Funktioner för säkerhetsåtgärder (SecOps)

Huvudsyftet med en secops-funktion (cloud security operations) är att identifiera, svara på och återställa från aktiva attacker på företagstillgångar.

När SecOps mognar bör säkerhetsåtgärder:

• Svara reaktivt på attacker som identifierats av verktyg
• Proaktiv jakt efter attacker som halkat förbi reaktiva identifieringar

Modernisering

Identifiering och svar på hot genomgår för närvarande betydande modernisering på alla nivåer.

• Utökade affärsriskhantering: SOC växer till en viktig komponent för att hantera affärsrisker för organisationen
• Mått och mål: Spårning av SOC-effektivitet utvecklas från "tid till identifiering" till dessa nyckelindikatorer:
  • Svarstider via genomsnittlig tid för att bekräfta (MTTA).
  • Reparationshastighet via genomsnittlig tid för reparation (MTTR).
• Teknikutveckling: SOC-teknik utvecklas från exklusiv användning av statisk analys av loggar i ett SIEM för att lägga till användningen av specialiserade verktyg och avancerade analystekniker. Detta ger djupa insikter om tillgångar som ger aviseringar av hög kvalitet och undersökningsupplevelse som kompletterar siem-vyns breddvy. Båda typerna av verktyg använder i allt högre grad AI och maskininlärning, beteendeanalys och integrerad hotinformation för att upptäcka och prioritera avvikande åtgärder som kan vara skadliga angripare.
• Hotjakt: SOC lägger till hypotesdriven hotjakt för att proaktivt identifiera avancerade angripare och flytta bullriga aviseringar från analytikerköer i frontlinjen.
• Incidenthantering: Disciplin formaliseras för att samordna icke-tekniska delar av incidenter med juridiska, kommunikationsmässiga och andra team. Integrering av intern kontext: För att hjälpa till att prioritera SOC-aktiviteter som relativa riskpoäng för användarkonton och enheter, känslighet för data och program och viktiga gränser för säkerhetsisolering som ska försvaras noggrant.

Mer information finns i:

• Metodtips för säkerhetsåtgärder videor och bilder
• CISO-verkstadsmodul 4b: strategi för skydd mot hot
• Cyber Defense Operations Center (CDOC) bloggserie del 1, del 2a, del 2b, del 3a, del 3b, del 3c, del 3d
• Hanteringsguide för NIST-datorsäkerhetsincidenter
• NIST-guide för återställning av cybersäkerhetshändelser

Teamsammansättning och nyckelrelationer

Cloud Security Operations Center består ofta av följande typer av roller.

• IT-åtgärder (stäng regelbunden kontakt)
• Hotinformation
• Säkerhetsarkitektur
• Insiderriskprogram
• Juridiska resurser och personalresurser
• Kommunikationsteam
• Riskorganisation (om det finns)
• Branschspecifika associationer, communities och leverantörer (innan incidenten inträffar)

Nästa steg

Granska funktionen för säkerhetsarkitektur.