安全性作業

  • 發行項

本文為領導者提供策略性指引,以建立或現代化安全性作業功能。 如需以架構和技術為焦點的最佳做法,請參閱安全性作業的最佳做法

安全性作業可限制有權存取您組織資源的攻擊者所造成的傷害,藉此降低風險。 安全性作業著重於減少攻擊者有權存取資源的時間,做法是偵測主動式攻擊、對其做出回應及協助從中復原。

快速回應和復原可破壞敵人的投資報酬率 (ROI),藉此保護您的組織。 當敵人遭驅逐並被迫發動新的攻擊時,他們攻擊您組織的成本就會增加。

安全性作業 (SecOps) 有時稱為或結構化為安全性作業中心 (SOC)。 營運環境的安全性態勢管理是治理專業領域的一項功能。 DevOps 程序的安全性是創新安全性專業領域的一部分。

觀看下列影片,以深入瞭解 SecOps 及其在降低組織風險方面的重要角色。

人員和程序

安全性作業可能是高技術性的,但更重要的是,這是一項人力專業領域。 人員是安全性作業中最有價值的資產。 其經驗、技能、見解、創意和隨機應變能力,是此專業領域得以生效的原因。

此外,規劃和發動您組織攻擊活動的罪犯、間諜和駭客等也是人。 雖然某些商品攻擊已完全自動化,但最具破壞性的攻擊通常是由真人攻擊操縱者所發動。

著重於提升人員能力:您的目標不應是以自動化取代人力。 請為人員提供可簡化其每日工作流程的工具,來提升其能力。 這些工具可讓人員跟上或超越其所面對的敵人。

快速區分訊號 (真正的偵測) 與雜訊 (誤判為真) 需要同時投資人力和自動化。 自動化和技術可以減少人為工作,但攻擊者也是人,因此人為判斷是打敗敵人的關鍵。

多元思考組合:雖然安全性作業可能是高技術性的,但這也只是出現在許多職場 (例如刑事司法) 之鑑識調查的另一個新版本。 請大膽雇用在調查、推論或歸納原因方面具有強大專長認證的人員,並為他們提供技術訓練。

確定人員具備良好的文化特性,以及所衡量的成果正確。 這些實務可以提高生產力,並讓員工更享受其工作。

SecOps 文化特性

顯示重要文化元素的清單。

要專注的主要文化特性元素包括:

  • 與任務一致:由於這項工作極具挑戰性,因此安全性作業應該一律清楚了解其工作與整體組織任務和目標之間的關聯。
  • 持續學習:安全性作業是高度詳細的工作,而且因為攻擊者的創意和持續攻擊而不斷改變。 請務必持續學習,並致力於將高度重複或高度手動的工作自動化。 這些類型的工作可能會快速消磨士氣和團隊效率。 請確保文化特性對於了解、找到和修正這些痛點給予獎勵。
  • 團隊合作:我們了解到,「單槍匹馬的英雄」並不適用於安全性作業。 三個臭皮匠,勝過一個諸葛亮。 團隊合作也讓高壓的工作環境更有樂趣且更具生產力。 每個人都必須互相扶持, 像是分享見解、協調和檢查彼此的工作,以及持續互相學習。

SecOps 計量

顯示關鍵度量、回應性和有效性的清單。

計量驅使行為,因此衡量成功對於達成目標至關重要。 計量將文化特性轉變為可衡量的明確目標,以推動成果。

我們了解到,您必須考量測量的內容,以及專注和強制執行這些計量的方式; 也體認到安全性作業必須管理無法直接控制的大量變數,例如攻擊和攻擊者。 目標的任何偏差通常應視為改進程序或工具的學習機會,而不是認定 SOC 無法達成目標。

要專注的主要計量是對組織風險有直接影響的計量,包括:

  • 平均確認時間 (MTTA):回應能力是 SecOps 能夠更直接控制的幾個元素之一。 測量警示的間隔時間,例如「燈光何時開始閃爍」,以及分析師何時看到該警示並開始調查。 若要提高此回應能力,分析師必須不浪費時間在調查誤判為真的情況。 您可以透過果斷的優先順序來達成此目的,以確保任何需要分析師回應的警示摘要都必須有 90% 確判為真偵測的追蹤記錄。
  • 平均補救時間 (MTTR):降低風險的成效會測量下一個期間。 分析師會在這段期間開始調查事件何時獲得補救。 MTTR 會指出 SecOps 從環境中移除攻擊者存取權所需的時間長度。 這項資訊有助於找出在程序和工具中的投資位置,以協助分析師降低風險。
  • 補救 (以手動方式或透過自動化) 的事件數目:測量以手動方式補救的事件數目,以及透過自動化解決的事件數目,是制定明智人員配置和工具決策的另一個重要方式。
  • 各層之間的呈報數目:追蹤在各層之間呈報的事件數目。 這有助於確保正確追蹤工作負載,以制定明智的人員配置和其他決策。 例如,確保完成處理呈報事件的不是錯誤的小組。

安全性作業模型

安全性作業會處理數量和複雜度都很高的事件組合。

顯示安全性作業模型的圖表。

安全性作業小組通常著重於三項關鍵成果:

  • 事件管理:管理環境的主動式攻擊,包含:
    • 被動回應偵測到的攻擊。
    • 主動搜捕傳統威脅偵測所遺漏的攻擊。
    • 協調安全性事件的法律、通訊及其他業務意義。
  • 事件準備:協助組織因應未來的攻擊。 事件準備是更廣泛的一系列策略性活動,旨在為組織所有層級建立肌肉記憶與內容。 這項策略可讓人員妥善因應重大攻擊,取得安全性流程改善的相關見解。
  • 威脅情報:收集、處理並傳播威脅情報給安全性作業、安全性小組、安全性領導,並透過安全性領導提供給業務領導關係人。

為實現這些成果,安全性作業小組應進行結構化,著重於關鍵成果。 在 SecOps 大型團隊中,這些成果通常會再劃分至小組。

  • 分級 (第 1 層):安全性事件的第一線回應。 分級著重於處理大量警示 (通常由自動化和工具所產生)。 分級流程可解決大部分常見的事件種類,並在小組內解決。 更複雜的事件、或尚未發生及解決的事件,應呈報至第 2 層。
  • 調查 (第 2 層):著重於需要進一步調查的事件,通常必須建立多個來源資料點間的關聯。 此調查層級會尋求提供可重複採用的解決方案,以解決呈報的問題。 接著在後續週期,則會讓第 1 層來解決該問題類型。 第 2 層也會回應業務關鍵系統的警示,以反映風險嚴重性與快速採取行動的需求。
  • 搜捕 (第 3 層):主要著重於主動搜捕高度複雜的攻擊流程,並為廣大團隊發展指引,最終讓安全性控制更臻成熟。 第 3 層小組也可作為重大事件的呈報點,以便支援鑑識分析和回應。

SecOps 業務接觸點

SecOps 與業務領導階層有多個潛在互動。

顯示 SecOps 觸控點練習練習、商務優先順序和主要事件狀態的圖表。

  • SecOps 的業務內容:SecOps 必須了解對組織最重要的內容,讓小組可以將該內容套用至流動的即時安全性狀況。 以下哪一項對企業造成最負面的影響? 關鍵系統停機? 失去信譽和客戶信任? 洩漏敏感性資料? 竄改重要資料或系統? 我們了解到,SOC 中的主要領導者和員工必須了解此內容。 他們將處理不斷湧進的的資訊,並分級事件及排定其時間、關注和工作的優先順序。
  • 與 SecOps 的聯合實務演練:企業領導者應定期與 SecOps 聯合演練對重大事件的回應。 這項訓練會建立肌肉記憶和關聯性,這對於在真實事件的高度壓力下制定快速有效的決策,以降低組織風險至關重要。 這項演練也會公開程序中的缺口和臆斷,以便在真實事件發生之前先行修正,藉此降低風險。
  • 來自 SecOps 的重大事件更新:SecOps 應該在發生重大事件時,為商務利害關係人提供更新。 這項資訊可讓企業領導者了解其風險,並同時採取主動和被動步驟來管理該風險。 如需 Microsoft 偵測及回應小組所解決重大事件的詳細資訊,請參閱事件回應參考指南
  • 來自 SOC 的商業智慧:有時候,SecOps 會發現敵人的目標是非預期的系統或資料集。 當發現到這些情況時,威脅情報小組應該與企業領導者分享這些訊號,因為這些訊號可能會觸發企業領導者的深入解析。 例如,公司外部的某人發現祕密專案,或非預期的攻擊者目標集中在可能遭忽略的資料集價值。

SecOps 現代化

如同其他安全性專業領域一樣,安全性作業也面臨持續發展的商務模型、攻擊者和技術平台等轉變影響。

安全性作業的轉變主要由以下趨勢所推動:

  • 雲端平台涵蓋範圍: 安全性作業必須偵測和回應對企業資產 (含雲端資源) 的攻擊。 雲端資源是一種快速演進的新平台,SecOps 專業人員通常並不太熟悉。
  • 轉向以身分識別為中心的安全性: 傳統 SecOps 高度仰賴網路型工具,但現在也須整合身分識別、端點、應用程式和其他工具和技能。 這項整合的原因是:
    • 攻擊者將身分識別攻擊 (如網路釣魚、認證竊取、密碼噴灑和其他攻擊類型) 加入武器內,有效規避以網路為基礎的偵測。
    • 自備裝置 (BYOD) 等價值資產的部分或全部生命週期都在網路周邊以外,因而限制了網路偵測的效用。
  • 物聯網 (IoT) 和營運技術 (OT) 涵蓋範圍: 敵人積極鎖定 IoT 和 OT 裝置作為攻擊鏈的一環。 這些目標可能是攻擊的最終目的,也可能是存取或跨越環境的途徑。
  • 遙測雲端處理: 由於來自雲端的相關遙測量大幅增加,因此安全性作業必須進行現代化。 內部部署資源和傳統技術難以或無法處理這些遙測。 因此這也會促使 SecOps 採用可提供大規模分析、機器學習和行為分析的雲端服務。 這些技術有助於快速獲取價值,以符合安全性作業的時間敏感性需求。

請務必投資更新的 SecOps 工具和訓練,以確保安全性作業能應對這些挑戰。 如需詳細資訊,請參閱更新雲端的事件回應程序

如需安全性作業角色和責任的詳細資訊,請參閱安全性作業

如需更多以架構和技術為焦點的最佳做法,請參閱 Microsoft 對安全性作業的安全性最佳做法以及影片和投影片

後續步驟

下一個專業領域是資產保護