Mida tähendavad turbetoimingud (SecOps)?

SecOpsi võib vaadelda tavapärase turbetoimingute keskuse mudeli edasiarendusena. Kõnealuse mudeli põhjal on küberturbe ja IT-toimingute meeskondadel erinevad, kuid vahel ka kattuvad eesmärgid. IT-meeskonna eesmärk on ettevõtte toimingute optimaalseks käitamiseks vajaliku tehnoloogia säilitamine, samal ajal kui turbemeeskondade eesmärk on ennetada küberründeid ja järgida nõuetelevastavuse eeskirju. Kõnealused kaks funktsiooni võivad olla vahel vastuolus, sest turbetoimingud ja -tööriistad võivad ettevõtte esmatähtsaid toiminguid aeglustada.

Siiski ei ole ettevõtetel kaasaegsel turbemaastikul võimalik mõelda turbest kui tegevusest, mis kaasneb erinevate toimingutega. Kuna küberohud muutuvad pidevalt tõsisemaks ja keerulisemaks, võivad küberründe tagajärjed olla väga tõsised. Negatiivsete tagajärgede ennetamiseks peavad ettevõtted igal sammul seadma prioriteediks turbe.

SecOpsi ülesehitus organisatsiooni jaoks tagab tänu ühiste eesmärkide kasutuselevõtule turbe- ja IT-meeskondade jaoks parema ühilduvuse, mis hõlmab järgmist:

Kuna turbe- ja IT-meeskonnad teevad tihedalt koostööd, on turbeseisund mõlema meeskonna jaoks prioriteet. Neil on võimalik jagada omavahel väärtuslikku teavet ja kasutada töökatkestuste ennetamiseks ühiseid tööriistu.

Tavapärase mudeli põhjal jääb turve tagaplaanile. Juhul kui turvet arvestatakse iga toimingu puhul kõige varasemas etapis (trend, mida nimetatakse „turbemeetmete kasutuselevõtuks algstaadiumis“), suurendab see organisatsiooni võimekust vähendada riske enne, kui need muutuvad probleemideks.

SecOpsi meeskondadele ühtsete tööriistadega ja rohkemate suhtlusvõimalustega turbetoimingute keskuse tagamine toob kaasa suurema tõhususe, väiksemad kulud, vähem tööseisakud ja tugevama turbe.

SecOpsi meeskonna tüüpilised toimingud hõlmavad mitmeid põhifunktsioone, näiteks järgmist:

SecOps vastutab organisatsiooni digitaalmaastiku jälgimise ja pahatahtliku tegevuse märkide otsimise eest. SecOpsi meeskonnad jahivad võrkudes ennetavalt anomaalseid sündmusi, lõpp-punkte ja rakendusi ning valmistuvad võimalike või olemasolevate küberohtude leevendamiseks.

Võimalike küberohtude kohta teabe kogumine ja selle analüüsimine on rakenduse SecOps oluline funktsioon. Turbeteabe ja sündmuste haldamise (SIEM) lahendus, mis võimaldab turbemeeskondadel küberohuteabele õiges mastaabis otsest juurdepääsu ning selle sissetoomist ja sellele reageerimist. Ohuanalüüs rikastab andmeid, mis on omandatud taristust, kasutajatelt, seadmetest, rakendustest ja muudest allikatest.

Turbeteabe ja -sündmuste halduse (SIEM) puhul ühendatakse masinõppe teated intsidentidega, mis aitab analüütikutel turbega seonduvaid sündmusi tuvastada, valideerida, prioriseerida ning uurida. Mitme teate ühendamine intsidentidega võimaldab SecOpsi meeskondadel vähendada teadetest tekkivat müra ja keskenduda suurimatele riskidele.

SecOpsi meeskond vastutab tegeliku küberründe kinnitamise ja intsidentidele reageerimise kava rakendamise eest, mis hõlmab tõendusmaterjali ning kontekstipõhise teabe kogumist, koostööd turbetoimingute keskuses küberohu likvideerimiseks ja mis tahes andmelekete kõrvaldamist ning seejärel keskkonna turvalise oleku taastamist. Pärast küberründe toimumist viib meeskond läbi digitõendusmaterjali ja algpõhjuse analüüsi ning kasutab saadud andmeid sarnaste küberrünnete ennetamiseks tulevikus.

SecOpsi meeskonna üks oluline tegevus on organisatsiooni turbekaitse võimalike lünkade tuvastamine. SecOpsi meeskonnad teevad koostööd kõnealuste lünkade tuvastamiseks ja nende lahendamiseks, enne kui pahalane saab neid ära kasutada. Nõrkusehaldus hõlmab järgmist: süsteemide, rakenduste ja taristu skannimine nõrkuste suhtes ning nõrkuste kõrvaldamine.

Teadlikkus küberturbest on oluline kõikidele võrgu kasutajatele ja SecOpsi meeskonnad vastutavad tihti kasutajate harimise eest tavapäraste küberkurjategijate kasutatavate taktikate alal. Tõhus SecOpsi meeskond suudab üldist turbeseisundit tugevdada, luues organisatsioonis teadliku turvalisusele keskendunud kultuuri.

SecOpsi mudeli kasutuselevõtt tagab organisatsioonidele liikuvuse ja teabe jagamise võimalused, mida on vaja pidevalt muutuva küberturbe maastikul esinevate väljakutsete seljatamiseks. Küberrünnete aina suurem sagedus ja keerukus (nt lunavara ning ründevara) tähendab seda, et SecOpsi meeskonnad peavad olema turbemurde korral valmis kiireks reageerimiseks. SecOpsi kasutamine turbe puhul aitab täiustada märkimisväärselt intsidentidele reageerimist, ilma et peaksite toimingute kiiruse või nõuetelevastavuse koha pealt järeleandmisi tegema.

SecOpsi mudeli täiustatud suhtlus aitab küberohte paremini ennetada. Ennetavad tegevused, näiteks küberohtude jahtimine ja siseohtude tuvastamine muutuvad palju tõhusamaks, kui turbetoimingute keskuse meeskonnad teevad omavahel koostööd.

Ühtlustatud lähenemisviisi kasutuselevõtt turbe alal võib muuta turbetoimingute keskused kulutõhusamaks, eelkõige juhul, kui meeskondadel on olemas ohtude tuvastamise täiustatud tugi ja reageerimisvahendid, näiteks laiendatud ohutuvastuse ja -kõrvalduse (XDR) lahendus.

Valdkonnaülesed SecOpsi meeskonnad jagavad sarnaseid igapäevaseid väljakutseid, sest nad töötavad selle nimel, et hoida organisatsioonid ja kasutajad küberkuritegude eest kaitstud. Tavaliselt hõlmavad need järgmist.

Igal aastal muutuvad küberründed aina sagedasemaks ning paljudel küberkurjategijatel on palju ressursse ja nad on hästi motiveeritud. Selle tulemuseks on küberohuandmete tulv, millele järgnevad SecOpsi meeskondadele mõeldud teated, mida sõeluda.

Uut tüüpi küberohtude ilmumise korral reageerivad paljud organisatsioonid nendele nii, et võtavad kasutusele uued lahendused, et reageerida vaid ühe päeva vajadustele. Pikaajalises perspektiivis tähendab see seda, et SecOpsi meeskonnad peavad terve päeva jooksul paljusid erinevaid tööriistu kasutama ja küberohtude andmeid nende vahel käsitsi ühtlustama.

Suuremahulised digivarad, mis hõlmavad nii kohapealseid kui ka mitmest pilvepõhisest allikast, meilidest, rakendustest ja geograafiliselt hajutatud lõpp-punktidest pärinevaid andmeid, võivad muuta SecOpsi meeskondade jaoks kõikidest kaitset vajavatest üksustest ülevaate saamise keeruliseks.

Koolitatud küberturbe asjatundjate puudus on põhjustanud paljude SecOpsi meeskonna liikmete ülekoormuse ja kurnatuse ning kõnealune puudus ei näi leevenevat. Praeguses keskkonnas võivad paljud turbevaldkonna töökohad olla kuude kaupa täitmata.

Kuna küberohtude (nt lunavara) kasutamine muutub salakavalamaks ja kahjustavamaks ning aina sagedamini liigub see märkamatult läbi organisatsiooni digitaalse keskkonna, muutub selle tuvastamine aina olulisemaks ja märkimisväärselt keerulisemaks.

Küberturbe tehnoloogia areneb pidevalt edasi ja samamoodi tekivad uued või täiustatud tööriistad, mis hõlbustavad SecOpsi meeskondade tööd. Paljud neist kasutavad ära automatiseerimise ja tehisintellekti arengu eeliseid, et lihtsustada turbetööd ning muuta küberohud hõlpsamini tuvastatavaks. Siin on esitatud mõned tööriistad, millele nad enda organisatsiooni turvalisuse tagamiseks toetuvad.

SIEM-tehnoloogia (hääldatakse „SIM“) kogub sündmuste logi andmeid erinevatest allikatest, tuvastab reaalajas analüüsi abil normist kõrvalekalduvaid tegevusi ja sooritab vajalikud toimingud. See annab organisatsioonidele ülevaate oma võrgustiku tegevustest, et muuta küberohu tuvastamine ja sellele reageerimine kiiremaks.

EDR on tehnoloogia, mis jälgib küberohtude tuvastamise eesmärgil organisatsiooni võrguga ühendatud füüsilisi seadmeid ja sooritab automaatsed toimingud, kui pahalane kasutab turbemurde katsel lõpp-punkti. Lõpp-punktid hõlmavad järgmist: arvutid, mobiilsideseadmed, serverid, virtuaalmasinad, manustatud seadmed ja asjade interneti seadmed.

XDR on EDR-i edasiarendus, mis laiendab küberohu tuvastamise ja reageerimise võimalusi suuremale tootevalikule, sealhulgas mitte ainult lõpp-punktidele, vaid ka serveritele, rakendustele, pilvtalitlusüksustele ja võrkudele. XDR tagab organisatsiooni digivarade tervikliku ülevaate ning lisaks tuvastamis- ja reageerimisvõimalustele pakub see ennetusmeetmeid, analüütikat, seonduvate intsidentide teateid ja automatiseerimist.

TOAR võimaldab SecOpsi meeskondadel, kes muidu oleksid ülekoormatud aeganõudvate ülesannetega, intsidente kiirelt lahendada. TOAR on teenuste ja tööriistade komplekt, mis automatiseerib küberohu vältimise ja reageerimise aspektid (nt integreerimise ühendamine, ülesannete käitamise viisi määratlemine ja intsidendikavade loomine).

On palju muid küberturbe tööriistu, mis aitavad SecOpsi meeskondadel tõhusamalt töötada. Kõige töökindlamad lahendused on need, mis on integreeritud ühtsele platvormile ja mis kasutavad uusimaid tehnoloogilisi vahendeid, näiteks automatiseerimist ning tehisintellekti.

SecOpsi meeskonna liikmed saavad kaasaegses kiirelt muutuvas küberturbe keskkonnas areneda, kui neil on tehnoloogia, mis on loodud kõige keerukamate küberohtude kõrvaldamisele. Ühtne SecOpsi platvorm, mis on tehisintellektipõhine ja tagab ennetamise, tuvastamise ja reageerimise, hõlbustab töö tegemist ning kõrvaldab lüngad. Microsoft Sentinel tagab nii SIEM- kui ka TOAR-i tööriistad ja integreerub sujuvalt XDR-iga.