Güvenlik işlemleri
Bu makale, bir güvenlik işlemi işlevini oluşturan veya modernleştiren liderler için stratejik rehberlik sağlar. Mimari ve teknoloji odaklı en iyi yöntemler için bkz. Güvenlik operasyonları için en iyi yöntemler.
Güvenlik operasyonları, kuruluşunuzun kaynaklarına erişim elde eden saldırganların zararlarını sınırlayarak riski azaltır. Güvenlik operasyonları, saldırganların etkin saldırıları algılayarak, yanıt vererek ve kurtarmalarına yardımcı olarak kaynaklara erişim süresini azaltmaya odaklanır.
Hızlı yanıt ve kurtarma, saldırganların yatırım getirisine (ROI) zarar vererek kuruluşunuzu korur. Saldırganlar çıkarılıp yeni bir saldırı başlatmaya zorlandığında, kuruluşunuza saldırma maliyetleri artıyor.
Güvenlik işlemleri (SecOps) bazen güvenlik operasyonları merkezi (SOC) olarak adlandırılır veya yapılandırılır. İşletim ortamının güvenlik duruşu yönetimi, idare disiplininin bir işlevidir. DevOps işleminin güvenliği , yenilik güvenliği uzmanlık alanının bir parçasıdır.
SecOps ve kuruluşunuz için riski azaltmadaki kritik rolü hakkında daha fazla bilgi edinmek için aşağıdaki videoyu izleyin.
Kişiler ve işleme
Güvenlik operasyonları son derece teknik olabilir, ancak daha da önemlisi bu bir insan disiplinidir. Kişiler, güvenlik operasyonlarındaki en değerli varlıktır. Uzmanlık alanını etkili hale getirmek deneyim, beceri, içgörü, yaratıcılık ve becerikliliktir.
Kuruluşunuza yönelik saldırılar suçlular, casuslar ve hacktivistler gibi kişiler tarafından da planlanır ve yürütülür. Bazı emtia saldırıları tamamen otomatikleştirilmiş olsa da, en zarar veren saldırılar genellikle canlı insan saldırısı operatörleri tarafından yapılır.
İnsanları güçlendirmeye odaklanın: Hedefiniz insanları otomasyonla değiştirmek olmamalıdır. Kişilerinizi günlük iş akışlarını basitleştiren araçlarla güçlendirin. Bu araçlar, karşılaştıkları insan düşmanlarını takip etmelerini veya onlardan önde olmalarını sağlar.
Gürültüden gelen sinyali (gerçek algılamalar) hızlı bir şekilde sıralamak (hatalı pozitifler) hem insanlara hem de otomasyona yatırım yapılmasını gerektirir. Otomasyon ve teknoloji insan çalışmalarını azaltabilir, ancak saldırganlar insandır ve insan yargısı onları yenerken kritik öneme sahiptir.
Düşünce portföyünüzü çeşitlendirin: Güvenlik operasyonları son derece teknik olabilir, ancak aynı zamanda ceza adaleti gibi birçok kariyer alanında görünen bir diğer yeni adli araştırma sürümüdür. Araştırma veya kesinti ya da endüktif nedenlerle güçlü yetkinliğe sahip kişileri işe almaktan ve teknoloji konusunda eğitmekten korkmayın.
Kişilerinizin sağlıklı bir kültüre sahip olduğundan ve doğru sonuçları ölçtklerinden emin olun. Bu uygulamalar üretkenliği artırabilir ve çalışanların işlerinin keyfini çıkarabilir.
SecOps kültürü
Odaklanacak temel kültürel öğeler şunlardır:
- Görev hizalama: Bu çalışmanın ne kadar zor olduğu nedeniyle, güvenlik operasyonları her zaman çalışmalarının kuruluşun genel misyonuna ve hedeflerine nasıl bağlandığı konusunda net bir anlayışa sahip olmalıdır.
- Sürekli öğrenme: Saldırganlar yaratıcı ve kalıcı olduğundan, güvenlik işlemleri son derece ayrıntılı bir çalışmadır ve her zaman değişir. Sürekli olarak öğrenmek ve yüksek oranda yinelenen veya el ile yapılan görevleri otomatikleştirmek için çalışmak kritik önem taşır. Bu tür görevler hızla moral ve takım etkinliğini yıpratabilir. Kültürün bu acı noktalarını öğrenme, bulma ve düzeltmeyi ödüllendirdiğinden emin olun.
- Takım çalışması: "Yalnız kahramanın" güvenlik operasyonlarında çalışmadığını öğrendik. Kimse bütün takım kadar zeki değildir. Ekip çalışması ayrıca yüksek basınçlı bir çalışma ortamını daha keyifli ve üretken hale getirir. Herkesin birbirinin geri dönmesi önemlidir. İçgörüleri paylaşın, birbirinizin çalışmalarını koordine edip kontrol edin ve sürekli olarak birbirlerinden öğrenin.
SecOps ölçümleri
Ölçümler davranışı yönlendireceğinden başarıyı ölçmek doğru yapmak için kritik bir unsurdur. Ölçümler, kültürü sonuçları yönlendiren net ölçülebilir hedeflere çevirir.
Ölçtüklerine ve bu ölçümlere odaklanma ve bunları zorlama yöntemlerine dikkat etmenin kritik öneme sahip olduğunu öğrendik. Güvenlik işlemlerinin saldırılar ve saldırganlar gibi doğrudan kontrolleri dışında olan önemli değişkenleri yönetmesi gerektiğini unutmayın. Hedeflerden sapmalar, SOC'nin bir hedefi karşılama hatası olduğu varsayılmak yerine öncelikle süreç veya araç geliştirme için bir öğrenme fırsatı olarak değerlendirilmelidir.
Kuruluş riski üzerinde doğrudan etkisi olan temel ölçümler şunlardır:
- Kabul etme süresi (MTTA): Yanıt Verme Hızı, SecOps'un üzerinde daha fazla doğrudan denetime sahip olduğu birkaç öğeden biridir. Işığın yanıp sönmeye başlaması ve analistin bu uyarıyı görüp araştırmayı başlatması gibi bir uyarı arasındaki süreyi ölçün. Bu yanıt hızını geliştirmek için analistlerin hatalı pozitif sonuçları araştırmak için zaman kaybetmemelerini gerektirir. Analist yanıtı gerektiren herhangi bir uyarı akışının yüzde 90 gerçek pozitif algılama kaydına sahip olması gerektiğinden emin olmak için acımasız öncelik belirleme ile elde edilebilir.
- Ortalama düzeltme süresi (MTTR): Riski azaltmanın etkinliği, bir sonraki zaman dilimini ölçer. Bu süre, analistin olayın düzeltildiğinde araştırmaya başladığı zamandır. MTTR, SecOps'un saldırganın ortamdan erişimini kaldırmasının ne kadar sürdüğünü tanımlar. Bu bilgiler, analistlerin riski azaltmasına yardımcı olmak için süreçlere ve araçlara nerede yatırım yapacaklarını belirlemeye yardımcı olur.
- Düzeltilmiş olaylar (el ile veya otomasyon ile): Kaç olayın el ile düzeltileceğini ve kaç olayın otomasyonla çözüldüğünü ölçmek, personel ve araç kararlarını bilgilendirmenin bir diğer önemli yoludur.
- Her katman arasındaki yükseltmeler: Katmanlar arasında kaç olayın ilerletilmiş olduğunu izleyin. Personeli ve diğer kararları bilgilendirmek için iş yükünün doğru bir şekilde izlenmesine yardımcı olur. Örneğin, yükseltilen olaylarda yapılan işin yanlış takıma atfedilmiş olmaması için.
Güvenlik işlemleri modeli
Güvenlik işlemleri, yüksek hacimli olayları ve yüksek karmaşıklık olaylarını bir arada ele alır.
Güvenlik operasyonları ekipleri genellikle üç önemli sonuca odaklanır:
-
Olay yönetimi: Aşağıdakiler dahil olmak üzere ortama yönelik etkin saldırıları yönetin:
- Algılanan saldırılara tepkisel olarak yanıt verme.
- Geleneksel tehdit algılamalarından geçen saldırılar için proaktif olarak avlanma.
- Güvenlik olaylarının yasal, iletişim ve diğer iş etkilerini koordine etme.
- Olay hazırlığı: Kuruluşun gelecekteki saldırılara hazırlanmasına yardımcı olun. Olay hazırlığı, kuruluşun tüm düzeylerinde kas hafızası ve bağlamı oluşturmayı amaçlayan daha geniş bir stratejik etkinlik kümesidir. Bu strateji, insanları büyük saldırıları daha iyi işlemeye ve güvenlik süreci geliştirmeleri hakkında içgörüler kazanmaya hazırlar.
- Tehdit bilgileri: Güvenlik liderliği aracılığıyla güvenlik operasyonlarına, güvenlik ekiplerine, güvenlik liderliklerine ve iş liderliği paydaşlarına yönelik tehdit bilgilerini toplama, işleme ve dağıtma.
Bu sonuçlara karşı teslimat yapmak için güvenlik operasyonları ekiplerinin önemli sonuçlara odaklanacak şekilde yapılandırılması gerekir. Daha büyük SecOps takımlarında sonuçlar genellikle altteamlar arasında ayrılır.
- Önceliklendirme (katman 1): Güvenlik olayları için ilk yanıt satırı. Önceliklendirme, uyarıların yüksek hacimli işlenmesine odaklanır ve genellikle otomasyon ve araçlar tarafından oluşturulur. Önceliklendirme işlemleri yaygın olay türlerinin çoğunu çözer ve bunları ekip içinde çözer. Daha karmaşık olaylar veya daha önce görülmüş ve çözümlenmemiş olaylar katman 2'ye yükseltilmelidir.
- Araştırma (katman 2): Daha fazla araştırma gerektiren ve genellikle birden çok kaynaktan gelen veri noktalarının bağıntısını gerektiren olaylara odaklandık. Bu araştırma katmanı, kendilerine aktarılan sorunlara yönelik tekrarlanabilir çözümler sağlamayı amaçlır. Ardından katman 1'in bu sorun türünün daha sonraki yinelemelerini çözmesini sağlar. Katman 2, riskin önem derecesini ve hızlı hareket etme gereksinimini yansıtmak için iş açısından kritik sistemlere karşı uyarılara da yanıt verir.
- Hunt (katman 3): Öncelikli olarak son derece gelişmiş saldırı süreçleri için proaktif avlanmaya ve sonuç olarak güvenlik denetimlerini olgunlaştırmaya yönelik daha geniş ekiplere rehberlik geliştirmeye odaklandık. Katman 3 ekibi, adli analizi ve yanıtı desteklemek amacıyla içindeki büyük olaylar için bir yükseltme noktası olarak da görev yapar.
SecOps iş temas noktaları
SecOps'un iş liderliğiyle birden çok olası etkileşimi vardır.
- SecOps için iş bağlamı: Ekibin bu bağlamı akıcı gerçek zamanlı güvenlik durumlarına uygulayabilmesi için SecOps'un kuruluş için en önemli olanı anlaması gerekir. İşletme üzerinde en olumsuz etki ne olabilir? Kritik sistemlerin kapalı kalma süresi mi? Saygınlık ve müşteri güveni kaybı mı? Hassas verilerin açığa çıkması Kritik verilerle veya sistemlerle oynama mı? SOC'deki önemli liderlerin ve personelin bu bağlamı anlamasının kritik öneme sahip olduğunu öğrendik. Sürekli bilgi ve önceliklendirme olaylarıyla dolup taşacak ve zamanlarına, dikkatlerine ve çabalarına öncelik vereceğiz.
- SecOps ile ortak alıştırma alıştırmaları: İş liderlerinin, büyük olaylara yanıt vermek için SecOps'a düzenli olarak katılması gerekir. Bu eğitim, gerçek olayların yüksek baskısında hızlı ve etkili karar alma için kritik öneme sahip olan kas hafızasını ve ilişkileri oluşturarak kurumsal riski azaltır. Bu uygulama, gerçek bir olay gerçekleşmeden önce düzeltilebilen işlemdeki boşlukları ve varsayımları ortaya çıkararak riski de azaltır.
- SecOps'tan önemli olay güncelleştirmeleri: SecOps, büyük olaylar gerçekleştiğinde iş paydaşlarına güncelleştirmeler sağlamalıdır. Bu bilgiler, iş liderlerinin risklerini anlamasına ve bu riski yönetmek için hem proaktif hem de reaktif adımlar atmasına olanak tanır. Microsoft Algılama ve Yanıt Ekibi'nin önemli olaylar hakkında daha fazla bilgi için olay yanıtı başvuru kılavuzuna bakın.
- SOC'den iş zekası: Bazen SecOps, saldırganların beklenen olmayan bir sistemi veya veri kümesini hedeflediğini bulur. Bu keşifler yapıldıkçe tehdit bilgileri ekibi bu sinyalleri iş liderleriyle paylaşmalıdır ve bu sinyaller iş liderlerine yönelik içgörüler tetikleyebilir. Örneğin, şirket dışındaki biri gizli bir projenin farkındadır veya beklenmeyen saldırgan hedefleri, aksi halde gözden kaçan bir veri kümesinin değerini vurgular.
SecOps modernizasyonu
Diğer güvenlik disiplinlerinde olduğu gibi, güvenlik operasyonları da sürekli gelişen iş modellerinin, saldırganların ve teknoloji platformlarının dönüştürücü etkisiyle karşı karşıya kalır.
Güvenlik işlemlerinin dönüşümü öncelikle aşağıdaki eğilimler tarafından yönlendirilir:
- Bulut platformu kapsamı: Güvenlik operasyonları, bulut kaynakları da dahil olmak üzere kurumsal varlıklar genelindeki saldırıları algılamalı ve bunlara yanıt vermelidir. Bulut kaynakları genellikle SecOps uzmanlarına yabancı olan yeni ve hızla gelişen bir platformdur.
-
Kimlik odaklı güvenliğe geçiş: Geleneksel SecOps büyük ölçüde ağ tabanlı araçlara dayanır, ancak artık kimlik, uç nokta, uygulama ve diğer araç ve becerileri tümleştirmelidir. Bu tümleştirmenin nedeni:
- Saldırganlar kimlik avı, kimlik bilgisi hırsızlığı, parola spreyi ve diğer saldırı türleri gibi kimlik saldırılarını güvenilir bir şekilde ağ tabanlı algılamalardan kaçınan cephaneliklerine dahil etti.
- Kendi cihazlarınızı getirin (KCG) gibi değerli varlıklar, yaşam döngülerinin bir kısmını veya tamamını ağ çevresi dışında harcayarak ağ algılamalarının yardımcı programını sınırlar.
- Nesnelerin İnterneti (IoT) ve işletim teknolojisi (OT) kapsamı: Saldırganlar saldırı zincirlerinin bir parçası olarak IoT ve OT cihazlarını etkin bir şekilde hedefler. Bu hedefler bir saldırının nihai amacı veya ortama erişmek veya ortama geçiş yapmak için bir araç olabilir.
- Telemetrinin bulut işlemesi: Buluttan gelen ilgili telemetrideki büyük artış nedeniyle güvenlik operasyonları modernizasyonu gereklidir. Bu telemetrinin şirket içi kaynaklarla ve klasik tekniklerle işlenmesi zordur veya imkansızdır. Daha sonra SecOps'un büyük ölçekli analiz, makine öğrenmesi ve davranış analizi sağlayan bulut hizmetlerini benimsemesini sağlar. Bu teknolojiler, güvenlik işlemlerinin zamana duyarlı gereksinimlerini karşılamak için değeri hızla ayıklamaya yardımcı olur.
Güvenlik işlemlerinin bu zorlukları karşılayabilmesi için güncelleştirilmiş SecOps araçlarına ve eğitimine yatırım yapmak önemlidir. Daha fazla bilgi için bkz . Bulut için olay yanıt işlemlerini güncelleştirme.
Güvenlik operasyonları rolleri ve sorumlulukları hakkında daha fazla bilgi için bkz . Güvenlik işlemleri.
Daha fazla mimari ve teknoloji odaklı en iyi uygulamalar için bkz. Güvenlik işlemleri ve videolar ve slaytlariçin Microsoft'un en iyi güvenlik uygulamaları.
Sonraki adımlar
Bir sonraki uzmanlık alanı varlık korumasıdır.