Обзор операций безопасности

Операции безопасности (SecOps) поддерживают и восстанавливают гарантии безопасности системы, когда активные злоумышленники атакуют её. NIST Cybersecurity Framework описывает функции SecOps для обнаружения, реагирования и восстановления.

  • Обнаружение - SecOps должен обнаруживать присутствие противников в системе, которые мотивированы оставаться скрытыми в большинстве случаев, что позволяет им достичь своих целей без препятствий. Это может принимать форму реагирования на оповещение о подозрительной активности или упреждающее поиск аномальных событий в журналах действий предприятия.

  • Ответ — При обнаружении потенциального действия или кампании злоумышленника SecOps должен быстро провести исследование, чтобы определить, является ли это фактической атакой (истинно положительное срабатывание) или ложным срабатыванием (ложно-положительное срабатывание), а затем определить область и цель операции злоумышленника.

  • Восстановление . Конечная цель SecOps заключается в сохранении или восстановлении гарантий безопасности (конфиденциальности, целостности, доступности) бизнес-служб во время и после атаки.

Наиболее значительными рисками безопасности большинства организаций являются операторы человеческих атак (с различными уровнями навыков). Риск от автоматизированных и повторных атак значительно снижается для большинства организаций с помощью подходов на основе подписей и машинного обучения, встроенных в антивредоносную программу. Хотя следует отметить, что существуют заметные исключения, такие как Wannacrypt и NotPetya, которые перемещались быстрее, чем эти защиты).

Хотя с операторами человеческих атак сложно справиться из-за их способности адаптироваться (в отличие от автоматизированной/повторной логики), они действуют с той же "человеческой скоростью", что и защитники, что помогает уравнять шансы.

SecOps (иногда называется Центром операций безопасности (SOC)) имеет важную роль для ограничения времени и доступа злоумышленника к ценным системам и данным. Каждая минута, которую злоумышленник проводит в среде, дает ему возможность продолжать осуществлять атаки и получать доступ к конфиденциальным или ценным системам.