Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As operações de segurança (SecOps) mantêm e restauram as garantias de segurança do sistema à medida que os adversários ativos o atacam. O NIST Cybersecurity Framework descreve bem as funções SecOps de Detectar, Responder e Recuperar.
Detectar – o SecOps deve detectar a presença de adversários no sistema, que são incentivados a permanecer ocultos na maioria dos casos, permitindo que eles atinjam seus objetivos sem impedimentos. Isso pode assumir a forma de reagir a um alerta de atividade suspeita ou buscar proativamente eventos anômalos nos logs de atividades empresariais.
Responder - Após a detecção de uma possível ação adversária ou campanha, o SecOps deve investigar rapidamente para identificar se é um ataque real (verdadeiro positivo) ou um alarme falso (falso positivo) e, em seguida, enumerar o escopo e o objetivo da operação adversária.
Recuperar – O objetivo final do SecOps é preservar ou restaurar as garantias de segurança (confidencialidade, integridade, disponibilidade) dos serviços empresariais durante e após um ataque.
O risco de segurança mais significativo que a maioria das organizações enfrenta é de operadores de ataque humano (de diferentes níveis de habilidade). O risco de ataques automatizados/repetidos foi reduzido significativamente para a maioria das organizações por abordagens baseadas em assinatura e machine learning incorporadas ao antimalware. Embora seja necessário observar que há exceções notáveis como Wannacrypt e NotPetya, que se moveram mais rápido do que essas defesas).
Embora os operadores de ataque humano sejam desafiadores de enfrentar devido à sua adaptabilidade (versus lógica automatizada/repetida), eles estão operando na mesma "velocidade humana" que os defensores, o que ajuda a nivelar o campo de jogo.
O SecOps (às vezes referido como Centro de Operações de Segurança, SOC) desempenha um papel crítico em limitar o tempo e o acesso que um invasor pode obter a sistemas e dados valiosos. Cada minuto que um invasor tem no ambiente permite que ele continue a realizar operações de ataque e acesse sistemas confidenciais ou valiosos.