Overzicht van beveiligingsbewerkingen
Beveiligingsbewerkingen (SecOps) onderhouden en herstellen de beveiligingsgaranties van het systeem als live aanvallers het aanvallen. In het NIST Cybersecurity Framework worden de SecOps-functies van Detect, Respond en Recover goed beschreven.
Detecteren - SecOps moet de aanwezigheid van kwaadwillende personen in het systeem detecteren, die in de meeste gevallen worden geïncentiveerd om verborgen te blijven, zodat ze hun doelstellingen niet kunnen bereiken. Dit kan de vorm aannemen van reageren op een waarschuwing van verdachte activiteiten of proactief opsporen op afwijkende gebeurtenissen in de ondernemingsactiviteitenlogboeken.
Reageren: bij detectie van potentiële kwaadwillende acties of campagnes moet SecOps snel onderzoeken of het een werkelijke aanval (terecht-positief) of een foutalarm (fout-positief) is en vervolgens het bereik en doel van de kwaadwillende bewerking opsommen.
Herstellen - Het uiteindelijke doel van SecOps is om de beveiligingsgaranties (vertrouwelijkheid, integriteit, beschikbaarheid) van zakelijke services tijdens en na een aanval te behouden of te herstellen.
Het belangrijkste beveiligingsrisico dat de meeste organisaties ondervinden, is afkomstig van operators voor menselijke aanvallen (van verschillende vaardigheidsniveaus). Het risico van geautomatiseerde/herhaalde aanvallen is voor de meeste organisaties aanzienlijk beperkt door op handtekeningen en machine learning gebaseerde benaderingen die zijn ingebouwd in antimalware. Hoewel het moet worden opgemerkt dat er opmerkelijke uitzonderingen zijn, zoals Wannacrypt en NotPetya, die sneller zijn verplaatst dan deze verdedigingsmechanismen).
Hoewel menselijke aanvalsoperators lastig zijn om te worden geconfronteerd vanwege hun aanpassingsvermogen (vs. geautomatiseerde/herhaalde logica), werken ze op dezelfde "menselijke snelheid" als verdedigers, waardoor het speelveld kan worden geëxtreerd.
SecOps (ook wel een SOC (Security Operations Center) genoemd) heeft een belangrijke rol om de tijd te beperken en toegang te krijgen tot waardevolle systemen en gegevens. Elke minuut dat een aanvaller in de omgeving heeft, kunnen ze aanvalsbewerkingen blijven uitvoeren en toegang krijgen tot gevoelige of waardevolle systemen.