セキュリティ運用 (SecOps) は、ライブ敵対者がシステムを攻撃する場合に、システムのセキュリティ保証を維持および復元します。 NIST サイバーセキュリティ フレームワークでは、検出、応答、回復の SecOps 機能について説明します。
検出 - SecOps は、システム内の敵対者の存在を検出する必要があります。敵対者はほとんどの場合、目的を妨げられることなく達成するために、隠れたままでいるインセンティブがあります。 これは、疑わしいアクティビティのアラートに対応したり、エンタープライズ アクティビティ ログ内の異常なイベントを事前に検出したりする形式になります。
対応 - 潜在的な敵対者の行動やキャンペーンを検出したら、SecOps は、それが実際の攻撃 (真陽性) か誤報 (誤検知) かを迅速に調査し、敵対者操作の範囲と目標を列挙する必要があります。
回復 - SecOps の最終的な目標は、攻撃中および攻撃後にビジネス サービスのセキュリティ保証 (機密性、整合性、可用性) を維持または復元することです。
ほとんどの組織が直面する最も重大なセキュリティ リスクは、(さまざまなスキル レベルの) 人間の攻撃オペレーターによるリスクです。 自動攻撃や繰り返し攻撃によるリスクは、マルウェア対策に組み込まれている署名と機械学習ベースのアプローチによって、ほとんどの組織で大幅に軽減されています。 Wannacrypt や NotPetya のような注目すべき例外があることに注意する必要がありますが、これらの防御よりも速く移動しました)。
人間の攻撃オペレーターは適応性 (自動/繰り返しロジック) のために直面することが困難ですが、防御者と同じ "人間の速度" で動作し、プレイフィールドを平準化するのに役立ちます。
SecOps (セキュリティ オペレーション センター (SOC) とも呼ばれる) は、時間を制限し、攻撃者が貴重なシステムやデータにアクセスする際に重要な役割を果たします。 攻撃者が環境内に存在する 1 分ごとに、攻撃操作を継続し、機密性の高い、または貴重なシステムにアクセスできます。