安全操作(SecOps)在实时攻击者攻击系统时维护并还原系统的安全保证。 NIST 网络安全框架很好地描述了 SecOps 的检测、响应和恢复功能。
检测 - SecOps 必须检测系统中存在攻击者,他们被激励在大多数情况下保持隐藏状态,使他们能够实现其目标不受阻碍。 这可以采取响应可疑活动的警报或主动搜寻企业活动日志中的异常事件的形式。
响应 - 检测到潜在的对手行动或活动后,SecOps 必须快速调查,以确定这是实际攻击(确警报)还是误警报(误报),然后明确对手行动的范围和目标。
恢复 - SecOps 的最终目标是在攻击期间和之后保留或还原业务服务的安全保证(保密性、完整性、可用性)。
大多数组织面临的最重要的安全风险来自人类攻击操作员(技能水平不同)。 通过内置于反恶意软件的签名和基于机器学习的方法,对大多数组织来说,自动/重复攻击的风险得到了显著缓解。 虽然必须指出,有明显的例外,如 Wannacrypt 和 NotPetya,其移动速度比这些防御措施更快。
尽管由于适应能力而使得面对人类攻击操作员变得更具挑战性(相对于自动化/重复逻辑而言),但他们的操作速度与防御者相同,这有助于平衡竞争条件。
SecOps(有时称为安全运营中心(SOC))在限制攻击者获取可访问有价值系统和数据的时间和权限方面发挥着至关重要的作用。 攻击者在环境中的每一分钟都允许他们继续执行攻击操作并访问敏感或有价值的系统。