Condividi tramite

Operazioni per la sicurezza

  • Articolo

Questo articolo offre materiale sussidiario strategico per i leader che definiscono o modernizzano una funzione delle operazioni di sicurezza. Per le procedure consigliate incentrate sull'architettura e sulla tecnologia, vedere Procedure consigliate per le operazioni di sicurezza.

Le operazioni di sicurezza riducono i rischi limitando i danni causati da utenti malintenzionati che ottengono l'accesso alle risorse dell'organizzazione. Le operazioni di sicurezza si concentrano sulla riduzione del tempo in cui gli utenti malintenzionati hanno accesso alle risorse rilevando, rispondendo e contribuendo al recupero da attacchi attivi.

La risposta rapida e il recupero proteggono l'organizzazione danneggiando il ritorno sugli investimenti (ROI) dell'avversario. Quando gli avversari vengono respinti e costretti a iniziare un nuovo attacco, il costo dell'attacco all'organizzazione aumenta.

Le operazioni di sicurezza (SecOps) vengono talvolta definite o strutturate come centro operazioni per la sicurezza (SOC). La gestione della postura di sicurezza dell'ambiente operativo è una funzione della disciplina di governance. La sicurezza del processo DevOps è parte della disciplina di sicurezza dell'innovazione.

Guardare il video seguente per altre informazioni su SecOps e sul suo ruolo critico per ridurre il rischio per l'organizzazione.

Persone e processo

Le operazioni di sicurezza possono essere altamente tecniche, ma, cosa ancora più importante, si tratta di una disciplina umana. Le persone sono l'asset più prezioso nelle operazioni di sicurezza. La loro esperienza, competenza, intuito, creatività e intraprendenza sono ciò che rende efficace la disciplina.

Anche gli attacchi all'organizzazione vengono pianificati e condotti da persone, come criminali, spie e hacktivisti. Mentre alcuni attacchi commodity sono completamente automatizzati, quelli più dannosi vengono spesso eseguiti da operatori di attacchi umani in tempo reale.

Concentrarsi sul potenziamento delle persone: l'obiettivo non deve essere quello di sostituire le persone con l'automazione. Offrire alle persone strumenti che semplificano i flussi di lavoro quotidiani. Questi strumenti consentono loro di stare al passo o anticipare le mosse degli avversari umani.

La capacità di distinguere rapidamente il segnale (rilevamenti reali) dal rumore (falsi positivi) richiede un investimento in esseri umani e automazione. L'automazione e la tecnologia possono ridurre il lavoro umano, ma gli utenti malintenzionati sono umani e il giudizio umano è fondamentale per sconfiggerli.

Diversificare il portfolio di pensiero: sebbene le operazioni di sicurezza possano essere altamente tecniche, si tratta sostanzialmente di una nuova versione delle indagini per scopi legali presenti in molti campi professionali come quello della giustizia penale. Non avere paura di assumere persone con una solida competenza nell'indagine o nei motivi deduttivi o induttivi e di formarle sulla tecnologia.

Assicurarsi che le persone applichino una sana cultura aziendale e pongano attenzione ai risultati corretti. Queste procedure possono aumentare la produttività e la soddisfazione nel proprio lavoro da parte dei dipendenti.

Cultura di DevOps

Mostra l'elenco di elementi culturali chiave.

I principali elementi culturali su cui concentrarsi includono:

  • Allineamento della mission: considerato l'impegno che richiedono, le operazioni di sicurezza devono sempre tenere presente il loro collegamento alla mission e agli obiettivi generali dell'organizzazione.
  • Apprendimento continuo: le operazioni di sicurezza sono attività estremamente dettagliate e in perenne cambiamento poiché gli utenti malintenzionati sono creativi e insistenti. L'apprendimento continuo e l'automazione delle attività altamente ripetitive o altamente manuali sono fondamentali. Questi tipi di attività possono logorare rapidamente il morale e l'efficacia del team. Assicurarsi che la cultura premi l'apprendimento, la ricerca e la correzione di questi punti di difficoltà.
  • Lavoro di squadra: la figura dell'"eroe solitario" non premia nelle operazioni di sicurezza. Il lavoro del singolo non sarà mai all'altezza del lavoro di un intero team. Il lavoro di squadra inoltre rende più piacevole e produttivo un ambiente di lavoro ad alta pressione. È importante che tutti si coprano le spalle a vicenda. Condividere i dati analitici, coordinare e controllare il lavoro degli altri e apprendere continuamente gli uni dagli altri.

Metriche SecOps

Mostra un elenco delle misurazioni chiave, della velocità di risposta e dell'efficacia.

Poiché le metriche guidano il comportamento, misurare il successo è un elemento fondamentale per applicare il comportamento corretto. Le metriche traducono la cultura in obiettivi misurabili chiari che guidano i risultati.

Sappiamo che è importante decidere cosa misurare e i modi in cui ci si concentra e si applicano tali metriche. Riconoscere che le operazioni di sicurezza devono gestire variabili significative fuori dal controllo diretto, ad esempio attacchi e utenti malintenzionati. Tutte le deviazioni dall'obiettivo devono essere considerate principalmente come un'opportunità di apprendimento per il miglioramento di processi o strumenti e non come un errore da parte del centro operazioni per la sicurezza (SOC) nel raggiungere un obiettivo.

Le metriche principali su cui concentrarsi che influiscono direttamente sui rischi aziendali sono:

  • Tempo medio di riconoscimento (MTTA, Mean time to acknowledge): la velocità di risposta è uno dei pochi elementi su cui SecOps ha maggior controllo diretto. Misurare il tempo che intercorre tra l'avviso, ad esempio quando una luce inizia a lampeggiare, e il momento in cui l'analista vede l'avviso e inizia l'indagine. Per migliorare la velocità di risposta è necessario che l'analista non perda tempo a indagare falsi positivi. Una risposta più rapida può essere ottenuta con una decisa assegnazione delle priorità facendo in modo che ogni feed di avviso che richiede una risposta dell'analista abbia un record di tracciamento con il 90% di rilevamenti di veri positivi.
  • Tempo medio di correzione (MTTR, Mean Time To Remediate): l'efficacia di riduzione dei rischi misura il periodo di tempo successivo. Si tratta del periodo di tempo che intercorre tra il momento in cui l'analista inizia l'indagine e la correzione dell'incidente. L'MTTR identifica il tempo necessario a SecOps per rimuovere l'accesso dell'utente malintenzionato dall'ambiente. Queste informazioni consentono di identificare dove investire in processi e strumenti per aiutare gli analisti a ridurre i rischi.
  • Incidenti corretti (manualmente o con automazione): la misurazione del numero di incidenti corretti manualmente e con l'automazione è un altro metodo importante per fornire dati per le decisioni su personale e strumenti.
  • Escalation tra ogni livello: tenere traccia del numero di incidenti di cui viene effettuata l'escalation tra i livelli. Ciò consente di garantire una verifica accurata del carico di lavoro per fornire dati per le decisioni su personale e altri tipi di decisioni. Ad esempio, in questo modo il lavoro svolto sugli incidenti con escalation non viene attribuito al team errato.

Modello delle operazioni di sicurezza

Le operazioni di sicurezza gestiscono una combinazione di incidenti a volume elevato e ad alta complessità.

Diagramma che mostra il modello operazioni di sicurezza.

I team delle operazioni di sicurezza spesso si concentrano su tre risultati chiave:

  • Gestione degli incidenti: gestire gli attacchi attivi nell'ambiente con:
    • Risposta reattiva agli attacchi rilevati.
    • Ricerca proattiva degli attacchi non rilevati dai tradizionali metodi di rilevamento delle minacce.
    • Coordinamento degli aspetti legali, delle comunicazioni e delle implicazioni sul business degli incidenti di sicurezza.
  • Preparazione per gli incidenti: aiutare l'organizzazione a prepararsi per i futuri attacchi. La preparazione per gli incidenti è un insieme strategico più ampio di attività che mirano a costruire la "memoria muscolare" e il contesto a tutti i livelli dell'organizzazione. Questa strategia prepara le persone a gestire meglio i maggiori attacchi e a ottenere informazioni dettagliate sui miglioramenti dei processi di sicurezza.
  • Intelligence sulle minacce: raccolta, elaborazione e divulgazione dell'intelligence sulle minacce alle operazioni di sicurezza, ai team di sicurezza, alla leadership della sicurezza e agli stakeholder della leadership aziendale attraverso la leadership della sicurezza.

Per ottenere risultati di questo tipo, i team delle operazioni di sicurezza devono essere strutturati in modo da concentrarsi sui risultati chiave. Nei team SecOps più grandi i risultati vengono spesso suddivisi tra i team secondari.

  • Valutazione (livello 1): la prima linea di risposta agli incidenti di sicurezza. La valutazione è incentrata sull'elaborazione di volumi elevati di avvisi in genere generati da strumenti e automazione. I processi di valutazione risolvono la maggior parte dei tipi di incidenti comuni all'interno del team. Gli incidenti più complessi o gli incidenti non osservati e risolti in precedenza devono essere inoltrati al livello 2.
  • Indagine (livello 2): incentrata sugli incidenti che richiedono ulteriori indagini, spesso richiede la correlazione dei punti dati provenienti da più origini. Questo livello di indagine cerca di fornire soluzioni ripetibili ai problemi di cui è stata effettuata l'escalation al livello 2. Il livello 1 potrà in seguito risolvere le ricorrenze successive dello stesso tipo di problema. Il livello 2 risponderà anche agli avvisi sui sistemi critici, per riflettere la gravità del rischio e la necessità di agire rapidamente.
  • Ricerca (livello 3): incentrata principalmente sulla ricerca proattiva di processi di attacco altamente sofisticati e sullo sviluppo di linee guida per i team più grandi finalizzate alla maturazione dei controlli di sicurezza. Il team del livello 3 funge anche da punto di escalation per gli incidenti più importanti per supportare l'analisi per scopi legali e la risposta.

Punti di contatto aziendali di SecOps

SecOps ha più interazioni potenziali con la leadership aziendale.

Diagramma che mostra gli esercizi di pratica dei punti di contatto SecOps, le priorità aziendali e lo stato degli eventi imprevisti principali.

  • Contesto aziendale per SecOps: SecOps deve individuare cosa è più importante per l'organizzazione in modo che il team possa applicare tale contesto alle situazioni di sicurezza fluide in tempo reale. Quale sarebbe l'impatto più negativo sull'azienda? Qual è il tempo di inattività dei sistemi critici? Potrebbe comportare una perdita di reputazione e di fiducia dei clienti? Potrebbe comportare una divulgazione di dati sensibili? Potrebbe comportare una manomissione di dati o sistemi critici? Sappiamo che è fondamentale che i principali leader e il personale del centro operazioni per la sicurezza (SOC) comprendano questo contesto. Dovranno gestire un flusso continuo di informazioni e di incidenti valutati e dovranno scegliere la priorità da dare in termini di tempo, attenzione e impegno.
  • Esercitazioni pratiche congiunte con SecOps: i leader aziendali dovranno unirsi a SecOps nell'esercitarsi nella risposta agli incidenti più importanti. Questo training crea la "memoria muscolare" e le relazioni fondamentali per un processo decisionale rapido ed efficace quando si verificano incidenti reali, riducendo i rischi dell'organizzazione. Questa esercitazione riduce i rischi anche evidenziando lacune e presupposti del processo che possono essere risolti prima che si verifichi un incidente reale.
  • Aggiornamenti sui maggiori incidenti forniti da SecOps: SecOps deve fornire immediatamente aggiornamenti agli stakeholder aziendali sui maggiori incidenti. Queste informazioni consentono ai leader aziendali di individuare i rischi e di intraprendere azioni proattive e reattive per gestirli. Per altre informazioni sui maggiori incidenti provenienti dal team Microsoft Detection and Response, vedere la guida Incident Response Reference Guide.
  • Business intelligence del centro operazioni per la sicurezza (SOC): in alcuni casi SecOps rileva che gli avversari hanno come obiettivo un sistema o un set di dati non previsto. Quando vengono effettuati questi rilevamenti, il team di intelligence sulle minacce deve condividere questi segnali con i leader aziendali che potrebbero trovarli utili. Ad esempio, un utente esterno all'azienda è a conoscenza di un progetto segreto oppure gli obiettivi di utenti malintenzionati non previsti evidenziano il valore di un set di dati altrimenti trascurato.

Modernizzazione di SecOps

Analogamente ad altre discipline di sicurezza, le operazioni di sicurezza affrontano l'effetto trasformativo di modelli aziendali, utenti malintenzionati e piattaforme tecnologiche in continua evoluzione.

La trasformazione delle operazioni di sicurezza è determinata principalmente dalle tendenze seguenti:

  • Copertura della piattaforma cloud: le operazioni di sicurezza devono rilevare e rispondere agli attacchi nell'intero ambiente aziendale, incluse le risorse cloud. Le risorse cloud sono una piattaforma nuova e in rapida evoluzione con cui spesso i professionisti SecOps non hanno familiarità.
  • Passaggio alla sicurezza incentrata sulle identità: sebbene le operazioni SecOps tradizionali siano principalmente basate su strumenti di rete, viene ora richiesta l'integrazione di identità, endpoint, applicazioni e altri strumenti e competenze. L'integrazione è dovuta a quanto segue:
    • Gli utenti malintenzionati hanno incorporato nel loro arsenale attacchi di identità, come phishing, furto di credenziali, password spraying e altri tipi di attacco in grado di eludere quasi sempre i rilevamenti basati sulla rete.
    • Le risorse di valore, come i dispositivi BYOD (Bring Your Own Device), dedicano parte o tutto il ciclo di vita all'esterno del perimetro della rete, limitando l'utilità dei rilevamenti di rete.
  • Copertura Internet delle cose (IoT) e OT (Operational Technology): gli avversari prendono attivamente di mira i dispositivi IoT e OT come parte delle loro catene di attacco. Queste obiettivi possono essere lo scopo finale di un attacco o un mezzo per accedere o attraversare l'ambiente.
  • Elaborazione cloud dei dati di telemetria: la modernizzazione delle operazioni di sicurezza è necessaria a causa del massiccio incremento dei dati di telemetria rilevanti provenienti dal cloud. Questi dati di telemetria sono difficili o impossibili da elaborare con le risorse locali e le tecniche classiche. Ciò spinge SecOps ad adottare servizi cloud che offrono analisi su larga scala, Machine Learning e analisi del comportamento. Queste tecnologie consentono di estrarre rapidamente il valore per soddisfare le esigenze delle tempistiche delle operazioni di sicurezza.

È importante investire in strumenti SecOps aggiornati e nella formazione per garantire che le operazioni di sicurezza possano rispondere a queste sfide. Per altre informazioni, vedere Aggiornare i processi di risposta agli eventi imprevisti per il cloud.

Per altre informazioni sui ruoli e sulle responsabilità delle operazioni di sicurezza, vedere Operazioni di sicurezza.

Per altre procedure consigliate incentrate sull'architettura e sulla tecnologia, vedere Procedure consigliate Microsoft per la sicurezza per le operazioni di sicurezza e i video e le diapositive.

Passaggi successivi

La disciplina successiva è la protezione delle risorse.