Översikt över säkerhetsåtgärder
Säkerhetsåtgärder (SecOps) underhåller och återställer säkerhetsgarantierna för systemet när aktiva angripare attackerar det. NIST Cybersecurity Framework beskriver SecOps-funktionerna för att identifiera, svara och återställa brunnen.
Identifiera – SecOps måste identifiera förekomsten av angripare i systemet, som är uppmuntrade att förbli dolda i de flesta fall, så att de kan uppnå sina mål obehindrat. Detta kan ske i form av att reagera på en avisering om misstänkt aktivitet eller proaktivt jaga avvikande händelser i företagsaktivitetsloggarna.
Svara – Vid identifiering av potentiella angrepp eller kampanjer måste SecOps snabbt undersöka om det är en faktisk attack (sann positiv) eller ett falskt larm (falskt positivt) och sedan räkna upp omfattningen och målet för den angripare åtgärden.
Återställning – Det slutliga målet med SecOps är att bevara eller återställa säkerhetsgarantierna (sekretess, integritet, tillgänglighet) för affärstjänster under och efter en attack.
Den mest betydande säkerhetsrisken som de flesta organisationer står inför är från mänskliga attackoperatörer (av olika kompetensnivåer). Risken för automatiserade/upprepade attacker har minskat avsevärt för de flesta organisationer genom signatur- och maskininlärningsbaserade metoder som är inbyggda i anti-skadlig kod. Även om det måste noteras att det finns anmärkningsvärda undantag som Wannacrypt och NotPetya, som rörde sig snabbare än dessa försvar).
Även om mänskliga attackoperatörer är utmanande att möta på grund av deras anpassningsbarhet (jämfört med automatiserad/upprepad logik), fungerar de i samma "mänskliga hastighet" som försvarare, vilket hjälper till att jämna ut spelplanen.
SecOps (kallas ibland ett Security Operations Center (SOC)) har en viktig roll att spela när det gäller att begränsa tiden och få åtkomst till värdefulla system och data. Varje minut som en angripare har i miljön kan de fortsätta att utföra attackåtgärder och få åtkomst till känsliga eller värdefulla system.