Обзор операций безопасности

  • Статья

Операции безопасности (SecOps) поддерживают и восстанавливают гарантии безопасности системы в качестве живых злоумышленников. NIST Cybersecurity Framework описывает функции SecOps для обнаружения, реагирования и восстановления.

  • Обнаружение - SecOps должен обнаруживать присутствие противников в системе, которые стимулируют оставаться скрытыми в большинстве случаев, что позволяет им достичь своих целей без возможности. Это может принимать форму реакции на предупреждение о подозрительной активности или упреждающего поиска аномальных событий в журналах действий предприятия.

  • Ответ . При обнаружении потенциального действия или кампании злоумышленника SecOps должен быстро исследовать, чтобы определить, является ли это фактическое нападение (истинное положительное) или ложное срабатывание (ложное срабатывание), а затем перечислить область и цель операции противника.

  • Восстановление . Конечная цель SecOps заключается в сохранении или восстановлении гарантий безопасности (конфиденциальности, целостности, доступности) бизнес-служб во время и после атаки.

Наиболее значительная угроза безопасности, с которой сталкивается большинство организаций, исходит атак, выполняемых человеком (разного уровня навыков). Риск от автоматизированных и повторных атак значительно снижается для большинства организаций с помощью подходов на основе подписей и машинного обучения, встроенных в антивредоносную программу. Хотя следует отметить, что существуют заметные исключения, такие как Wannacrypt и NotPetya, которые перемещались быстрее, чем эти защиты).

Хотя операторы человеческих атак сложно столкнуться из-за их адаптации (vs. автоматизированная/повторная логика), они работают на той же "человеческой скорости", что и защитники, которые помогают повысить уровень игрового поля.

SecOps (иногда называется Центром операций безопасности (SOC)) имеет важную роль для ограничения времени и доступа злоумышленника к ценным системам и данным. Каждая минута пребывания в среде позволяет злоумышленную выполнять вредоносные действия и получать доступ к конфиденциальным или ценным системам.