Übersicht über Sicherheitsvorgänge

Security Operations (SecOps) aufrechterhalten und wiederherstellen die Sicherheitsgarantien des Systems, wenn Live-Angreifer es angreifen. Das NIST Cybersecurity Framework beschreibt die SecOps-Funktionen erkennen, reagieren und wiederherstellen.

  • Erkennen : SecOps muss die Anwesenheit von Angreifern im System erkennen, die in den meisten Fällen dazu angehalten sind, verborgen zu bleiben, sodass sie ihre Ziele ungehindert erreichen können. Sicherheitsvorgänge können in Form einer Reaktion auf eine Warnung über verdächtige Aktivitäten oder als proaktive Suche nach anomalen Ereignissen in den Aktivitätsprotokollen des Unternehmens erfolgen.

  • Reaktion : Nach der Erkennung potenzieller Angreiferaktionen oder Kampagnen muss SecOps schnell untersuchen, um zu ermitteln, ob es sich um einen tatsächlichen Angriff (true positive) oder um einen Falschen Alarm (falsch positiv) handelt, und dann den Umfang und das Ziel des Angriffs auflisten.

  • Wiederherstellen : Das ultimative Ziel von SecOps besteht darin, die Sicherheitsgarantien (Vertraulichkeit, Integrität, Verfügbarkeit) von Geschäftsdiensten während und nach einem Angriff beizubehalten oder wiederherzustellen.

Das größte Sicherheitsrisiko, dem die meisten Unternehmen ausgesetzt sind, geht von menschlichen Angreifern (mit unterschiedlichem Kenntnisstand) aus. Das Risiko durch automatisierte/wiederholte Angriffe wurde für die meisten Organisationen durch signatur- und machine learning-basierte Ansätze, die in die Antischadsoftware integriert sind, erheblich gemindert. Es muss jedoch beachtet werden, dass es bemerkenswerte Ausnahmen wie Wannacrypt und NotPetya gibt, die schneller als diese Verteidigungen bewegt wurden).

Während menschliche Angriffsoperatoren aufgrund ihrer Anpassungsfähigkeit (im Vergleich zu automatisierter/wiederholter Logik) schwierig zu bewältigen sind, arbeiten sie mit der gleichen "menschlichen Geschwindigkeit" wie Verteidiger, die dazu beitragen, das Spielfeld zu nivellieren.

SecOps (manchmal auch als Security Operations Center (SOC) bezeichnet) spielt eine wichtige Rolle bei der Begrenzung der Zeit und des Zugriffs, den ein Angreifer auf wertvolle Systeme und Daten zugreifen kann. Mit jeder Minute, in der ein Angreifer in der Umgebung agieren kann, kann er mehr Angriffsaktionen durchführen und auf mehr sensible oder wertvolle Systeme zugreifen.