SecOps 是组织的安全 (Sec) 和运营 (Ops) 团队之间的协作。SecOps 的目标是通过消除孤岛并更有效地预防和响应潜在攻击来提高组织抵御网络威胁的弹性。
SecOps 做什么?
SecOps 团队负责保护组织免受网络威胁。通常,公司拥有独立工作但职责重叠的安全和运营团队。例如,安全团队负责网络安全,而运营团队则专注于维护和简化运营。由于网络攻击对运营构成威胁,因此这两个专业领域有很大的重叠。SecOps 团队在企业安全运营中心(SOC)的核心运作。它负责管理组织的网络防御。这既包括主动采取措施防止网络攻击,也包括努力检测、缓解正在进行的攻击并从中恢复。
安全运营工具
SecOps 团队是企业 SOC 的核心。他们使用各种安全工具来完成 SOC 的核心职责,包括:
- 安全信息和事件管理(SIEM)
- 安全编排、自动化和响应(SOAR)
- 网络检测和响应(NDR)
- 端点检测和响应(EDR)
- 扩展检测和响应(XDR)
- 端点保护平台(EPP)
- 用户和实体行为分析 (UEBA)
SecOps 与 SOC
SecOps 团队和 SOC 的任务都是保护组织免受网络攻击。但是,这些不是相互竞争的组织,甚至不是独立的组织。SecOps 团队是 SOC 运营的核心。通常,SOC 被认为包括用于保护组织免受网络威胁的人员、流程和工具。SecOps 团队是实现这一目标的人。因此,SecOps 团队是企业 SOC 的一个子集。除了 SecOps 团队之外,SOC 还包括流程和工具。它还可能包括不属于快速响应 SecOps 团队的团队成员。
DevSecOps 与 SecOps
SecOps 和DevSecOps都旨在提高组织抵御网络威胁的弹性。然而,他们以不同的方式实现这一点,有不同的重点领域,并在组织的不同部门运作。
SecOps 团队主要专注于保护组织免受对其生产系统和基础设施的威胁。这些系统面临潜在威胁,对组织的运作至关重要。预防、识别、阻止和补救这些主动攻击是 SecOps 团队的工作。
另一方面,DevSecOps 计划比被动反应更具主动性和预防性。它主要在开发团队内部运作,并试图在漏洞对组织构成风险之前识别和纠正漏洞。例如,DevSecOps 流程可能包括在开发过程中对软件执行漏洞扫描,以便在软件发布之前发现并修复问题。相比之下,当软件在组织的生产环境中运行时,SecOps 团队可能会出现,并且公司 SOC 需要识别并响应网络威胁参与者利用漏洞进入生产的企图。
最后,SecOps 和 DevSecOps 都试图实现相同的目标,并且可能使用一些相同的工具和技术。然而,DevSecOps 通常处于软件生命周期的早期阶段,并且 DevSecOps 团队专注于企业软件中的漏洞,而不是组织可能面临的全部攻击。