Omówienie operacji zabezpieczeń

  • Artykuł

Operacje zabezpieczeń (SecOps) utrzymują i przywracają zabezpieczenia systemu, gdy atakują go na żywo przeciwnicy. W przewodniku NIST Cybersecurity Framework opisano funkcje SecOps funkcji wykrywania, reagowania i odzyskiwania.

  • Wykryj — Metodyka SecOps musi wykrywać obecność przeciwników w systemie, którzy są zachęcani do ukrywania się w większości przypadków, co pozwala im osiągnąć swoje cele bez przeszkód. Może to mieć formę reagowania na alert o podejrzanych działaniach lub proaktywne wyszukiwanie nietypowych zdarzeń w dziennikach aktywności przedsiębiorstwa.

  • Reagowanie — po wykryciu potencjalnego działania lub kampanii przeciwnika SecOps musi szybko zbadać, czy jest to rzeczywisty atak (prawdziwie dodatni), czy fałszywy alarm (fałszywie dodatni), a następnie wyliczyć zakres i cel operacji przeciwnika.

  • Odzyskiwanie — ostatecznym celem secOps jest zachowanie lub przywrócenie gwarancji zabezpieczeń (poufność, integralność, dostępność) usług biznesowych podczas i po ataku.

Najważniejszym zagrożeniem bezpieczeństwa, z jakimi boryka się większość organizacji, są operatorzy ataków ludzkich (różne poziomy umiejętności). Ryzyko związane z automatycznymi/powtarzającymi się atakami zostało znacznie złagodzone w przypadku większości organizacji dzięki metodom opartym na podpisach i uczeniu maszynowym wbudowanym w oprogramowanie chroniące przed złośliwym oprogramowaniem. Chociaż należy zauważyć, że istnieją istotne wyjątki, takie jak Wannacrypt i NotPetya, które poruszały się szybciej niż te obrony).

Podczas gdy operatorzy ataków ludzkich są trudne do stawienia czoła ze względu na ich adaptację (w porównaniu z zautomatyzowaną/powtarzaną logiką), działają one w tej samej "ludzkiej szybkości", co obrońcy, co pomaga wyrównać szanse.

SecOps (czasami nazywane centrum operacji zabezpieczeń (SOC) ma kluczową rolę do odegrania w ograniczaniu czasu i uzyskiwania dostępu do cennych systemów i danych przez osobę atakującą. Każda minuta, jaką osoba atakująca ma w środowisku, umożliwia kontynuowanie wykonywania operacji ataku i uzyskiwania dostępu do poufnych lub cennych systemów.