Funzioni delle operazioni per la sicurezza (SecOps)

L'obiettivo principale di una funzione delle operazioni per sicurezza (SecOps) del cloud è rilevare, rispondere e recuperare da attacchi attivi agli asset aziendali.

Man mano che SecOps evolve, le operazioni per la sicurezza devono:

• Rispondere in modo reattivo agli attacchi rilevati dagli strumenti
• Cercare in modo proattivo gli attacchi che sono sfuggiti ai rilevamenti reattivi

Modernizzazione

Il rilevamento e la risposta alle minacce sono attualmente in fase di modernizzazione significativa a tutti i livelli.

• Elevazione alla gestione dei rischi aziendali: SOC sta diventando un componente chiave della gestione dei rischi aziendali per l'organizzazione
• Metriche e log: Il rilevamento dell'efficacia SOC si sta evolvendo da "tempo di rilevamento" a questi indicatori chiave:
  • Velocità di risposta tramite il tempo medio di riconoscimento (MTTA).
  • Velocità di correzione tramite il tempo medio di correzione (MTTR).
• Evoluzione della tecnologia: la tecnologia SOC si sta evolvendo dall'uso esclusivo dell'analisi statica dei log in un SIEM all'aggiunta dell'uso di strumenti specializzati e tecniche di analisi sofisticate. Ciò fornisce informazioni approfondite sulle risorse che offrono avvisi di alta qualità e un'esperienza di analisi che completano la visione dell'ampiezza del SIEM. Entrambi i tipi di strumenti usano sempre più l'intelligenza artificiale e l'apprendimento automatico, l'analisi del comportamento e l'intelligence sulle minacce integrata per individuare e classificare in ordine di priorità le azioni anomale che potrebbero rappresentare un utente malintenzionato.
• Ricerca delle minacce: i SOC stanno aggiungendo la ricerca delle minacce basata su ipotesi per identificare in modo proattivo gli utenti malintenzionati avanzati e spostare gli avvisi fastidiosi dalle code degli analisti in prima linea.
• Gestione degli eventi imprevisti: la disciplina si sta formalizzando per coordinare gli elementi non tecnici degli eventi imprevisti con i team legali, di comunicazione e di altro tipo. Integrazione del contesto interno: per definire la priorità delle attività SOC, come i punteggi di rischio relativo di account utente e dispositivi, la riservatezza dei dati e delle applicazioni e i limiti di isolamento della sicurezza per una forma di difesa attiva.

Per altre informazioni, vedi:

• Video e diapositive sulle procedure consigliate per le operazioni per la sicurezza
• Modulo 4b del workshop CISO: Strategia di protezione dalle minacce
• Serie di blog di Cyber Defense Operations Center (CDOC) parte 1, parte 2a, parte 2b, parte 3a, parte 3b, parte 3c, parte 3d
• Guida alla gestione degli eventi imprevisti di sicurezza dei computer di NIST
• Guida NIST per il ripristino degli eventi di sicurezza informatica

Composizione del team e relazioni chiave

Il centro operazioni per la sicurezza del cloud è in genere costituito dai tipi di ruoli seguenti.

• Operazioni IT (stretto contatto regolare)
• Intelligence per le minacce
• Architettura di sicurezza
• Programma di rischio Insider
• Risorse legali e umane
• Team di comunicazione
• Organizzazione dei rischi (se presente)
• Associazioni, community e fornitori specifici del settore (prima che si verifichi un evento imprevisto)

Passaggi successivi

Esaminare la funzione dell'architettura di sicurezza.