Funkcje operacji zabezpieczeń (SecOps)

Głównym celem funkcji operacji zabezpieczeń w chmurze (SecOps) jest wykrywanie, reagowanie i odzyskiwanie po aktywnych atakach na zasoby przedsiębiorstwa.

W miarę dojrzewania secOps operacje zabezpieczeń powinny:

• Reaktywne reagowanie na ataki wykryte przez narzędzia
• Proaktywne polowanie na ataki, które poślizgnął się po wykryciu reaktywnym

Modernizacja

Wykrywanie zagrożeń i reagowanie na nie jest obecnie w trakcie znacznej modernizacji na wszystkich poziomach.

• Podniesienie uprawnień do zarządzania ryzykiem biznesowym: SOC rośnie w kluczowym składniku zarządzania ryzykiem biznesowym w organizacji
• Metryki i cele: Śledzenie skuteczności SOC ewoluuje od "czasu do wykrycia" do następujących kluczowych wskaźników:
  • Czas odpowiedzi za pośrednictwem średniego czasu potwierdzenia (MTTA).
  • Szybkość korygowania za pośrednictwem średniego czasu korygowania (MTTR).
• Ewolucja technologii: technologia SOC ewoluuje z wyłącznego użycia statycznej analizy dzienników w rozwiązaniu SIEM w celu dodania użycia wyspecjalizowanych narzędzi i zaawansowanych technik analizy. Zapewnia to szczegółowe informacje na temat zasobów, które zapewniają wysokiej jakości alerty i środowisko badania, które uzupełniają szeroki widok rozwiązania SIEM. Oba typy narzędzi coraz częściej używają sztucznej inteligencji i uczenia maszynowego, analizy zachowań i zintegrowanej analizy zagrożeń, aby ułatwić wykrywanie i określanie priorytetów nietypowych akcji, które mogą być złośliwym atakującym.
• Wyszukiwanie zagrożeń: SOC dodaje oparte na hipotezach wyszukiwanie zagrożeń, aby aktywnie identyfikować zaawansowane osoby atakujące i przenosić hałaśliwe alerty z kolejek analityków pierwszej linii.
• Zarządzanie zdarzeniami: Dyscyplina staje się sformalizowana w celu koordynowania nietechnicznych elementów incydentów z przepisami prawnymi, komunikacyjnymi i innymi zespołami. Integracja kontekstu wewnętrznego: aby ułatwić ustalanie priorytetów działań SOC, takich jak względne oceny ryzyka kont użytkowników i urządzeń, wrażliwość danych i aplikacji oraz kluczowe granice izolacji zabezpieczeń w celu ścisłej obrony.

Aby uzyskać więcej informacji, zobacz:

• Filmy wideo i slajdy dotyczące najlepszych rozwiązań dotyczących operacji zabezpieczeń
• Moduł warsztatowy CISO 4b: strategia ochrony przed zagrożeniami
• Seria blogów Cyber Defense Operations Center (CDOC) — część 1, część 2a, część 2b, część 3a, część 3b, część 3c, część 3d
• Przewodnik obsługi zdarzeń zabezpieczeń komputera NIST
• Przewodnik NIST dotyczący odzyskiwania zdarzeń cyberbezpieczeństwa

Kompozycja zespołu i kluczowe relacje

Centrum operacji zabezpieczeń w chmurze często składa się z następujących typów ról.

• Operacje IT (zamknij zwykły kontakt)
• Analiza zagrożeń
• Architektura zabezpieczeń
• Program ryzyka dla niejawnych testerów
• Zasoby prawne i kadrowe
• Zespoły komunikacji
• Organizacja ryzyka (jeśli istnieje)
• Stowarzyszenia, społeczności i dostawcy specyficzne dla branży (przed wystąpieniem zdarzenia)

Następne kroki

Zapoznaj się z funkcją architektury zabezpieczeń.