Přehled operací zabezpečení

Operace zabezpečení (SecOps) udržují a obnovují bezpečnostní záruky systému, když na něj útočí živí protivníci. Rámec kybernetické bezpečnosti NIST dobře popisuje funkce SecOps: zjištění (Detect), reakce (Respond) a obnovení (Recover).

• Zjistit – SecOps musí zjistit přítomnost protivníků v systému, kteří jsou motivováni zůstat ve většině případů skrytí, což jim umožňuje dosáhnout svých cílů bez překážek. To může mít podobu reakce na upozornění na podezřelou aktivitu nebo proaktivní vyhledávání neobvyklých událostí v protokolech podnikových aktivit.

• Reakce – Při detekci potenciální nežádoucí akce nebo kampaně musí SecOps rychle prošetřit, aby bylo možné zjistit, jestli se jedná o skutečný útok (pravdivě pozitivní) nebo falešný poplach (falešně pozitivní) a pak vytvořit výčet rozsahu a cíle nežádoucí operace.

• Obnovení – konečným cílem SecOps je zachovat nebo obnovit záruky zabezpečení (důvěrnost, integrita, dostupnost) obchodních služeb během útoku a po útoku.

Nejvýznamnější bezpečnostní riziko, kterým čelí většina organizací, je od operátorů lidských útoků (různých úrovní dovedností). Riziko automatizovaných a opakovaných útoků se výrazně zmírňovalo u většiny organizací přístupy založenými na podpisu a strojovém učení, které jsou integrované v antimalwaru. I když je třeba poznamenat, že existují významné výjimky, jako je Wannacrypt a NotPetya, které se šířily rychleji než tyto obrany.

Zatímco lidské útočné operátory je náročné čelit kvůli jejich adaptabilitě oproti automatizované/opakované logice, pracují ve stejné "lidské rychlosti" jako obránci, což pomáhá vyrovnat podmínky.

Operace SecOps (někdy označovaná jako Security Operations Center (SOC)) má důležitou roli, která může hrát při omezení času a přístupu útočníka k cenným systémům a datům. Každá minuta, kterou útočník v prostředí má, mu umožní pokračovat v provádění operací útoku a přístupu k citlivým nebo cenným systémům.