Funkce operací zabezpečení (SecOps)
Hlavním cílem funkce secOps (Cloud Security Operations) je detekovat aktivní útoky na podnikové prostředky, reagovat na ně a zotavit se z těchto útoků.
S tím, jak se secOps zraje, by operace zabezpečení měly:
- Reaktivně reagovat na útoky zjištěné nástroji
- Proaktivní vyhledávání útoků, které propadly po reaktivních detekcích
Modernizace
Detekce hrozeb a reakce na ně v současné době prochází významnou modernizací na všech úrovních.
- Zvýšení úrovně řízení obchodních rizik: SOC se pro organizaci mění na klíčovou součást správy obchodních rizik.
- Metriky a cíle: Sledování efektivity SOC se od "času k detekci" vyvíjí k těmto klíčovým ukazatelům:
- Rychlost odezvy prostřednictvím střední doby potvrzení (MTTA).
- Rychlost nápravy prostřednictvím střední doby k nápravě (MTTR).
- Technologický vývoj: Technologie SOC se vyvíjí od výhradního použití statické analýzy protokolů v SIEM a přidává použití specializovaných nástrojů a sofistikovaných analytických technik. To poskytuje podrobné přehledy o prostředcích, které poskytují vysoce kvalitní výstrahy a prostředí pro šetření, které doplňuje široké zobrazení SIEM. Oba typy nástrojů stále častěji využívají umělou inteligenci a strojové učení, analýzu chování a integrovanou analýzu hrozeb, které pomáhají odhalit neobvyklé akce, které by mohly být útočníkem se zlými úmysly, a určit jejich prioritu.
- Proaktivní vyhledávání hrozeb: SoC přidávají vyhledávání hrozeb založené na hypotézách, aby proaktivně identifikovali pokročilé útočníky a přesunuli hlučná upozornění z fronty analytiků.
- Správa incidentů: Disciplína se stává formalizovanou, aby koordinovala netechnické prvky incidentů s právními, komunikačními a dalšími týmy. Integrace interního kontextu: Pomoc při určování priorit aktivit SOC, jako jsou relativní skóre rizika uživatelských účtů a zařízení, citlivost dat a aplikací a klíčové hranice bezpečnostní izolace, které je potřeba pečlivě chránit.
Další informace naleznete v tématu:
- Disciplína operací zabezpečení
- Videa a snímky s osvědčenými postupy pro operace zabezpečení
- Modul workshopu CISO 4b: strategie ochrany před hrozbami
- Série blogu Cyber Defense Operations Center (CDOC) část 1, část 2a, část 2b, část 3a, část 3b, část 3c, část 3d
- Průvodce zpracováním incidentů zabezpečení počítače NIST
- Průvodce NIST pro obnovení událostí kybernetické bezpečnosti
Složení týmu a klíčové vztahy
Centrum operací zabezpečení cloudu se obvykle skládá z následujících typů rolí.
- Provoz IT (uzavření pravidelného kontaktu)
- Analýza hrozeb
- Architektura zabezpečení
- Program insiderských rizik
- Právní a lidské zdroje
- Komunikační týmy
- Organizace rizik (pokud existuje)
- Přidružení, komunity a dodavatelé pro konkrétní odvětví (před výskytem incidentu)
Další kroky
Projděte si funkci architektury zabezpečení.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro