Übersicht über Sicherheitsvorgänge
Sicherheitsoperationen (SecOps) erhalten die Sicherheitsgarantien des Systems aufrecht und stellen sie wieder her, wenn lebende Angreifer es angreifen. Das NIST Cybersecurity Framework beschreibt die SecOps-Funktionen Detect, Respond und Recover gut.
Erkennen – SecOps müssen die Anwesenheit von Gegnern im System erkennen, die in den meisten Fällen einen Anreiz haben, sich zu verstecken, damit sie ihre Ziele ungehindert erreichen können. Sicherheitsvorgänge können in Form einer Reaktion auf eine Warnung über verdächtige Aktivitäten oder als proaktive Suche nach anomalen Ereignissen in den Aktivitätsprotokollen des Unternehmens erfolgen.
Antworten – Nach der Entdeckung einer potenziellen gegnerischen Aktion oder Kampagne müssen die SecOps schnell ermitteln, ob es sich um einen tatsächlichen Angriff (True Positive) oder einen Fehlalarm (False Positive) handelt und dann den Umfang und das Ziel der gegnerischen Operation aufzählen.
Wiederherstellen – Das ultimative Ziel von SecOps ist es, die Sicherheitsgarantien (Vertraulichkeit, Integrität, Verfügbarkeit) von Geschäftsdiensten während und nach einem Angriff zu erhalten oder wiederherzustellen.
Das größte Sicherheitsrisiko, dem die meisten Unternehmen ausgesetzt sind, geht von menschlichen Angreifern (mit unterschiedlichem Kenntnisstand) aus. Das Risiko automatisierter/wiederholter Angriffe wurde für die meisten Unternehmen durch Signaturen und auf maschinellem Lernen basierende Ansätze, die in Anti-Malware integriert sind, erheblich gemindert. Allerdings gibt es bemerkenswerte Ausnahmen wie Wannacrypt und NotPetya, die sich schneller bewegen als diese Abwehrmechanismen).
Menschliche Angreifer sind aufgrund ihrer Anpassungsfähigkeit (im Gegensatz zu automatisierter/wiederholter Logik) zwar eine Herausforderung, aber sie arbeiten mit der gleichen „menschlichen Geschwindigkeit“ wie die Verteidiger, was dazu beiträgt, das Spielfeld zu ebnen.
SecOps (manchmal auch als Security Operations Center (SOC) bezeichnet) spielt eine entscheidende Rolle, wenn es darum geht, die Zeit und den Zugriff eines Angreifers auf wertvolle Systeme und Daten zu begrenzen. Mit jeder Minute, in der ein Angreifer in der Umgebung agieren kann, kann er mehr Angriffsaktionen durchführen und auf mehr sensible oder wertvolle Systeme zugreifen.