Biztonsági műveletek (SecOps) függvényei

A felhőbiztonsági műveletek (SecOps) fő célja a vállalati eszközök elleni aktív támadások észlelése, megválaszolása és helyreállítása.

Ahogy a SecOps kiforrott, a biztonsági műveleteknek a következőkre van szükség:

  • Aktívan válaszol az eszközök által észlelt támadásokra
  • Proaktív keresés a reaktív észleléseken áteső támadásokra

Korszerűsítése

A fenyegetések észlelése és az azokra való reagálás jelenleg jelentős modernizáción megy keresztül minden szinten.

  • Jogosultságszint emelése az üzleti kockázatkezeléshez: Az SOC a szervezet üzleti kockázatainak kezelésének kulcsfontosságú összetevője
  • Metrikák és célok: Az SOC hatékonyságának nyomon követése az "észlelés időpontjától" a következő főbb mutatókig fejlődik:
    • Válaszképesség a nyugtázás átlagos ideje (MTTA) révén.
    • Szervizelési sebesség a szervizelés átlagos ideje alatt (MTTR).
  • Technológia fejlődése: A SOC technológia a naplók SIEM-ben végzett statikus elemzésének kizárólagos felhasználásából fejlődik ki, és speciális eszközök és kifinomult elemzési technikák használatát teszi lehetővé. Ez részletes betekintést nyújt az olyan eszközökbe, amelyek kiváló minőségű riasztásokat és vizsgálati élményt nyújtanak, amelyek kiegészítik az SIEM átfogó nézetét. Mindkét eszköztípus egyre inkább a mesterséges intelligenciát és a gépi tanulást, a viselkedéselemzést és az integrált fenyegetésfelderítést használja, hogy segítsen felderíteni és rangsorolni azokat a rendellenes műveleteket, amelyek rosszindulatú támadók lehetnek.
  • Veszélyforrás-keresés: A SOC-k hipotézisalapú fenyegetéskeresést adnak hozzá a fejlett támadók proaktív azonosításához, és zajos riasztásokat váltanak ki az előtérbeli elemzői várólistákról.
  • Incidenskezelés: A szemlélet egyre formálisabbá válik az incidensek nem műszaki elemeinek jogi, kommunikációs és más csapatokkal való koordinálása érdekében. Belső környezet integrálása: Az SOC-tevékenységek, például a felhasználói fiókok és eszközök relatív kockázati pontszámai, az adatok és alkalmazások bizalmassága, valamint a kulcsfontosságú biztonsági elkülönítési határok rangsorolása a szigorú védelem érdekében.

További információkért lásd:

Csapatösszeállítás és kulcskapcsolatok

A felhőbiztonsági üzemeltetési központ általában a következő szerepkörtípusokból áll.

  • Informatikai műveletek (rendszeres kapcsolatfelvétel bezárása)
  • Fenyegetésészlelési intelligencia
  • Biztonsági architektúra
  • Insider risk program
  • Jogi és emberi erőforrások
  • Kommunikációs csapatok
  • Kockázatkezelés (ha van ilyen)
  • Iparágspecifikus szövetségek, közösségek és szállítók (az incidens bekövetkezése előtt)

Következő lépések

Tekintse át a biztonsági architektúra működését.