Beveiligingsbewerkingen

  • Artikel

Dit artikel bevat strategische richtlijnen voor leiders die een beveiligingsbewerkingsfunctie opzetten of moderniseren. Zie Best practices voor beveiligingsbewerkingen voor aanbevolen procedures voor architectuur en technologie.

Beveiligingsbewerkingen verminderen het risico door schade van aanvallers die toegang krijgen tot de resources van uw organisatie te beperken. Beveiligingsbewerkingen zijn gericht op het verminderen van de tijd die aanvallers toegang hebben tot resources door actieve aanvallen te detecteren, erop te reageren en te helpen herstellen van actieve aanvallen.

Snelle reactie en herstel beschermen uw organisatie door het rendement op investeringen (ROI) van de aanvaller te beschadigen. Wanneer kwaadwillenden worden verwijderd en gedwongen een nieuwe aanval te starten, lopen de kosten voor het aanvallen van uw organisatie op.

Beveiligingsbewerkingen (SecOps) wordt soms aangeduid of gestructureerd als een Security Operations Center (SOC). Het beheer van de beveiligingspostuur van de operationele omgeving is een functie van governance-discipline. Beveiliging van het DevOps-proces maakt deel uit van de innovatiebeveiligingsdiscipline .

Bekijk de volgende video voor meer informatie over SecOps en de kritieke rol ervan bij het verminderen van risico's voor uw organisatie.

Mensen en proces

Beveiligingsbewerkingen kunnen zeer technisch zijn, maar belangrijker is dat het een menselijke discipline is. Mensen zijn de meest waardevolle asset in beveiligingsbewerkingen. Hun ervaring, vaardigheid, inzicht, creativiteit en vindingrijkheid maken de discipline effectief.

Aanvallen op uw organisatie worden ook gepland en uitgevoerd door mensen zoals criminelen, spionnen en hacktivisten. Hoewel sommige grondstoffenaanvallen volledig geautomatiseerd zijn, worden de meest schadelijke vaak uitgevoerd door live menselijke aanvalsoperators.

Richt u op het versterken van mensen: het doel mag niet zijn om mensen te vervangen door automatisering. Uw mensen voorzien van hulpprogramma's die hun dagelijkse werkstromen vereenvoudigen. Met deze hulpprogramma's kunnen ze de menselijke tegenstanders bijhouden of voorlopen.

Het snel sorteren van signaal (echte detecties) van de ruis (fout-positieven) vereist investeringen in zowel mensen als automatisering. Automatisering en technologie kunnen mensenwerk verminderen, maar aanvallers zijn menselijk en menselijk oordeel is van cruciaal belang bij het verslaan van hen.

Diversifiëer uw denkportfolio: beveiligingsoperaties kunnen zeer technisch zijn, maar het is ook gewoon een nieuwe versie van forensisch onderzoek die op vele carrièregebieden zoals strafrecht wordt weergegeven. Wees niet bang om mensen aan te nemen met een sterke competentie in onderzoek of deductieve of inductieve redenen en hen te trainen op technologie.

Zorg ervoor dat uw mensen een gezonde cultuur hebben en de juiste resultaten meten. Deze procedures kunnen de productiviteit en het plezier van het werk van werknemers verhogen.

SecOps-cultuur

Toont de lijst met belangrijke culturele elementen.

Belangrijke culturele elementen waarop u zich kunt richten, zijn onder andere:

  • Uitlijning van missie: Vanwege hoe lastig dit werk is, moeten beveiligingsbewerkingen altijd een duidelijk inzicht hebben in hoe hun werk aansluit bij de missie en doelstellingen van de organisatie.
  • Continu leren: Beveiligingsbewerkingen zijn zeer gedetailleerd werk en veranderen altijd omdat aanvallers creatief en persistent zijn. Het is essentieel om continu te leren en te werken om zeer terugkerende of zeer handmatige taken te automatiseren. Dit soort taken kan het moreel en de effectiviteit van het team snel slijten. Zorg ervoor dat de cultuur het leren, vinden en oplossen van deze pijnpunten beloont.
  • Teamwork: We hebben geleerd dat de 'eenzame held' niet werkt bij beveiligingsbewerkingen. Niemand is zo slim als het hele team samen. Teamwork maakt een hogedrukwerkomgeving ook leuker en productiever. Het is belangrijk dat iedereen elkaars rug heeft. Deel inzichten, coördineer en controleer elkaars werk en leer voortdurend van elkaar.

Metrische secOps-gegevens

Toont een lijst met de belangrijkste metingen, reactiesnelheid en effectiviteit.

Metrische gegevens bepalen het gedrag, dus het meten van succes is een essentieel element om het juiste te doen. Metrische gegevens vertalen cultuur in duidelijke meetbare doelen die resultaten stimuleren.

We hebben geleerd dat het essentieel is om te overwegen wat u meet en de manieren waarop u zich op die metrische gegevens richt en afdwingt. Erken dat beveiligingsbewerkingen belangrijke variabelen moeten beheren die buiten hun directe controle vallen, zoals aanvallen en aanvallers. Eventuele afwijkingen van doelen moeten voornamelijk worden gezien als een leermogelijkheid voor proces- of hulpmiddelverbetering, in plaats van als een mislukking door het SOC om een doel te bereiken.

De belangrijkste metrische gegevens waarop u zich moet richten en die een directe invloed hebben op de risico's van de organisatie, zijn:

  • Gemiddelde tijd om te bevestigen (MTTA): Reactiesnelheid is een van de weinige elementen waarOver SecOps meer directe controle heeft. Meet de tijd tussen een waarschuwing, bijvoorbeeld wanneer het lampje begint te knipperen en wanneer een analist die waarschuwing ziet en het onderzoek start. Om deze reactiesnelheid te verbeteren, moeten analisten geen tijd verspillen aan het onderzoeken van fout-positieven. Dit kan worden bereikt met meedogenloze prioriteitsbepaling, zodat elke waarschuwingsfeed waarvoor een reactie van een analist is vereist, een trackrecord van 90 procent waar-positieve detecties moet hebben.
  • Gemiddelde tijd om te herstellen (MTTR): Effectiviteit van het verminderen van risicometingen de volgende periode. Deze periode is de tijd waarop de analist het onderzoek begint tot het moment waarop het incident wordt hersteld. MTTR bepaalt hoe lang het duurt voordat SecOps de toegang van de aanvaller uit de omgeving verwijdert. Aan de hand van deze informatie kunt u bepalen waar u kunt investeren in processen en hulpprogramma's om analisten te helpen risico's te verminderen.
  • Incidenten die zijn hersteld (handmatig of met automatisering): Het meten van het aantal incidenten dat handmatig wordt hersteld en hoeveel er automatisch worden opgelost, is een andere belangrijke manier om personeel en toolbeslissingen te nemen.
  • Escalaties tussen elke laag: Houd bij hoeveel incidenten tussen lagen zijn geëscaleerd. Het helpt ervoor te zorgen dat de workload nauwkeurig wordt bijgehouden om personeel en andere beslissingen te kunnen nemen. Bijvoorbeeld, zodat het werk dat is uitgevoerd aan geëscaleerde incidenten niet wordt toegeschreven aan het verkeerde team.

Model voor beveiligingsbewerkingen

Beveiligingsbewerkingen verwerken een combinatie van incidenten met een hoog volume en incidenten met een hoge complexiteit.

Diagram met het security operations-model.

Beveiligingsteams richten zich vaak op drie belangrijke resultaten:

  • Incidentbeheer: Actieve aanvallen op de omgeving beheren, waaronder:
    • Reactief reageren op gedetecteerde aanvallen.
    • Proactief zoeken naar aanvallen die door traditionele bedreigingsdetecties zijn geglipt.
    • Coördinatie van de juridische, communicatie- en andere zakelijke implicaties van beveiligingsincidenten.
  • Voorbereiding van incidenten: Help de organisatie zich voor te bereiden op toekomstige aanvallen. Incidentvoorbereiding is een bredere strategische set activiteiten die zijn gericht op het opbouwen van spiergeheugen en context op alle niveaus van de organisatie. Deze strategie bereidt mensen voor om grote aanvallen beter af te handelen en inzicht te krijgen in verbeteringen in het beveiligingsproces.
  • Bedreigingsinformatie: Het verzamelen, verwerken en verspreiden van bedreigingsinformatie naar beveiligingsoperaties, beveiligingsteams, beveiligingsleiders en belanghebbenden van zakelijk leiderschap via beveiligingsleiderschap.

Om deze resultaten te realiseren, moeten beveiligingsteams worden gestructureerd om zich te richten op de belangrijkste resultaten. In grotere SecOps-teams worden de resultaten vaak verdeeld over subteams.

  • Sorteren (laag 1): De eerste reactieregel voor beveiligingsincidenten. Triage is gericht op de verwerking van waarschuwingen met grote volumes en wordt doorgaans gegenereerd door automatisering en hulpprogramma's. De triageprocessen lossen op voor de meeste veelvoorkomende typen incidenten en lossen ze op binnen het team. Complexere incidenten of incidenten die nog niet eerder zijn gezien en opgelost, moeten worden geëscaleerd naar laag 2.
  • Onderzoek (laag 2): Gericht op incidenten die nader moeten worden onderzocht, waarbij vaak correlatie van gegevenspunten uit meerdere bronnen nodig is. Deze onderzoekslaag biedt herhaalbare oplossingen voor problemen die naar hen zijn geëscaleerd. Vervolgens wordt laag 1 ingeschakeld om latere herhalingen van dat probleemtype op te lossen. Laag 2 reageert ook op waarschuwingen tegen bedrijfskritieke systemen, om de ernst van het risico en de noodzaak om snel te handelen weer te geven.
  • Hunt (laag 3): Gericht op proactieve opsporing van zeer geavanceerde aanvalsprocessen en het ontwikkelen van richtlijnen voor de bredere teams voor het volwassen worden van beveiligingscontroles als gevolg hiervan. Het laag 3-team fungeert ook als escalatiepunt voor grote incidenten in ter ondersteuning van forensische analyse en reactie.

Zakelijke touchpoints van SecOps

SecOps heeft meerdere mogelijke interacties met leidinggevenden in het bedrijf.

Diagram met de oefeningen voor SecOps-aanraakpunten, bedrijfsprioriteiten en status van grote incidenten.

  • Bedrijfscontext naar SecOps: SecOps moet begrijpen wat het belangrijkst is voor de organisatie, zodat het team die context kan toepassen op vloeiende realtime beveiligingssituaties. Wat zou de meeste negatieve gevolgen hebben voor het bedrijf? Downtime van kritieke systemen? Verlies van reputatie en vertrouwen van de klant? Openbaarmaking van gevoelige gegevens? Knoeien met kritieke gegevens of systemen? We hebben geleerd dat het essentieel is dat belangrijke leiders en medewerkers in het SOC deze context begrijpen. Ze doorlopen de continue stroom van informatie en het sorteren van incidenten en geven prioriteit aan hun tijd, aandacht en inspanningen.
  • Gezamenlijke oefenoefeningen met SecOps: Leidinggevenden moeten regelmatig deelnemen aan SecOps bij het oefenen van reacties op grote incidenten. Deze training bouwt het spiergeheugen en relaties op die essentieel zijn voor snelle en effectieve besluitvorming in de hoge druk van echte incidenten, waardoor de risico's van de organisatie worden verminderd. Deze praktijk vermindert ook het risico door hiaten en veronderstellingen in het proces bloot te leggen die kunnen worden opgelost voordat een echt incident plaatsvindt.
  • Updates van belangrijke incidenten van SecOps: SecOps moet zakelijke belanghebbenden updates bieden voor belangrijke incidenten wanneer deze zich voordoen. Met deze informatie kunnen leidinggevenden hun risico's begrijpen en zowel proactieve als reactieve stappen ondernemen om dat risico te beheren. Zie de referentiehandleiding voor het reageren op incidenten voor meer informatie over belangrijke incidenten door het Detectie- en reactieteam van Microsoft.
  • Business intelligence van het SOC: Soms ontdekt SecOps dat indringers zich richten op een systeem of gegevensset die niet wordt verwacht. Wanneer deze ontdekkingen worden gedaan, moet het bedreigingsinformatieteam deze signalen delen met bedrijfsleiders, omdat ze inzichten kunnen activeren voor bedrijfsleiders. Iemand buiten het bedrijf is bijvoorbeeld op de hoogte van een geheim project of onverwachte aanvallerdoelen markeren de waarde van een gegevensset die anders over het hoofd wordt gezien.

SecOps-modernisering

Net als andere beveiligingsdisciplines hebben beveiligingsbewerkingen te maken met het transformerende effect van continu veranderende bedrijfsmodellen, aanvallers en technologieplatformen.

De transformatie van beveiligingsbewerkingen wordt voornamelijk aangestuurd door de volgende trends:

  • Dekking van cloudplatform: Beveiligingsbewerkingen moeten aanvallen in de bedrijfsomgeving detecteren en erop reageren, inclusief cloudresources. Cloudresources zijn een nieuw en snel evoluerend platform dat vaak onbekend is bij SecOps-professionals.
  • Overschakelen naar identiteitsgerichte beveiliging: Traditionele SecOps is sterk afhankelijk van netwerkhulpprogramma's, maar moet nu identiteit, eindpunt, toepassing en andere hulpprogramma's en vaardigheden integreren. Deze integratie komt omdat:
    • Aanvallers hebben identiteitsaanvallen, zoals phishing, diefstal van referenties, wachtwoordspray en andere aanvalstypen in hun arsenaal opgenomen die op betrouwbare wijze netwerkdetecties omzeilen.
    • Waardevolle activa, zoals BYOD (Bring Your Own Devices), besteden een deel van hun levenscyclus of de hele levenscyclus buiten de netwerkperimeter, waardoor het nut van netwerkdetecties wordt beperkt.
  • Dekking voor Internet of Things (IoT) en operationele technologie (OT): Kwaadwillende personen richten zich actief op IoT- en OT-apparaten als onderdeel van hun aanvalsketens. Deze doelen kunnen het uiteindelijke doel van een aanval zijn of een middel om toegang te krijgen tot of door de omgeving te gaan.
  • Cloudverwerking van telemetrie: Modernisering van beveiligingsbewerkingen is vereist vanwege de enorme toename van relevante telemetrie die afkomstig is van de cloud. Deze telemetrie is moeilijk of onmogelijk te verwerken met on-premises resources en klassieke technieken. Het zorgt er vervolgens voor dat SecOps cloudservices gebruikt die grootschalige analyses, machine learning en gedragsanalyses bieden. Deze technologieën helpen snel de waarde te extraheren om te voldoen aan de tijdgevoelige behoeften van beveiligingsbewerkingen.

Het is belangrijk om te investeren in bijgewerkte SecOps-hulpprogramma's en training om ervoor te zorgen dat beveiligingsbewerkingen aan deze uitdagingen kunnen voldoen. Zie Processen voor incidentrespons bijwerken voor de cloud voor meer informatie.

Zie Beveiligingsbewerkingen voor meer informatie over rollen en verantwoordelijkheden voor beveiligingsbewerkingen.

Zie Best practices voor beveiliging van Microsoft voor meer architectuur- en technologiegerichte best practices voor beveiligingsbewerkingen en de video's en dia's.

Volgende stappen

De volgende discipline is assetbeveiliging.