Visão geral das operações de segurança
As operações de segurança (SecOps) mantêm e restauram as garantias de segurança do sistema, à medida que adversários dinâmicos atacam o sistema. A NIST Cybersecurity Framework descreve as funções do SecOps de Detecção, Resposta e Recuperação.
Detectar: as SecOps devem detectar a presença de adversários no sistema, que são incentivados a permanecer ocultos na maioria dos casos, permitindo que atinjam seus objetivos livremente. Isso pode assumir a forma de reagir a um alerta de atividade suspeita ou procurar proativamente eventos anormais nos logs de atividade da empresa.
Responder: após a detecção de uma possível ação ou campanha do adversário, as SecOps devem investigar rapidamente para identificar se é um ataque real (verdadeiro positivo) ou um alarme falso (falso positivo) e, em seguida, enumerar o escopo e a meta da operação do adversário.
Recuperar: a meta final das SecOps é preservar ou restaurar as garantias de segurança (confidencialidade, integridade, disponibilidade) dos serviços comerciais durante e após um ataque.
O risco de segurança mais significativo que a maioria das organizações enfrenta é de operadores de ataque humano (de diferentes níveis de habilidade). O risco de ataques automatizados/repetidos foi atenuado significativamente para a maioria das organizações por abordagens baseadas em assinatura e aprendizado de máquina incorporadas ao antimalware. Embora deva ser notado que há exceções notáveis como Wannacrypt e NotPetya, que se moveram mais rápido do que essas defesas).
Embora os operadores de ataque humano sejam difíceis de enfrentar devido à sua adaptabilidade (em comparação à lógica automatizada/repetida), eles estão operando na mesma "velocidade humana" que os defensores, o que ajuda a estabelecer igualdade de condições.
As SecOps, às vezes conhecidas como SOC, Centro de Operações de Segurança, têm uma função essencial na limitação do tempo e do acesso que um invasor pode obter em sistemas e dados importantes. Cada minuto que um invasor tem no ambiente permite que ele continue a realizar operações de ataque e acessar sistemas confidenciais ou importantes.