Установка дисциплины SecOps

Эта статья помогает командам по безопасности и технологиям устанавливать и модернизировать дисциплину "Операции безопасности" (SecOps), которая помогает организациям обнаруживать, исследовать и реагировать на активные угрозы, которые обходят профилактические средства контроля.

Дисциплины безопасности — это группировки связанных работ по обеспечению безопасности, которые помогают организациям последовательно предоставлять результаты безопасности во всем технологическом активе. В модели внедрения безопасности дисциплины помогают обеспечить мост между бизнес-сценариями и технической реализацией, гарантируя, что инвестиции в безопасность преобразуются в реальные измеримые результаты в рамках модели внедрения безопасности.

Что такое SecOps?

SecOps поддерживают и восстанавливают безопасность системы, пока её атакуют реальные злоумышленники. NIST Cybersecurity Framework описывает функции SecOps для обнаружения, реагирования и восстановления.

  • Обнаружение - SecOps должен обнаруживать присутствие противников в системе, которые мотивированы оставаться скрытыми в большинстве случаев, что позволяет им достичь своих целей без препятствий. Это может принимать форму реагирования на оповещение о подозрительной активности или упреждающее поиск аномальных событий в журналах действий предприятия.
  • Ответ — При обнаружении потенциального действия или кампании злоумышленника SecOps должен быстро провести исследование, чтобы определить, является ли это фактической атакой (истинно положительное срабатывание) или ложным срабатыванием (ложно-положительное срабатывание), а затем определить область и цель операции злоумышленника.
  • Восстановление . Конечная цель SecOps заключается в сохранении или восстановлении гарантий безопасности (конфиденциальности, целостности, доступности) бизнес-служб во время и после атаки.

Устранение рисков

Наиболее значительными рисками безопасности большинства организаций являются операторы человеческих атак.

С заметными исключениями риск от автоматизированных и повторяющихся атак значительно снижается для большинства организаций с помощью подходов на основе подписей и машинного обучения, встроенных в антивредоносную программу.

Хотя злоумышленникам, действующим вручную, трудно противостоять из-за их способности быстро адаптироваться, они действуют с той же «человеческой скоростью», что и защитники, что отчасти уравнивает шансы.

SecOps имеет важную роль для ограничения времени и доступа злоумышленника к ценным системам и данным. Каждая минута, которую злоумышленник проводит в среде, дает ему возможность продолжать осуществлять атаки и получать доступ к конфиденциальным или ценным системам.

Почему эта дисциплина?

Не все атаки можно предотвратить. Даже при строгой архитектуре безопасности и управлении состоянием, которое блокирует большинство атак, субъекты угроз иногда получают первоначальный доступ к средам.

SecOps фокусируется на управлении этими активными атаками и инцидентами безопасности, а также на ограничении ущерба, который злоумышленники могут нанести после компрометации. Эффективная практика SecOps снижает риск за счет:

  • Быстрое обнаружение вредоносных действий.
  • Сокращение времени присутствия злоумышленника.
  • Сдерживание латерального перемещения и ущерба.
  • Поддержка восстановления и устойчивости организации.

В модели внедрения практик безопасности SecOps представляет собой посткомпрометационную, реактивную сторону безопасности, дополняя управление состоянием защищенности, которое сосредоточено на проактивном снижении рисков и предотвращении атак.

Схема операций безопасности и управления безопасностью, показывающая их дополнительные роли в снижении риска.

Без эффективно выстроенных процессов SecOps злоумышленники, получившие доступ, могут действовать незаметно, повышать привилегии, перемещаться по сети и наносить бизнесу максимальный ущерб.

Миссия и результаты

Миссия дисциплины SecOps заключается в том, чтобы ограничить влияние кибератак на бизнес путем быстрого обнаружения, расследования и реагирования на угрозы в современном технологическом пространстве.

Независимо от размера группы или операционной модели, зрелый SecOps обеспечивает следующие результаты:

  • Быстрое реагирование на угрозы — своевременное обнаружение и сдерживание угроз в удостоверениях, конечных точках, инфраструктуре, приложениях и данных
  • Общие данные об угрозах — централизованные сигналы и аналитические данные, которые предоставляют информацию аналитикам, средствам автоматизации и последующим средствам защиты
  • Упреждающее обнаружение угроз — моделирование угроз и атак для обнаружения новых методов и поведения злоумышленников

Команды SecOps могут варьироваться от одного специалиста до крупных, глобально распределённых круглосуточных операционных подразделений, а их функции могут быть частично или полностью переданы на аутсорсинг. Независимо от структуры и размера, результаты остаются одинаковыми.

Внедрение "Никому не доверяй" в SecOps

Операция безопасности (SecOps) является основой для стратегии "Никому не доверяй". "Никому не доверяй" исходит из возможности компрометации и сосредоточена на минимизации последствий в случае отказа средств контроля безопасности. SecOps превращает это предположение в действие путем непрерывного обнаружения, исследования и реагирования на угрозы в среде.

В модели "Никому не доверяй" предотвращение недостаточно. Организации должны исходить из того, что злоумышленники смогут обходить средства защиты, и полагаться на команду SecOps, чтобы выявлять вредоносную активность на ранних этапах, быстро локализовать атаки и получать выводы, которые со временем помогают укреплять состояние безопасности.

В рамках модели внедрения безопасности руководство SecOps посвящено операционным возможностям, необходимым для поддержки "Никому не доверяй" в организации, включая мониторинг, обнаружение, исследование, реагирование, автоматизацию и непрерывное обучение.

  • Централизуйте обнаружение и обеспечьте видимость: интегрируйте журналы и телеметрию по всей среде, включая учётные записи, конечные точки, приложения и инфраструктуру, в единую централизованную систему обнаружения и расследования. Это гарантирует, что SecOps имеет единообразную сквозную видимость в разных доменах, чтобы на ранней стадии выявлять компрометацию и понимать поведение злоумышленников.
  • Автоматизация ответа и сдерживания. Используйте оркестрацию и автоматизацию для выполнения повторяемых действий ответа, таких как изоляция скомпрометированных устройств или отключение рискованных учетных записей. Автоматизация сокращает время отклика, снижает когнитивную нагрузку аналитика и обеспечивает согласованное выполнение под давлением.
  • Упреждающая охота на угрозы: рассматривайте охоту на угрозы как основную функцию SecOps. Используйте поиск на основе гипотез и расширенную аналитику, чтобы найти действия злоумышленников, которые избегают автоматизированных обнаружения, сокращая время ожидания и обнаруживая пробелы в элементах управления.
  • Эффективное управление оповещениями и инцидентами: настройте обнаружения, чтобы уменьшить шум и обеспечить, чтобы аналитики сосредоточили внимание на значимых оповещениях. Стандартизируйте процессы расследования и реагирования с помощью сценариев, чтобы инциденты обрабатывались единообразно и эффективно.
  • Непрерывно уменьшайте воздействие на основе риска: используйте анализ атак и аналитические сведения о воздействии для выявления условий, которые могут привести к компрометации. Определяйте приоритеты устранения проблем на основе влияния на бизнес и вероятности, чтобы сосредоточить усилия там, где это важнее всего.
  • Непрерывно развивайте процессы SecOps: регулярно просматривайте обнаружения, сборники схем и результаты реагирования на основе реальных инцидентов и аналитики угроз. Используйте эти выводы при корректировке стратегии SecOps, чтобы её возможности адаптировались по мере изменения методов атакующих, технологий и бизнес-приоритетов.

Выравнивая SecOps с принципами "Никому не доверяй", организации переходят от реактивной обработки инцидентов к устойчивой операционной модели, где каждый инцидент усиливает обнаружение, реагирование и предотвращение на предприятии.

Как применить эту дисциплину

Чтобы эффективно применять дисциплину SecOps, сосредоточьтесь на создании согласованного подхода к обнаружению, реагированию на них и восстановлению от угроз в организации:

  1. Определение стратегии обнаружения угроз и реагирования, выровненной с бизнес-риском
    Создайте четкий подход к выявлению, приоритету и реагированию на угрозы на основе их потенциального влияния на бизнес.
  2. Обеспечение согласованного обнаружения и реагирования в среде
    Применяйте единый подход к мониторингу, расследованию и реагированию для идентификационных данных, устройств, приложений и инфраструктуры.
  3. Стандартизация процессов обнаружения, ответа и восстановления
    Укажите четкое руководство по обеспечению согласованной обработки инцидентов, уменьшения времени реагирования и ограничения влияния.
  4. Выравнивание SecOps с бизнес-приоритетами и критическими сценариями
    Определите приоритеты усилий по обнаружению и реагированию на защиту критически важных ресурсов и минимизацию влияния инцидентов безопасности.
  5. Непрерывное улучшение с помощью аналитических сведений и отзывов
    Используйте учебные курсы из инцидентов, аналитики угроз и операционных метрик для укрепления возможностей обнаружения и улучшения реагирования с течением времени.

Управление изменением

Модернизация SecOps — это непрерывное улучшение, а не однократное развертывание средств. Цель заключается в постоянном улучшении способности организации снизить влияние злоумышленников при возникновении компромиссов.

Снимок экрана со сводкой миссии по операциям безопасности с выделением ключевых действий и соответствия принципам

Современный подход SecOps, согласованный с принципами "Никому не доверяй", подчеркивает:

  • Выравнивание миссии — приоритеты, которые наиболее важны для бизнеса, когда оповещения и угрозы превышают вашу способность реагировать на людей и автоматизацию, включая ИИ.
  • Непрерывное обучение — адаптация средств обнаружения, навыков и процессов по мере изменения субъектов угроз, платформ и бизнес-приоритетов.
  • Сотрудничество и обмен информацией — рассмотрение SecOps как общего командного усилия, объединяющего подразделения безопасности, ИТ-операций, разработки, юридический отдел, отдел коммуникаций и руководство.

Субъекты угроз, как правило, повторно используют методы, которые являются дешевыми, эффективными и надежными, пока они не завершаются неудачей, поэтому крайне важно собирать и делиться аналитикой угроз в качестве аналитических сведений о прошлых атаках. Аналитика киберугроз SecOps должна напрямую определять проектирование средств контроля безопасности, расстановку приоритетов и улучшение состояния безопасности наряду с бизнес-требованиями и требованиями соответствия.

Роли по дисциплинам и соавторы

Дисциплина SecOps обычно возглавляется выделенной командой SecOps. В небольших организациях обязанности SecOps могут выполняться на условиях неполной занятости или распределяться между разными ролями, но при этом все равно требуют четко определенной ответственности.

Основные роли в этой дисциплине обычно включают:

  • Менеджер SecOps / SOC
  • Аналитики триажа 1-го уровня
  • Аналитики исследования уровня 2
  • Охотники за угрозами (уровень 3)
  • Инженеры обнаружения
  • Разработчики платформы и данных SecOps
  • Специалисты по реагированию на цифровые экспертизы и инциденты
  • Аналитики киберразведки
  • Роли координации инцидентов и управления
  • Специалисты по имитации атак (красная команда, пурпурная команда, тестирование на проникновение)

К ключевым участникам совместной работы относятся:

  • Инженерно-технические и операционные команды — обеспечивают журналирование и поддерживают расследование, локализацию и восстановление систем, которые они проектируют и эксплуатируют.
  • Роли архитектуры — непрерывно улучшает проектирование систем и элементов управления на основе обучения инцидентов от аналитики угроз SecOps.
  • Команды приложений и продуктов — обновление программного обеспечения и служб в ответ на аналитические сведения об инцидентах.
  • Стратегия безопасности, дисциплина интеграции и управления — установка приоритетов, метрик и подотчетности для инвестиций SecOps. Обеспечение поддержки и координации во время крупных инцидентов.

Эффективность SecOps зависит от тесного взаимодействия и постоянной обратной связи между реагированием на инциденты и проектированием систем.

Выравнивание с другими дисциплинами

SecOps работает в рамках более широкой операционной модели безопасности и тесно интегрирована с другими дисциплинами:

  • Дисциплина управления безопасностью: основное внимание уделяется предотвращению инцидентов; SecOps управляет инцидентами, которые по-прежнему происходят.
  • Дисциплина доступа и удостоверений: телеметрия удостоверений является основным сигналом обнаружения и исследования.
  • Дисциплина безопасности данных: SecOps изучает кражу данных, вымогательство, внутренний риск и инциденты конфиденциальности.
  • Дисциплина архитектуры безопасности: гарантирует соответствие механизмам обнаружения и реагирования с предполагаемой системой.
  • Дисциплина стратегии, интеграции и управления: определяет приоритеты SecOps, метрики и критерии успешности.

Соответствие технологическим направлениям

Дисциплина SecOps охватывает все технологические направления и должна обнаруживать и локализовывать атаки везде, где они происходят.

  • Удостоверения. Это главный приоритет для SecOps, так как удостоверения являются основными точками входа атаки. Почти все многоэтапные атаки основаны на атаках на учетные данные (pass-the-hash/ticket/etc.) для бокового перемещения и получения доступа к большему числу ресурсов организации, нередко используя привилегированные учетные записи, связанные с ИТ-администраторами или служебными административными учетными записями.
  • Конечные точки: конечные точки являются общими опорами, базой операций и хранилищем средств локальной атаки для злоумышленников. Крайне важно быстро выявить скомпрометированные конечные точки, чтобы локализовать ущерб и получить представление о намерениях и возможностях злоумышленников.
  • Инфраструктура: важно эффективное обнаружение и реагирование, так как субъекты угроз часто нацелены на высокоценные облачные и локальные ресурсы инфраструктуры, которые обеспечивают широкий компромисс при нарушении.
  • Приложения: быстрое обнаружение и реагирование на атаки на электронную почту, совместную работу, бизнес- и другие приложения критически важны, так как злоумышленники часто используют их для ввода и бокового обхода организации для доступа к бизнес-ресурсам.
  • Данные: злоумышленники часто нацеливаются на данные с целью кражи интеллектуальной собственности, их шифрования для последующего вымогательства или использования программ-вымогателей, планирования будущих атак и в других целях. Кроме того, SecOps может участвовать в расследованиях, связанных с данными, или сотрудничать в рамках таких расследований, касающихся конфиденциальности, внутренних рисков и других аспектов.
  • Сеть: так же, как и легитимный обмен данными, коммуникации злоумышленников и атаки осуществляются через сетевые соединения. SecOps фокусируется на сетевых датчиках и данных, которые по-прежнему остаются ценными для понимания контекста и сдерживания угроз, даже несмотря на то, что шифрование снижает видимость.
  • ИИ: по мере появления ИИ в качестве области атак новые инструменты и навыки необходимы для эффективного обнаружения и расследования. Объем атак ИИ увеличивается, так как субъекты угроз принимают технологии искусственного интеллекта. SecOps также может воспользоваться преимуществами ИИ для автоматизации анализа и других процессов.

Дальнейшие действия

Microsoft Unified предлагает семинары под руководством экспертов, которые помогают организациям ускорить модернизацию стратегии, архитектуры и технологий управления состоянием безопасности. К этим семинарам относятся следующие:

  • Семинары по архитектуре и стратегии — Структура внедрения безопасности (SAF) — сессия по проектированию архитектуры: семинар по современным операциям безопасности, посвящённый ускорению модернизации SecOps. Этот семинар доступен следующим образом:

    • Обзор темы — обсуждение продолжительностью менее четырёх часов, посвящённое основным выводам и лучшим практикам.
    • Полный сеанс проектирования архитектуры безопасности (Security ADS) — двухдневный семинар, который включает дополнительные сведения, пример из практики Microsoft, обсуждения моделей зрелости и типовые планы модернизации.
  • Семинары по внедрению технологий — Microsoft Unified предлагает семинары, которые помогают организациям изучить, спланировать, внедрить и оптимизировать SecOps.

Схема семинаров Microsoft Unified SecOps, показывающая этапы обучения, планирования и внедрения технологий безопасности.

Обратитесь к менеджеру по работе с клиентами, чтобы получить дополнительные сведения о семинарах, управляемых Microsoft.