Fungsi operasi keamanan (SecOps)

Tujuan utama dari fungsi cloud operasi keamanan (SecOps) adalah untuk mendeteksi, merespons, dan memulihkan dari serangan aktif terhadap aset perusahaan.

Saat SecOps matang, operasi keamanan harus:

  • Merespons secara reaktif terhadap serangan yang terdeteksi oleh alat
  • Secara proaktif memburu serangan yang menyelinap melewati deteksi reaktif

Modernisasi

Mendeteksi dan menanggapi ancaman saat ini sedang mengalami modernisasi yang signifikan di semua tingkatan.

  • Elevasi manajemen risiko bisnis: SOC tumbuh menjadi komponen kunci dalam mengelola risiko bisnis bagi organisasi
  • Metrik dan sasaran: Pelacakan efektivitas SOC berkembang dari "waktu untuk mendeteksi" ke indikator kunci ini:
    • Responsif melalui mean time to acknowledge (MTTA).
    • Kecepatan remediasi melalui mean time to remediate (MTTR).
  • Evolusi teknologi: Teknologi SOC berkembang dari penggunaan eksklusif analisis statis log di SIEM untuk menambahkan penggunaan alat khusus dan teknik analisis canggih. Ini memberikan wawasan mendalam tentang aset yang memberikan peringatan dan pengalaman investigasi berkualitas tinggi yang melengkapi luasnya tampilan SIEM. Kedua jenis alat semakin menggunakan AI dan pembelajaran mesin, analitik perilaku, dan inteligensi ancaman terintegrasi untuk membantu menemukan dan memprioritaskan tindakan anomali yang bisa menjadi penyerang jahat.
  • Perburuan ancaman: SOC menambahkan perburuan ancaman yang didorong hipotesis untuk secara proaktif mengidentifikasi penyerang tingkat lanjut dan mengalihkan peringatan berisik dari antrian analis garis depan.
  • Manajemen insiden: Disiplin menjadi diformalkan untuk mengkoordinasikan elemen nonteknis insiden dengan hukum, komunikasi, dan tim lainnya. Integrasi konteks internal: Untuk membantu memprioritaskan kegiatan SOC seperti skor risiko relatif akun dan perangkat pengguna, sensitivitas data dan aplikasi, dan batas isolasi keamanan kunci untuk dipertahankan dengan cermat.

Untuk informasi selengkapnya, lihat:

Komposisi tim dan hubungan kunci

Pusat operasi keamanan cloud biasanya terdiri dari jenis peran berikut.

  • Operasi TI (kontak dekat reguler)
  • Inteligensi ancaman
  • Domain arsitektur keamanan
  • Program risiko orang dalam
  • Sumber daya hukum dan manusia
  • Tim komunikasi
  • Organisasi risiko (jika ada)
  • Asosiasi, komunitas, dan vendor khusus industri (sebelum insiden terjadi)

Langkah berikutnya

Tinjau fungsi arsitektur keamanan.