Přehled operací zabezpečení
Operace zabezpečení (SecOps) udržují a obnovují bezpečnostní záruky systému, protože na něj napadnou živé nežádoucí osoba. Architektura kybernetické bezpečnosti NIST popisuje funkce SecOps funkce Detect, Respond a Recover.
Zjistit – SecOps musí zjistit přítomnost nežádoucích osob v systému, kteří jsou incentivizováni, aby zůstali ve většině případů skrytí a umožnili jim dosáhnout jejich cílů beze zdůraznění. To může mít podobu reakce na upozornění na podezřelou aktivitu nebo proaktivně proaktivní vyhledávání neobvyklých událostí v protokolech podnikových aktivit.
Reakce – Při detekci potenciální nežádoucí akce nebo kampaně musí SecOps rychle prošetřit, aby bylo možné zjistit, jestli se jedná o skutečný útok (pravdivě pozitivní) nebo falešný poplach (falešně pozitivní) a pak vytvořit výčet rozsahu a cíle nežádoucí operace.
Obnovení – konečným cílem SecOps je zachovat nebo obnovit záruky zabezpečení (důvěrnost, integrita, dostupnost) obchodních služeb během útoku a po útoku.
Nejvýznamnější bezpečnostní riziko, kterým čelí většina organizací, je od operátorů lidských útoků (různých úrovní dovedností). Riziko automatizovaných a opakovaných útoků se výrazně zmírňovalo u většiny organizací přístupy založenými na podpisu a strojovém učení, které jsou integrované v antimalwaru. I když je třeba poznamenat, že existují velmi vhodné výjimky, jako je Wannacrypt a NotPetya, které se přesunuly rychleji než tyto obrany).
Zatímco operátory lidského útoku jsou náročné čelit kvůli své adaptabilnosti (vs. automatizované/opakované logiky), pracují ve stejné "lidské rychlosti" jako obránci, což pomáhá vyrovnat hranou oblast.
Operace SecOps (někdy označovaná jako Security Operations Center (SOC)) má důležitou roli, která může hrát při omezení času a přístupu útočníka k cenným systémům a datům. Každá minuta, kterou útočník v prostředí má, mu umožní pokračovat v provádění operací útoku a přístupu k citlivým nebo cenným systémům.