Функции информационной безопасности (SecOps)
Основной целью функции информационной безопасности облака (SecOps) является обнаружение активных атак на корпоративные ресурсы и последующие реагирование и восстановление.
По мере формирования SecOps в круг задач входит:
- Реагирование на атаки, обнаруженные с помощью инструментов.
- Упреждающая охота на атаки, которые были пропущены при прошлом обнаружении.
при модернизации.
Система обнаружение угроз и реагирования на них в данный момент подвергается масштабной модернизации на всех уровнях.
- Повышение привилегий для управления рисками для бизнеса. SOC превращается в ключевой компонент системы управления бизнес-рисками организации.
- Метрики и цели: отслеживание эффективности SOC развивается с "времени для обнаружения" до следующих ключевых показателей:
- скорость реагирования в виде среднего времени подтверждения (MTTA);
- скорость исправления в виде среднего времени восстановления (MTTR).
- Технологическое развитие. SOC развивается на технологическом уровне и использует не только статический анализ журналов в системе управления информационной безопасностью и событиями безопасности (SIEM), но и внедряет специализированные средства и сложные методы анализа. Эти средства и методы дают аналитические сведения о ресурсах и обеспечивают высококачественные оповещения и возможности для исследования угроз в дополнение к представлению SIEM. Оба типа инструментов все чаще используют искусственный интеллект и машинное обучение, аналитику поведения и интегрированную аналитику угроз для выявления аномальных действий, которые могут оказаться атаками, и назначения им приоритетов.
- Охота на угрозы. SOC добавляет охоту на угрозы на основе гипотез, которая позволяет заранее определить опытных злоумышленников и убрать лишние оповещения из очередей у линейных аналитиков.
- Управление инцидентами. Формируется дисциплина для координации нетехнических вопросов инцидентов с юридическими отделами, отделами связи и другими командами. Интеграция внутреннего контекста. Контекст поможет назначать приоритеты для действий SOC и может включать, например, относительные показатели рисков учетных записей и устройств пользователей, степень конфиденциальности данных и основные границы изоляции безопасности для активной защиты.
Дополнительные сведения см. в разделе:
- Видео и слайды с рекомендациями по обеспечению информационной безопасности
- Модуль 4b семинара CISO: стратегия защиты от угроз
- Блог центра киберзащиты Майкрософт (CDOC), часть 1, часть 2A, часть 2b, часть 3a, часть 3b, часть 3c, часть 3d
- Руководство Национального института стандартов и технологий по реагированию на инциденты информационной безопасности
- Рекомендации NIST по восстановлению после событий кибербезопасности
Состав команды и основные направления для взаимодействия
Центр информационной безопасности облака обычно включает в себя следующие типы ролей:
- ИТ-операции (регулярные близкие контакты);
- Аналитика угроз
- Архитектура безопасности
- программа кадровых рисков;
- юридический отдел и управление персоналом;
- команды по связи;
- организация оценки рисков (при наличии);
- отраслевые ассоциации, сообщества и поставщики (до возникновения инцидента).
Следующие шаги
Ознакомьтесь с функцией архитектуры безопасности.