Funkce operací zabezpečení (SecOps)

Hlavním cílem funkce secOps (Cloud Security Operations) je detekovat aktivní útoky na podnikové prostředky, reagovat na ně a zotavit se z těchto útoků.

S tím, jak se secOps zraje, by operace zabezpečení měly:

• Reaktivně reagovat na útoky zjištěné nástroji
• Proaktivní vyhledávání útoků, které propadly po reaktivních detekcích

Modernizace

Detekce hrozeb a reakce na ně v současné době prochází významnou modernizací na všech úrovních.

• Zvýšení úrovně řízení obchodních rizik: SOC se pro organizaci mění na klíčovou součást správy obchodních rizik.
• Metriky a cíle: Sledování efektivity SOC se od "času k detekci" vyvíjí k těmto klíčovým ukazatelům:
  • Rychlost odezvy prostřednictvím střední doby potvrzení (MTTA).
  • Rychlost nápravy prostřednictvím střední doby k nápravě (MTTR).
• Technologický vývoj: Technologie SOC se vyvíjí od výhradního použití statické analýzy protokolů v SIEM a přidává použití specializovaných nástrojů a sofistikovaných analytických technik. To poskytuje podrobné přehledy o prostředcích, které poskytují vysoce kvalitní výstrahy a prostředí pro šetření, které doplňuje široké zobrazení SIEM. Oba typy nástrojů stále častěji využívají umělou inteligenci a strojové učení, analýzu chování a integrovanou analýzu hrozeb, které pomáhají odhalit neobvyklé akce, které by mohly být útočníkem se zlými úmysly, a určit jejich prioritu.
• Proaktivní vyhledávání hrozeb: SoC přidávají vyhledávání hrozeb založené na hypotézách, aby proaktivně identifikovali pokročilé útočníky a přesunuli hlučná upozornění z fronty analytiků.
• Správa incidentů: Disciplína se stává formalizovanou, aby koordinovala netechnické prvky incidentů s právními, komunikačními a dalšími týmy. Integrace interního kontextu: Pomoc při určování priorit aktivit SOC, jako jsou relativní skóre rizika uživatelských účtů a zařízení, citlivost dat a aplikací a klíčové hranice bezpečnostní izolace, které je potřeba pečlivě chránit.

Další informace naleznete v tématu:

• Disciplína operací zabezpečení
• Videa a snímky s osvědčenými postupy pro operace zabezpečení
• Modul workshopu CISO 4b: strategie ochrany před hrozbami
• Série blogu Cyber Defense Operations Center (CDOC) část 1, část 2a, část 2b, část 3a, část 3b, část 3c, část 3d
• Průvodce zpracováním incidentů zabezpečení počítače NIST
• Průvodce NIST pro obnovení událostí kybernetické bezpečnosti

Složení týmu a klíčové vztahy

Centrum operací zabezpečení cloudu se obvykle skládá z následujících typů rolí.

• Provoz IT (uzavření pravidelného kontaktu)
• Analýza hrozeb
• Architektura zabezpečení
• Program insiderských rizik
• Právní a lidské zdroje
• Komunikační týmy
• Organizace rizik (pokud existuje)
• Přidružení, komunity a dodavatelé pro konkrétní odvětví (před výskytem incidentu)

Další kroky

Projděte si funkci architektury zabezpečení.