Funkcje operacji zabezpieczeń (SecOps)
Głównym celem funkcji operacji zabezpieczeń w chmurze (SecOps) jest wykrywanie, reagowanie na nie i odzyskiwanie po aktywnych atakach na zasoby przedsiębiorstwa.
W miarę dojrzewania secOps operacje zabezpieczeń powinny:
- Reaktywne reagowanie na ataki wykryte przez narzędzia
- Proaktywne polowanie na ataki, które poślizgnęły się po wykryciu reaktywnym
Modernizacja
Wykrywanie zagrożeń i reagowanie na nie jest obecnie poddawane znacznej modernizacji na wszystkich poziomach.
- Podniesienie uprawnień do zarządzania ryzykiem biznesowym: SoC rozwija się w kluczowy składnik zarządzania ryzykiem biznesowym dla organizacji
- Metryki i cele: Śledzenie skuteczności SOC ewoluuje od "czasu do wykrycia" do następujących kluczowych wskaźników:
- Czas odpowiedzi przez średni czas potwierdzenia (MTTA).
- Szybkość korygowania za pośrednictwem średniego czasu korygowania (MTTR).
- Ewolucja technologii: Technologia SOC ewoluuje z wyłącznego użycia statycznej analizy dzienników w rozwiązaniu SIEM w celu dodania użycia wyspecjalizowanych narzędzi i zaawansowanych technik analizy. Zapewnia to szczegółowe informacje o zasobach, które zapewniają wysokiej jakości alerty i środowisko badania, które uzupełniają szeroki widok rozwiązania SIEM. Oba typy narzędzi coraz częściej używają sztucznej inteligencji i uczenia maszynowego, analizy zachowań i zintegrowanej analizy zagrożeń, aby pomóc w wykrywaniu i określaniu priorytetów nietypowych akcji, które mogą być złośliwym atakującym.
- Wyszukiwanie zagrożeń: SoCs dodają hipotezę opartą na polowaniu na zagrożenia, aby proaktywnie identyfikować zaawansowane osoby atakujące i przenosić hałaśliwy alerty z kolejek analityków frontline.
- Zarządzanie zdarzeniami: Dyscyplina staje się sformalizowana w celu koordynowania nietechnicznych elementów incydentów z prawnymi, komunikacyjnymi i innymi zespołami. Integracja kontekstu wewnętrznego: Aby ułatwić określanie priorytetów działań SOC, takich jak względne oceny ryzyka kont użytkowników i urządzeń, wrażliwość danych i aplikacji oraz kluczowe granice izolacji zabezpieczeń w celu ścisłej obrony.
Aby uzyskać więcej informacji, zobacz:
- Dziedzina Operacje zabezpieczeń
- Najlepsze rozwiązania dotyczące operacji zabezpieczeń — filmy wideo i slajdy
- Moduł warsztatowy CISO 4b: strategia ochrony przed zagrożeniami
- Seria blogów Cyber Defense Operations Center (CDOC) część 1, część 2a, część 2b, część 3a, część 3b, część 3c, część 3d
- Przewodnik obsługi zdarzeń zabezpieczeń komputera NIST
- Przewodnik NIST dotyczący odzyskiwania zdarzeń cyberbezpieczeństwa
Skład zespołu i relacje kluczowe
Centrum operacji zabezpieczeń w chmurze często składa się z następujących typów ról.
- Operacje IT (zamknij regularny kontakt)
- Analiza zagrożeń
- Architektura zabezpieczeń
- Program ryzyka wewnętrznego
- Zasoby prawne i ludzkie
- Zespoły komunikacji
- Organizacja ryzyka (jeśli istnieje)
- Stowarzyszenia, społeczności i dostawcy specyficzne dla branży (przed wystąpieniem zdarzenia)
Następne kroki
Przejrzyj funkcję architektury zabezpieczeń.