Поделиться через


Функции информационной безопасности (SecOps)

Основной целью функции информационной безопасности облака (SecOps) является обнаружение активных атак на корпоративные ресурсы и последующие реагирование и восстановление.

По мере формирования SecOps в круг задач входит:

  • Реагирование на атаки, обнаруженные с помощью инструментов.
  • Упреждающая охота на атаки, которые были пропущены при прошлом обнаружении.

при модернизации.

Система обнаружение угроз и реагирования на них в данный момент подвергается масштабной модернизации на всех уровнях.

  • Повышение привилегий для управления рисками для бизнеса. SOC превращается в ключевой компонент системы управления бизнес-рисками организации.
  • Метрики и цели: отслеживание эффективности SOC развивается с "времени для обнаружения" до следующих ключевых показателей:
    • скорость реагирования в виде среднего времени подтверждения (MTTA);
    • скорость исправления в виде среднего времени восстановления (MTTR).
  • Технологическое развитие. SOC развивается на технологическом уровне и использует не только статический анализ журналов в системе управления информационной безопасностью и событиями безопасности (SIEM), но и внедряет специализированные средства и сложные методы анализа. Эти средства и методы дают аналитические сведения о ресурсах и обеспечивают высококачественные оповещения и возможности для исследования угроз в дополнение к представлению SIEM. Оба типа инструментов все чаще используют искусственный интеллект и машинное обучение, аналитику поведения и интегрированную аналитику угроз для выявления аномальных действий, которые могут оказаться атаками, и назначения им приоритетов.
  • Охота на угрозы. SOC добавляет охоту на угрозы на основе гипотез, которая позволяет заранее определить опытных злоумышленников и убрать лишние оповещения из очередей у линейных аналитиков.
  • Управление инцидентами. Формируется дисциплина для координации нетехнических вопросов инцидентов с юридическими отделами, отделами связи и другими командами. Интеграция внутреннего контекста. Контекст поможет назначать приоритеты для действий SOC и может включать, например, относительные показатели рисков учетных записей и устройств пользователей, степень конфиденциальности данных и основные границы изоляции безопасности для активной защиты.

Дополнительные сведения см. в разделе:

Состав команды и основные направления для взаимодействия

Центр информационной безопасности облака обычно включает в себя следующие типы ролей:

  • ИТ-операции (регулярные близкие контакты);
  • Аналитика угроз
  • Архитектура безопасности
  • программа кадровых рисков;
  • юридический отдел и управление персоналом;
  • команды по связи;
  • организация оценки рисков (при наличии);
  • отраслевые ассоциации, сообщества и поставщики (до возникновения инцидента).

Следующие шаги

Ознакомьтесь с функцией архитектуры безопасности.