Funzioni delle operazioni per la sicurezza (SecOps)
L'obiettivo principale di una funzione delle operazioni per sicurezza (SecOps) del cloud è rilevare, rispondere e recuperare da attacchi attivi agli asset aziendali.
Man mano che SecOps evolve, le operazioni per la sicurezza devono:
- Rispondere in modo reattivo agli attacchi rilevati dagli strumenti
- Cercare in modo proattivo gli attacchi che sono sfuggiti ai rilevamenti reattivi
Modernizzazione
Il rilevamento e la risposta alle minacce sono attualmente in fase di modernizzazione significativa a tutti i livelli.
- Elevazione alla gestione dei rischi aziendali: SOC sta diventando un componente chiave della gestione dei rischi aziendali per l'organizzazione
- Metriche e obiettivi: il rilevamento dell'efficacia di SOC si sta evolvendo da "tempo per rilevare" a questi indicatori chiave:
- Velocità di risposta tramite il tempo medio di riconoscimento (MTTA).
- Velocità di correzione tramite il tempo medio di correzione (MTTR).
- Evoluzione della tecnologia: la tecnologia SOC si sta evolvendo dall'uso esclusivo dell'analisi statica dei log in un SIEM all'aggiunta dell'uso di strumenti specializzati e tecniche di analisi sofisticate. Ciò fornisce informazioni approfondite sulle risorse che offrono avvisi di alta qualità e un'esperienza di analisi che completano la visione dell'ampiezza del SIEM. Entrambi i tipi di strumenti usano sempre più l'intelligenza artificiale e l'apprendimento automatico, l'analisi del comportamento e l'intelligence sulle minacce integrata per individuare e classificare in ordine di priorità le azioni anomale che potrebbero rappresentare un utente malintenzionato.
- Ricerca delle minacce: i SOC stanno aggiungendo la ricerca delle minacce basata su ipotesi per identificare in modo proattivo gli utenti malintenzionati avanzati e spostare gli avvisi fastidiosi dalle code degli analisti in prima linea.
- Gestione degli eventi imprevisti: la disciplina si sta formalizzando per coordinare gli elementi non tecnici degli eventi imprevisti con i team legali, di comunicazione e di altro tipo. Integrazione del contesto interno: per definire la priorità delle attività SOC, come i punteggi di rischio relativo di account utente e dispositivi, la riservatezza dei dati e delle applicazioni e i limiti di isolamento della sicurezza per una forma di difesa attiva.
Per altre informazioni, vedere:
- Disciplina delle operazioni per la sicurezza
- Video e diapositive sulle procedure consigliate per le operazioni per la sicurezza
- Modulo 4b del workshop CISO: Strategia di protezione dalle minacce
- Serie di blog di Cyber Defense Operations Center (CDOC) parte 1, parte 2a, parte 2b, parte 3a, parte 3b, parte 3c, parte 3d
- Guida alla gestione degli eventi imprevisti di sicurezza dei computer di NIST
- Guida NIST per il ripristino degli eventi di sicurezza informatica
Composizione del team e relazioni chiave
Il centro operazioni per la sicurezza del cloud è in genere costituito dai tipi di ruoli seguenti.
- Operazioni IT (stretto contatto regolare)
- Intelligence per le minacce
- Architettura di sicurezza
- Programma di rischio Insider
- Risorse legali e umane
- Team di comunicazione
- Organizzazione dei rischi (se presente)
- Associazioni, community e fornitori specifici del settore (prima che si verifichi un evento imprevisto)
Passaggi successivi
Esaminare la funzione dell'architettura di sicurezza.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per