了解 Microsoft Online Services 事件响应阶段 1 - 准备
现在你已了解负责事件响应的团队,我们将探讨事件响应过程的每个阶段。
准备阶段可以在事件发生时实现快速响应,甚至可以首先阻止事件。 Microsoft 将大量资源用于为安全事件做准备。
培训
在 Microsoft 工作的每位员工都必须接受适合其角色的培训,以响应安全事件。 新员工开始在 Microsoft 工作时将接受初始培训,此后每年都会进行年度进修培训。 培训旨在让员工了解 Microsoft 的基本安全方法。 完成培训后,所有员工都可以:
- 定义安全事件。
- 说明其报告安全事件的角色和责任。
- 描述安全响应团队如何响应安全事件。
- 如何将潜在安全事件上报给相应的安全响应团队。
- 阐明有关隐私(尤其是客户隐私)的特殊问题。
- 访问有关安全、隐私和升级联系人的其他信息。
除了常规安全培训之外,参与事件响应的员工还接受基于角色的补充安全培训。
维护待命工程师 (OCE)
所有服务运营团队(包括安全响应团队)都保持待命轮换,以确保有全天候可用的资源。 待命轮换包括针对可用性和升级点的备份,以确保责任。 在管理事件的同一仪表板内,将集中列出每个服务团队的 OCE 及其待命时间。 我们的随叫随到轮换使 Microsoft 能够随时或大规模地进行有效的事件响应,包括广泛或并发事件。
OCE 使用安全管理工作站访问生产环境,其访问权限是有时间限制的,其范围限定为事件响应所需的任务。
工具和资源
Microsoft 安全响应团队负责维护与安全事件响应关联的所有工具和资源。 其中包括旨在快速通知正当程序的待命工程师以及如何快速安全地呈报潜在问题的联机帮助资源。 事件响应资源还包括自定义工具、脚本和流程,可帮助安全响应团队解决各种安全问题和攻击类型。 OCE 必须完成年度培训并获得最新的背景检查,以保持访问事件响应工具和资源的资格。
事件响应测试
Microsoft 会定期测试、审查和更新其事件响应计划,以考虑环境的更改和新的安全威胁。 我们的事件响应测试方法使用来自内部安全渗透测试人员团队的实时、不可预测的攻击,我们称之为“红队”。 红队使用各种技术尝试在不检测的情况下入侵 Microsoft Online Services 系统。 红队工作模拟真实世界的攻击,并测试 Microsoft 安全响应团队的功能。
在内部渗透测试的上下文中,Microsoft 的安全响应团队称为“蓝色团队”。 蓝色团队使用事件响应过程来检测和响应红色团队的攻击,就好像它们是真正的安全事件一样。 客户数据从来不是渗透测试的目标,但这些练习有助于确保 Microsoft Online Services 准备好检测、防止和响应新类型的安全威胁。
除了正在进行的内部渗透测试外,Microsoft 还会进行各种其他事件响应练习,包括“捕获标志”事件、一次性桌面练习和其他即兴或有组织的事件。 这些练习补充了正在进行的内部渗透测试,以确保所有团队都做好充分准备,以便在发生真正的安全事件时履行其职责。
证据保护
事件响应期间收集的数据通常很敏感,必须保持安全。 Microsoft 的安全响应团队负责确保所有与事件相关的通信和文档都有足够的加密和信息保护。 这包括使用安全证据保险箱来存储调查期间收集的取证证据。 团队遵循经批准的处理取证证据的过程(包括监管链),以确保所有与事件相关的证据保持安全、不被修改。