Ustanawianie dyscypliny SecOps

Ten artykuł ułatwia zespołom ds. zabezpieczeń i technologii ustanawianie i modernizację dyscypliny Operacji zabezpieczeń (SecOps), która pomaga organizacjom wykrywać, badać i reagować na aktywne zagrożenia, które pomijają mechanizmy kontroli prewencyjnej.

Dyscypliny zabezpieczeń to grupy powiązanych prac związanych z zabezpieczeniami, które pomagają organizacjom spójnie dostarczać wyniki zabezpieczeń w całej infrastrukturze technologicznej. W ramach modelu wdrażania zabezpieczeń dyscypliny pomagają zapewnić most między scenariuszami biznesowymi a implementacją techniczną, zapewniając, że inwestycje w zabezpieczenia przekładają się na rzeczywiste mierzalne wyniki w ramach modelu wdrażania zabezpieczeń.

Co to jest SecOps?

SecOps utrzymuje i przywraca zabezpieczenia systemu, gdy atakują go na żywo przeciwnicy. W ramach NIST Cybersecurity Framework opisano funkcje SecOps: wykrywanie, reagowanie i odzyskiwanie.

  • Wykryj — Metodyka SecOps musi wykrywać obecność przeciwników w systemie, którzy są zachęcani do ukrywania się w większości przypadków, co pozwala im osiągnąć swoje cele bez przeszkód. Może to mieć formę reagowania na alert o podejrzanych działaniach lub proaktywne wyszukiwanie nietypowych zdarzeń w dziennikach aktywności przedsiębiorstwa.
  • Reagowanie — po wykryciu potencjalnego działania lub kampanii przeciwnika SecOps musi szybko zbadać, czy jest to rzeczywisty atak (prawdziwie dodatni), czy fałszywy alarm (fałszywie dodatni), a następnie wyliczyć zakres i cel operacji przeciwnika.
  • Odzyskiwanie — ostatecznym celem secOps jest zachowanie lub przywrócenie gwarancji zabezpieczeń (poufność, integralność, dostępność) usług biznesowych podczas i po ataku.

Ograniczenie ryzyka

Najważniejszym zagrożeniem bezpieczeństwa, z jakimi boryka się większość organizacji, są operatorzy ataków ludzkich.

W przypadku znaczących wyjątków ryzyko związane z automatycznymi/powtarzającymi się atakami zostało znacznie złagodzone w przypadku większości organizacji dzięki metodom opartym na podpisach i uczeniu maszynowym wbudowanym w oprogramowanie chroniące przed złośliwym oprogramowaniem.

Choć z operatorami przeprowadzającymi ataki trudno się mierzyć ze względu na ich zdolność do adaptacji, działają oni w tym samym, „ludzkim” tempie co obrońcy, co pomaga wyrównać szanse obu stron.

SecOps odgrywa kluczową rolę w ograniczaniu czasu oraz poziomu dostępu, jakie atakujący może uzyskać do cennych systemów i danych. Każda minuta, jaką osoba atakująca ma w środowisku, umożliwia kontynuowanie wykonywania operacji ataku i uzyskiwania dostępu do poufnych lub cennych systemów.

Dlaczego ta dyscyplina?

Nie wszystkie ataki można zapobiec. Nawet w przypadku silnej architektury zabezpieczeń i zarządzania stanem, które blokuje większość ataków, aktorzy zagrożeń czasami uzyskują początkowy dostęp do środowisk.

SecOps koncentruje się na zarządzaniu tymi aktywnymi atakami i zdarzeniami bezpieczeństwa, ograniczając szkody, które osoby atakujące mogą spowodować po naruszeniu zabezpieczeń. Skuteczny SecOps zmniejsza ryzyko poprzez:

  • Szybkie wykrywanie złośliwych działań.
  • Skracanie czasu zamieszkania napastnika.
  • Powstrzymywanie ruchu bocznego i ograniczanie skutków.
  • Obsługa odzyskiwania i odporności organizacyjnej.

W ramach modelu wdrażania zabezpieczeń SecOps reprezentuje po naruszeniu zabezpieczeń, reaktywną stronę zabezpieczeń, uzupełniając zarządzanie stanem zabezpieczeń, które koncentruje się na proaktywnej redukcji ryzyka i zapobieganiu atakom.

Diagram przedstawiający zarządzanie operacjami zabezpieczeń i stanem zabezpieczeń przedstawiający ich uzupełniające role w zmniejszaniu ryzyka.

Bez skutecznej dyscypliny SecOps atakujący, którzy uzyskają dostęp, mogą działać niezauważenie, eskalować uprawnienia, przemieszczać się lateralnie i wyrządzać firmie maksymalne szkody.

Misja i wyniki

Misją dyscypliny SecOps jest ograniczenie wpływu biznesowego cyberataków poprzez szybkie wykrywanie, badanie i reagowanie na zagrożenia w ramach nowoczesnego majątku technologicznego.

Niezależnie od rozmiaru zespołu lub modelu operacyjnego, dojrzałe metodyki SecOps zapewniają następujące wyniki:

  • Szybka reakcja na zagrożenia — terminowe wykrywanie i powstrzymywanie zagrożeń w obszarze tożsamości, punktów końcowych, infrastruktury, aplikacji i danych
  • Wspólna analiza zagrożeń — scentralizowane sygnały i szczegółowe informacje, które informują analityków, automatyzację i podrzędne mechanizmy kontroli zabezpieczeń
  • Proaktywne odnajdywanie zagrożeń — wyszukiwanie zagrożeń i symulacja ataków w celu odkrycia pojawiających się technik i zachowań atakujących

Zespoły SecOps mogą wahać się od pojedynczej osoby do dużych globalnie rozproszonych operacji 24/7, a funkcje mogą być częściowo lub w pełni zlecone. Niezależnie od struktury i rozmiaru wyniki pozostają takie same.

Zastosuj Zero Trust w SecOps

Operacja zabezpieczeń (SecOps) jest podstawą strategii Zero Trust. Zero Trust zakłada możliwość naruszenia i koncentruje się na minimalizowaniu skutków, gdy zabezpieczenia zawodzą. SecOps przekształca to założenie w działanie, stale wykrywając, badając i reagując na zagrożenia w całym środowisku.

W modelu Zero Trust zapobieganie jest niewystarczające. Organizacje muszą zakładać, że atakujący ominą zabezpieczenia, i polegać na SecOps, aby wcześnie identyfikować złośliwą aktywność, szybko powstrzymywać ataki oraz uzyskiwać wnioski, które z czasem poprawiają poziom bezpieczeństwa.

W ramach naszego modelu wdrażania zabezpieczeń wskazówki secOps koncentrują się na możliwościach operacyjnych wymaganych do obsługi Zero Trust w całej organizacji, w tym monitorowania, wykrywania, badania, reagowania, automatyzacji i ciągłego uczenia.

  • Scentralizowane wykrywanie i widoczność: integrowanie dzienników i danych telemetrycznych z całego środowiska — w tym tożsamości, punktów końcowych, aplikacji i infrastruktury — w scentralizowane funkcje wykrywania i badania. Dzięki temu funkcja SecOps zapewnia spójny wgląd między domenami w celu wczesnego wykrywania naruszenia zabezpieczeń i zrozumienia zachowania osoby atakującej.
  • Automatyzacja reagowania i powstrzymywania zagrożeń: Używaj orkiestracji i automatyzacji do wykonywania powtarzalnych działań reakcyjnych, takich jak izolowanie przejętych urządzeń lub wyłączanie kont wysokiego ryzyka. Automatyzacja skraca czas odpowiedzi, zmniejsza obciążenie poznawcze analityka i zapewnia spójne wykonywanie pod presją.
  • Proaktywne wyszukiwanie zagrożeń: traktuj wyszukiwanie zagrożeń jako podstawową funkcję SecOps. Korzystaj z proaktywnego wykrywania zagrożeń opartego na hipotezach i zaawansowanej analityki, aby znajdować działania atakującego, które wymykają się automatycznym mechanizmom wykrywania, skracając czas obecności napastnika w środowisku i ujawniając luki w zabezpieczeniach.
  • Efektywne zarządzanie alertami i zdarzeniami: dostrajanie wykrywania w celu zmniejszenia szumu i zapewnienia analitykom skupienia się na znaczących alertach. Ustandaryzuj procesy badania i reagowania przy użyciu playbooków, aby incydenty były obsługiwane w sposób spójny i efektywny.
  • Ciągłe zmniejszanie narażenia na podstawie ryzyka: użyj analizy ścieżki ataku i szczegółowych informacji o ekspozycji, aby zidentyfikować warunki, które mogą umożliwić naruszenie. Nadaj priorytet działaniom naprawczym na podstawie wpływu na biznes i prawdopodobieństwa, tak aby wysiłki koncentrowały się tam, gdzie ma to największe znaczenie.
  • Stale doskonal procesy SecOps: regularnie przeglądaj mechanizmy wykrywania, scenariusze reagowania i rezultaty reagowania na podstawie rzeczywistych incydentów oraz informacji o zagrożeniach. Uwzględnij te wnioski z powrotem w strategii SecOps, aby mieć pewność, że zdolności będą dostosowywać się do zmian w działaniach atakujących, technologiach i priorytetach biznesowych.

Dostosowując metodykę SecOps do zasad Zero Trust, organizacje przechodzą od reaktywnej obsługi zdarzeń do odpornego modelu operacyjnego, w którym każde zdarzenie wzmacnia wykrywanie, reagowanie i zapobieganie w całym przedsiębiorstwie.

Jak zastosować tę dyscyplinę

Aby skutecznie zastosować dyscyplinę SecOps, skoncentruj się na ustanowieniu skoordynowanego podejścia do wykrywania, reagowania i odzyskiwania po zagrożeniach w całej organizacji:

  1. Definiowanie strategii wykrywania i reagowania na zagrożenia dostosowane do ryzyka biznesowego
    Ustanów jasne podejście do identyfikowania, określania priorytetów i reagowania na zagrożenia w oparciu o ich potencjalny wpływ na działalność biznesową.
  2. Zapewnianie spójnego wykrywania i reagowania w całym środowisku
    Zastosuj ujednolicone podejście do monitorowania, badania i reagowania między tożsamościami, urządzeniami, aplikacjami i infrastrukturą.
  3. Standaryzacja procesów wykrywania, reagowania i odzyskiwania
    Podaj jasne wskazówki, aby zapewnić spójną obsługę zdarzeń, skracając czas odpowiedzi i ograniczając wpływ.
  4. Dopasowywanie metodyki SecOps do priorytetów biznesowych i scenariuszy krytycznych
    Określanie priorytetów działań związanych z wykrywaniem i reagowaniem w celu skoncentrowania się na ochronie krytycznych zasobów i zminimalizowaniu wpływu zdarzeń zabezpieczeń.
  5. Ciągłe ulepszanie za pomocą szczegółowych informacji i opinii
    Użyj uczenia się zdarzeń, analizy zagrożeń i metryk operacyjnych, aby zwiększyć możliwości wykrywania i poprawić reakcję w czasie.

Zarządzanie zmianami

Modernizacja secOps to ciągła podróż, a nie jednorazowe wdrożenie narzędzi. Celem jest stałe zwiększenie możliwości organizacji w celu zmniejszenia wpływu atakującego w przypadku wystąpienia naruszenia zabezpieczeń.

Zrzut ekranu przedstawiający podsumowanie misji operacji bezpieczeństwa z wyróżnionymi kluczowymi działaniami i dostosowaniem do modelu Zero Trust.

Nowoczesne podejście SecOps dostosowane do zasad Zero Trust podkreśla:

  • Dopasowanie misji — określanie priorytetów, co jest najważniejsze dla firmy, gdy alerty i zagrożenia przekraczają twoją zdolność reagowania na ludzi i automatyzację, w tym sztuczną inteligencję.
  • Ciągłe doskonalenie — dostosowywanie mechanizmów wykrywania, umiejętności i procesów w miarę jak zmieniają się sprawcy zagrożeń, platformy i priorytety biznesowe.
  • Współpraca i udostępnianie — traktowanie metody SecOps jako zespołu w zakresie zabezpieczeń, operacji IT, inżynierii, prawa, komunikacji i przywództwa.

Aktorzy zagrożeń mają tendencję do ponownego używania technik, które są tanie, skuteczne i niezawodne do czasu ich niepowodzenia, więc kluczowe znaczenie ma przechwytywanie i udostępnianie analizy zagrożeń jako szczegółowych informacji na temat przeszłych ataków. Analiza zagrożeń SecOps powinna bezpośrednio informować o projektowaniu, priorytetyzacji i ulepszaniu stanu zabezpieczeń, a także wymaganiach biznesowych i zgodności.

Role i współpracownicy w dyscyplinie

Dyscyplina SecOps jest zwykle prowadzona przez dedykowany zespół SecOps. W mniejszych organizacjach obowiązki związane z SecOps mogą być pełnione w niepełnym wymiarze lub dzielone między różne role, ale nadal wymagają jasno określonego właściciela.

Role podstawowe w tej dyscyplinie zwykle obejmują:

  • SecOps / SOC menedżer
  • Analitycy klasyfikacji warstwy 1
  • Analitycy badania warstwy 2
  • Łowcy zagrożeń (Tier 3)
  • Inżynierowie wykrywania
  • inżynierowie platformy SecOps i inżynierowie danych
  • Specjaliści ds. informatyki śledczej i reagowania na incydenty
  • Analitycy wywiadu o zagrożeniach
  • Role koordynacji zdarzeń i zarządzania nimi
  • Specjaliści ds. symulacji ataków (czerwony zespół, purpurowy zespół, testy penetracyjne)

Kluczowi współpracownicy to:

  • Zespoły inżynieryjne i operacyjne — zapewniają rejestrowanie oraz wspierają badanie incydentów, ich powstrzymywanie i przywracanie działania systemów, które projektują i obsługują.
  • Role architektury — ciągłe ulepszanie projektowania systemów i kontrolek na podstawie uczenia się zdarzeń z analizy zagrożeń SecOps.
  • Zespoły aplikacji i produktów — aktualizowanie oprogramowania i usług w odpowiedzi na szczegółowe informacje o zdarzeniach.
  • Strategia zabezpieczeń, integracja i ład — ustawianie priorytetów, metryk i odpowiedzialności za inwestycje w metodykę SecOps. Zapewnianie pomocy technicznej i koordynacji podczas poważnych zdarzeń.

Skuteczny SecOps zależy od ścisłych pętli sprzężenia zwrotnego między reagowaniem na incydenty a projektowaniem systemu.

Spójność z innymi dyscyplinami

Metodyka SecOps działa w ramach szerszego modelu operacyjnego zabezpieczeń i jest ściśle zintegrowana z innymi dziedzinami:

  • Dyscyplina Zarządzanie stanem zabezpieczeń: koncentruje się na zapobieganiu zdarzeniom; SecOps zarządza zdarzeniami, które nadal występują.
  • Obszar dostępu i tożsamości: Telemetria tożsamości jest podstawowym sygnałem używanym do wykrywania i dochodzenia.
  • Dyscyplina zabezpieczeń danych: SecOps bada kradzież danych, wymuszenie, ryzyko wewnętrzne i incydenty prywatności.
  • Dziedzina Architektura zabezpieczeń: Zapewnia mechanizmy wykrywania i reagowania zgodne z zamierzonym projektem systemu.
  • Obszar strategii, integracji i ładu zarządczego: definiuje priorytety, metryki i kryteria sukcesu SecOps.

Dopasowanie do filarów technologii

Obszar SecOps obejmuje wszystkie filary technologiczne i musi wykrywać oraz powstrzymywać ataki wszędzie tam, gdzie do nich dochodzi.

  • Tożsamości: To najwyższy priorytet dla zespołów SecOps, ponieważ tożsamości są głównymi punktami wejścia dla atakujących. Prawie wszystkie ataki wieloetapowe opierają się na atakach na tożsamość (pass-the-hash/ticket/itp.) w celu przemieszczania się lateralnego i uzyskiwania dostępu do kolejnych zasobów organizacji, często z użyciem uprzywilejowanych kont powiązanych z administratorami IT lub administracyjnych kont usługowych.
  • Punkty końcowe: Punkty końcowe są typowymi przyczółkami, bazą operacji i lokalnym magazynem narzędzi do ataków dla osób atakujących. Kluczowe znaczenie ma szybkie zlokalizowanie naruszonych punktów końcowych w celu powstrzymania uszkodzeń i uzyskania wglądu w cele i możliwości osób atakujących.
  • Infrastruktura: Skuteczne wykrywanie i reagowanie są ważne, ponieważ podmioty zagrożeń często kierują zasoby infrastruktury o wysokiej wartości do chmury i infrastruktury lokalnej, które umożliwiają szerokie naruszenie w przypadku naruszenia zabezpieczeń.
  • Aplikacje: szybkie wykrywanie i reagowanie na ataki na pocztę e-mail, współpracę, działalność biznesową i inne aplikacje mają kluczowe znaczenie, ponieważ osoby atakujące często używają ich do wprowadzania i przechodzenia przez organizację w celu uzyskania dostępu do zasobów biznesowych.
  • Dane: Atakujący często obierają dane za cel, aby kraść własność intelektualną, szyfrować je w celu zyskania środka nacisku na potrzeby wymuszeń lub ataków ransomware, planować przyszłe ataki i realizować inne cele. Ponadto zespół SecOps może uczestniczyć w dochodzeniach dotyczących danych związanych z prywatnością, ryzykiem wewnętrznym i innymi obszarami lub współpracować przy takich dochodzeniach.
  • Sieć: Podobnie jak uprawniona komunikacja, komunikacja podmiotów stanowiących zagrożenie i operacje ataku odbywają się przez połączenia sieciowe. SecOps koncentruje się na sensorach sieciowych, a dane nadal mają dużą wartość dla zapewnienia kontekstu i powstrzymywania zagrożeń, nawet gdy szyfrowanie ogranicza widoczność.
  • Sztuczna inteligencja: W miarę pojawiania się sztucznej inteligencji jako obszaru ataków nowe narzędzia i umiejętności są potrzebne do skutecznego wykrywania i badania. Liczba ataków sztucznej inteligencji rośnie, ponieważ podmioty zagrożeń przyjmują technologię sztucznej inteligencji. Metodyka SecOps może również korzystać ze sztucznej inteligencji w celu zautomatyzowania analizy i innych procesów.

Następne kroki

Microsoft Unified oferuje warsztaty prowadzone przez ekspertów, aby pomóc organizacjom przyspieszyć modernizację strategii, architektury i technologii zarządzania stanem zabezpieczeń. Te warsztaty obejmują:

  • Warsztaty dotyczące architektury i strategii — Security Adoption Framework (SAF) — sesja projektowania architektury: warsztaty Modern Security Operations koncentrują się na przyspieszeniu modernizacji SecOps. Te warsztaty są dostępne w następujący sposób:

    • Podsumowanie tematu — mniej niż czterogodzinna dyskusja koncentruje się na kluczowych naukach i najlepszych rozwiązaniach.
    • Full Security Architecture Design Session (Security ADS) — dwudniowe warsztaty zawierające dodatkowe szczegóły, badanie przypadku Microsoft, dyskusje dotyczące modelu dojrzałości i plany modernizacji referencyjnej.

  • Technology adoption workshop - Microsoft Unified ma warsztaty ułatwiające organizacjom poznawanie, planowanie, implementowanie i optymalizowanie metodyki SecOps.

Diagram warsztatów Microsoft Unified SecOps przedstawiający fazy uczenia się, planowania i wdrażania technologii zabezpieczeń.

Aby uzyskać więcej informacji na temat warsztatów prowadzonych przez Microsoft, skontaktuj się z menedżerem konta sukcesu klienta.

  • Last updated on