Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При разработке дисциплины Security Operations (SecOps) в этой статье описываются роли, обязанности и внутренние партнерские отношения, необходимые для эффективной, современной модели SecOps, согласованной с принципами "Никому не доверяй".
SecOps — это специализированная дисциплина, посвященная обнаружению, расследованию и реагированию на активные угрозы в режиме реального времени. Он работает в непрерывном конфликте с противниками, которые активно адаптируют свои методы.
Это руководство предназначено для всех, кто планирует или участвует в модернизации SecOps, включая лидеров безопасности, практиков SecOps, архитекторов, инженеров и партнерских команд.
Почему роли и операционные модели имеют значение
Результаты SecOps зависят столько от людей и совместной работы, сколько от технологий. Даже самые сложные средства обнаружения и реагирования неэффективны без:
- Четкое распределение ответственности во время инцидентов
- Структурированные пути эскалации
- Сильные партнерские отношения с командами, которые разрабатывают, запускают и понимают среду.
Хотя SecOps является выделенной функцией безопасности, она сильно зависит от опыта инженерии, операций и бизнес-команд, которые управляют системами и процессами в организации.
Четкая операционная модель гарантирует:
- Инциденты обрабатываются соответствующими ролями в нужное время.
- Эскалация является прогнозируемой и эффективной.
- Уроки, извлечённые из инцидентов, способствуют повышению уровня безопасности,
Роли SecOps и операционная модель
Эти определения ролей SecOps напрямую основаны на стандарте The Open Group Security Roles and Glossary Standard, обеспечивая общую терминологию и структуру, которые подходят как для небольших команд, так и для крупных распределённых центров операций безопасности (SOC).
В небольших организациях эти обязанности могут объединяться в несколько ролей. В крупных организациях они обычно разделены на специализированные группы. Независимо от размера, функции и результаты остаются согласованными.
Роли и обязанности SecOps показаны на этой схеме:
В более крупных командах SecOps специализированные роли могут быть разбиты на выделенные команды. На этой схеме показано, как эти роли работают вместе:
Основные роли SecOps
- Диспетчер операций безопасности (SecOps): обеспечивает руководство и надзор за функцией SecOps. Поддерживает команды SecOps, выравнивает работу с бизнес-приоритетами и постоянно повышает эффективность.
- Аналитик триажа (уровень 1): Является первым, кто реагирует на оповещения и инциденты. Эта роль быстро обрабатывает хорошо изученные шаблоны атак и эскалирует сложные случаи для углублённого расследования.
- Аналитик по расследованию (уровень 2): руководит реагированием на сложные инциденты или инциденты с высоким уровнем воздействия. Эта должность предполагает расследование многоэтапных атак, координацию мер по сдерживанию и совершенствование логики обнаружения на основе реальных инцидентов.
- Специалист по поиску угроз (уровень 3): проактивно ищет злоумышленников, которые избежали обнаружения. Охотники за угрозами сокращают время ожидания злоумышленников и вносят глубокий опыт во время крупных инцидентов.
- Инженер обнаружения: проектирование, тестирование и улучшение обнаружения, чтобы уменьшить области без полной видимости. Эта роль ограничивает способность злоумышленника работать без обнаружения и улучшает процедуры обнаружения и расследования для аналитиков.
- SecOps Platform и Инженер данных: гарантирует, что средства SecOps и конвейеры данных являются надежными, масштабируемыми и постоянно развивающимися. Эта роль лежит в основе эффективности всех других функций SecOps.
- Аналитик аналитика угроз: собирает и анализирует информацию об угрозах из внутренних и внешних источников и преобразует ее в полезные аналитические сведения для SecOps, руководства по безопасности и партнерских команд.
- Координация инцидентов и управление: координирует технические и бизнес-ответы во время крупных инцидентов. Эта роль управляет взаимодействием, принятием решений и кроссфункциональным выполнением во время кризисов.
-
Моделирование атак: проверяет готовность организации с помощью реалистичных имитаций. Выявляет пробелы в людях, процессах и технологиях. Эти имитации могут принимать множество форм и форматов, в том числе:
- Тестирование на проникновение — моделирование одной операции для попытки компрометации актива или организации (часто предоставляемой внешней организацией).
- Красная команда — моделирование постоянного субъекта угроз, выполняющего несколько долгосрочных операций.
- Пурпурное объединение — совместные имитированные операции атаки, в которых защитники (синий) и имитированные злоумышленники тесно работают вместе, чтобы ускорить обучение обеих ролей.
- Моделирование на основе обсуждения (настольное учение) — структурированное имитационное упражнение с участием нескольких ролей для пошагового обсуждения реалистичного сценария атаки (иногда дополняемое техническими симуляциями).
- Реверсивная инженерия/цифровая криминалистика (специализированные роли): высоко специализированные роли, которые анализируют вредоносные программы, артефакты и доказательства. Специалисты по цифровой судебной экспертизе поддерживают юридические и нормативные требования, обрабатывая доказательства с утвержденными процедурами и поддерживая цепочку содержания под стражей.
Как роли SecOps взаимодействуют
Эти роли работают в качестве многоуровневой модели, где:
- Триаж обрабатывает объем и скорость
- Расследование и проактивный поиск угроз позволяют справляться со сложностью и глубиной
- Инженеры постоянно улучшают систему
- Руководство и координация обеспечивают выравнивание и устойчивость
Эта структура обеспечивает масштабирование без ущерба для качества.
Ключевые внутренние партнеры SecOps
SecOps не может эффективно работать в изоляции. Успешные операции безопасности зависят от глубокой интеграции с командами, которые разрабатывают, создают и управляют средой.
Данные и аналитические сведения SecOps , особенно аналитика угроз, являются наиболее ценными при информировании о принятии решений о приоритетах в организации.
Техническое проектирование и операции
Эти команды помогают в расследовании, сдерживании и восстановлении во время инцидентов и используют аналитику SecOps для определения приоритетов профилактического контроля. К общим партнерам относятся:
- Идентичность
- Сеть
- Endpoints
- Инфраструктура и платформы (облако, локальная среда, CI/CD)
- Данные и искусственный интеллект
- Операционная технология (OT)
Роли архитектуры
Архитекторы проектируют системы, которые SecOps отслеживает и защищает, а также учитывают уроки, извлечённые из инцидентов, в будущих проектах.
К ключевым ролям относятся:
- Корпоративные архитекторы
- Архитекторы безопасности
- Архитекторы инфраструктуры
- Архитекторы данных и ИИ
- Архитекторы доступа (идентификации, сети и т. д.)
- Архитекторы решений
- Архитекторы программного обеспечения и приложений
Роли разработки приложений и продуктов
Эти команды разрабатывают и поддерживают приложения SecOps, которые должны обнаруживать и защищать.
Они поддерживают SecOps по:
- Помощь в расследовании и исправлении во время инцидентов
- Обеспечение того, чтобы приложения генерировали необходимые данные телеметрии
- Использование аналитики SecOps для определения приоритета улучшений безопасности
Дальнейшие действия
Дополнительные сведения о ролях безопасности в стандарте Open Group.