Funktioner för säkerhetsåtgärder (SecOps)
Huvudmålet med en secops-funktion (cloud security operations) är att identifiera, svara på och återställa från aktiva attacker på företagstillgångar.
När SecOps mognar bör säkerhetsåtgärder:
- Svara reaktivt på attacker som identifierats av verktyg
- Jaga proaktivt efter attacker som halkat förbi reaktiva identifieringar
Modernisering
Identifiering och hantering av hot håller för närvarande på att moderniseras avsevärt på alla nivåer.
- Utökad hantering av affärsrisk: SOC växer till en viktig komponent för att hantera affärsrisker för organisationen
- Mått och mål: Spårning av SOC-effektivitet utvecklas från "tid till identifiering" till dessa nyckelindikatorer:
- Svarstider via genomsnittlig tid för att bekräfta (MTTA).
- Reparationshastighet via genomsnittlig tid för att åtgärda (MTTR).
- Teknikutveckling: SOC-teknik utvecklas från exklusiv användning av statisk analys av loggar i en SIEM för att lägga till användningen av specialiserade verktyg och sofistikerade analystekniker. Detta ger djupgående insikter om tillgångar som ger högkvalitativa aviseringar och undersökningsupplevelser som kompletterar siem-vyns bredd. Båda typerna av verktyg använder i allt högre grad AI och maskininlärning, beteendeanalys och integrerad hotinformation för att upptäcka och prioritera avvikande åtgärder som kan vara en skadlig angripare.
- Hotjakt: SoCs lägger till hypotesdriven hotjakt för att proaktivt identifiera avancerade angripare och flytta bullriga aviseringar från analytikerköer i frontlinjen.
- Incidenthantering: Disciplin håller på att formaliseras för att samordna icke-tekniska element i incidenter med juridiska, kommunikationer och andra team. Integrering av intern kontext: För att hjälpa till att prioritera SOC-aktiviteter som relativa riskpoäng för användarkonton och enheter, känslighet för data och program och viktiga gränser för säkerhetsisolering att noggrant försvara.
Mer information finns i:
- Säkerhetsåtgärdsområde
- Metodtips för säkerhetsåtgärder videor och bilder
- CISO-workshopmodul 4b: strategi för skydd mot hot
- Bloggserie för Cyber Defense Operations Center (CDOC) del 1, del 2a, del 2b, del 3a, del 3b, del 3c, del 3d
- Hanteringsguide för NIST-datorsäkerhetsincidenter
- NIST-guide för återställning av cybersäkerhetshändelser
Teamsammansättning och nyckelrelationer
Cloud Security Operations Center består ofta av följande typer av roller.
- IT-åtgärder (stäng regelbunden kontakt)
- Hotinformation
- Säkerhetsarkitektur
- Insiderriskprogram
- Juridiska resurser och personalresurser
- Kommunikationsteam
- Riskorganisation (om det finns)
- Branschspecifika associationer, communities och leverantörer (innan incidenten inträffar)
Nästa steg
Granska funktionen för säkerhetsarkitektur.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för