Condividi tramite

Pianificazione della risposta agli eventi imprevisti

Usare questa tabella come elenco di controllo per preparare il Centro operazioni di sicurezza (SOC) per rispondere agli eventi imprevisti di cybersecurity.

Fatto Attività Descrizione Vantaggio
Esercizi da tavolo Condurre esercitazioni di simulazione periodiche sugli eventi informatici prevedibili che hanno un impatto sull'attività, costringendo la gestione dell'organizzazione a contemplare decisioni difficili basate sul rischio. Stabilisce e illustra con fermezza la cybersecurity come un problema aziendale. Sviluppa la memoria procedurale e affronta decisioni difficili e questioni di diritti decisionali all'interno dell'organizzazione.
Determinare le decisioni preliminari all'attacco e i decisori Come complemento agli esercizi principali della tabella, determinare decisioni basate sul rischio, criteri per prendere decisioni e chi deve prendere ed eseguire tali decisioni. Ad esempio:

Chi/quando/se chiedere assistenza alle forze dell'ordine?

Chi/quando/se per integrare gli addetti alle risposte agli eventi imprevisti?

Chi/quando/se pagare il riscatto?

Chi/quando/se inviare una notifica ai revisori esterni?

Chi/quando/se inviare una notifica alle autorità di regolamentazione della privacy?

Chi/quando/se notificare alle autorità di regolamentazione dei titoli?

Chi/quando/se inviare una notifica al consiglio di amministrazione o al comitato di controllo?

Chi ha l'autorità di arrestare carichi di lavoro cruciali?		 Definisce i parametri di risposta iniziali e i contatti da coinvolgere per semplificare la risposta a un evento imprevisto.
Mantenimento dei privilegi In genere, i consigli possono essere privilegiati, ma i fatti sono individuabili. Formare i principali responsabili degli eventi imprevisti nella comunicazione di consigli, fatti e opinioni con privilegi, in modo che il privilegio venga mantenuto e il rischio venga ridotto. La gestione dei privilegi può essere un processo disordinato quando si considera la moltitudine di canali di comunicazione, tra cui posta elettronica, piattaforme di collaborazione, chat, documenti, artefatti. Ad esempio, è possibile usare Microsoft Teams Rooms. Un approccio coerente tra il personale degli eventi imprevisti e il supporto di organizzazioni esterne può contribuire a ridurre qualsiasi potenziale esposizione legale.
Considerazioni sul insider trading Contemplare le notifiche al management aziendale che dovrebbero essere prese in considerazione per ridurre i rischi di violazioni delle norme sui titoli. Consigli e revisori esterni tendono a apprezzare che si dispone di mitigazioni che ridurranno il rischio di scambi di titoli discutibili durante periodi di turbolenza.
Playbook ruoli e responsabilità degli eventi imprevisti Stabilire ruoli e responsabilità di base che consentano a vari processi di mantenere il focus e progredire.

Quando il team di risposta è remoto, possono rendersi necessarie ulteriori considerazioni per i fusi orari e il trasferimento appropriato agli investigatori.

Potrebbe essere necessario comunicare tra altri team che potrebbero essere coinvolti, ad esempio i team del fornitore.		 Technical Incident Leader : sempre nell'evento imprevisto, sintetizzando input e risultati e pianificando le azioni successive.

Collegamento delle comunicazioni: rimuove l'onere di comunicare con la gestione dal responsabile degli incidenti tecnici in modo che possano rimanere coinvolti nell'incidente senza perdere attenzione.

Questa attività deve includere la gestione della messaggistica e delle interazioni esecutive con altre terze parti, ad esempio le autorità di regolamentazione.

Registratore eventi imprevisti: rimuove il carico di registrazione di risultati, decisioni e azioni da un risponditore di eventi imprevisti e produce una contabilità accurata dell'evento imprevisto dall'inizio alla fine.

Forward Planner : lavorare con proprietari di processi aziendali cruciali, formula attività di continuità aziendale e preparativi che contemplano problemi del sistema informativo che durano per 24, 48, 72, 96 ore o più.

Public Relations – In caso di un incidente che probabilmente attirerà l'attenzione pubblica, con Forward Planner valuta e stende gli approcci di comunicazione pubblica che affrontano i risultati probabili.
Playbook sulla gestione degli incidenti di privacy Per soddisfare normative sulla privacy sempre più rigide, sviluppare un playbook di proprietà congiunta tra SecOps e l'ufficio privacy. Questo playbook consentirà una rapida valutazione dei potenziali problemi di privacy che potrebbero verificarsi da eventi imprevisti di sicurezza. È difficile valutare gli eventi imprevisti di sicurezza per il potenziale impatto sulla privacy perché la maggior parte degli eventi imprevisti di sicurezza si verifica in un SOC altamente tecnico. Gli eventi imprevisti devono essere rapidamente visualizzati in un ufficio di privacy (spesso con un'aspettativa di notifica di 72 ore) in cui viene determinato il rischio normativo.
Test di penetrazione Condurre attacchi simulati puntuali contro sistemi critici aziendali, infrastrutture critiche e backup per identificare i punti deboli nella postura di sicurezza. In genere, questa attività viene condotta da un team di esperti esterni incentrati sul bypass dei controlli preventivi e sulla visualizzazione delle vulnerabilità chiave. Alla luce di recenti incidenti ransomware gestiti dall'uomo, i test di penetrazione devono essere condotti contro un maggiore ambito dell'infrastruttura, in particolare la capacità di attaccare e controllare i backup di sistemi e dati cruciali.
Red Team/Blue Team/Purple Team/Green Team Condurre attacchi simulati continui o periodici contro sistemi critici aziendali, infrastruttura critica, backup per identificare i punti deboli nel comportamento di sicurezza. In genere, questa attività viene svolta da team interni noti come Red Team, che si concentrano sul test dell'efficacia dei controlli di rilevamento e delle squadre di intervento, i Blue Team.

Ad esempio, è possibile usare Formazione con simulazione degli attacchi in Microsoft Defender XDR per Office 365 e esercitazioni sugli attacchi e simulazioni per Microsoft Defender XDR per endpoint.		 Le simulazioni di attacco delle squadre rosse, blu e viola, quando fatte bene, servono una moltitudine di scopi.
  • Consente ai tecnici di tutta l'organizzazione IT di simulare gli attacchi alle proprie discipline dell'infrastruttura.
  • Presenta lacune nella visibilità e nel rilevamento.
  • Aumenta le competenze di ingegneria della sicurezza a livello generale.
  • Funge da processo più continuo ed espansivo.


Il team verde implementa le modifiche nella configurazione IT o della sicurezza.
Pianificazione della continuità aziendale Per i processi aziendali fondamentali per la missione, progettare e testare i processi di continuità che consentono il minimo business operativo durante i periodi di problemi dei sistemi informativi.

Ad esempio, usare un piano di backup e ripristino di Azure per proteggere i sistemi aziendali critici durante un attacco per garantire un rapido ripristino delle operazioni aziendali.
  • Evidenzia il fatto che non esiste alcuna soluzione di continuità per la compromissione o l'assenza di sistemi IT.
  • Può sottolineare la necessità e i finanziamenti per la resilienza digitale sofisticata rispetto a backup e ripristino più semplici.
Ripristino di emergenza Per i sistemi informativi che supportano processi aziendali di importanza critica per la missione, è consigliabile progettare e testare scenari di backup e ripristino hot/cold e hot/warm, inclusi i tempi di staging. Le organizzazioni che eseguono costruzioni bare metal spesso trovano attività impossibili da replicare o che non rientrano negli obiettivi del livello di servizio.

I sistemi cruciali in esecuzione su hardware non supportato molte volte non possono essere ripristinati nell'hardware moderno.

Il ripristino dei backup spesso non viene testato e si verificano problemi. I backup possono essere ulteriormente disconnessi, in modo che i tempi di staging non siano stati considerati negli obiettivi di ripristino.
Comunicazioni fuori banda Preparare la modalità di comunicazione negli scenari seguenti:
  • Problemi del servizio di posta elettronica e collaborazione
  • Riscatto dei repository di documentazione
  • Indisponibilità dei numeri di telefono del personale.
 Anche se è un esercizio difficile, determinare come archiviare informazioni importanti in modo non modificabile in dispositivi e posizioni off-line per la distribuzione su larga scala. Ad esempio:
  • Numeri di telefono
  • Topologie
  • Compilare documenti
  • Procedure di ripristino IT
Rafforzamento, igiene e gestione del ciclo di vita In linea con i Top 20 Controlli di Sicurezza del Centro per la Sicurezza su Internet (CIS), rafforzate la vostra infrastruttura ed eseguite attività di manutenzione accurata. In risposta a recenti incidenti ransomware operati dall'uomo, Microsoft ha emesso linee guida specifiche per proteggere ogni fase della catena di attacco. Queste indicazioni si applicano alle funzionalità Microsoft o alle funzionalità di altri provider. Di particolare nota sono:
  • La creazione e la manutenzione di copie di backup non modificabili in caso di sistemi riscattati. È anche possibile considerare come mantenere i file di log non modificabili che complicano la capacità dell'utente malintenzionato di coprire le loro tracce.
  • Rischi correlati all'hardware non supportato per il ripristino di emergenza.
Pianificazione della risposta agli eventi imprevisti All'inizio dell'incidente, decidere:
  • Parametri aziendali importanti.
  • Assegnazione di persone a ruoli e responsabilità.
  • Il senso dell'urgenza (ad esempio 24 ore su 24, 7 ore lavorative).
  • Personale addetto alla sostenibilità per la durata prevista.
C'è la tendenza a impiegare tutte le risorse disponibili all'inizio dell'incidente, nella speranza di una risoluzione rapida. Una volta riconosciuto o anticipato che un incidente si protrarrà per un periodo prolungato, adottare un atteggiamento diverso con il personale e i fornitori che consenta loro di stabilirsi per una gestione a lungo termine.
Risponditori di eventi imprevisti Stabilire aspettative chiare l'una con l'altra. Un formato comune per la segnalazione di attività in corso include:
  • Cosa abbiamo fatto (e quali sono stati i risultati)?
  • Cosa facciamo (e quali risultati verranno prodotti e quando)?
  • Cosa si prevede di fare dopo (e quando è realistico aspettarsi risultati)?
I risponditori di eventi imprevisti sono dotati di tecniche e approcci diversi, tra cui l'analisi dei dead box, l'analisi dei Big Data e la possibilità di produrre risultati incrementali. A partire da aspettative chiare faciliteranno le comunicazioni chiare.

Risorse di risposta agli eventi imprevisti

Risorse chiave per la sicurezza Microsoft

Risorsa Descrizione
Report sulla difesa digitale Microsoft 2021 Un report che comprende l'apprendimento da esperti di sicurezza, professionisti e difensori di Microsoft per consentire alle persone ovunque di difendersi dalle minacce informatiche.
Architetture di riferimento per la cybersecurity Microsoft Un set di diagrammi di architettura visiva che mostrano le funzionalità e l'integrazione di Microsoft con le piattaforme cloud Microsoft, ad esempio Microsoft 365 e Microsoft Azure e piattaforme cloud e app di terze parti.
Scarica l'infografica "I minuti contano" Panoramica del modo in cui il team SecOps di Microsoft esegue la risposta agli eventi imprevisti per attenuare gli attacchi in corso.
Operazioni di sicurezza di Azure Cloud Adoption Framework Linee guida strategiche per i leader che stabiliscono o modernizzare una funzione operativa di sicurezza.
Procedure consigliate di Microsoft per le operazioni di sicurezza Come usare al meglio il centro SecOps per agire più rapidamente degli attaccanti che prendono di mira la tua organizzazione.
Modello di Microsoft Cloud Security per architetti IT Sicurezza tra servizi cloud Microsoft e piattaforme per l'accesso alle identità e ai dispositivi, la protezione dalle minacce e la protezione delle informazioni.
Documentazione sulla sicurezza Microsoft Indicazioni aggiuntive sulla sicurezza di Microsoft.
  • Last updated on