Biztonsági műveletek (SecOps) függvényei
A felhőbiztonsági műveletek (SecOps) fő célja a vállalati eszközök elleni aktív támadások észlelése, megválaszolása és helyreállítása.
A SecOps kiforrottságának megfelelően a biztonsági műveleteknek a következőknek kell lennie:
- Az eszközök által észlelt támadásokra való aktív reagálás
- Proaktívan keressen olyan támadásokat, amelyek átcsúsztak a reaktív észleléseken
Korszerűsítése
A fenyegetések észlelése és megválaszolása jelenleg minden szinten jelentős modernizáción megy keresztül.
- Emelt szintű üzleti kockázatkezelés: A SOC a szervezet üzleti kockázatainak kezelésének egyik fő összetevője
- Metrikák és célok: Az SOC hatékonyságának nyomon követése az "észlelési idő" időről a következő főbb mutatókra változik:
- Válaszképesség a nyugtázás középidejűségében (MTTA).
- Szervizelési sebesség középidőn keresztül a szervizeléshez (MTTR).
- Technológia fejlődése: A SOC technológia a naplók SIEM-ben végzett statikus elemzésének kizárólagos használatával fejlődik, hogy speciális eszközhasználatot és kifinomult elemzési technikákat használjon. Ez részletes betekintést nyújt az olyan eszközökbe, amelyek kiváló minőségű riasztásokat és vizsgálati élményt biztosítanak, amelyek kiegészítik az SIEM teljes körű nézetét. Mindkét eszköztípus egyre gyakrabban használja a mesterséges intelligenciát és a gépi tanulást, a viselkedéselemzést és az integrált fenyegetésfelderítést, hogy segítsen észlelni és rangsorolni azokat a rendellenes műveleteket, amelyek rosszindulatú támadók lehetnek.
- Veszélyforrás-keresés: A socsok hipotézisalapú fenyegetéskeresést adnak hozzá a fejlett támadók proaktív azonosításához, és zajos riasztásokat helyeznek el az előtérbeli elemzői várólistákról.
- Incidenskezelés: A fegyelem egyre formálisabbá válik az incidensek nem technikai elemeinek jogi, kommunikációs és más csapatokkal való összehangolásához. Belső környezet integrációja: Az SOC-tevékenységek, például a felhasználói fiókok és eszközök relatív kockázati pontszámai, az adatok és alkalmazások bizalmassága, valamint a legfontosabb biztonsági elkülönítési határok rangsorolása a szigorú védelem érdekében.
További információkért lásd:
- Biztonsági műveletek szemlélete
- Biztonsági műveletek – ajánlott eljárások videók és diák
- CISO workshop module 4b: threat protection strategy
- Cyber Defense Operations Center (CDOC) blogsorozat 1. rész, 2a. rész, 2b. rész, 3a. rész, 3b. rész, 3c. rész, 3d. rész
- A NIST számítógép biztonsági incidenskezelési útmutatója
- NIST-útmutató a kiberbiztonsági események helyreállításához
Csapatösszeállítás és kulcskapcsolatok
A felhőbiztonsági üzemeltetési központ általában a következő szerepkörtípusokból áll.
- Informatikai műveletek (rendszeres kapcsolatfelvétel bezárása)
- Fenyegetésészlelési intelligencia
- Biztonsági architektúra
- Insider risk program
- Jogi és emberi erőforrások
- Kommunikációs csapatok
- Kockázatkezelés (ha van)
- Iparágspecifikus szövetségek, közösségek és szállítók (az incidens bekövetkezése előtt)
Következő lépések
Tekintse át a biztonsági architektúra működését.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: