Funkcje operacji zabezpieczeń (SecOps)

Głównym celem funkcji operacji zabezpieczeń w chmurze (SecOps) jest wykrywanie i reagowanie na nie oraz odzyskiwanie po aktywnych atakach na zasoby przedsiębiorstwa.

W miarę rozwoju metody secOps operacje zabezpieczeń powinny:

  • Reaktywne reagowanie na ataki wykryte przez narzędzia
  • Proaktywne wyszukiwanie ataków, które wymknęły się przed reaktywnymi wykryciami

Modernizacja

Wykrywanie zagrożeń i reagowanie na nie jest obecnie w trakcie znacznej modernizacji na wszystkich poziomach.

  • Podniesienie uprawnień do zarządzania ryzykiem biznesowym: SoC rozwija się w kluczowy składnik zarządzania ryzykiem biznesowym w organizacji
  • Metryki i cele: Śledzenie skuteczności SOC ewoluuje od "czasu do wykrycia" do następujących kluczowych wskaźników:
    • Czas odpowiedzi za pośrednictwem czasu średniego potwierdzenia (MTTA).
    • Szybkość korygowania za pośrednictwem średniego czasu korygowania (MTTR).
  • Ewolucja technologii: Technologia SOC ewoluuje od wyłącznego użycia statycznej analizy dzienników w rozwiązaniu SIEM w celu dodania użycia wyspecjalizowanych narzędzi i zaawansowanych technik analizy. Zapewnia to szczegółowe informacje na temat zasobów, które zapewniają wysokiej jakości alerty i środowisko badania, które uzupełniają szeroki widok rozwiązania SIEM. Oba typy narzędzi coraz częściej korzystają ze sztucznej inteligencji i uczenia maszynowego, analizy zachowań i zintegrowanej analizy zagrożeń, aby pomóc w wykrywaniu i określaniu priorytetów nietypowych akcji, które mogą być złośliwym atakującym.
  • Wyszukiwanie zagrożeń: SoCs dodaje hipotezy oparte na wyszukiwaniach zagrożeń, aby aktywnie identyfikować zaawansowane osoby atakujące i przenosić głośne alerty z kolejek analityków pierwszej linii.
  • Zarządzanie zdarzeniami: Dyscyplina staje się formalizowana w celu koordynowania nietechnicznych elementów incydentów z przepisami prawnymi, komunikacją i innymi zespołami. Integracja kontekstu wewnętrznego: Aby ułatwić określanie priorytetów działań SOC, takich jak względne oceny ryzyka kont użytkowników i urządzeń, wrażliwość danych i aplikacji oraz granice izolacji zabezpieczeń kluczy w celu ścisłej obrony.

Aby uzyskać więcej informacji, zobacz:

Kompozycja zespołu i kluczowe relacje

Centrum operacji zabezpieczeń w chmurze często składa się z następujących typów ról.

  • Operacje IT (zamknij zwykły kontakt)
  • Analiza zagrożeń
  • Architektura zabezpieczeń
  • Program ryzyka dla niejawnych testerów
  • Zasoby prawne i kadrowe
  • Zespoły ds. komunikacji
  • Organizacja ryzyka (jeśli istnieje)
  • Skojarzenia, społeczności i dostawcy specyficzne dla branży (przed wystąpieniem zdarzenia)

Następne kroki

Zapoznaj się z funkcją architektury zabezpieczeń.