Istituire una disciplina SecOps

Questo articolo aiuta i team della sicurezza e della tecnologia a stabilire e modernizzare una disciplina delle operazioni di sicurezza (SecOps) che consente alle organizzazioni di rilevare, analizzare e rispondere alle minacce attive che ignorano i controlli preventivi.

Le discipline di sicurezza sono raggruppamenti di lavoro correlati alla sicurezza che aiutano le organizzazioni a offrire costantemente risultati di sicurezza nell'intero patrimonio tecnologico. All'interno del modello di adozione della sicurezza, le discipline consentono di fornire un ponte tra scenari aziendali e implementazione tecnica, garantendo che gli investimenti per la sicurezza si traduca in risultati misurabili reali come parte del modello di adozione della sicurezza.

Che cos'è SecOps?

SecOps mantiene e ripristina le garanzie di sicurezza del sistema mentre avversari reali lo attaccano. Il NIST Cybersecurity Framework descrive bene le funzioni SecOps di Rilevamento, Risposta e Ripristino.

  • Rileva - SecOps devono rilevare la presenza di avversari nel sistema, che sono incentivati a rimanere nascosti nella maggior parte dei casi, consentendo loro di raggiungere i propri obiettivi senza ostacoli. Ciò può assumere la forma di reagire a un avviso di attività sospetta o di ricerca proattiva di eventi anomali nei log attività dell'organizzazione.
  • Rispondi : al rilevamento di potenziali azioni o campagne antagoniste, SecOps deve analizzare rapidamente per identificare se si tratta di un attacco effettivo (vero positivo) o di un falso allarme (falso positivo) e quindi enumerare l'ambito e l'obiettivo dell'operazione antagonista.
  • Ripristino : l'obiettivo finale di SecOps è mantenere o ripristinare le garanzie di sicurezza (riservatezza, integrità, disponibilità) dei servizi aziendali durante e dopo un attacco.

Mitigazione dei rischi

Il rischio di sicurezza più significativo affrontato dalla maggior parte delle organizzazioni è rappresentato dagli operatori di attacco umani.

Con eccezioni rilevanti, il rischio di attacchi automatizzati/ripetuti è stato ridotto significativamente per la maggior parte delle organizzazioni con approcci basati su firma e machine learning integrati in antimalware.

Mentre gli operatori di attacco umani sono difficili da affrontare a causa della loro adattabilità, stanno operando alla stessa "velocità umana" dei difensori, che aiutano a livellare il campo in gioco.

SecOps svolge un ruolo cruciale nel limitare il tempo e il livello di accesso che un attaccante può ottenere ai sistemi e ai dati di valore. Ogni minuto che un utente malintenzionato rimane nell'ambiente consente di continuare a eseguire operazioni di attacco e di accedere a sistemi sensibili o preziosi.

Perché questa disciplina?

Non tutti gli attacchi possono essere evitati. Anche con un'architettura di sicurezza avanzata e una gestione del comportamento che blocca la maggior parte degli attacchi, gli attori delle minacce a volte ottengono l'accesso iniziale agli ambienti.

SecOps è incentrato sulla gestione di questi attacchi attivi e sugli eventi imprevisti di sicurezza, limitando i danni che gli utenti malintenzionati possono causare dopo la compromissione. SecOps effettivo riduce i rischi in base a:

  • Rilevamento rapido di attività dannose.
  • Riduzione del tempo di permanenza dell'attaccante.
  • Contenente lo spostamento laterale e l'impatto.
  • Supporto del ripristino e della resilienza dell'organizzazione.

All'interno del modello di adozione della sicurezza, SecOps rappresenta il lato post-compromissione, reattivo della sicurezza, integrando la gestione del comportamento di sicurezza, che si concentra sulla riduzione proattiva dei rischi e sulla prevenzione degli attacchi.

Diagramma delle operazioni di sicurezza e della gestione del comportamento di sicurezza che mostra i ruoli complementari nella riduzione dei rischi.

Senza un'efficace disciplina SecOps, gli attaccanti che ottengono l'accesso possono agire senza essere rilevati, escalare i privilegi, muoversi lateralmente e infliggere il massimo danno all'azienda.

Obiettivi e risultati

La missione della disciplina SecOps è limitare l'impatto aziendale dei cyberattacchi rilevando, analizzando e rispondendo rapidamente alle minacce nel settore tecnologico moderno.

Indipendentemente dalle dimensioni del team o dal modello operativo, secOps maturo offre questi risultati:

  • Risposta rapida alle minacce : rilevamento tempestivo e contenimento delle minacce tra identità, endpoint, infrastruttura, applicazioni e dati
  • Intelligence sulle minacce condivise : segnali centralizzati e informazioni dettagliate che informano analisti, automazione e controlli di sicurezza downstream
  • Individuazione proattiva delle minacce: simulazione di ricerca e attacco delle minacce per individuare tecniche emergenti e comportamenti degli utenti malintenzionati

I team SecOps possono variare da una sola persona a grandi attività operative distribuite a livello globale, attive 24 ore su 24, 7 giorni su 7, e le funzioni possono essere parzialmente o completamente esternalizzate. Indipendentemente dalla struttura e dalle dimensioni, i risultati rimangono invariati.

Adottare Zero Trust in SecOps

L'operazione di sicurezza (SecOps) è fondamentale per una strategia di Zero Trust. Zero Trust presuppone compromessi e si concentra sulla riduzione dell'impatto quando i controlli hanno esito negativo. SecOps trasforma tale presupposto in azione rilevando, analizzando e rispondendo continuamente alle minacce nell'ambiente.

In un modello di Zero Trust, la prevenzione da sola non è sufficiente. Le organizzazioni devono aspettarsi che gli utenti malintenzionati ignorino i controlli e si basano su SecOps per identificare le attività dannose in anticipo, contenere rapidamente attacchi e generare informazioni dettagliate che migliorano il comportamento di sicurezza nel tempo.

All'interno del modello di adozione della sicurezza, le linee guida secops sono incentrate sulle funzionalità operative necessarie per supportare Zero Trust nell'intera organizzazione, tra cui monitoraggio, rilevamento, indagine, risposta, automazione e apprendimento continuo.

  • Centralizzare il rilevamento e la visibilità: integrare i log e i dati di telemetria dall'intero ambiente, tra cui identità, endpoint, applicazioni e infrastruttura, in una funzionalità centralizzata di rilevamento e analisi. Ciò garantisce che SecOps abbia visibilità coerente e interdominiale per rilevare la compromissione in anticipo e comprendere il comportamento degli utenti malintenzionati.
  • Automatizzare la risposta e il contenimento: usare orchestrazione e automazione per eseguire azioni di risposta ripetibili, ad esempio isolando i dispositivi compromessi o disabilitando gli account rischiosi. L'automazione riduce il tempo di risposta, riduce il carico cognitivo degli analisti e garantisce un'esecuzione coerente sotto pressione.
  • Cercare in modo proattivo le minacce: considerare la ricerca delle minacce come una funzionalità secops di base. Utilizzare attività di hunting basata su ipotesi e analisi avanzate per individuare attività degli attaccanti che eludono i rilevamenti automatizzati, riducendo il tempo di permanenza e individuando lacune nei controlli.
  • Gestire gli avvisi e gli eventi imprevisti in modo efficace: ottimizzare i rilevamenti per ridurre il rumore e assicurarsi che gli analisti si concentrino sugli avvisi significativi. Standardizzare i flussi di lavoro di analisi e risposta usando playbook in modo che gli eventi imprevisti vengano gestiti in modo coerente ed efficiente.
  • Ridurre continuamente l'esposizione in base al rischio: usare l'analisi del percorso di attacco e le informazioni dettagliate sull'esposizione per identificare le condizioni che potrebbero consentire la compromissione. Classificare in ordine di priorità la correzione in base all'impatto aziendale e alla probabilità, quindi lo sforzo è incentrato dove è più importante.
  • Processi SecOps in continua evoluzione: esaminare regolarmente rilevamenti, playbook e risultati di risposta in base a eventi imprevisti reali e intelligence sulle minacce. Inserire queste informazioni nella strategia SecOps per garantire che le funzionalità si adattino come utenti malintenzionati, tecnologie e priorità aziendali cambiano.

Allineando SecOps ai principi Zero Trust, le organizzazioni passano dalla gestione reattiva degli eventi imprevisti a un modello operativo resiliente in cui ogni evento imprevisto rafforza il rilevamento, la risposta e la prevenzione in tutta l'azienda.

Come applicare questa disciplina

Per applicare la disciplina SecOps in modo efficace, concentrarsi sulla definizione di un approccio coordinato per rilevare, rispondere e recuperare dalle minacce nell'organizzazione:

  1. Definire una strategia di rilevamento e risposta delle minacce allineata al rischio aziendale
    Stabilire un approccio chiaro per identificare, classificare in ordine di priorità e rispondere alle minacce in base al potenziale impatto aziendale.
  2. Garantire un rilevamento e una risposta coerenti nell'ambiente
    Applicare un approccio unificato al monitoraggio, all'analisi e alla risposta tra identità, dispositivi, applicazioni e infrastruttura.
  3. Standardizzare i processi per il rilevamento, la risposta e il ripristino
    Fornire indicazioni chiare per garantire che gli eventi imprevisti vengano gestiti in modo coerente, riducendo il tempo di risposta e limitando l'impatto.
  4. Allineare SecOps alle priorità aziendali e agli scenari critici
    Classificare in ordine di priorità gli sforzi di rilevamento e risposta per concentrarsi sulla protezione degli asset critici e ridurre al minimo l'impatto degli eventi imprevisti di sicurezza.
  5. Migliorare continuamente le informazioni dettagliate e il feedback
    Usare l'apprendimento da eventi imprevisti, intelligence sulle minacce e metriche operative per rafforzare le funzionalità di rilevamento e migliorare la risposta nel tempo.

Gestire il cambiamento

La modernizzazione secOps è un percorso di miglioramento continuo, non una distribuzione monouso degli strumenti. L'obiettivo è migliorare costantemente la capacità dell'organizzazione di ridurre l'impatto degli utenti malintenzionati quando si verificano compromessi.

Screenshot del riepilogo delle operazioni di sicurezza con azioni chiave e allineamento Zero Trust evidenziato.

Un approccio moderno alla SecOps allineato ai principi dello Zero Trust pone l'accento su:

  • Allineamento della missione : definizione delle priorità più importanti per l'azienda quando gli avvisi e le minacce superano la capacità di rispondere con gli esseri umani e l'automazione, inclusa l'intelligenza artificiale.
  • Apprendimento continuo : adattamento di rilevamenti, competenze e processi come attori di minacce, piattaforme e priorità aziendali cambiano.
  • Collaborazione e condivisione : trattare SecOps come team di lavoro per la sicurezza, le operazioni IT, l'ingegneria, la legalità, le comunicazioni e la leadership.

Gli attori delle minacce tendono a riutilizzare tecniche economiche, efficaci e affidabili fino a quando non hanno esito negativo, quindi è fondamentale acquisire e condividere l'intelligence sulle minacce come informazioni dettagliate sugli attacchi passati. L'intelligence sulle minacce SecOps deve informare direttamente la progettazione, la definizione delle priorità e il miglioramento del comportamento dei controlli di sicurezza, oltre ai requisiti aziendali e di conformità.

Ruoli e collaboratori della disciplina

La disciplina SecOps è in genere guidata da un team SecOps dedicato. Nelle organizzazioni più piccole, le responsabilità della SecOps possono essere gestite a tempo parziale o condivise tra più ruoli, ma richiedono comunque una chiara attribuzione delle responsabilità.

I ruoli principali in questa disciplina in genere includono:

  • SecOps/soC manager
  • Analisti di triage di primo livello
  • Analisti delle indagini di livello 2
  • Cacciatori di minacce (livello 3)
  • Ingegneri di rilevamento
  • piattaforma SecOps e ingegneri dei dati
  • Specialisti di analisi forensi digitali e di risposta agli incidenti
  • Analisti di intelligence sulle minacce
  • Ruoli di coordinamento e gestione degli eventi imprevisti
  • Specialisti di simulazione degli attacchi (squadra rossa, team viola, test di penetrazione)

I collaboratori chiave includono:

  • Team tecnici di progettazione e operazioni : consente di registrare e supportare indagini, contenimento e ripristino dei sistemi che progettano ed eseguono.
  • Ruoli dell'architettura : migliorare continuamente la progettazione di sistemi e controlli in base alle informazioni sugli eventi imprevisti ottenute dall'intelligence sulle minacce secops.
  • Team di applicazioni e prodotti : aggiornare software e servizi in risposta alle informazioni dettagliate sugli eventi imprevisti.
  • Strategia di sicurezza, integrazione e disciplina di governance : impostare priorità, metriche e responsabilità per gli investimenti in SecOps. Fornire supporto e coordinamento durante gli eventi imprevisti principali.

Il secops effettivo dipende da cicli di feedback stretti tra la risposta agli eventi imprevisti e la progettazione del sistema.

Allineamento con altre discipline

SecOps opera come parte di un modello operativo di sicurezza più ampio ed è strettamente integrato con altre discipline:

  • Disciplina Gestione del comportamento di sicurezza: è incentrata sulla prevenzione degli eventi imprevisti; SecOps gestisce gli eventi imprevisti che si verificano ancora.
  • Disciplina Accesso e identità: i dati di telemetria delle identità sono un segnale principale per il rilevamento e le indagini.
  • Disciplina sicurezza dei dati: SecOps esamina il furto dei dati, l'estorsione, i rischi Insider e gli eventi imprevisti sulla privacy.
  • Disciplina Architettura di sicurezza: assicura che i meccanismi di rilevamento e risposta siano allineati alla progettazione del sistema prevista.
  • Disciplina di strategia, integrazione e governance: definisce le priorità, le metriche e i criteri di successo di SecOps.

Allineamento con i pilastri tecnologici

La disciplina SecOps opera in tutti i pilastri della tecnologia e deve rilevare e contenere attacchi ovunque si verifichino.

  • Identità: si tratta di una priorità assoluta per SecOps perché le identità sono punti di ingresso di attacco principali. Quasi tutti gli attacchi a più fasi si basano su attacchi di identità (pass-the-hash/ticket/etc.) per attraversare e ottenere l'accesso a più asset aziendali, spesso usando account con privilegi associati agli amministratori IT o agli account del servizio amministrativo.
  • Endpoint: gli endpoint sono punti d’appoggio comuni, una base operativa e un archivio locale di strumenti di attacco per gli attaccanti. È fondamentale individuare rapidamente gli endpoint compromessi per contenere danni e ottenere informazioni dettagliate sugli obiettivi e sulle funzionalità degli utenti malintenzionati.
  • Infrastruttura: il rilevamento e la risposta efficaci sono importanti perché gli attori delle minacce riguardano spesso asset di infrastruttura locali e cloud ad alto valore che consentono un'ampia compromissione in caso di violazione.
  • App: il rilevamento rapido e la risposta agli attacchi alla posta elettronica, alla collaborazione, alla line-of-business e ad altre app è fondamentale perché gli utenti malintenzionati spesso li usano per entrare e attraversare in modo successivo un'organizzazione per accedere agli asset aziendali.
  • Dati: gli utenti malintenzionati spesso usano dati per il furto di proprietà intellettuale, la crittografia per sfruttare l'estorsione o il ransomware, pianificare attacchi futuri e altri scopi. Inoltre, SecOps può essere coinvolto o collaborare a indagini relative ai dati riguardanti la privacy, i rischi interni e altri ambiti.
  • Rete: proprio come le comunicazioni legittime, le comunicazioni degli attori delle minacce e le operazioni di attacco viaggiano sulle connessioni di rete. SecOps è incentrato sul sensore di rete e i dati sono ancora utili per il contesto e il contenimento, anche se la crittografia riduce la visibilità.
  • Intelligenza artificiale: man mano che l'IA emerge come superficie di attacco, sono necessari nuovi strumenti e competenze per un rilevamento e un'indagine efficaci. Il volume degli attacchi di intelligenza artificiale aumenta man mano che gli attori delle minacce adottano la tecnologia di intelligenza artificiale. SecOps può anche sfruttare i vantaggi dell'intelligenza artificiale per automatizzare l'analisi e altri processi.

Passaggi successivi

Microsoft Unified offre workshop guidati da esperti per aiutare le organizzazioni ad accelerare la modernizzazione della strategia, dell'architettura e della tecnologia di gestione del comportamento di sicurezza. Questi workshop includono:

  • Workshop di architettura e strategia - Security Adoption Framework (SAF) - Sessione di progettazione dell'architettura: il workshop Modern Security Operations si concentra sull'accelerazione della modernizzazione delle SecOps. Questo workshop è disponibile nel modo seguente:

    • Riepilogo degli argomenti: una discussione di meno di quattro ore incentrata sull'apprendimento chiave e sulle procedure consigliate.
    • Full Security Architecture Design Session (Security ADS) - Workshop di due giorni che fornisce dettagli aggiuntivi, un case study Microsoft, discussioni sul modello di maturità e piani di modernizzazione di riferimento.

  • Workshop sull'adozione della tecnologia - Microsoft Unified offre workshop per aiutare le organizzazioni a comprendere, pianificare, implementare e ottimizzare SecOps.

Diagramma di Microsoft workshop Unified SecOps che illustrano le fasi di apprendimento, pianificazione e implementazione delle tecnologie di sicurezza.

Per altre informazioni sui workshop Microsoft-led, contattare il responsabile dell'account di successo del cliente.

  • Last updated on