Operace zabezpečení

  • Článek
  • 4 min ke čtení

Operace zabezpečení udržují a obnovují bezpečnostní záruky systému jako nežádoucí osoby útoku. Úkoly na operace zabezpečení jsou popsány v rámci funkcí rozhraní NIST kyberbezpečnosti Framework detekce, reakce a obnovení.

  • Operace zjišťování – zabezpečení musí detekovat přítomnost nežádoucí osoby v systému, který je necentný pro zajištění skryté ve většině případů, protože to umožňuje dosáhnout nerušených cílů. Příklady zahrnují reakce na upozornění na podezřelou aktivitu nebo proaktivní lov událostí neobvyklé v protokolech podnikových aktivit.

  • Odpověď – při detekci potenciálního nežádoucí osoba akce nebo kampaně se musí operace zabezpečení rychle prozkoumat, aby identifikovaly, zda se jedná o skutečný útok (true pozitivní) nebo falešně falešnou signalizaci (falešně pozitivní), a pak vytvořit výčet rozsahu a cíle operace nežádoucí osoba.

  • Obnovení – konečným cílem operací zabezpečení je zachování nebo obnovení bezpečnostních záruk (důvěrnost, integrita, dostupnost) firemních služeb během a po útoku.

Nejvýznamnější bezpečnostní riziko většina organizací čelí operátorům lidského útoku (z různých úrovní dovedností). Důvodem je to, že riziko automatizovaných nebo opakovaných útoků bylo pro většinu organizací výrazně snížené podle signatur a přístupů založených na strojovém učení, které jsou integrované do antimalwarového programu (i když existují významné výjimky jako Wannacrypt a NotPetya, které se přesunuly rychleji než tyto obrany).

I když jsou operátory lidského útoku obtížné vzhledem k jejich přizpůsobivosti (vs. automatizovaná nebo opakovaná logika), pracují se stejnou " rychlostí jako u bran " , jako jsou ty, které podporují hrací pole.

Operace zabezpečení (někdy označované jako středisko zabezpečení provozu (SOC)) mají důležitou roli pro přehrávání v omezení času a přístup k útočníkovi může získat cenné systémy a data. Každá minuta, kterou útočník v prostředí používá, umožňuje jejich pokračování v provádění operací útoku a přístup k citlivým/hodnotným systémům.

Cíl a metriky

Metriky, které měříte, budou mít výrazný vliv na chování a výsledky operací zabezpečení. Zaostření na základě správných měření pomůže neustálému vylepšování správných oblastí, které mají smysluplné omezení rizik.

Aby bylo zajištěno, že operace zabezpečení efektivně obsahují přístup k útočníkům, cíle by se měly zaměřit na

  • Zkrácení doby pro potvrzení výstrahy, aby se zjistilo, že zjištěná nežádoucí osoby se neignorují, zatímco by jejich služby mohly být v době útraty v době, kdy se

  • Zkrácení doby pro nápravu zjištěných nežádoucí osoba, aby se snížila doba jejich trvání a byl útok a přístup k citlivým systémům

  • Stanovení priorit investic do systémů s vysokou vnitřní hodnotou (pravděpodobnými cíli nebo vysokým dopadem na firmu) a přístupem k mnoha systémům nebo citlivým systémům (účty správců a citliví uživatelé)

  • Přihlaste se k proaktivnímu lovu pro nežádoucí osoby, když se váš program vylepšovat a reaktivní incidenty získají pod kontrolou. Zaměřte se na zkrácení doby, po kterou může nežádoucí osoba s větším kvalifikovaným držitelem pracovat v prostředí (například kvalifikovaný odborný kvalifikace, aby bylo možné vyhnout se reaktivním výstrahám).

Další informace o tom, jak Microsoft ' s SOC používá tyto metriky, najdete v tématu https://aka.ms/ITSOC .

Hybridní podnikové zobrazení

Operace zabezpečení by měly zajistit, aby nástroje, procesy a analytika dovednosti umožňovaly zviditelnění v celém rozsahu své hybridní nemovitosti.

Útočníci ' neomezují své akce na konkrétní prostředí, když cílí na organizaci, budou mít na jakékoli platformě přístup k prostředkům, které jsou k dispozici. Enterprise organizace, které přijímají cloudové služby, jako je Azure a AWS, jsou efektivně provozovány hybridem cloudových a místních prostředků.

Nástroje pro operace zabezpečení a procesy by měly být navržené k útokům na cloudové a místní prostředky a také útočníkům, kteří se předají mezi cloudové a místní prostředky pomocí identity nebo jiných prostředků. Toto zobrazení v celé podnikové síti umožní týmům pro operace zabezpečení rychle detekovat, reagovat a obnovovat útoky, což snižuje riziko organizace.

Použít nativní detekce a ovládací prvky

Pokud je to možné, používejte detekce zabezpečení a ovládací prvky, které jsou integrované do cloudové platformy, a teprve potom vytvořte vlastní detekci pomocí protokolů událostí z cloudu.

Cloudové platformy se rychle vyvinuly s novými funkcemi, které můžou zajistit náročné rozpoznávání. Nativní ovládací prvky udržuje poskytovatel cloudu a obvykle jsou vysoce kvalitní (nízká hodnota falešně pozitivní).

Vzhledem k tomu, že mnoho organizací může používat víc cloudových platforem a potřebujete sjednocené zobrazení napříč podnikem, měli byste zajistit, aby tyto nativní detekce a ovládací prvky pomohly centralizovat SIEM nebo jiný nástroj. 'Nedoporučujeme se místo nativních detekcí a ovládacích prvků pokoušet o nahrazení generalizované nástroje pro analýzu protokolů a dotazy. Tyto nástroje můžou nabízet spoustu hodnot pro proaktivní aktivity týkající se aktivit, ale při použití vysoce kvalitní výstrahy s těmito nástroji je potřeba mít k dispozici důkladné znalosti a čas, který by bylo možné lépe využít při lovu a dalších činnostech.

Chcete-li doplnit širokou viditelnost centralizovaného SIEM (například Azure Sentinel, Splunk nebo QRadar), měli byste použít nativní detekce a ovládací prvky, a to následujícím způsobem:

  • Organizace, které používají Azure, by měly používat Azure Security Center pro generování výstrah na platformě Azure.

  • Organizace by měly používat nativní možnosti protokolování jako Azure Monitor a AWS CloudTrail pro přijímání protokolů do centrálního zobrazení.

  • Organizace, které používají Azure, by měly používat funkce skupiny zabezpečení sítě (NSG) k viditelnosti síťových aktivit na platformě Azure.

  • postupy šetření by měly používat nativní nástroje s hlubokou znalostí typu assetu, jako je například zjišťování koncových bodů a odpověď (EDR), nástroje Identity a služba Azure Sentinel.

Určení priorit při integraci výstrah a protokolů

Ujistěte se, že Integrujte důležité výstrahy zabezpečení a protokoly do systémů Siem, aniž byste museli zavádět velký objem dat s nízkou hodnotou.

Zavedení příliš velkého množství dat s nízkou hodnotou může zvýšit náklady na SIEM, zvýšit šum a falešně pozitivní a snížit výkon.

Data, která shromáždíte, by měla být zaměřena na podporu jedné nebo více činností těchto operací:

  • Výstrahy (detekce ze stávajících nástrojů nebo dat potřebných pro generování vlastních výstrah)

  • Šetření incidentu (například nutné pro běžné dotazy)

  • Proaktivní lovecké aktivity

Integrace dalších dat vám umožní vylepšit výstrahy s více kontexty, které umožňují rychlou odezvu a nápravu (filtrovat falešně pozitivní výsledky, zvyšovat hodnoty true pozitivní atd.), ale shromažďování nedetekuje. Pokud si ' nejste jisti, že data budou poskytovat hodnotu (například vysoké množství brány firewall odmítá události), můžete nastavit prioritu integrace těchto událostí.