Functies voor beveiligingsbewerkingen (SecOps)
Het belangrijkste doel van een functie voor cloudbeveiligingsbewerkingen (SecOps) is het detecteren, reageren op en herstellen van actieve aanvallen op bedrijfsassets.
Naarmate SecOps volwassen wordt, moeten beveiligingsbewerkingen het volgende doen:
- Reactief reageren op aanvallen die zijn gedetecteerd door hulpprogramma's
- Proactief zoeken naar aanvallen die voorbij reactieve detecties zijn gelopen
Modernisering
Het detecteren van en reageren op bedreigingen ondergaat momenteel een aanzienlijke modernisering op alle niveaus.
- Uitbreiding van bedrijfsrisicobeheer: SOC groeit uit tot een belangrijk onderdeel van het beheren van bedrijfsrisico's voor de organisatie
- Metrische gegevens en doelen: Het bijhouden van SOC-effectiviteit ontwikkelt zich van 'tijd om te detecteren' naar deze kernindicatoren:
- Reactiesnelheid via gemiddelde tijd om te bevestigen (MTTA).
- Herstelsnelheid via gemiddelde hersteltijd (MTTR).
- Technologische evolutie: SOC-technologie ontwikkelt zich van exclusief gebruik van statische analyse van logboeken in een SIEM om het gebruik van gespecialiseerde hulpprogramma's en geavanceerde analysetechnieken toe te voegen. Dit biedt uitgebreide inzichten in assets die waarschuwingen van hoge kwaliteit en onderzoekservaring bieden die een aanvulling vormen op de brede weergave van de SIEM. Beide typen hulpprogramma's maken steeds vaker gebruik van AI en machine learning, gedragsanalyse en geïntegreerde bedreigingsinformatie om afwijkende acties te herkennen en prioriteit te geven die een kwaadwillende aanvaller kunnen zijn.
- Opsporing van bedreigingen: SOC's voegen hypothesegestuurde opsporing van bedreigingen toe om proactief geavanceerde aanvallers te identificeren en luidruchtige waarschuwingen uit wachtrijen van frontlijnanalisten te verplaatsen.
- Incidentbeheer: Discipline wordt geformaliseerd om niet-technische elementen van incidenten te coördineren met juridische, communicatie- en andere teams. Integratie van interne context: Om soc-activiteiten te helpen prioriteren, zoals de relatieve risicoscores van gebruikersaccounts en apparaten, gevoeligheid van gegevens en toepassingen, en belangrijke beveiligingsisolatiegrenzen die nauwkeurig moeten worden verdedigd.
Zie voor meer informatie:
- Discipline voor beveiligingsbewerkingen
- Video's en dia's met aanbevolen procedures voor beveiligingsbewerkingen
- CISO-workshopmodule 4b: bedreigingsbeveiligingsstrategie
- Cyber Defense Operations Center (CDOC) blog serie deel 1, deel 2a, deel 2b, deel 3a, deel 3b, deel 3c, deel 3d
- NIST-computerbeveiligingsincidenten afhandelingshandleiding
- NIST-handleiding voor herstel van cyberbeveiligingsevenementen
Teamsamenstelling en sleutelrelaties
Het Cloud Security Operations Center bestaat doorgaans uit de volgende typen rollen.
- IT-bewerkingen (regelmatig contact sluiten)
- Informatie over bedreigingen
- Beveiligingsarchitectuur
- Insider-risicoprogramma
- Juridische en human resources
- Communicatieteams
- Risicoorganisatie (indien aanwezig)
- Branchespecifieke koppelingen, community's en leveranciers (voordat het incident zich voordoet)
Volgende stappen
Bekijk de functie van de beveiligingsarchitectuur.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor