安全作業(SecOps)負責維護並恢復系統的安全保證,當有真實敵人攻擊時。 NIST資安框架很好地描述了SecOps的偵測、回應與復原功能。
偵測 ——安全作戰必須偵測系統中的敵人,這些敵人在大多數情況下有動機保持隱藏,從而能不受阻礙地達成目標。 這可能表現為對可疑活動警示的反應,或主動在企業活動日誌中搜尋異常事件。
回應 - 一旦偵測到潛在的敵對行動或行動,SecOps 必須迅速調查,辨識出是真正的攻擊(真陽性)還是誤報(假陽性),然後列舉敵對行動的範圍與目標。
恢復 ——SecOps 的最終目標是在攻擊期間及之後,維護或恢復業務服務的安全保障(機密性、完整性、可用性)。
大多數組織面臨的最大安全風險來自人為攻擊操作者(技術水平不一)。 大多數組織透過內建的簽名與機器學習反惡意軟體方法,大幅降低自動化/重複攻擊的風險。 不過必須指出,也有像 Wannacrypt 和 NotPetya 這樣的例外,他們的行動速度比這些防禦還快)。
雖然人類攻擊操作員因適應力強(相較於自動化/重複邏輯)而難以面對,但他們與防守方以相同的「人類速度」運作,有助於平衡戰局。
安全運營(有時稱為安全運營中心(SOC))在限制攻擊者取得重要系統與資料的時間與存取權方面扮演關鍵角色。 攻擊者在環境中的每一分鐘,都允許他們持續執行攻擊行動,並存取敏感或有價值的系統。