SecOps-Funktionen (Security Operations, Sicherheitsvorgänge)
Das Hauptziel einer Cloud-SecOps-Funktion besteht darin, aktive Angriffe auf Unternehmensressourcen zu erkennen, auf sie zu reagieren und ihre Folgen zu beseitigen.
Mit zunehmender Reife von SecOps sollten Sicherheitsvorgänge Folgendes leisten:
- Reaktives Reagieren auf von Tools erkannte Angriffe
- Proaktives Suchen nach Angriffen, die der reaktiven Erkennung entgangen sind
Modernisierung
Das Erkennen von Bedrohungen und die Reaktion darauf wird zurzeit einer bedeutenden Modernisierung auf allen Ebenen unterzogen.
- Aufwertung zum Geschäftsrisikomanagement: SOC wächst sich zu einer zentralen Komponente des Managements von Geschäftsrisiken für die Organisation aus.
- Metriken und Ziele: Die Nachverfolgung der Effektivität des SOC entwickelt sich von der „Erkennungsgeschwindigkeit“ zu diesen Schlüsselindikatoren weiter:
- Reaktionsfähigkeit über die durchschnittliche Bestätigungszeit (MTTA).
- Korrekturgeschwindigkeit über die durchschnittliche Korrekturzeit (MTTR).
- Technologieentwicklung: Die SOC-Technologie entwickelt sich von der exklusiven Verwendung statischer Analysen von Protokollen in einem SIEM-Tool hin zur zusätzlichen Verwendung spezieller Tools und komplexer Analysetechniken. Dies bietet umfassende Erkenntnisse zu Ressourcen, die hochwertige Warnungen sowie eine Untersuchungserfahrung bereitstellen, die die breite Ansicht des SIEM-Tools ergänzen. Beide Tooltypen verwenden zunehmend KI und maschinelles Lernen, Verhaltensanalysen und integrierte Threat Intelligence, um ungewöhnliche Aktionen zu erkennen und zu priorisieren, bei denen es sich um einen böswilligen Angreifer handeln könnte.
- Bedrohungssuche: SOCs fügen hypothesengestützte Bedrohungssuchen hinzu, um komplexe Angreifer proaktiv zu identifizieren und störende Fehlalarme aus den Warteschlangen der Analytiker an vorderster Front zu entfernen.
- Incident Management: Disziplin wird so formalisiert, dass nicht technische Elemente von Vorfällen mit juristischen, Kommunikations- und anderen Teams koordiniert werden. Integration von internem Kontext: Um bei der Priorisierung von SOC-Aktivitäten zu helfen, wie relative Risikobewertungen von Benutzerkonten und Geräten, Vertraulichkeit von Daten und Anwendungen sowie wichtige Grenzen der Sicherheitsisolation, um eine enge Verteidigung zu gewährleisten.
Weitere Informationen finden Sie unter
- Disziplin „Sicherheitsvorgänge“
- Videos und Folien zu bewährten Methoden für Sicherheitsvorgänge
- CISO-Workshop-Modul 4b: Bedrohungsschutzstrategie
- Blogreihe des Cyber Defense Operations Center (CDOC): Teil 1, Teil 2a, Teil 2b, Teil 3a, Teil 3b, Teil 3c, Teil 3d
- NIST-Leitfaden für den Umgang mit Computersicherheitsvorfällen (NIST Computer Security Incident Handling Guide)
- NIST-Leitfaden für die Wiederherstellung von Cybersicherheitsereignissen (NIST Guide for Cybersecurity Event Recovery)
Teamzusammensetzung und wichtige Beziehungen
Das Cloud Security Operations Center besteht im Allgemeinen aus den folgenden Typen von Rollen.
- IT-Betrieb (enger, regelmäßiger Kontakt)
- Bedrohungsanalyse
- Sicherheitsarchitektur
- Insider-Risiko-Programm
- Juristisches und Personalverwaltung
- Kommunikationsteams
- Risikoorganisation (falls vorhanden)
- Branchenspezifische Vereinigungen, Communitys und Lieferanten (vor Auftreten eines Vorfalls)
Nächste Schritte
Informieren Sie sich über die Funkt der Sicherheitsarchitektur.