安全性作業概觀
當即時敵人攻擊系統時,安全性作業 (SecOps) 會維護和還原系統的安全性保證。 NIST 網路安全性架構描述偵測、回應和復原的 SecOps 功能。
偵測 - SecOps 必須偵測系統中的敵人存在,他們被激勵在大部分情況下保持隱藏,讓他們能夠不受阻礙地達成其目標。 這可以採取回應可疑活動警示的形式,或主動搜捕企業活動記錄中的異常事件。
回應 - 偵測到潛在的對手動作或營銷活動時,SecOps 必須快速調查,以識別其是否為實際攻擊(真陽性)或誤報(誤判為真),然後列舉敵人作業的範圍和目標。
復原 - SecOps 的最終目標是在攻擊期間和之後保留或還原商務服務的安全性保證(機密性、完整性、可用性)。
大多數組織面臨的最重大安全性風險是來自人類攻擊操作員(技能等級不同)。 透過反惡意代碼內建的簽章和機器學習型方法,自動化/重複攻擊的風險已大幅降低。 雖然必須指出,Wannacrypt 和 NotPetya 等值得注意的例外狀況,其移動速度比這些防禦更快)。
雖然人類攻擊操作員由於適應能力(與自動化/重複邏輯)而面臨挑戰,但他們的運作速度與後衛相同,這有助於提升賽場水準。
SecOps(有時稱為資訊安全作業中心 (SOC)在限制時間和存取攻擊者時扮演重要角色。 攻擊者在環境中擁有的每分鐘,都允許他們繼續執行攻擊作業,並存取敏感性或有價值的系統。