Biztonsági műveletek

Ez a cikk stratégiai útmutatást nyújt a biztonsági műveleti funkciók létrehozására vagy modernizálására vonatkozó vezetők számára. Az architektúrára és a technológiára összpontosító ajánlott eljárásokért tekintse meg a biztonsági műveletek ajánlott eljárásait.

A biztonsági műveletek csökkentik a kockázatot a szervezet erőforrásaihoz hozzáférő támadók által okozott károk korlátozásával. A biztonsági műveletek arra összpontosítanak, hogy csökkentsék az erőforrásokhoz való hozzáférés időtartamát azáltal, hogy észlelik, reagálnak rájuk, és segítenek az aktív támadások utáni helyreállításban.

A gyors reagálás és a helyreállítás a támadó befektetésmegtérülésének (ROI) sérülésével védi a szervezetet. Ha a támadókat kizárják, és új támadás indítására kényszerítik, a szervezet támadási költsége megnő.

A biztonsági műveleteket (SecOps) biztonsági üzemeltetési központnak (SOC) is nevezik vagy strukturálják. Az operatív környezet biztonsági helyzetének kezelése a szabályozási szemlélet egyik funkciója. A DevOps-folyamat biztonsága az innováció biztonsági szemléletének része.

Az alábbi videóból többet is megtudhat a SecOps szolgáltatásról és annak a szervezetet veszélyeztető kockázatok csökkentésében játszott kritikus szerepéről.

Kapcsolatok és folyamat

A biztonsági műveletek rendkívül technikai jellegűek lehetnek, de ami még fontosabb, ez egy emberi szemlélet. Kapcsolatok a biztonsági műveletek legértékesebb eszközei. Az ő tapasztalatuk, készségük, tudásuk, kreativitásuk és leleményességük teszi hatékonyabbá a szemléletet.

A szervezet elleni támadásokat olyan személyek is megtervezik és hajtják végre, mint a bűnözők, kémek és hacktivisták. Míg egyes árucikkes támadások teljesen automatizáltak, a legkárosabbakat gyakran élő emberi támadási operátorok hajtják végre.

Összpontosítson az emberek segítésére: a cél nem az, hogy az embereket automatizálással helyettesítse. Olyan eszközökkel ruházhatja fel munkatársait, amelyek leegyszerűsítik a napi munkafolyamatokat. Ezek az eszközök lehetővé teszik számukra, hogy lépést tartsanak a velük szemben álló emberi támadókkal, vagy megelőzhessék őket.

A jelek (valós észlelések) zajból történő gyors rendezéséhez (téves pozitív észlelések) emberekre és automatizálásra is szükség van. Az automatizálás és a technológia csökkentheti az emberi munkát, de a támadók emberiek, és az emberi ítélőképesség kritikus fontosságú a legyőzésükben.

Diverzifikálja a gondolkodási portfólióját: a biztonsági műveletek rendkívül technikai jellegűek lehetnek, de ez is csak egy új változata a törvényszéki vizsgálatnak, amely számos karrierterületen, például a büntető igazságszolgáltatásban jelenik meg. Ne féljen olyan személyeket felvenni, akik erős szakértelemmel bírnak a vizsgálati, deduktív vagy induktív okokból, és betanítani őket a technológiára.

Győződjön meg arról, hogy az emberek egészséges kultúrával vannak beállítva, és a megfelelő eredményeket mérik. Ezek a gyakorlatok növelhetik a termelékenységet, és az alkalmazottak élvezhetik a munkájukat.

SecOps-kultúra

A főbb kulturális elemek listáját jeleníti meg.

A legfontosabb kulturális elemek, amelyek a következőkre összpontosítanak:

  • Küldetés igazítása: A munka nehézsége miatt a biztonsági műveleteknek mindig tisztában kell lennie azzal, hogyan kapcsolódnak a munkájuk a teljes szervezet küldetéséhez és céljaihoz.
  • Folyamatos tanulás: A biztonsági műveletek rendkívül részletesek, és folyamatosan változnak, mivel a támadók kreatívak és kitartóak. Kritikus fontosságú, hogy folyamatosan tanuljon és dolgozzon a nagy mértékben ismétlődő vagy nagy mértékben manuális feladatok automatizálásán. Az ilyen típusú feladatok gyorsan elhasználhatják a morált és a csapat hatékonyságát. Győződjön meg arról, hogy a kultúra megjutalmazza a tanulást, a fájdalompontok megtalálását és javítását.
  • Csapatmunka: Megtudtuk, hogy a "magányos hős" nem működik a biztonsági műveletekben. Senki sem olyan okos, mint az egész csapat együtt. A csapatmunka emellett a nagy nyomású munkakörnyezetet is élvezetesebbé és hatékonyabbá teszi. Fontos, hogy mindenki visszakapja egymást. Elemzéseket oszthat meg, koordinálhatja és ellenőrizheti egymás munkáját, és folyamatosan tanulhatnak egymástól.

SecOps-metrikák

A legfontosabb mérések, válaszképesség és hatékonyság listáját jeleníti meg.

A metrikák irányítják a viselkedést, ezért a siker mérése kritikus fontosságú elem a helyes működéshez. A metrikák a kultúrát egyértelmű, mérhető célokká alakítják, amelyek az eredményeket eredményezik.

Megtanultuk, hogy kritikus fontosságú figyelembe venni, hogy mit mér, és hogy milyen módokon kell ezekre a metrikákra összpontosítania és kikényszerítenie őket. Felismerheti, hogy a biztonsági műveleteknek kezelniük kell a közvetlen irányításukon kívül álló jelentős változókat, például a támadásokat és a támadókat. A céloktól való eltéréseket elsősorban a folyamat- vagy eszközfejlesztés tanulási lehetőségének kell tekinteni, nem pedig azt feltételezni, hogy az SOC nem felel meg a célnak.

A fő metrikák, amelyek közvetlen hatással vannak a szervezeti kockázatra, a következők:

  • Átlagos nyugtázási idő (MTTA): A válaszképesség azon kevés elemek egyike, amelyek felett a SecOps közvetlenebb vezérlést biztosít. Mérje meg a riasztások közötti időt, például amikor a fény villogni kezd, és amikor egy elemző látja a riasztást, és megkezdi a vizsgálatot. A válaszképesség javításához az elemzőknek nem kell időt pazarolni a téves pozitív eredmények vizsgálatára. Ez könyörtelen rangsorolással érhető el, így biztosítva, hogy minden elemzői választ igénylő riasztási hírcsatornának 90%-os valós pozitív észlelési rekorddal kell rendelkeznie.
  • Szervizelés átlagos ideje (MTTR): A kockázatcsökkentés hatékonysága a következő időszakban méri. Ez az az időszak, amikor az elemző megkezdi a vizsgálatot az incidens szervizelésekor. Az MTTR azonosítja, hogy mennyi ideig tart a SecOps számára a támadó hozzáférésének eltávolítása a környezetből. Ezek az információk segítenek azonosítani, hogy hol érdemes beruházni az elemzők kockázatcsökkentését segítő folyamatokba és eszközökbe.
  • Elhárított incidensek (manuálisan vagy automatizálással): A személyzettel és az eszközökkel kapcsolatos döntések meghozatalának egy másik kulcsfontosságú módja annak mérése, hogy hány incidenst kell manuálisan elhárítani, és hányat oldanak meg automatizálással.
  • Eszkalációk az egyes szintek között: Nyomon követheti, hogy hány incidens eszkalált a szintek között. Segít a számítási feladatok pontos nyomon követésében, hogy tájékoztassa a személyzetet és más döntéseket. Így például az eszkalált incidenseken végzett munka nem a megfelelő csapathoz van rendelve.

Biztonsági üzemeltetési modell

A biztonsági műveletek a nagy mennyiségű és a nagy összetettségű incidensek kombinációját kezelik.

A biztonsági üzemeltetési modellt bemutató ábra.

A biztonsági üzemeltetési csapatok gyakran három fő eredményre összpontosítanak:

  • Incidenskezelés: A környezet elleni aktív támadások kezelése, beleértve a következőket:
    • Aktívan reagál az észlelt támadásokra.
    • Proaktívan keressen olyan támadásokat, amelyek átcsúsztak a hagyományos fenyegetésészleléseken.
    • A biztonsági incidensek jogi, kommunikációs és egyéb üzleti következményeinek összehangolása.
  • Incidens előkészítése: Segítsen a szervezetnek felkészülni a jövőbeli támadásokra. Az incidensek előkészítése egy szélesebb körű stratégiai tevékenységcsoport, amelynek célja az izommemória és a környezet kiépítése a szervezet minden szintjén. Ez a stratégia felkészíti az embereket a nagyobb támadások hatékonyabb kezelésére, és betekintést nyer a biztonsági folyamatok fejlesztésébe.
  • Fenyegetésfelderítés: A biztonsági vezetésen keresztül a fenyegetésfelderítés összegyűjtése, feldolgozása és terjesztése a biztonsági műveletekben, a biztonsági csapatokban, a biztonsági vezetésben és az üzleti vezetésben érdekelt felek számára.

Az eredmények elérése érdekében a biztonsági üzemeltetési csapatokat úgy kell strukturálni, hogy a legfontosabb eredményekre összpontosítsanak. A nagyobb SecOps-csapatokban az eredmények gyakran alrészek között oszlanak meg.

  • Osztályozás (1. szint): A biztonsági incidensekre adott első válaszsor. A osztályozás a riasztások nagy mennyiségű feldolgozására összpontosít, amelyeket általában automatizálás és eszközök hoznak létre. Az osztályozási folyamatok a leggyakoribb incidenstípusok többségét megoldják, és a csapaton belül oldják meg őket. Az összetettebb, korábban még nem látott és megoldott incidenseket a 2. szintre kell eszkalálni.
  • Vizsgálat (2. szint): Az olyan incidensekre összpontosított, amelyek további vizsgálatot igényelnek, és gyakran több forrásból származó adatpontok korrelációját igénylik. Ez a vizsgálati szint ismétlődő megoldásokat kínál a számukra eszkalált problémákra. Ezután lehetővé teszi, hogy az 1. réteg megoldja az adott problématípus későbbi ismétlődéseit. A 2. réteg az üzletileg kritikus rendszerekre vonatkozó riasztásokra is reagál, hogy tükrözze a kockázat súlyosságát és a gyors cselekvés szükségességét.
  • Hunt (3. szint): Elsősorban a rendkívül kifinomult támadási folyamatok proaktív keresésére összpontosított, és útmutatást nyújtott a szélesebb csapatoknak a biztonsági vezérlők érleléséhez. A 3. rétegbeli csapat a súlyos incidensek eszkalációs pontjaként is szolgál a kriminalisztikai elemzés és a reagálás támogatásához.

SecOps business touchpoints

A SecOps több lehetséges interakcióval is rendelkezik az üzleti vezetőséggel.

A SecOps érintőpont-gyakorlatait, az üzleti prioritásokat és a főbb incidensállapotokat bemutató ábra.

  • Üzleti környezet a SecOpshoz: A SecOps-nak tisztában kell lennie azzal, hogy mi a legfontosabb a szervezet számára, hogy a csapat alkalmazhatja ezt a környezetet a folyamatos valós idejű biztonsági helyzetekre. Mi lenne a legnagyobb negatív hatása az üzletre? Kritikus rendszerek leállása? A hírnév és az ügyfelek bizalmának elvesztése? Bizalmas adatok nyilvánosságra hozatala? Illetéktelen hozzáférést ad a kritikus adatokhoz vagy rendszerekhez? Megtanultuk, hogy kritikus fontosságú, hogy az SOC főbb vezetői és munkatársai megértsék ezt a kontextust. Át fog haladni az információk és osztályozási incidensek folyamatos áradatán, és rangsorolja az időt, a figyelmet és az erőfeszítést.
  • Közös gyakorlat a SecOpsszal: Az üzleti vezetőknek rendszeresen csatlakozniuk kell a SecOpshoz a nagyobb incidensekre adott válaszok gyakorlása során. Ez a képzés felépíti az izommemóriát és azokat a kapcsolatokat, amelyek kritikus fontosságúak a gyors és hatékony döntéshozatalhoz a valós incidensek nagy nyomása esetén, csökkentve a szervezeti kockázatot. Ez a gyakorlat azzal is csökkenti a kockázatot, hogy olyan hiányosságokat és feltételezéseket tár fel a folyamatban, amelyek egy valós incidens bekövetkezése előtt javíthatók.
  • A SecOps főbb incidenseinek frissítései: A SecOpsnak frissítéseket kell nyújtania az üzleti érdekelt feleknek a jelentős incidensek bekövetkeztekor. Ez az információ lehetővé teszi az üzleti vezetők számára, hogy megértsék a kockázatukat, és proaktív és reaktív lépéseket tegyenek a kockázat kezeléséhez. A Microsoft észlelési és reagálási csapata által a főbb incidensekkel kapcsolatos további információkért tekintse meg az incidensmegoldás referencia-útmutatóját.
  • Az SOC üzleti intelligenciája: A SecOps néha azt észleli, hogy a támadók nem várt rendszert vagy adatkészletet céloznak meg. A felderítések során a fenyegetésfelderítési csapatnak meg kell osztania ezeket a jeleket az üzleti vezetőkkel, mivel betekintést nyerhetnek az üzleti vezetők számára. Például a vállalaton kívüli személy tud egy titkos projektről, vagy váratlan támadócélok emelik ki egy másként figyelmen kívül hagyott adathalmaz értékét.

SecOps modernizáció

Más biztonsági szemléletekhez hasonlóan a biztonsági műveletek is a folyamatosan fejlődő üzleti modellek, támadók és technológiai platformok átalakító hatásával szembesülnek.

A biztonsági műveletek átalakítását elsősorban a következő trendek vezérlik:

  • Felhőplatform lefedettsége: A biztonsági műveleteknek észlelniük kell a vállalati tulajdont érintő támadásokat, és reagálniuk kell rájuk, beleértve a felhőbeli erőforrásokat is. A felhőerőforrások egy új és gyorsan fejlődő platform, amely gyakran ismeretlen a SecOps-szakemberek számára.
  • Váltás az identitásközpontú biztonságra: A hagyományos SecOps nagy mértékben támaszkodik a hálózatalapú eszközökre, de most már integrálnia kell az identitást, a végpontot, az alkalmazást és más eszközöket és készségeket. Ennek az integrációnak az az oka, hogy:
    • A támadók identitástámadásokat, például adathalászatot, hitelesítőadat-lopást, jelszófeltörést és más támadástípusokat építettek be az arzenáljukba, amelyek megbízhatóan elkerülik a hálózatalapú észleléseket.
    • Az értékes eszközök, például a saját eszközök (BYOD) használata, életciklusuk egy részét vagy egészét a hálózat peremhálózatán kívül töltik, korlátozva a hálózatészlelések hasznosságát.
  • Eszközök internetes hálózata (IoT) és működési technológia (OT) lefedettsége: A támadók támadási láncuk részeként aktívan célba vesznek IoT- és OT-eszközöket. Ezek a célok lehetnek a támadás végső célja, vagy a környezet elérésére vagy bejárására szolgáló eszközök.
  • A telemetria felhőbeli feldolgozása: A biztonsági műveletek modernizálására a felhőből származó releváns telemetriai adatok jelentős növekedése miatt van szükség. Ezt a telemetriát nehéz vagy lehetetlen feldolgozni a helyszíni erőforrásokkal és a klasszikus technikákkal. Ez aztán arra ösztönzi a SecOpst, hogy olyan felhőszolgáltatásokat használjon, amelyek nagy léptékű elemzést, gépi tanulást és viselkedéselemzést biztosítanak. Ezek a technológiák segítenek gyorsan kinyerni az értéket, hogy megfeleljenek a biztonsági műveletek időérzékeny igényeinek.

Fontos a frissített SecOps-eszközökbe és -képzésbe fektetni, hogy a biztonsági műveletek megfeleljenek ezeknek a kihívásoknak. További információ: Incidensmegoldási folyamatok frissítése a felhőben.

A biztonsági műveletek szerepköreivel és felelősségeivel kapcsolatos további információkért lásd: Biztonsági műveletek.

További architektúra- és technológiaközpontú ajánlott eljárásokért tekintse meg a Microsoft biztonsági műveleteire vonatkozó ajánlott eljárásokat , valamint a videókat és diákat.

Következő lépések

A következő szemlélet az eszközvédelem.