Ringkasan operasi keamanan

  • Artikel

Operasi keamanan (SecOps) mempertahankan dan memulihkan jaminan keamanan sistem saat musuh langsung menyerangnya. Nist Cybersecurity Framework menjelaskan fungsi SecOps dari Deteksi, Respons, dan Pulihkan dengan baik.

  • Deteksi - SecOps harus mendeteksi keberadaan iklan dalam sistem, yang diinsentifkan untuk tetap tersembunyi dalam kebanyakan kasus, memungkinkan mereka untuk mencapai tujuan mereka yang tidak di-unimped. Ini dapat berupa bereaksi terhadap peringatan aktivitas mencurigakan atau secara proaktif berburu peristiwa anomali di log aktivitas perusahaan.

  • Tanggapi - Setelah mendeteksi potensi tindakan musuh atau kampanye, SecOps harus dengan cepat menyelidiki untuk mengidentifikasi apakah itu serangan aktual (positif sejati) atau alarm palsu (positif palsu) dan kemudian menghitung cakupan dan tujuan operasi musuh.

  • Recover - Tujuan utama SecOps adalah untuk mempertahankan atau memulihkan jaminan keamanan (kerahasiaan, integritas, ketersediaan) layanan bisnis selama dan setelah serangan.

Risiko keamanan paling signifikan yang dihadapi sebagian besar organisasi adalah dari operator serangan manusia (dengan berbagai tingkat keahlian). Risiko dari serangan otomatis/berulang telah dimitigasi secara signifikan untuk sebagian besar organisasi dengan pendekatan berbasis tanda tangan dan pembelajaran mesin yang dibangun ke dalam anti-malware. Meskipun perlu dicatat bahwa ada pengecualian penting seperti Wannacrypt dan NotPetya, yang bergerak lebih cepat daripada pertahanan ini).

Meskipun operator serangan manusia menantang untuk dihadapi karena kemampuan beradaptasi mereka (vs. logika otomatis/berulang), mereka beroperasi pada "kecepatan manusia" yang sama dengan pembela, yang membantu meningkatkan lapangan bermain.

SecOps (terkadang disebut sebagai Security Operations Center (SOC)) memiliki peran penting untuk dimainkan dalam membatasi waktu dan mengakses penyerang dapat sampai ke sistem dan data yang berharga. Setiap menit yang dimiliki penyerang di lingkungan memungkinkan mereka untuk terus melakukan operasi serangan dan mengakses sistem sensitif atau berharga.