Gerenciamento de incidentes de segurança da Microsoft
A Microsoft trabalha continuamente para fornecer serviços de nível empresarial altamente seguros para os clientes da Microsoft, mas os incidentes de segurança são uma realidade inevitável que deve ser gerenciada de forma completa e rápida. Este documento fornece uma visão geral sobre como a Microsoft lida com incidentes de segurança usando métodos e tecnologias testados e verdadeiros para minimizar seu potencial impacto. Um incidente de segurança refere-se a qualquer acesso ilegal aos dados do cliente armazenados no equipamento da Microsoft ou nas instalações da Microsoft ou ao acesso não autorizado a esses equipamentos ou instalações que tenham o potencial de resultar na perda, divulgação ou alteração dos dados do cliente. As metas da Microsoft ao responder a incidentes de segurança são proteger os dados do cliente e os serviços online da Microsoft.
As equipes de segurança do Microsoft serviços online e as várias equipes de serviço trabalham em conjunto e adotam a mesma abordagem para incidentes de segurança:
- Preparação
- Detecção e análise
- Contenção, erradicação e recuperação
- Atividade pós-incidente
Abordagem da Microsoft para o gerenciamento de incidentes de segurança
A abordagem da Microsoft para gerenciar um incidente de segurança está em conformidade com a Publicação Especial (SP) do National Institute of Standards and Technology (SP ) 800-61. A Microsoft tem várias equipes dedicadas que trabalham juntas para prevenir, monitorar, detectar e responder a incidentes de segurança.
Equipe/Área | Descrição |
---|---|
Microsoft Security Response Center da Microsoft | Identifica, monitora, resolve e responde a incidentes de segurança e vulnerabilidades de segurança de software da Microsoft. |
Centro de Operações de Defesa Cibernética | O Centro de Operações de Defesa Cibernética é o local físico que reúne equipes de resposta à segurança e especialistas de toda a empresa para ajudar a proteger, detectar e responder a ameaças em tempo real. |
Assuntos Corporativos, Externos e Jurídicos | Fornece conselhos legais e regulatórios para um suposto incidente de segurança. |
Equipe de Segurança do Microsoft Datacenter | Equipe que se concentra entre os vários serviços em investimentos comuns em engenharia de segurança para proteger, detectar e responder a riscos e ameaças da arquitetura de serviço. |
Equipes de resposta de segurança da Microsoft | Equipes de segurança independentes do Azure, Dynamics 365 e Microsoft 365 que fazem parcerias com equipes de serviço para criar o processo apropriado de gerenciamento de incidentes de segurança e para impulsionar qualquer resposta a incidentes de segurança. |
Equipes grc (governança, risco e conformidade) da Microsoft | Forneça diretrizes sobre requisitos regulatórios, conformidade e privacidade. |
Equipes de serviço | Equipes de engenharia do Azure, Dynamics 365, Microsoft 365 responsáveis por políticas e decisões relacionadas à segurança para cada serviço. |
Gerentes de operações do Azure | Supervisiona a investigação e a resolução de incidentes de segurança e privacidade relacionados ao Azure. |
MSTIC (Centro de Inteligência contra Ameaças da Microsoft) | Fornece o estado de arte atual em ameaças à segurança digital contra a infraestrutura e os ativos da Microsoft, ajuda as equipes parceiras dentro da Microsoft a priorizar planos de ação de esforço de mitigação e prevenção e aumenta a proteção adotando monitoramento/detecção de incidentes quase em tempo real. |
Equipes de comunicação de experiência do cliente | Equipes de engenharia responsáveis por todas as comunicações do cliente sobre incidentes de segurança e serviço. Equipes separadas são dedicadas ao Azure, Dynamics 365 e Microsoft 365. |
Processo de gerenciamento de resposta
As equipes de segurança e as equipes de serviço da Microsoft serviços online trabalham juntas e adotam a mesma abordagem para incidentes de segurança, que se baseia nas fases de gerenciamento de resposta NIST 800-61:
- Preparação: refere-se à preparação organizacional necessária para poder responder, incluindo ferramentas, processos, competências e preparação.
- Detecção & análise: refere-se à atividade para detectar um incidente de segurança em um ambiente de produção e analisar todos os eventos para confirmar a autenticidade do incidente de segurança.
- Contenção, erradicação, recuperação: refere-se às ações necessárias e apropriadas tomadas para conter o incidente de segurança com base na análise feita na fase anterior. Mais análises também podem ser necessárias nesta fase para se recuperar totalmente do incidente de segurança.
- Atividade pós-incidente: refere-se à análise pós-morte realizada após a recuperação de um incidente de segurança. As ações operacionais executadas durante o processo são revisadas para determinar se alguma alteração precisa ser feita nas fases de preparação ou detecção e análise.
Modelo de resposta de segurança federada
A Microsoft serviços online consiste em produtos principais da Microsoft, incluindo Azure, Dynamics 365 e Microsoft 365. Cada um desses serviços é operado por equipes separadas com seus próprios processos operacionais de segurança. Outras equipes da Microsoft, como o MSTIC, também estão envolvidas em vários aspectos de segurança do Microsoft serviços online. Devido à infinidade de equipes que trabalham no gerenciamento de operações de segurança em todos os vários serviços que compõem o Microsoft serviços online, a Microsoft implementou um modelo de resposta de segurança federado.
Esta tabela apresenta os limites operacionais entre as várias equipes de operações de segurança do serviço online da Microsoft e as equipes de serviço da Microsoft:
Atividades | Operações da Equipe de Segurança da Microsoft | Operações da Equipe de Serviço da Microsoft |
---|---|---|
Detecção e análise | - Requisitos de detecção – Monitoramento e análise de segurança - Varreduras de indicador de comprometimento (COI) - Caça à violação - 24x7 segurança de chamada e resposta a incidentes |
- Requisitos de detecção – Monitoramento da implantação da infraestrutura - Análise de serviço e insights - Triagem de eventos e alertas – Engenharia de serviço 24x7 de plantão |
Contenção, erradicação, recuperação | - Lead de resposta a incidentes - Investigação forense – Experiência e consultoria de segurança - Diretrizes de recuperação |
- Proprietário de incidentes de segurança – Insights de serviço e experiência – Executar contenção, erradicação e recuperação |
Atividade pós-incidente | - Lead de análise pós-incidente - Coleta e arquivamento de dados – Lições aprendidas e solicitações de bug - Relatório de incidentes |
- Análise de incidentes do lado do serviço – Priorizar atividades de acompanhamento – Investimentos em segurança de implementação - Preparação para a segurança do serviço |
Artigos relacionados
- Gerenciamento de incidentes de segurança da Microsoft: preparação
- Gerenciamento de incidentes de segurança da Microsoft: detecção e análise
- Gerenciamento de incidentes de segurança da Microsoft: contenção, erradicação e recuperação
- Gerenciamento de incidentes de segurança da Microsoft: atividade pós-incidente