Biztonsági műveletek áttekintése

  • Cikk

A biztonsági műveletek (SecOps) fenntartják és visszaállítják a rendszer biztonsági garanciáit, miközben az élő támadók megtámadják. A NIST kiberbiztonsági keretrendszer a Jól észlelés, válasz és helyreállítás SecOps-funkcióit ismerteti.

  • Detect – A SecOps-nak észlelnie kell a támadók jelenlétét a rendszerben, akik a legtöbb esetben rejtve maradnak, lehetővé téve számukra, hogy akadálytalanul elérjék céljaikat. Ez a gyanús tevékenységek riasztására való reagálás vagy a rendellenes események proaktív keresésének formájában jelenhet meg a vállalati tevékenységnaplókban.

  • Válasz – A potenciális támadó akció vagy kampány észlelésekor a SecOpsnak gyorsan meg kell vizsgálnia, hogy tényleges támadásról (valódi pozitív) vagy hamis riasztásról (hamis pozitív) van-e szó, majd számba kell vennie a támadó művelet hatókörét és célját.

  • Helyreállítás – A SecOps végső célja az üzleti szolgáltatások biztonsági garanciáinak (titkosság, integritás, rendelkezésre állás) megőrzése vagy visszaállítása egy támadás során és után.

A legtöbb szervezet számára a legnagyobb biztonsági kockázatot az emberi támadási operátorok jelentik (különböző képzettségi szinteken). Az automatizált/ismétlődő támadások kockázata jelentősen csökkent a legtöbb szervezet számára a kártevőirtókba beépített aláírás- és gépi tanulási alapú megközelítésekkel. Bár meg kell jegyezni, hogy vannak olyan jelentős kivételek, mint a Wannacrypt és a NotPetya, amelyek gyorsabban mozognak, mint ezek a védelem).

Míg az emberi támadási operátorok alkalmazkodóképességük miatt (szemben az automatizált/ismétlődő logikával) kihívást jelentenek, a védőkkel azonos "emberi sebességgel" működnek, ami segít kiegyenlíteni a játékteret.

A SecOps (más néven biztonsági műveleti központ (SOC) kritikus szerepet játszik az idő korlátozásában, és a támadók értékes rendszerekhez és adatokhoz juthatnak. Minden percben, amikor a támadó a környezetben van, lehetővé teszi számukra, hogy továbbra is támadási műveleteket hajtsanak végre, és hozzáférjenek a bizalmas vagy értékes rendszerekhez.