安全操作概述
安全运营 (SecOps) 维护和还原系统在受到攻击者实时攻击时的安全保证。 NIST 网络安全框架介绍了 SecOps 的检测、响应和恢复功能。
检测 - SecOps 必须检测系统中是否存在对手,这些对手在大多数情况下都保持隐藏状态,因为这可以让他们不受阻碍地实现目标。 这可以采取以下形式:对可疑活动的警报作出反应,或在企业活动日志中主动查找异常事件。
响应 - 在检测到潜在对手的操作或活动时,SecOps 必须快速进行调查,以确定它是实际攻击(真正)还是假警报(误报),然后枚举攻击操作的作用域和目标。
恢复 - SecOps 的最终目标是在攻击期间和之后,保留或还原业务服务的安全保障(保密性、完整性、可用性)。
大多数组织面临的最大安全风险来自于人为攻击操作员(具备不同的技能水平)。 对于大多数组织来说,通过反恶意软件中内置的基于签名和机器学习的方法,自动/重复攻击的风险已经得到了显著的降低。 尽管有一些明显的例外,例如 Wannacrypt 和 NotPetya,它们的移动速度比这些防御手段更快。
应对人为攻击操作员面临着很大的挑战,因为它与自动/重复逻辑相比具有适应性,但他们的操作速度与防御者的手速相同,这有助营造了公平竞争的环境。
SecOps(有时称为安全运营中心 (SOC))在限制攻击者获取有价值的系统和数据的时间和访问方面起着关键作用。 攻击者处于环境中的每一分钟都让他们能够继续执行攻击操作并访问敏感或有价值的系统。