Функции информационной безопасности (SecOps)

Основной целью функции информационной безопасности облака (SecOps) является обнаружение активных атак на корпоративные ресурсы и последующие реагирование и восстановление.

По мере формирования SecOps в круг задач входит:

• Реагирование на атаки, обнаруженные с помощью инструментов.
• Упреждающая охота на атаки, которые были пропущены при прошлом обнаружении.

Модернизация

Система обнаружение угроз и реагирования на них в данный момент подвергается масштабной модернизации на всех уровнях.

• Повышение привилегий для управления рисками для бизнеса. SOC превращается в ключевой компонент системы управления бизнес-рисками организации.
• Метрики и цели. Отслеживание эффективности SOC развивается, и вместо показателя времени на обнаружение рассматриваются следующие ключевые индикаторы:
  • скорость реагирования в виде среднего времени подтверждения (MTTA);
  • скорость исправления в виде среднего времени восстановления (MTTR).
• Технологическое развитие. SOC развивается на технологическом уровне и использует не только статический анализ журналов в системе управления информационной безопасностью и событиями безопасности (SIEM), но и внедряет специализированные средства и сложные методы анализа. Эти средства и методы дают аналитические сведения о ресурсах и обеспечивают высококачественные оповещения и возможности для исследования угроз в дополнение к представлению SIEM. Оба типа инструментов все чаще используют искусственный интеллект и машинное обучение, аналитику поведения и интегрированную аналитику угроз для выявления аномальных действий, которые могут оказаться атаками, и назначения им приоритетов.
• Охота на угрозы. SOC добавляет охоту на угрозы на основе гипотез, которая позволяет заранее определить опытных злоумышленников и убрать лишние оповещения из очередей у линейных аналитиков.
• Управление инцидентами. Формируется дисциплина для координации нетехнических вопросов инцидентов с юридическими отделами, отделами связи и другими командами. Интеграция внутреннего контекста. Контекст поможет назначать приоритеты для действий SOC и может включать, например, относительные показатели рисков учетных записей и устройств пользователей, степень конфиденциальности данных и основные границы изоляции безопасности для активной защиты.

Дополнительные сведения можно найти в разделе

• Дисциплина информационной безопасности
• Видео и слайды с рекомендациями по обеспечению информационной безопасности
• Модуль 4b семинара CISO: стратегия защиты от угроз
• Блог центра киберзащиты Майкрософт (CDOC), часть 1, часть 2A, часть 2b, часть 3a, часть 3b, часть 3c, часть 3d
• Руководство Национального института стандартов и технологий по реагированию на инциденты информационной безопасности
• Рекомендации NIST по восстановлению после событий кибербезопасности

Состав команды и основные направления для взаимодействия

Центр информационной безопасности облака обычно включает в себя следующие типы ролей:

• ИТ-операции (регулярные близкие контакты);
• Анализ угроз
• Архитектура безопасности
• программа кадровых рисков;
• юридический отдел и управление персоналом;
• команды по связи;
• организация оценки рисков (при наличии);
• отраслевые ассоциации, сообщества и поставщики (до возникновения инцидента).

Дальнейшие действия

Ознакомьтесь с функцией архитектуры безопасности.