Güvenlik işlemlerine genel bakış
Güvenlik işlemleri (SecOps), canlı saldırganlar saldırıda bulunurken sistemin güvenlik güvencelerini korur ve geri yükler. NIST Siber Güvenlik Çerçevesi Algılama, Yanıtlama ve İyi Kurtarma'nın SecOps işlevlerini açıklar.
Algıla - SecOps, sistemdeki saldırganların varlığını algılamalıdır ve çoğu durumda gizli kalmak için teşvik edilir ve hedeflerine ulaşamamaları sağlanır. Bu, şüpheli etkinlik uyarısına tepki verme veya kurumsal etkinlik günlüklerindeki anormal olaylar için proaktif olarak avlanma biçimi alabilir.
Yanıt - Olası saldırgan eylemin veya kampanyanın algılanması üzerine SecOps'un bunun gerçek bir saldırı (gerçek pozitif) veya yanlış alarm (hatalı pozitif) olup olmadığını belirlemek için hızla araştırma yapması ve ardından saldırgan işlemin kapsamını ve hedefini listelemesi gerekir.
Kurtarma - SecOps'un nihai hedefi, bir saldırı sırasında ve sonrasında iş hizmetlerinin güvenlik güvencelerini (gizlilik, bütünlük, kullanılabilirlik) korumak veya geri yüklemektir.
Çoğu kuruluşun karşılaştığı en önemli güvenlik riski, insan saldırısı operatörlerine (farklı beceri düzeylerine sahip) yöneliktir. Çoğu kuruluşta otomatik/tekrarlanan saldırılardan kaynaklanan risk, kötü amaçlı yazılımdan koruma için yerleşik imza ve makine öğrenmesi tabanlı yaklaşımlarla önemli ölçüde azaltılmıştır. Wannacrypt ve NotPetya gibi bu savunmalardan daha hızlı hareket eden önemli özel durumlar olduğu belirtilmelidir.
İnsan saldırı operatörlerinin uyarlanabilirliği (otomatik/yinelenen mantık yerine) nedeniyle karşılaşması zor olsa da, savunmacılarla aynı "insan hızında" çalışır ve bu da oyun alanını dengelemeye yardımcı olur.
SecOps (bazen Güvenlik İşlemleri Merkezi (SOC) olarak da adlandırılır), bir saldırganın değerli sistemlere ve verilere ulaşabileceği süreyi ve erişimi sınırlamak için kritik bir role sahiptir. Bir saldırganın ortamda sahip olduğu her dakika, saldırı işlemlerini gerçekleştirmeye ve hassas veya değerli sistemlere erişmeye devam etmesine olanak tanır.