Panoramica delle operazioni per la sicurezza
Le operazioni di sicurezza (SecOps) mantengono e ripristinano le garanzie di sicurezza del sistema come avversari in tempo reale lo attaccano. Il framework di sicurezza informatica NIST descrive le funzioni SecOps di Rilevamento, Risposta e Ripristino.
Rileva : SecOps deve rilevare la presenza di avversari nel sistema, che sono incoraggiati a rimanere nascosti nella maggior parte dei casi, consentendo loro di raggiungere i propri obiettivi non implementati. Ciò può assumere la forma di reagire a un avviso di attività sospetta o di ricerca proattiva di eventi anomali nei log attività dell'organizzazione.
Rispondi : al rilevamento di potenziali azioni o campagne antagoniste, SecOps deve analizzare rapidamente per identificare se si tratta di un attacco effettivo (vero positivo) o di un falso allarme (falso positivo) e quindi enumerare l'ambito e l'obiettivo dell'operazione antagonista.
Ripristino : l'obiettivo finale di SecOps è mantenere o ripristinare le garanzie di sicurezza (riservatezza, integrità, disponibilità) dei servizi aziendali durante e dopo un attacco.
Il principale rischio per la sicurezza riscontrato dalla maggior parte delle organizzazioni proviene da operatori di attacchi umani (a diversi livelli di competenza). Il rischio di attacchi automatizzati/ripetuti è stato ridotto in modo significativo per la maggior parte delle organizzazioni tramite approcci basati su firma e machine learning integrati in antimalware. Anche se deve essere notato che ci sono eccezioni rilevanti come Wannacrypt e NotPetya, che si sono spostate più velocemente di queste difese).
Sebbene gli operatori di attacco umani siano difficili da affrontare a causa della loro adattabilità (rispetto alla logica automatizzata/ripetuta), operano alla stessa "velocità umana" dei difensori, che aiutano a livellare il campo in gioco.
SecOps (talvolta noto come Centro operazioni di sicurezza ) ha un ruolo fondamentale per limitare il tempo e l'accesso a un utente malintenzionato può accedere a sistemi e dati preziosi. Ogni minuto in cui un utente malintenzionato ha nell'ambiente consente di continuare a eseguire operazioni di attacco e di accedere a sistemi sensibili o preziosi.