underlätta tydlig kommunikation. |
Incidenthanteringsresurser
- Översikt över Microsofts säkerhetsprodukter och resurser för ny-till-roll och erfarna analytiker
- Spelböcker för detaljerad vägledning om hur du svarar på vanliga attackmetoder
- Microsoft Defender XDR-incidentsvar
- Microsoft Defender för molnet (Azure)
- Incidenthantering i Microsoft Sentinel
- Microsofts teamguide för incidenthantering delar med sig av metodtips för säkerhetsteam och ledare
- Microsoft Incident Response-guider hjälper säkerhetsteam att analysera misstänkt aktivitet
Viktiga Microsoft-säkerhetsresurser
| Resurs | beskrivning |
|---|---|
| 2021 Microsofts rapport om digitalt försvar | En rapport som omfattar lärdomar från säkerhetsexperter, utövare och försvarare på Microsoft för att ge människor överallt möjlighet att försvara sig mot cyberhot. |
| Referensarkitekturer för Microsoft Cybersecurity | En uppsättning diagram över visuell arkitektur som visar Microsofts cybersäkerhetsfunktioner och deras integrering med Microsofts molnplattformar som Microsoft 365 och Microsoft Azure och molnplattformar och appar från tredje part. |
| Nedladdning av informationsgrafik för minuter | En översikt över hur Microsofts SecOps-team utför incidenthantering för att minimera pågående attacker. |
| Säkerhetsåtgärder för Azure Cloud Adoption Framework | Strategisk vägledning för ledare som upprättar eller moderniserar en säkerhetsåtgärdsfunktion. |
| Microsofts rekommenderade säkerhetsmetoder för säkerhetsåtgärder | Så här använder du ditt SecOps Center på bästa sätt för att gå snabbare än de angripare som riktar in sig på din organisation. |
| Microsofts molnsäkerhet för IT-arkitekter | Säkerhet i Microsofts molntjänster och plattformar för identitets- och enhetsåtkomst, skydd mot hot och informationsskydd. |
| Microsofts säkerhetsdokumentation | Ytterligare säkerhetsvägledning från Microsoft. |