Общие сведения о ролях SecOps

При разработке дисциплины Security Operations (SecOps) в этой статье описываются роли, обязанности и внутренние партнерские отношения, необходимые для эффективной, современной модели SecOps, согласованной с принципами "Никому не доверяй".

SecOps — это специализированная дисциплина, посвященная обнаружению, расследованию и реагированию на активные угрозы в режиме реального времени. Он работает в непрерывном конфликте с противниками, которые активно адаптируют свои методы.

Это руководство предназначено для всех, кто планирует или участвует в модернизации SecOps, включая лидеров безопасности, практиков SecOps, архитекторов, инженеров и партнерских команд.

Почему роли и операционные модели имеют значение

Результаты SecOps зависят столько от людей и совместной работы, сколько от технологий. Даже самые сложные средства обнаружения и реагирования неэффективны без:

  • Четкое распределение ответственности во время инцидентов
  • Структурированные пути эскалации
  • Сильные партнерские отношения с командами, которые разрабатывают, запускают и понимают среду.

Хотя SecOps является выделенной функцией безопасности, она сильно зависит от опыта инженерии, операций и бизнес-команд, которые управляют системами и процессами в организации.

Четкая операционная модель гарантирует:

  • Инциденты обрабатываются соответствующими ролями в нужное время.
  • Эскалация является прогнозируемой и эффективной.
  • Уроки, извлечённые из инцидентов, способствуют повышению уровня безопасности,

Роли SecOps и операционная модель

Эти определения ролей SecOps напрямую основаны на стандарте The Open Group Security Roles and Glossary Standard, обеспечивая общую терминологию и структуру, которые подходят как для небольших команд, так и для крупных распределённых центров операций безопасности (SOC).

В небольших организациях эти обязанности могут объединяться в несколько ролей. В крупных организациях они обычно разделены на специализированные группы. Независимо от размера, функции и результаты остаются согласованными.

Роли и обязанности SecOps показаны на этой схеме:

Схема, показывающая роли SecOps и зоны ответственности в соответствии со стандартом The Open Group Security Roles and Glossary.

В более крупных командах SecOps специализированные роли могут быть разбиты на выделенные команды. На этой схеме показано, как эти роли работают вместе:

Схема, на которой показаны роли SecOps, организованные в операционную модель.

Основные роли SecOps

  • Диспетчер операций безопасности (SecOps): обеспечивает руководство и надзор за функцией SecOps. Поддерживает команды SecOps, выравнивает работу с бизнес-приоритетами и постоянно повышает эффективность.
  • Аналитик триажа (уровень 1): Является первым, кто реагирует на оповещения и инциденты. Эта роль быстро обрабатывает хорошо изученные шаблоны атак и эскалирует сложные случаи для углублённого расследования.
  • Аналитик по расследованию (уровень 2): руководит реагированием на сложные инциденты или инциденты с высоким уровнем воздействия. Эта должность предполагает расследование многоэтапных атак, координацию мер по сдерживанию и совершенствование логики обнаружения на основе реальных инцидентов.
  • Специалист по поиску угроз (уровень 3): проактивно ищет злоумышленников, которые избежали обнаружения. Охотники за угрозами сокращают время ожидания злоумышленников и вносят глубокий опыт во время крупных инцидентов.
  • Инженер обнаружения: проектирование, тестирование и улучшение обнаружения, чтобы уменьшить области без полной видимости. Эта роль ограничивает способность злоумышленника работать без обнаружения и улучшает процедуры обнаружения и расследования для аналитиков.
  • SecOps Platform и Инженер данных: гарантирует, что средства SecOps и конвейеры данных являются надежными, масштабируемыми и постоянно развивающимися. Эта роль лежит в основе эффективности всех других функций SecOps.
  • Аналитик аналитика угроз: собирает и анализирует информацию об угрозах из внутренних и внешних источников и преобразует ее в полезные аналитические сведения для SecOps, руководства по безопасности и партнерских команд.
  • Координация инцидентов и управление: координирует технические и бизнес-ответы во время крупных инцидентов. Эта роль управляет взаимодействием, принятием решений и кроссфункциональным выполнением во время кризисов.
  • Моделирование атак: проверяет готовность организации с помощью реалистичных имитаций. Выявляет пробелы в людях, процессах и технологиях. Эти имитации могут принимать множество форм и форматов, в том числе:
    • Тестирование на проникновение — моделирование одной операции для попытки компрометации актива или организации (часто предоставляемой внешней организацией).
    • Красная команда — моделирование постоянного субъекта угроз, выполняющего несколько долгосрочных операций.
    • Пурпурное объединение — совместные имитированные операции атаки, в которых защитники (синий) и имитированные злоумышленники тесно работают вместе, чтобы ускорить обучение обеих ролей.
    • Моделирование на основе обсуждения (настольное учение) — структурированное имитационное упражнение с участием нескольких ролей для пошагового обсуждения реалистичного сценария атаки (иногда дополняемое техническими симуляциями).
  • Реверсивная инженерия/цифровая криминалистика (специализированные роли): высоко специализированные роли, которые анализируют вредоносные программы, артефакты и доказательства. Специалисты по цифровой судебной экспертизе поддерживают юридические и нормативные требования, обрабатывая доказательства с утвержденными процедурами и поддерживая цепочку содержания под стражей.

Как роли SecOps взаимодействуют

Эти роли работают в качестве многоуровневой модели, где:

  • Триаж обрабатывает объем и скорость
  • Расследование и проактивный поиск угроз позволяют справляться со сложностью и глубиной
  • Инженеры постоянно улучшают систему
  • Руководство и координация обеспечивают выравнивание и устойчивость

Эта структура обеспечивает масштабирование без ущерба для качества.

Ключевые внутренние партнеры SecOps

SecOps не может эффективно работать в изоляции. Успешные операции безопасности зависят от глубокой интеграции с командами, которые разрабатывают, создают и управляют средой.

Данные и аналитические сведения SecOps , особенно аналитика угроз, являются наиболее ценными при информировании о принятии решений о приоритетах в организации.

Техническое проектирование и операции

Эти команды помогают в расследовании, сдерживании и восстановлении во время инцидентов и используют аналитику SecOps для определения приоритетов профилактического контроля. К общим партнерам относятся:

  • Идентичность
  • Сеть
  • Endpoints
  • Инфраструктура и платформы (облако, локальная среда, CI/CD)
  • Данные и искусственный интеллект
  • Операционная технология (OT)

Роли архитектуры

Архитекторы проектируют системы, которые SecOps отслеживает и защищает, а также учитывают уроки, извлечённые из инцидентов, в будущих проектах.

К ключевым ролям относятся:

  • Корпоративные архитекторы
  • Архитекторы безопасности
  • Архитекторы инфраструктуры
  • Архитекторы данных и ИИ
  • Архитекторы доступа (идентификации, сети и т. д.)
  • Архитекторы решений
  • Архитекторы программного обеспечения и приложений

Роли разработки приложений и продуктов

Эти команды разрабатывают и поддерживают приложения SecOps, которые должны обнаруживать и защищать.

Они поддерживают SecOps по:

  • Помощь в расследовании и исправлении во время инцидентов
  • Обеспечение того, чтобы приложения генерировали необходимые данные телеметрии
  • Использование аналитики SecOps для определения приоритета улучшений безопасности

Дальнейшие действия

Дополнительные сведения о ролях безопасности в стандарте Open Group.