Einrichten einer SecOps-Disziplin

Dieser Artikel hilft Sicherheits- und Technologieteams beim Einrichten und Modernisieren einer Disziplin für Sicherheitsvorgänge (SecOps), die Organisationen dabei hilft, aktive Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren, die präventive Kontrollen umgehen.

Sicherheitsdisziplinen sind Gruppierungen verwandter Sicherheitsaufgaben, die Organisationen dabei helfen, sicherheitsrelevante Ergebnisse konsistent in der gesamten Technologieumgebung zu erzielen. Im Rahmen des Modells der Sicherheitsakzeptanz helfen Disziplinen dabei, eine Brücke zwischen Geschäftsszenarien und technischer Implementierung zu bieten und sicherzustellen, dass Sicherheitsinvestitionen im Rahmen des Sicherheitsakzeptanzmodells zu echten messbaren Ergebnissen führen.

Was ist SecOps?

SecOps halten die Sicherheitsgarantien des Systems aufrecht und stellen sie wieder her, während aktive Angreifer es angreifen. Das NIST Cybersecurity Framework beschreibt die SecOps-Funktionen von Detect, Respond und Recover well.

  • Detect - SecOps muss das Vorhandensein von Gegnern im System erkennen, die in den meisten Fällen darauf angewiesen sind, verborgen zu bleiben, damit sie ihre Ziele nicht erreichen können. Dies kann in Form einer Reaktion auf eine Warnung verdächtiger Aktivitäten oder proaktive Suche nach anomalen Ereignissen in den Unternehmensaktivitätsprotokollen erfolgen.
  • Reagieren – Nach der Erkennung potenzieller Gegneraktion oder Kampagne muss SecOps schnell untersuchen, um festzustellen, ob es sich um einen tatsächlichen Angriff (wahr positives Ergebnis) oder einen falschen Alarm (falsch positives Ergebnis) handelt und dann den Umfang und das Ziel des Gegners aufzählt.
  • Recover – Das ultimative Ziel von SecOps ist es, die Sicherheitsvorkehrungen (Vertraulichkeit, Integrität, Verfügbarkeit) von Geschäftsdiensten während und nach einem Angriff beizubehalten oder wiederherzustellen.

Risikominderung

Das wichtigste Sicherheitsrisiko, mit dem die meisten Organisationen konfrontiert sind, ist von menschlichen Angriffsoperatoren.

Mit wichtigen Ausnahmen wurde das Risiko von automatisierten/wiederholten Angriffen für die meisten Organisationen durch Signatur- und machine Learning-basierte Ansätze, die in Antischadsoftware integriert sind, erheblich abgemildert.

Während menschliche Angreifer aufgrund ihrer Anpassungsfähigkeit schwer zu bekämpfen sind, agieren sie mit derselben „menschlichen Geschwindigkeit“ wie Verteidiger, was dazu beiträgt, gleiche Bedingungen zu schaffen.

SecOps spielt eine entscheidende Rolle dabei, die Zeit und den Zugriff zu begrenzen, die ein Angreifer auf wertvolle Systeme und Daten erhalten kann. Jede Minute, die ein Angreifer in der Umgebung hat, ermöglicht es ihnen, weiterhin Angriffsvorgänge durchzuführen und auf sensible oder wertvolle Systeme zuzugreifen.

Warum diese Disziplin?

Nicht alle Angriffe können verhindert werden. Selbst bei starker Sicherheitsarchitektur und -haltungsverwaltung, die die meisten Angriffe blockiert, erhalten Bedrohungsakteure manchmal anfänglichen Zugriff auf Umgebungen.

SecOps konzentriert sich auf die Bewältigung dieser aktiven Angriffe und Sicherheitsvorfälle, um den Schaden zu begrenzen, den Angreifer nach einer Kompromittierung verursachen können. Effektive SecOps reduziert das Risiko durch:

  • Schnelles Erkennen bösartiger Aktivitäten.
  • Verkürzung der Verweildauer des Angreifers.
  • Eindämmung seitlicher Bewegungen und Stöße.
  • Unterstützung der Wiederherstellungs- und Organisationsresilienz.

Im Rahmen des Sicherheitsakzeptanzmodells stellt SecOps die postkompromittierende, reaktive Seite der Sicherheit dar und ergänzt das Sicherheitsstatusmanagement, das sich auf proaktive Risikominderung und Angriffsprävention konzentriert.

Diagramm der Sicherheitsvorgänge und des Sicherheitsstatusmanagements, das ihre ergänzenden Rollen bei der Risikoreduzierung zeigt.

Ohne eine wirksame SecOps-Praxis können Angreifer, die sich Zugriff verschaffen, unerkannt agieren, ihre Privilegien ausweiten, sich seitlich im Netzwerk bewegen und maximalen geschäftlichen Schaden anrichten.

Mission und Ergebnisse

Die Mission der SecOps-Disziplin besteht darin, die geschäftlichen Auswirkungen von Cyberangriffen zu begrenzen, indem schnell Bedrohungen im gesamten modernen Technologiebesitz erkannt, untersucht und darauf reagiert werden.

Unabhängig von der Teamgröße oder dem Betriebsmodell liefert reife SecOps die folgenden Ergebnisse:

  • Schnelle Reaktion auf Bedrohungen – rechtzeitige Erkennung und Eindämmung von Bedrohungen über Identitäten, Endpunkte, Infrastruktur, Anwendungen und Daten hinweg
  • Gemeinsame Bedrohungserkennung – Zentrale Signale und Erkenntnisse, die Analysten, Automatisierung und nachgeschaltete Sicherheitskontrollen informieren
  • Proaktive Bedrohungserkennung – Bedrohungssuche und Angriffssimulation, um neue Techniken und Das Verhalten von Angreifern aufzudecken

SecOps-Teams können von einer einzelnen Person bis hin zu großen global verteilten 24/7-Vorgängen reichen, und Funktionen können teilweise oder vollständig ausgelagert werden. Unabhängig von Struktur und Größe bleiben die Ergebnisse gleich.

Setzen Sie in SecOps auf Zero Trust

Security Operations (SecOps) sind grundlegend für eine Zero-Trust-Strategie. Zero Trust geht von Kompromittierung aus und konzentriert sich auf die Minimierung der Auswirkungen, wenn Steuerelemente fehlschlagen. SecOps wandelt diese Annahme in Aktion um, indem sie Bedrohungen in der gesamten Umgebung kontinuierlich erkennen, untersuchen und darauf reagieren.

In einem Zero Trust Modell reicht die Prävention allein nicht aus. Organisationen müssen erwarten, dass Angreifer Steuerelemente umgehen und sich auf SecOps verlassen, um böswillige Aktivitäten frühzeitig zu identifizieren, Angriffe schnell zu enthalten und Erkenntnisse zu generieren, die den Sicherheitsstatus im Laufe der Zeit verbessern.

In unserem Sicherheitsakzeptanzmodell konzentriert sich die SecOps-Anleitung auf die operativen Funktionen, die erforderlich sind, um Zero Trust in der gesamten Organisation zu unterstützen, einschließlich Überwachung, Erkennung, Untersuchung, Reaktion, Automatisierung und kontinuierlichem Lernen.

  • Zentrale Erkennung und Sichtbarkeit: Integrieren von Protokollen und Telemetrie aus der gesamten Umgebung – einschließlich Identitäten, Endpunkten, Anwendungen und Infrastruktur – in eine zentrale Erkennungs- und Untersuchungsfunktion. Dadurch wird sichergestellt, dass SecOps eine konsistente, domänenübergreifende Sichtbarkeit hat, um die Kompromittierung frühzeitig zu erkennen und das Verhalten des Angreifers zu verstehen.
  • Automatisieren Sie die Reaktion und Eindämmung: Verwenden Sie die Orchestrierung und Automatisierung, um wiederholbare Antwortaktionen auszuführen, z. B. kompromittierte Geräte zu isolieren oder riskante Konten zu deaktivieren. Die Automatisierung reduziert die Reaktionszeit, verringert die kognitive Belastung des Analysten und sorgt für eine konsistente Ausführung unter Druck.
  • Proaktive Suche nach Bedrohungen: Behandeln der Bedrohungssuche als zentrale SecOps-Funktion. Verwenden Sie die hypothesengesteuerte Suche und erweiterte Analysen, um Angreiferaktivitäten zu finden, die automatisierte Erkennungen umgehen, die Verweilzeit reduzieren und Lücken bei Steuerelementen aufdecken.
  • Verwalten Sie Warnungen und Vorfälle effektiv: Optimieren Sie Erkennungen, um Rauschen zu reduzieren und sicherzustellen, dass analysten sich auf aussagekräftige Warnungen konzentrieren. Standardisieren Sie Untersuchungs- und Reaktionsworkflows mithilfe von Playbooks, sodass Vorfälle konsistent und effizient behandelt werden.
  • Verringern Sie die Exposition kontinuierlich auf der Grundlage des Risikos: Verwenden Sie Die Analyse des Angriffspfads und Die Expositionserkenntnisse, um Bedingungen zu identifizieren, die eine Kompromittierung ermöglichen könnten. Priorisieren Sie die Behebung nach geschäftlichen Auswirkungen und Eintrittswahrscheinlichkeit, damit der Aufwand dort konzentriert wird, wo er am wichtigsten ist.
  • SecOps-Prozesse kontinuierlich weiterentwickeln: Überprüfen Sie regelmäßig Erkennungsregeln, Playbooks und die Ergebnisse von Reaktionsmaßnahmen auf Grundlage realer Vorfälle und von Threat Intelligence. Lassen Sie diese Erkenntnisse in die SecOps-Strategie einfließen, um sicherzustellen, dass sich die Fähigkeiten anpassen, wenn sich Angreifer, Technologien und Geschäftsprioritäten ändern.

Durch die Ausrichtung von SecOps an Zero Trust Prinzipien wechseln Organisationen von der reaktionsfähigen Behandlung von Vorfällen zu einem robusten Betriebsmodell, bei dem jeder Vorfall erkennungs-, Reaktions- und Präventionsschutz im gesamten Unternehmen stärkt.

So wenden Sie diese Disziplin an

Um die SecOps-Disziplin effektiv anzuwenden, konzentrieren Sie sich auf die Einrichtung eines koordinierten Ansatzes zum Erkennen, Reagieren und Wiederherstellen von Bedrohungen in der gesamten Organisation:

  1. Definieren einer Bedrohungserkennungs- und Reaktionsstrategie, die auf Geschäftsrisiken ausgerichtet ist
    Legen Sie einen klaren Ansatz für die Identifizierung, Priorisierung und Reaktion auf Bedrohungen basierend auf ihren potenziellen geschäftlichen Auswirkungen fest.
  2. Sicherstellen einer konsistenten Erkennung und Reaktion in der gesamten Umgebung
    Wenden Sie einen einheitlichen Ansatz für die Überwachung, Untersuchung und Reaktion auf Identitäten, Geräte, Anwendungen und Infrastruktur an.
  3. Standardisieren von Prozessen für Erkennung, Reaktion und Wiederherstellung
    Stellen Sie klare Anleitungen bereit, um sicherzustellen, dass Vorfälle konsistent behandelt werden, wodurch die Reaktionszeit reduziert und die Auswirkungen begrenzt werden.
  4. Ausrichten von SecOps an geschäftsprioritäten und kritischen Szenarien
    Priorisieren Sie Erkennungs- und Reaktionsbemühungen, um sich auf den Schutz kritischer Ressourcen zu konzentrieren und die Auswirkungen von Sicherheitsvorfällen zu minimieren.
  5. Kontinuierliche Verbesserung durch Einblicke und Feedback
    Verwenden Sie Erkenntnisse aus Vorfällen, Bedrohungserkennungen und operativen Metriken, um Die Erkennungsfunktionen zu stärken und die Reaktion im Laufe der Zeit zu verbessern.

Verwalten von Änderungen

Die SecOps-Modernisierung ist eine kontinuierliche Verbesserungsreise, keine einmalige Bereitstellung von Tools. Ziel ist es, die Fähigkeit der Organisation zu verbessern, die Auswirkungen von Angreifern zu verringern, wenn Kompromittierungen auftreten.

Screenshot der Missionszusammenfassung für Sicherheitsoperationen mit hervorgehobenen wichtigen Maßnahmen und Zero-Trust-Ausrichtung.

Ein moderner SecOps-Ansatz, der an Zero Trust Prinzipien ausgerichtet ist, betont:

  • Ausrichtung der Mission – Priorisieren, was für das Unternehmen am wichtigsten ist, wenn Warnungen und Bedrohungen Ihre Fähigkeit überschreiten, mit Menschen und Automatisierung zu reagieren, einschließlich KI.
  • Kontinuierliches Lernen – Anpassung von Erkennungen, Fähigkeiten und Prozessen, wenn sich Bedrohungsakteure, Plattformen und Unternehmensprioritäten ändern.
  • Zusammenarbeit und Austausch – SecOps als gemeinsame Teamaufgabe über die Bereiche Sicherheit, IT-Betrieb, Entwicklung, Recht, Kommunikation und Führungsebene hinweg zu verstehen.

Bedrohungsakteure neigen dazu, Techniken wiederzuverwenden, die billig, effektiv und zuverlässig sind, bis sie fehlschlagen. Daher ist es wichtig, Bedrohungsinformationen als Erkenntnisse über vergangene Angriffe zu erfassen und zu teilen. SecOps Threat Intelligence sollte direkt in die Konzeption von Sicherheitskontrollen, deren Priorisierung und die Verbesserung der Sicherheitslage einfließen, neben Geschäfts- und Compliance-Anforderungen.

Disziplinierungsrollen und Mitarbeiter

Die SecOps-Disziplin wird in der Regel von einem dedizierten SecOps-Team geleitet. In kleineren Organisationen können SecOps-Verantwortlichkeiten in Teilzeit wahrgenommen oder auf mehrere Rollen verteilt sein, erfordern aber dennoch eine klare Zuständigkeit.

Primäre Rollen in dieser Disziplin umfassen in der Regel:

  • SecOps / SOC-Leiter
  • Triageanalysten der Stufe 1
  • Untersuchungsanalysten der Stufe 2
  • Bedrohungssucher (Stufe 3)
  • Erkennungstechniker
  • SecOps-Plattform und Datentechniker
  • Digitale Forensik und Spezialisten für die Reaktion auf Vorfälle
  • Bedrohungserkennungsanalysten
  • Vorfallkoordinations- und Verwaltungsrollen
  • Angriffssimulationsspezialisten (rotes Team, lila Team, Penetrationstests)

Zu den wichtigsten Mitarbeitern gehören:

  • Technische Entwicklungs- und Betriebsteams – ermöglichen die Protokollierung und unterstützen die Untersuchung, Eindämmung und Wiederherstellung der Systeme, die sie entwerfen und betreiben.
  • Architekturrollen – Verbessern Sie kontinuierlich das Design von Systemen und Kontrollen auf Grundlage der Erkenntnisse aus Vorfällen und der SecOps-Bedrohungsaufklärung.
  • Anwendungs- und Produktteams – Aktualisieren von Software und Diensten als Reaktion auf Vorfallerkenntnisse.
  • Sicherheitsstrategie, Integration und Governance-Disziplin – Legen Sie Prioritäten, Metriken und Rechenschaftspflicht für SecOps-Investitionen fest. Unterstützung und Koordination bei wichtigen Vorfällen bereitstellen.

Effektive SecOps hängt von engen Feedbackschleifen zwischen Vorfallreaktion und Systementwurf ab.

Ausrichtung mit anderen Disziplinen

SecOps arbeitet als Teil eines umfassenderen Sicherheitsbetriebsmodells und ist eng in andere Disziplinen integriert:

  • Disziplin des Sicherheitsstatusmanagements: Konzentriert sich auf die Verhinderung von Vorfällen; SecOps verwaltet die Vorfälle, die noch auftreten.
  • Zugriffs- und Identitätsbereich: Telemetriedaten zu Identitäten sind ein wichtiges Signal für Erkennung und Untersuchung.
  • Disziplin der Datensicherheit: SecOps untersucht Datendiebstahl, Erpressung, Insider-Risiko und Datenschutzvorfälle.
  • Disziplin der Sicherheitsarchitektur: Stellt die Erkennungs- und Reaktionsmechanismen im Einklang mit dem beabsichtigten Systemdesign sicher.
  • Strategie-, Integrations- und Governancedisziplin: Definiert SecOps-Prioritäten, Metriken und Erfolgskriterien.

Ausrichtung auf technologische Säulen

Die SecOps-Disziplin funktioniert über alle technologischen Säulen hinweg und muss Angriffe erkennen und enthalten, wo immer sie auftreten.

  • Identitäten: Dies ist eine oberste Priorität für SecOps, da Identitäten primäre Angriffseintrittspunkte sind. Fast alle mehrstufigen Angriffe beruhen auf Identitätsangriffen (Pass-the-hash/ticket/etc.), um sich seitlich im Netzwerk zu bewegen und Zugriff auf weitere Ressourcen der Organisation zu erlangen, wobei häufig privilegierte Konten von IT-Administratoren oder administrative Dienstkonten verwendet werden.
  • Endpunkte: Endpunkte sind für Angreifer häufige Einfallstore, eine Operationsbasis und lokale Speicherorte für Angriffswerkzeuge. Es ist wichtig, kompromittierte Endpunkte schnell zu finden, um Schäden zu enthalten und Einblicke in Ziele und Funktionen von Angreifern zu erhalten.
  • Infrastruktur: Effektive Erkennung und Reaktion sind wichtig, da Bedrohungsakteure häufig auf hochwertige Cloud- und lokale Infrastrukturressourcen abzielen, die bei Verstößen eine umfassende Kompromittierung ermöglichen.
  • Apps: Die schnelle Erkennung von und Reaktion auf Angriffe auf E-Mail-, Collaboration-, Geschäftsanwendungen und andere Apps ist entscheidend, da Angreifer diese häufig nutzen, um in eine Organisation einzudringen und sich anschließend seitlich innerhalb der Organisation zu bewegen, um auf Unternehmensressourcen zuzugreifen.
  • Daten: Angreifer zielen häufig auf Daten für Diebstahl geistiges Eigentum, Verschlüsselung, um Hebelwirkung für Erpressung oder Ransomware zu gewinnen, zukünftige Angriffe und andere Zwecke zu planen. Darüber hinaus kann SecOps an datenbezogenen Untersuchungen im Zusammenhang mit Datenschutz, Insider-Risiko und anderen beteiligt sein oder daran zusammenarbeiten.
  • Netzwerk: Genau wie legitime Kommunikation laufen auch die Kommunikation von Bedrohungsakteuren und Angriffsoperationen über Netzwerkverbindungen. SecOps konzentriert sich auf Netzwerksensordaten, und diese sind für Kontext und Eindämmungsmaßnahmen nach wie vor wertvoll, auch wenn Verschlüsselung die Transparenz verringert.
  • KI: Da KI als Angriffsfläche entsteht, sind neue Tools und Fähigkeiten für eine effektive Erkennung und Untersuchung erforderlich. Das Volumen der KI-Angriffe nimmt zu, da Bedrohungsakteure KI-Technologie einführen. SecOps kann auch KI nutzen, um Analysen und andere Prozesse zu automatisieren.

Nächste Schritte

Microsoft Unified bietet expertengeführte Workshops an, um Organisationen dabei zu helfen, die Modernisierung der Strategie für das Security Posture Management, die Architektur und die Technologie zu beschleunigen. Zu diesen Workshops gehören:

  • Architektur- und Strategieworkshops – Das Security Adoption Framework (SAF) -Architecture Design Session: Modern Security Operations Workshop konzentriert sich auf die Beschleunigung der SecOps-Modernisierung. Dieser Workshop steht wie folgt zur Verfügung:

    • Themenzusammenfassung – Eine weniger als vierstündige Diskussion konzentriert sich auf wichtige Erkenntnisse und bewährte Methoden.
    • Full Security Architecture Design Session (Security ADS) – Ein zweitägiger Workshop, der zusätzliche Details, eine Microsoft Fallstudie, Reifemodelldiskussionen und Referenzmodernisierungspläne bereitstellt.

  • Technology Adoption Workshops - Microsoft Unified hat Workshops, die Organisationen dabei unterstützen, mehr über SecOps zu erfahren, zu planen, zu implementieren und zu optimieren.

Diagramm Microsoft Unified SecOps Workshops mit Phasen für Lernen, Planung und Implementierung von Sicherheitstechnologien.

Wenden Sie sich an Ihren Kundenerfolgskontomanager, um weitere Informationen zu Microsoft geführten Workshops zu erhalten.

  • Last updated on