Обзор операций безопасности
Операции безопасности (SecOps) поддерживают и восстанавливают гарантии безопасности системы в качестве живых злоумышленников. NIST Cybersecurity Framework описывает функции SecOps для обнаружения, реагирования и восстановления.
Обнаружение - SecOps должен обнаруживать присутствие противников в системе, которые стимулируют оставаться скрытыми в большинстве случаев, что позволяет им достичь своих целей без возможности. Это может принимать форму реакции на предупреждение о подозрительной активности или упреждающего поиска аномальных событий в журналах действий предприятия.
Ответ . При обнаружении потенциального действия или кампании злоумышленника SecOps должен быстро исследовать, чтобы определить, является ли это фактическое нападение (истинное положительное) или ложное срабатывание (ложное срабатывание), а затем перечислить область и цель операции противника.
Восстановление . Конечная цель SecOps заключается в сохранении или восстановлении гарантий безопасности (конфиденциальности, целостности, доступности) бизнес-служб во время и после атаки.
Наиболее значительная угроза безопасности, с которой сталкивается большинство организаций, исходит атак, выполняемых человеком (разного уровня навыков). Риск от автоматизированных и повторных атак значительно снижается для большинства организаций с помощью подходов на основе подписей и машинного обучения, встроенных в антивредоносную программу. Хотя следует отметить, что существуют заметные исключения, такие как Wannacrypt и NotPetya, которые перемещались быстрее, чем эти защиты).
Хотя операторы человеческих атак сложно столкнуться из-за их адаптации (vs. автоматизированная/повторная логика), они работают на той же "человеческой скорости", что и защитники, которые помогают повысить уровень игрового поля.
SecOps (иногда называется Центром операций безопасности (SOC)) имеет важную роль для ограничения времени и доступа злоумышленника к ценным системам и данным. Каждая минута пребывания в среде позволяет злоумышленную выполнять вредоносные действия и получать доступ к конфиденциальным или ценным системам.