Budowanie funkcji Security Operations

May 08 2023

Ocena Twoich potrzeb w zakresie bezpieczeństwa cybernetycznego jest pierwszym zadaniem w budowaniu funkcji Security Operations; jak duża jest Twoja organizacja, jakie zasoby ma do zabezpieczenia swojego środowiska i jaki jest apetyt na reagowanie na luki w zabezpieczeniach. Większość organizacji otrzyma informacje od wymogów regulacyjnych i zgodności dotyczących tego, ile czasu, pieniędzy i wysiłku powinny poświęcić na operacje związane z bezpieczeństwem i bezpieczeństwo cybernetyczne jako całość.

Zdjęcie Mourizal Zativa na Unsplash

Ocena Twoich potrzeb w zakresie bezpieczeństwa cybernetycznego jest pierwszym zadaniem w budowaniu funkcji Security Operations ; jak duża jest Twoja organizacja, jakie zasoby ma do zabezpieczenia swojego środowiska i jaki jest apetyt na reagowanie na luki w zabezpieczeniach. Większość organizacji otrzyma informacje od wymogów regulacyjnych i zgodności dotyczących tego, ile czasu, pieniędzy i wysiłku powinny poświęcić na operacje związane z bezpieczeństwem i bezpieczeństwo cybernetyczne jako całość. Idealnie powinno to uzupełniać wewnętrzny proces zarządzania ryzykiem, identyfikując kluczowe ryzyka i sposoby ich traktowania.

Za co jesteś odpowiedzialny? Gdzie mandat? Zrozumienie leżącej u podstaw technologii informacyjnej i/lub technologii operacyjnej, tego, co ona robi i jakie jest jej znaczenie dla firmy, jest kluczowym elementem dobrze zorganizowanej funkcji operacji bezpieczeństwa. Dostępny będzie również katalog sprzętu, oprogramowania i danych powiązanych z tymi elementami składowymi IT/OT — które często będą wymagały monitorowania, zabezpieczania i wycofywania w miarę upływu czasu. Na szczycie tych fundamentów znajdą się ludzie i procesy, dzięki którym technologia będzie użyteczna i skuteczna. Niektóre funkcje operacji bezpieczeństwa będą odpowiedzialne za zabezpieczanie produktów i usług, podczas gdy inne nie. Zrozumienie, uzgodnienie i udokumentowanie podstawowych obowiązków pozwoli uniknąć późniejszych nieporozumień.

Monitorowanie, wykrywanie i reagowanie to kluczowa część SecOps — zdolność do gromadzenia znaczących danych telemetrycznych i identyfikowania wszelkich podejrzanych i/lub złośliwych zmian brzmi tak prosto, ale powoduje wiele konfliktów w wielu organizacjach. Jeśli wiesz, za co jesteś odpowiedzialny, możesz określić, jakie strumienie danych są Ci potrzebne i jak możesz organizować dane w informacje oraz jak ustalać priorytety i kwantyfikować obciążenia pracą, przekształcając w ten sposób informacje w inteligencję. Najważniejszą rolę odegra tu technologia, ponieważ firmy będą musiały zrozumieć, kto może zaoferować produkt i/lub usługę, która od samego początku dostarcza odpowiednich informacji.

Szkolenie z zakresu kultury i świadomości to program, który ma pomóc zmniejszyć narażenie organizacji na ryzyko, zarówno w jej najmocniejszych, jak i najsłabszych częściach — ludziach. Cyberprzestępcy często padają ofiarą ataków, aby znaleźć prosty i zgodny z prawem sposób na dostanie się do organizacji; technologia zwykle dobrze radzi sobie z powstrzymywaniem złośliwego zachowania. Ludzi należy przeszkolić, aby rozumieli, co jest podejrzane w kontekście bezpieczeństwa cybernetycznego, takie jak phishing e-mail, spam MFA, urządzenia USB i jak powinni na nie reagować zdarzenia — powinni mieć jasną linię komunikacji z zespołami ds. operacji bezpieczeństwa, które mogą zająć się ich problemami i podejrzanym zdarzeniem.

Trzymaj go blisko domu lub sprowadź ekspertów. Security Operations jest kosztowną funkcją do tworzenia i utrzymywania we własnym zakresie i nie zawsze musi być czymś, co należy bezpośrednio posiadać i zarządzać. Chociaż do zabezpieczenia Twojej organizacji wymagany jest stały zespół, może on uzasadniać oparcie się na zewnętrznych usługodawcach, którzy mogą zapewnić Ci odpowiednią mieszankę wykształcenia, doświadczenia i ekspozycji, płacąc symboliczną opłatę co miesiąc/kwartał/rok. Nie lekceważ bezpośrednich i pośrednich kosztów utrzymania wysokowydajnego zespołu o wysokich funkcjach.

Wyszukiwanie zagrożeń i zarządzanie lukami w zabezpieczeniach to dodatkowe obowiązki dojrzałej funkcji SecOps. Niezależnie od tego, czy siedzi on w zespole SecOps, czy obok niego, nie jest celem tego wpisu na blogu, celem tego wpisu jest podkreślenie, w jaki sposób można wzmocnić technologię i procesy w celu obniżenia kosztów SecOps, zwiększenia wydajności i skuteczności SecOps oraz w jaki sposób powinno prowadzić do nadania priorytetu identyfikacji i leczeniu ryzyka. Zrozumienie swojego profilu pod względem przychodów, lokalizacji biznesowych, stosu technologii, branż itp. da ci obraz tego, na czym powinieneś się skupić; zarządzanie tymi informacjami o zagrożeniach i łagodzenie słabych punktów w środowisku poprzez łatanie, ulepszanie procesów, zmiany konfiguracji itp. to najlepsze funkcje SecOps.

Zbuduj zespół. Karm go, trenuj, a kiedy nadejdzie odpowiedni moment, pozwól mu zabłysnąć. Zespoły SecOps wymagają dużego zaufania i wielu zasobów, dlatego należy im dać wystarczająco dużo czasu i możliwości na przygotowanie się. Chociaż zmiana personelu i kierownictwa nie jest niczym złym, można więcej zyskać na stabilnym, stałym zespole, który rozumie swoje obowiązki i ma swobodę w osiąganiu swojego celu; ratując organizację przed naruszeniem bezpieczeństwa. SecOps to zespół operacyjny, który zwykle jest potrzebny rzadko — ich wartość dodana w kilku chwilach dużego stresu jest warta stałego i niezachwianego wsparcia.