Операции безопасности

  • Статья

В этой статье приведены указания по стратегическому планированию для руководителей, которые внедряют или модернизируют операции в сфере обеспечения безопасности. Рекомендации по созданию архитектуры и технологиям см. в статье Рекомендации по обеспечению безопасности.

Операции по обеспечению безопасности снижают риски, ограничивая ущерб от злоумышленников, которые получают доступ к ресурсам организации. Операции по обеспечению безопасности, направленные на сокращение времени доступа злоумышленников к ресурсам путем обнаружения, реагирования и помощи в восстановлении после активных атак.

Быстрое реагирование и восстановление защищают организацию за счет противодействия рентабельности инвестиций злоумышленников. Когда злоумышленники лишаются доступа и вынуждены начинать новую атаку, их расходы на атаку организации начинают расти.

Операции обеспечения безопасности (SecOps) иногда называются центром информационной безопасности (SOC) или имеют соответствующую структуру. Управление состоянием защиты в рабочей среде — это функция дисциплины управления. Безопасность процесса DevOps является частью дисциплины Безопасность инноваций.

Просмотрите следующее видео, чтобы узнать больше о SecOps и его важной роли в снижении риска для вашей организации.

Люди и процесс

Операции обеспечения безопасности могут иметь очень высокий технический уровень, но, что более важно, это человеческая дисциплина. Люди являются наиболее ценным активом в операциях обеспечения безопасности. Их опыт, навык, аналитические сведения, творческие способности и находчивость — это то, что делает дисциплину эффективной.

Атаки в организации также планируются и проводятся такими людьми, как преступники, шпионы и хакеры. Если некоторые атаки с использованием готовых инструментов полностью автоматизированы, большинство вредоносных атак часто выполняются живыми операторами.

Сосредоточьтесь на том, чтобы помочь людям: ваша цель не должна заключаться в замене людей автоматизацией. Предоставьте людям инструменты, упрощающие ежедневные рабочие процессы. Благодаря этим инструментам они могут быть наравне или опережать злоумышленников, с которыми они сталкиваются.

Чтобы быстро отсортировать сигнал (реальные обнаружения) от шума (ложных срабатываний), требуется инвестировать как в человека, так и в автоматизацию. Автоматизация и технологии могут сократить человеческий труд, но злоумышленники – это люди, и человеческая оценка очень важна для победы над ними.

Продумывайте разноплановые решения: операции обеспечения безопасности могут иметь очень высокий технический уровень, но это всегда различные версии экспертного исследования, которое встречается во многих профессиональных сферах, таких как уголовное судопроизводство. Не бойтесь нанимать людей с большим опытом в области исследований или с дедуктивным или индуктивным образом мышления и обучать их технологиям.

Убедитесь, что ваши сотрудники придерживаются морально-этических ценностей и правильно оценивают результаты. Эти рекомендации могут повысить производительность и удовлетворенность сотрудников своей работой.

Культура SecOps

Отображает список ключевых элементов культуры.

Необходимо сконцентрироваться на следующих основных морально-этических ценностях:

  • Согласование миссии: в связи со сложностью этой работы специалисты по обеспечению безопасности всегда должны иметь четкое представление о том, как их работа связана с миссией и целями организации в целом.
  • Непрерывное обучение: операции обеспечения безопасности – очень детальная работа, которая постоянно изменяется, так как злоумышленники – творческие и настойчивые люди. Очень важно постоянно учиться и работать над автоматизацией часто повторяющихся или требующих ручного труда задач. Эти типы задач могут быстро подавлять моральный дух и эффективность работы команды. Убедитесь, что морально-этические ценности включают поощрение за обучение, поиск и устранение таких болевых точек.
  • Групповая работа: мы узнали, что стратегия одного воина не работает в операциях обеспечения безопасности. Один человек не может превзойти целую команду. Кроме того, работа в группе помогает сделать напряженную работу более приятной и эффективной. Важно, чтобы каждый мог рассчитывать на помощь других. Делитесь аналитическими сведениями, координируйте и проверяйте работу друг друга и постоянно учитесь друг у друга.

Метрики SecOps

Список ключевых показателей, скорости реагирования и эффективности.

Метрики определяют реакцию на событие, поэтому измерение результатов является критическим элементом для выбора верных действий. Метрики преобразуют ценности в четкие измеряемые цели, которые определяют результаты.

Мы узнали, что очень важно решить, что вы будете измерять и какими способами вы будете выбирать и применять соответствующие метрики. Мы признаем, что операции обеспечения безопасности должны управлять значимыми переменными, которые не находятся в пределах непосредственного управления, например атаками и злоумышленниками. Все отклонения от целевых объектов в основном следует рассматривать как возможность для обучения и улучшения процесса или средства, а не как возможный провал SOC при достижении целей.

Основные метрики, на которые следует обратить внимание и которые оказывают непосредственное влияние на риски организации:

  • Среднее время подтверждения (MTTA): оперативность реагирования — один из элементов, на которые SecOps влияет более прямолинейно. Измерьте время от момента появления предупреждения, например, когда начинает мигать индикатор, до момента, когда аналитик видит это оповещение и начинает исследование. Чтобы повысить оперативность реагирования, необходимо, чтобы аналитики не тратили время на исследование ложноположительных результатов. Это можно сделать путем строжайшего соблюдения приоритетов, при котором любое срабатывание предупреждения, требующее внимания аналитика, сопровождается регистрационной записью о вероятности истинно положительного результата 90 %.
  • Среднее время исправления (MTTR): эффективность снижения рисков измеряется в течение последующего периода времени. Этот период — это время от момента, когда аналитик начинает исследование, до момента исправления инцидента. MTTR определяет, сколько времени нужно для того, чтобы закрыть злоумышленнику доступ к среде с помощью SecOps. Эти сведения помогают определить, где нужно развивать процессы и средства, чтобы помочь аналитикам уменьшать риски.
  • Исправленные инциденты (вручную или автоматизированно): измерение количества инцидентов, исправленных вручную, и количества инцидентов, исправленных с помощью автоматизированных средств, — еще один из основных способов получения информации для принятия решений по кадрам и инструментам.
  • Эскалация между уровнями: следите за тем, сколько инцидентов перешло на более высокие уровни. Это помогает обеспечивать точное отслеживание рабочей нагрузки и получать информацию для принятия решений по кадрам и инструментам. Например, это нужно для того, чтобы работа по инцидентам, перешедшим на более высокие уровни, не была назначена команде, не обладающей нужной квалификацией.

Модель операций по обеспечению безопасности

Операции по обеспечению безопасности должны быть пригодны как для инцидентов большого объема, так и для инцидентов высокой сложности.

Схема, показывающая модель операций безопасности.

Команды по операциям обеспечения безопасности часто нацелены на три ключевых результата:

  • Управление инцидентами: управление активными атаками в среде, в том числе:
    • Оперативное реагирование на обнаруженные атаки.
    • Упреждающий поиск атак, которые способны обойти традиционные механизмы обнаружения угроз.
    • Координация юридических, коммуникационных и других последствий возникновения инцидентов в сфере безопасности для коммерческой деятельности.
  • Подготовка инцидента: помогите организации подготовиться к атакам в будущем. Подготовка инцидентов — это более обширный набор стратегических мер, нацеленных на создание мышечной памяти и контекста на всех уровнях организации. Эта стратегия помогает сотрудникам лучше обрабатывать основные атаки и получать аналитические сведения об улучшениях процесса обеспечения безопасности.
  • Аналитика угроз: сбор, обработка и распространение аналитики угроз на операции обеспечения безопасности, команды специалистов по безопасности, руководителей отделов безопасности и заинтересованных лиц в руководстве компании через руководителей отделов безопасности.

Чтобы обеспечить соответствие этим результатам, структуры команд специалистов по операциям безопасности должны быть построены, исходя из основных результатов. В крупных командах SecOps результаты часто делят между подгруппами специалистов.

  • Рассмотрение (уровень 1): первый уровень реагирования на инциденты в сфере безопасности. Рассмотрение направлено на объемную обработку предупреждений и обычно выполняется с помощью автоматизации и инструментов. Процессы рассмотрения решают большинство самых распространенных типов инцидентов и позволяют устранить их в пределах команды. Более сложные инциденты или инциденты, которые не были замечены и устранены ранее, необходимо повысить до уровня 2.
  • Исследование (уровень 2): проводится для инцидентов, которые требуют дальнейшего изучения, часто требуют корреляции точек данных из нескольких источников. Этот уровень исследования позволяет найти повторяемые решения для проблем, попавших на него. Затем решение последующих повторений проблемы этого типа передается на уровень 1. Уровень 2 также реагирует на предупреждения о критически важных для бизнеса системах, что позволяет учесть серьезность риска и необходимость в оперативном реагировании.
  • Поиск (уровень 3): в основном работа направлена на упреждающий поиск атак очень высокой сложности и разработку рекомендаций для более широкого круга команд с целью развития средств управления безопасностью. Команда уровня 3 также выступает в качестве точки эскалации для крупных инцидентов с целью реализации экспертного анализа и реагирования.

Точки контакта SecOps с руководством компаний

SecOps имеет множество потенциальных возможностей взаимодействия с руководством компаний.

Схема, на которую показаны практические упражнения по точкам касания SecOps, бизнес-приоритеты и состояние крупных инцидентов.

  • Контекст бизнеса для SecOps: необходимо обеспечить соответствие SecOps наиболее важным целям организации, чтобы команда могла применять этот контекст к изменяющимся условиям обеспечения безопасности в реальном времени. Что может максимально отрицательно сказаться на бизнесе? Простои критически важных систем? Потери репутации и доверия клиентов? Раскрытие конфиденциальных данных? Незаконное изменение критически важных данных или систем? Мы узнали, что критически важно понимать, что ключевые руководители и сотрудники в SOC понимают этот контекст. Они перерабатывают непрерывный и огромный поток информации и рассматривают инциденты, выделяют приоритеты при планировании своего времени, внимания и сил.
  • Совместные практические занятия с SecOps: руководители компаний должны регулярно участвовать в практической деятельности SecOps, направленной на отработку реагирования на серьезные инциденты. Это обучение формирует мышечную память и взаимоотношения, которые критически важны для быстрого и эффективного принятия решений в условиях высокой интенсивности возникновения реальных инцидентов, что снижает риск для организации. Такая практика также помогает сокращать риски путем выявления брешей и допущений в процессе, который можно исправить до возникновения реального инцидента.
  • Нововведения в работе с серьезными инцидентами от SecOps: SecOps должны предоставлять заинтересованным лицам нововведения в работе с серьезными инцидентами, когда таковые происходят. Эти сведения позволяют руководителям компаний понимать риски и принимать как упреждающие, так и последующие меры по управлению этими рисками. Дополнительные сведения о серьезных инцидентах от команды Майкрософт по обнаружению и реагированию на инциденты см. в справочном руководстве по реагированию на инциденты.
  • Бизнес-аналитика из SoC: иногда SecOps обнаруживает, что злоумышленники атакуют систему или набор данных, которым не уделялось внимание. Когда это стало известным, команда аналитики угроз должна сообщить об этих сигналах руководителям компании, так как это может натолкнуть руководителей компании на определенные идеи. Например, кто-то за пределами компании осведомлен о секретном проекте, или неожиданные цели злоумышленника подчеркивают ценность набора данных, что в ином случае осталось бы без внимания.

Модернизация SecOps

Так же, как и другие дисциплины в сфере безопасности, операции по безопасности трансформируются под влиянием непрерывного развития бизнес-моделей, злоумышленников и технологических платформ.

Преобразование операций по безопасности главным образом происходит в следующих направлениях:

  • Охват облачной платформы: операции по безопасности должны обнаруживать атаки на активы в масштабах предприятия, включая облачные ресурсы, и реагировать на них. Облачные ресурсы — это новая и быстро развивающаяся платформа, которая часто незнакома специалистам по SecOps.
  • Переход на обеспечение безопасности на основе идентификации: традиционные операции SecOps существенно опираются на сетевые средства, но теперь они должны использовать идентификацию, конечную точку, приложение и другие средства и навыки. Эта интеграция вызвана следующими причинами:
    • Злоумышленники применяют атаки на каналы идентификации, например фишинг, кража учетных данных, подбор паролей (password spray) и другие типы атак, которые позволяют уверенно избегать обнаружения сетевыми средствами.
    • Ценные активы (например, использование личных устройств для работы (BYOD)) периодически или всегда используются за периметром сети, снижая применимость средств сетевого обнаружения.
  • Охват Интернета вещей (IOT) и операционной технологии (OT): на разных этапах атак злоумышленники активно атакуют устройства IoT и OT. Эти устройства могут быть конечной целью атаки или средством для доступа к среде или ее пересечения.
  • Облачная обработка телеметрии: модернизация операций безопасности является обязательной из-за стремительного увеличения объема релевантных данных телеметрии, поступающих из облака. Эти данные телеметрии сложно или невозможно обработать с помощью локальных ресурсов и классических методик. Таким образом, методология SecOps должна охватывать облачные службы, обеспечивающие массовую аналитику, машинное обучение и аналитику реакций на события. Эти технологии помогают быстро извлекать значение для выполнения операций по безопасности, требующих оперативности.

Важно инвестировать в обновленные средства и учебные курсы SecOps, чтобы обеспечить соответствие операций по безопасности возникающим сложностям. Дополнительные сведения см. в статье об обновлении процессов реагирования на инциденты для облака.

Дополнительные сведения о ролях и задачах операций по безопасности см. в статье Операции по обеспечению безопасности.

Дополнительные рекомендации по архитектуре и технологиям см. в статье Рекомендации Майкрософт по обеспечению безопасности, а также в видеороликах и на слайдах.

Дальнейшие действия

Следующая дисциплина — Защита активов.