보안 운영 개요
보안 작업(SecOps)은 라이브 악의적 사용자가 공격할 때 시스템의 보안 보증을 획득하고 복원할 기본 있습니다. NIST 사이버 보안 프레임워크는 검색, 응답 및 복구의 SecOps 기능을 설명합니다.
검색 - SecOps는 대부분의 경우 숨겨지도록 장려되는 시스템에 악의적 사용자가 있는지 감지하여 목표를 방해받지 않고 달성할 수 있도록 해야 합니다. 이는 의심스러운 활동에 대한 경고에 대응하거나 엔터프라이즈 활동 로그에서 비정상적인 이벤트를 사전에 헌팅하는 형태를 취할 수 있습니다.
응답 - 잠재적인 악의적인 동작 또는 캠페인이 감지되면 SecOps는 신속하게 조사하여 실제 공격(참 긍정) 또는 거짓 경보(가양성)인지 확인한 다음 악의적인 작업의 범위와 목표를 열거해야 합니다.
복구 - SecOps의 궁극적인 목표는 공격 중 및 공격 후 비즈니스 서비스의 보안 보증(기밀성, 무결성, 가용성)을 유지하거나 복원하는 것입니다.
대부분의 조직에서 직면하는 가장 중요한 보안 위험은 인간 공격 운영자(다양한 기술 수준)입니다. 대부분의 조직에서는 맬웨어 방지에 기본 제공되는 서명 및 기계 학습 기반 접근 방식을 통해 자동화/반복 공격의 위험이 크게 완화되었습니다. Wannacrypt 및 NotPetya와 같은 주목할 만한 예외가 있지만 이러한 방어보다 빠르게 이동했습니다).
인간 공격 운영자는 적응성(자동화/반복 논리와 비교)으로 인해 직면하기가 쉽지만, 수비수와 동일한 "인간 속도"로 작동하여 경기장을 평준화하는 데 도움이 됩니다.
SecOps(SOC(Security Operations Center)라고도 함)는 공격자가 중요한 시스템과 데이터에 액세스할 수 있는 시간을 제한하고 액세스하는 데 중요한 역할을 합니다. 환경에서 공격자에게 주어지는 시간은 공격 작업을 계속 수행하고 민감하거나 중요한 시스템에 액세스하는 데 사용될 수 있습니다.