"É de suprema importância atacar a estratégia do inimigo."
-Sun Tzu-
O Centro de Operações de Segurança Cibernética (CSOC) deve ter tudo o que precisa para montar uma defesa competente da empresa de tecnologia da informação (TI) em constante mudança.
Isto inclui uma vasta gama de tecnologias sofisticadas de detecção e prevenção, um mar virtual de relatórios de inteligência cibernética e acesso a uma força de trabalho em rápida expansão de profissionais de TI talentosos. No entanto, a maioria dos CSOCs continua a não conseguir manter o adversário – mesmo o menos sofisticado – fora da empresa.
Garantir a confidencialidade, integridade e disponibilidade da empresa moderna de tecnologia da informação (TI) é uma tarefa difícil.
Ele incorpora muitas tarefas, desde engenharia de sistemas robusta e gerenciamento de configuração (CM) até políticas eficazes de segurança cibernética ou garantia de informações (IA) e treinamento abrangente da força de trabalho.
também incluir operações de cibersegurança, onde um grupo de pessoas é encarregado de monitorizar e defender a empresa contra todas as medidas de ataque cibernético.
Um SOC é uma equipe composta principalmente por analistas de segurança organizados para detectar, analisar, responder, relatar e prevenir incidentes de segurança cibernética.
A prática de defesa contra atividades não autorizadas em redes de computadores, incluindo monitoramento, detecção, análise (como análise de tendências e padrões) e atividades de resposta e restauração.
Existem muitos termos que têm sido usados para se referir a uma equipe de especialistas em segurança cibernética reunida para realizar CND.
Eles incluem:
Para que uma organização seja considerada um SOC, ela deve:
Os SOCs podem variar desde pequenas operações com cinco pessoas até grandes centros de coordenação nacionais. A declaração de missão de um SOC de médio porte normalmente inclui os seguintes elementos:
Destas responsabilidades, talvez a mais demorada seja o consumo e a análise de grandes quantidades de dados relevantes para a segurança. Entre os muitos feeds de dados relevantes para a segurança que um SOC provavelmente consumirá, os mais proeminentes geralmente são os IDSs.
IDS são sistemas colocados no host ou na rede para detectar atividades potencialmente maliciosas ou indesejadas que merecem atenção adicional por parte do analista SOC. Combinado com registros de auditoria de segurança e outros feeds de dados, um SOC típico coletará, analisará e armazenará dezenas ou centenas de milhões de eventos de segurança todos os dias.
De acordo com um evento é “Qualquer ocorrência observável em um sistema e/ou rede. Os eventos às vezes fornecem indicação de que um incidente está ocorrendo” (por exemplo, um alerta gerado por um IDS ou um serviço de auditoria de segurança). Um evento nada mais é do que dados brutos.
É necessária uma análise humana – o processo de avaliação do significado de uma coleção de dados relevantes para a segurança, normalmente com a ajuda de ferramentas especializadas – para estabelecer se são necessárias ações adicionais.
Análise forense de rede avançada, análise forense baseada em host, procedimentos de resposta a incidentes, revisões de log, avaliação básica de malware, análise forense de rede e inteligência de ameaças. As certificações podem incluir SANS SEC501: Advanced Security Essentials – Enterprise Defender; SANS SEC503: Detecção detalhada de intrusões; SANS SEC504: Ferramentas, técnicas, explorações e tratamento de incidentes de hackers.
Possui conhecimento profundo em rede, endpoint, inteligência de ameaças, análise forense e engenharia reversa de malware, bem como no funcionamento de aplicativos específicos ou infraestrutura de TI subjacente; atua como um “caçador” de incidentes, sem esperar pela escalada de incidentes; intimamente envolvido no desenvolvimento, ajuste e implementação de análises de detecção de ameaças.
Formação avançada em detecção de anomalias; treinamento específico de ferramentas para agregação e análise de dados e inteligência de ameaças. As certificações podem incluir SANS SEC503: Intrusion Detection In-Depth; SANS SEC504: Ferramentas, técnicas, explorações e tratamento de incidentes de hackers; SANS SEC561: Desenvolvimento intenso de habilidades práticas de teste de caneta; SANS FOR610: Malware de engenharia reversa: ferramentas e técnicas de análise de malware.
Gerencia recursos para incluir pessoal, orçamento, programação de turnos e estratégia de tecnologia para cumprir SLAs; comunica-se com a administração; atua como responsável organizacional para incidentes críticos de negócios; fornece orientação geral para o SOC e informações para a estratégia geral de segurança
O SOC normalmente aproveitará recursos internos e externos em resposta e recuperação do incidente. É importante reconhecer que um SOC nem sempre pode implementar contramedidas ao primeiro sinal de uma intrusão. Existem três razões para isso:
Para determinar a natureza do ataque, o SOC muitas vezes deve realizar análises forenses avançadas em artefatos, como imagens de disco rígido ou captura de pacotes de sessão completa (PCAP), ou engenharia reversa de malware em amostras de malware coletadas para dar suporte a um incidente. Às vezes, as evidências forenses devem ser coletadas e analisadas de maneira legalmente sólida. Nesses casos, o SOC deve observar maior rigor e repetibilidade nos seus procedimentos do que seria necessário de outra forma.
Além dos analistas de SOC, um centro de operações de segurança exige um mestre de cerimônias para suas diversas partes móveis.
O gerente do SOC frequentemente combate incêndios, dentro e fora do SOC. O gestor SOC é responsável por priorizar o trabalho e organizar os recursos com o objetivo final de detectar, investigar e mitigar incidentes que possam impactar o negócio.
O gestor do SOC deve desenvolver um modelo de fluxo de trabalho e implementar procedimentos operacionais padronizados (SOPs) para o processo de tratamento de incidentes que orientam os analistas através de procedimentos de triagem e resposta.
A definição de processos repetíveis de triagem e investigação de incidentes padroniza as ações que um analista SOC realiza e garante que nenhuma tarefa importante seja ignorada.
Ao criar um fluxo de trabalho repetível de gerenciamento de incidentes, são definidas as responsabilidades e ações dos membros da equipe, desde a criação de um alerta e avaliação inicial de Nível 1 até o escalonamento para pessoal de Nível 2 ou Nível 3.
Com base no fluxo de trabalho, os recursos podem ser alocados de forma eficaz. Um dos modelos de processo de resposta a incidentes mais utilizados é o modelo DOE/CIAC, que consiste em seis etapas: preparação, identificação, contenção, erradicação, recuperação e lições aprendidas.
Uma solução de coleta, agregação, detecção, análise e gerenciamento de dados em toda a empresa é a tecnologia central de um SOC de sucesso.
Um sistema eficaz de monitoramento de segurança incorpora dados coletados do monitoramento contínuo de endpoints (PCs, laptops, dispositivos móveis e servidores), bem como redes e fontes de log e eventos .
Com o benefício dos dados de rede, log e endpoint coletados antes e durante o incidente, os analistas de SOC podem passar imediatamente do uso do sistema de monitoramento de segurança como uma ferramenta de detecção para usá-lo como uma ferramenta de investigação, revisando atividades suspeitas que compõem o presente incidente e até mesmo como ferramenta para gerenciar a resposta a um incidente ou violação.
A compatibilidade de tecnologias é fundamental e os silos de dados são ruins, especialmente se uma organização tiver uma solução de monitoramento de segurança existente (SIEM, endpoint, rede ou outra) e quiser incorporar os relatórios dessa ferramenta na solução de gerenciamento de incidentes.
A incorporação de informações sobre ameaças, ativos, identidade e outras informações de contexto é outra maneira pela qual uma solução eficaz de monitoramento de segurança empresarial pode ajudar no processo investigativo do analista SOC.
Muitas vezes, um alerta está associado a atividades de rede ou baseadas em host e, inicialmente, pode conter apenas o endereço IP do endpoint suspeito. Para que a rede flua, o tráfego da rede, eventos de segurança, contexto de identidade/ativo, dados de endpoint, registros do sistema, ameaças, a Intel alimenta o SISTEMA DE MONITORAMENTO DE SEGURANÇA.
Tecnologias compatíveis auxiliam na agregação de dados de detecção para melhorar a visibilidade do tratamento de incidentes. Ao centralizar essas diversas fontes de dados em um sistema de monitoramento de segurança, o SOC obtém informações práticas sobre possíveis anomalias indicativas de atividades de ameaça. Ação. Com base nas descobertas, intervenções automatizadas e manuais podem ser feitas para incluir aplicação de patches, modificação de firewall, quarentena ou nova imagem do sistema e revogação de credenciais. Análise.
Os analistas de operações de segurança podem analisar dados de diversas fontes e interrogar e fazer a triagem de dispositivos de interesse para avaliar um incidente.
Um roteiro para o analista SOC investigar o sistema em questão, o analista geralmente precisa de outras informações, como o proprietário e nome do host da máquina ou registros de origem DHCP para mapear informações de IP e host no momento do alerta.
Se o sistema de monitoramento de segurança incorporar informações de ativos e de identidade, ele proporcionará uma enorme vantagem em termos de tempo e esforço do analista, sem mencionar os fatores-chave que o analista pode usar para priorizar o incidente de segurança – de modo geral, ativos de negócios de maior valor devem ser priorizados em detrimento de ativos de menor valor. -ativos de valor.
A capacidade de criar uma linha de base de atividades para usuários, aplicativos, infraestrutura, rede e outros sistemas , estabelecendo a aparência normal, é uma vantagem dos dados agregados coletados de diversas fontes empresariais.
Armado com a definição de “normal”, torna-se mais fácil detectar comportamentos suspeitos – atividades que estão de alguma forma fora da norma.
Um sistema de monitoramento de segurança devidamente definido e configurado envia alertas acionáveis que podem ser confiáveis e, muitas vezes, priorizados automaticamente antes de chegar ao analista de nível 1.
um dos principais desafios na utilização de dados de registro citados pelos entrevistados é a incapacidade de discernir atividades normais de atividades suspeitas.
Uma prática recomendada é usar plataformas que possam criar linhas de base monitorando a atividade da rede e do endpoint por um período de tempo para ajudar a determinar se a aparência é “normal” e, em seguida, fornecer a capacidade de definir limites de eventos como principais motivadores de alerta.
Quando um comportamento inesperado ou desvio da atividade normal é detectado, a plataforma cria um alerta, indicando que uma investigação mais aprofundada é necessária.
SOCs maduros desenvolvem continuamente a capacidade de consumir e aproveitar inteligência sobre ameaças de seus incidentes passados e de fontes de compartilhamento de informações, como um fornecedor especializado de inteligência sobre ameaças, parceiros do setor, a divisão de crimes cibernéticos da aplicação da lei, organizações de compartilhamento de informações (como ISACs) ou seus fornecedores de tecnologia de monitoramento de segurança.
De acordo com a pesquisa SANS Cyberthreat Intelligence (CTI) de 2015, 69% dos entrevistados relataram que sua organização implementou alguma capacidade de inteligência contra ameaças cibernéticas, com 27% indicando que suas equipes adotam totalmente o conceito de CTI e procedimentos de resposta integrados entre sistemas e funcionários.
A capacidade de um sistema de monitoramento de segurança de operacionalizar a inteligência de ameaças e usá-la para ajudar a detectar padrões em endpoints, logs e dados de rede, bem como associar anomalias a alertas, incidentes ou ataques anteriores, pode aprimorar a capacidade de uma organização de detectar um sistema ou usuário comprometido antes a ele exibindo as características de uma violação.
Na verdade, 55% dos entrevistados da Pesquisa CTI utilizam atualmente um sistema centralizado de gestão de segurança para agregar, analisar e operacionalizar o seu CTI.
Tratamento eficiente de incidentes do SOC Para obter um tratamento eficiente de incidentes, o SOC deve evitar gargalos no processo de RI que move os incidentes do Nível 1 para o Nível 2 e, finalmente, para o Nível 3.
Gargalos podem ocorrer devido a muito “ruído branco”, alertas de poucas consequências ou falsos positivos que levam à “ fadiga de alerta ” do analista.
Este fenómeno é uma experiência comum entre os socorristas, segundo os resultados da Pesquisa de Resposta a Incidentes, onde 15% relataram ter respondido a mais de 20 alarmes falsos positivos originalmente classificados como incidentes . Ao escolher uma ferramenta de monitoramento de segurança empresarial, procure recursos como personalização de limites de alerta e a capacidade de combinar vários alertas em um único incidente.
Além disso, quando os incidentes incluem contexto adicional, os analistas podem triá-los mais rapidamente, reduzindo as camadas de avaliação que devem ocorrer antes que um problema possa ser confirmado e rapidamente mitigado.
Categorize os SOCs internos ao grupo constituinte em cinco modelos organizacionais de como a equipe é composta:
Não existe detecção permanente de incidentes ou capacidade de resposta. No caso de um incidente de segurança informática, são reunidos recursos (geralmente dentro do círculo eleitoral) para lidar com o problema, reconstituir os sistemas e, em seguida, 16 desistirem.
Os resultados podem variar amplamente, pois não existe uma vigilância central ou um conjunto consistente de conhecimentos especializados e os processos para tratamento de incidentes são geralmente mal definidos. Os grupos constituintes compostos por menos de 1.000 usuários ou IPs geralmente se enquadram nesta categoria.
Um SOC permanente existe, mas é composto principalmente por indivíduos cuja posição organizacional está fora do SOC e cujo trabalho principal é relacionado a TI ou segurança, mas não necessariamente relacionado a CND.
Uma pessoa ou um pequeno grupo é responsável pela coordenação das operações de segurança, mas o trabalho pesado é realizado por indivíduos oriundos de outras organizações. Os SOCs que apoiam um eleitorado de pequena a média dimensão, talvez 500 a 5.000 utilizadores ou IPs, enquadram-se frequentemente nesta categoria.
Uma equipe dedicada de profissionais de TI e segurança cibernética compreende uma capacidade permanente de CND, fornecendo serviços contínuos.
Os recursos e as autoridades necessárias para sustentar a missão diária de defesa da rede existem numa entidade formalmente reconhecida, geralmente com orçamento próprio. Esta equipa reporta a um gestor do SOC que é responsável pela supervisão do programa CND para o círculo eleitoral. A maioria dos SOCs se enquadra nesta categoria, normalmente atendendo grupos que variam de 5.000 a 100.000 usuários ou endereços IP.
O SOC é composto por uma equipa central (como acontece com os SOCs centralizados internos) e por recursos de outras partes do círculo eleitoral (como acontece com os SOCs distribuídos internamente). Os indivíduos que apoiam operações CND fora do SOC principal não são reconhecidos como uma entidade SOC separada e distinta.
Para grupos maiores, este modelo estabelece um equilíbrio entre ter uma equipe coerente e sincronizada e manter uma compreensão dos ativos e enclaves de TI de ponta. Os SOCs com grupos constituintes na faixa de 25.000 a 500.000 usuários/IP podem adotar essa abordagem, especialmente se seu grupo constituinte estiver distribuído geograficamente ou se servirem um ambiente de computação altamente heterogêneo.
O SOC medeia e facilita atividades CND entre vários SOCs distintos subordinados, normalmente para um grande grupo, talvez medido em milhões de usuários ou endereços IP.
Um SOC coordenador geralmente fornece serviços de consultoria a um grupo constituinte que pode ser bastante diversificado.
Normalmente não tem visibilidade ativa ou abrangente até ao anfitrião final e, na maioria das vezes, tem autoridade limitada sobre o seu eleitorado.
Os SOCs coordenadores geralmente servem como centros de distribuição de informações cibernéticas, melhores práticas e treinamento. Eles também podem oferecer serviços de análise e perícia, quando solicitados por SOCs subordinados.
Um SOC satisfaz as necessidades de monitoramento e defesa da rede do grupo constituinte, oferecendo um conjunto de serviços.
Os SOCs amadureceram e se adaptaram às crescentes demandas, a um ambiente de ameaças em constante mudança e a ferramentas que aprimoraram drasticamente o estado da arte nas operações de CND. Também desejamos articular todo o escopo do que um SOC pode fazer, independentemente de uma função específica servir ao eleitorado, ao próprio SOC ou a ambos. Como resultado, os serviços SOC formam uma lista abrangente de recursos SOC.
a cadeia de gestão do SOC é responsável por escolher as capacidades que melhor se adaptam às necessidades do seu eleitorado, dadas as restrições políticas e de recursos.
Dicas, relatórios de incidentes e solicitações de serviços CND de constituintes recebidos por telefone, e-mail, postagens no site do SOC ou outros métodos. Isso é aproximadamente análogo a um help desk de TI tradicional, exceto pelo fato de ser específico do CND.
Triagem e análise rápida de feeds de dados em tempo real (como logs e alertas do sistema) para possíveis invasões.
Após um limite de tempo especificado, os incidentes suspeitos são encaminhados para uma equipe de análise e resposta a incidentes para estudo mais aprofundado. Geralmente sinônimo de analistas de nível 1 do SOC, com foco em feeds de eventos em tempo real e outras visualizações de dados.
Nota: Este é um dos recursos mais facilmente reconhecíveis e visíveis oferecidos por um SOC, mas não tem sentido sem uma análise de incidentes correspondente e capacidade de resposta, discutida abaixo.
Coleta, consumo e análise de relatórios de inteligência cibernética, relatórios de invasões cibernéticas e notícias relacionadas à segurança da informação, abrangendo novas ameaças, vulnerabilidades, produtos e pesquisas. Os materiais são inspecionados em busca de informações que exijam uma resposta do SOC ou distribuição ao grupo constituinte. A Intel pode ser obtida a partir da coordenação de SOCs, fornecedores, sites de mídia de notícias, fóruns on-line e listas de distribuição de e-mail.
Síntese, resumo e redistribuição de relatórios de inteligência cibernética, relatórios de intrusão cibernética e notícias relacionadas à segurança da informação aos membros do grupo constituinte, seja de forma rotineira (como um boletim informativo cibernético semanal ou mensal) ou de forma não rotineira (como um aviso de patch de emergência ou alerta de campanha de phishing).
Criação da Intel Autoria primária de novos relatórios de inteligência cibernética, como avisos ou destaques de ameaças, com base em pesquisas primárias realizadas pelo SOC. Por exemplo, análise de uma nova ameaça ou vulnerabilidade não vista anteriormente em outro lugar. Isso geralmente é motivado pelos próprios incidentes do SOC, análise forense, análise de malware e envolvimento de adversários.
Extrair dados de informações cibernéticas e sintetizá-los em novas assinaturas, conteúdo e compreensão dos TTPs adversários, evoluindo assim as operações de monitoramento (por exemplo, novas assinaturas ou conteúdo SIEM).
Análise de longo prazo de feeds de eventos, malware coletado e dados de incidentes em busca de evidências de atividades maliciosas ou anômalas ou para entender melhor o grupo constituinte ou os TTPs do adversário. Isso pode incluir análises não estruturadas, abertas e aprofundadas em vários feeds de dados, tendências e correlação ao longo de semanas ou meses de dados de registro, análise de dados “baixa e lenta” e métodos de detecção de anomalias esotéricas.
Estimativa holística das ameaças representadas por vários atores contra o eleitorado, seus enclaves ou linhas de negócios, dentro do domínio cibernético. Isso incluirá o aproveitamento de recursos existentes, como feeds e tendências de informações cibernéticas, juntamente com a arquitetura da empresa e o status de vulnerabilidade. Frequentemente realizado em coordenação com outras partes interessadas na segurança cibernética.
Análise prolongada e aprofundada de possíveis invasões e de dicas encaminhadas de outros membros do SOC. Esse recurso geralmente é executado por analistas nos níveis 2 e superiores dentro do processo de escalonamento de incidentes do SOC. Deve ser concluído num período de tempo específico, de modo a apoiar uma resposta relevante e eficaz. Esse recurso geralmente envolverá análise aproveitando vários artefatos de dados para determinar quem, o quê, quando, onde e por que uma intrusão – sua extensão, como limitar os danos e como recuperar. Um analista documentará os detalhes desta análise, geralmente com uma recomendação para ações futuras.
Envolvimentos adversários cuidadosamente coordenados, por meio dos quais os membros do SOC realizam um estudo e análise sustentados e detalhados dos TTPs adversários, em um esforço para melhor compreendê-los e informar o monitoramento contínuo. Esta atividade é distinta de outras capacidades porque (1) às vezes envolve instrumentação ad hoc de redes e sistemas para focar em uma atividade de interesse, como um honeypot, e (2) um adversário poderá continuar sua atividade sem ser imediatamente cortado completamente. Esta capacidade é apoiada de perto por tendências e análises de malware e implantes e, por sua vez, pode apoiar a criação de informações cibernéticas.
Trabalhe com os constituintes afetados para reunir mais informações sobre um incidente, compreender o seu significado e avaliar o impacto da missão. Mais importante ainda, esta função inclui a coordenação de ações de resposta e relatórios de incidentes. Este serviço não envolve a implementação direta de contramedidas pelo SOC.
Implementação real de ações de resposta a um incidente para dissuadir, bloquear ou eliminar a presença ou danos do adversário. As possíveis contramedidas incluem isolamento lógico ou físico dos sistemas envolvidos, bloqueios de firewall, buracos negros de DNS, bloqueios de IP, implantação de patches e desativação de contas.
Trabalhe com os constituintes para responder e se recuperar de um incidente no local. Isso geralmente exigirá que os membros do SOC que já estão localizados ou que viajam para o local constituinte apliquem conhecimentos práticos na análise de danos, na erradicação de alterações deixadas por um adversário e na recuperação de sistemas para um bom estado conhecido. Este trabalho é feito em parceria com proprietários e administradores de sistemas.
Trabalhe com os constituintes para se recuperar remotamente de um incidente. Isso envolve o mesmo trabalho que a resposta a incidentes no local. No entanto, os membros do SOC têm comparativamente menos envolvimento prático na coleta de artefatos ou na recuperação de sistemas. O suporte remoto geralmente será feito por telefone e e-mail ou, em casos mais raros, por terminal remoto ou interfaces administrativas, como Microsoft Terminal Services ou Secure Shell (SSH). Análise de Artefato Manuseio de artefatos forenses Reunir e armazenar artefatos forenses (como discos rígidos ou mídias removíveis) relacionados a um incidente de forma que apoie seu uso em processos judiciais. Dependendo da jurisdição, isso pode envolver o manuseio de mídia enquanto se documenta a cadeia de custódia, garantindo o armazenamento seguro e apoiando cópias verificáveis de evidências, bit a bit.
Também conhecida como engenharia reversa de malware ou simplesmente “reversão”. Extrair malware (vírus, cavalos de Tróia, implantes, droppers, etc.) do tráfego de rede ou imagens de mídia e analisá-los para determinar sua natureza. Os membros do SOC normalmente procurarão o vetor de infecção inicial, o comportamento e, potencialmente, a atribuição informal para determinar a extensão de uma intrusão e para apoiar uma resposta oportuna. Isso pode incluir análise estática de código por meio de descompilação ou análise de tempo de execução/execução (por exemplo, “detonação”) ou ambas. Esta capacidade destina-se principalmente a apoiar a monitorização e resposta eficazes. Embora utilize algumas das mesmas técnicas da “análise forense” tradicional, não é necessariamente executada para apoiar processos legais.
Análise de artefatos digitais (mídia, tráfego de rede, dispositivos móveis) para determinar a extensão total e a verdade de um incidente, geralmente estabelecendo um cronograma detalhado dos eventos. Isso aproveita técnicas semelhantes a alguns aspectos da análise de malware e implantes, mas segue um processo documentado mais exaustivo. Isto é muitas vezes realizado através de processos e procedimentos tais que as suas conclusões podem apoiar ações legais contra aqueles que possam estar implicados num incidente.
Operação e manutenção (O&M) de dispositivos de proteção de fronteiras (por exemplo, firewalls, proxies Web, proxies de e-mail e filtros de conteúdo ). Inclui atualizações e CM de políticas de dispositivos, às vezes em resposta a uma ameaça ou incidente. Esta atividade é estreitamente coordenada com um NOC.
O&M de tecnologias SOC fora do escopo de ajuste de sensores. Isso inclui cuidados e alimentação de equipamentos de TI SOC: servidores, estações de trabalho, impressoras, bancos de dados relacionais, sistemas de identificação de problemas, redes de área de armazenamento (SANs) e backup em fita. Se o SOC tiver seu próprio enclave, isso provavelmente incluirá a manutenção de seus roteadores, switches, firewalls e controladores de domínio, se houver. Isso também pode incluir O&M de sistemas de monitoramento, sistemas operacionais (SOs) e hardware. O pessoal que oferece suporte a este serviço tem privilégios de “root” nos equipamentos SOC.
Cuidado e alimentação de plataformas de sensores pertencentes e operadas pelo SOC: IDS, IPS, SIEM e assim por diante. Isso inclui atualizar os sistemas IDS/IPS e SIEM com novas assinaturas, ajustar seus conjuntos de assinaturas para manter o volume de eventos em níveis aceitáveis, minimizar falsos positivos e manter o status de integridade ativo/inativo de sensores e feeds de dados. Os membros do SOC envolvidos neste serviço devem ter um conhecimento profundo das necessidades de monitoramento do SOC para que o SOC possa acompanhar um ambiente de consistência e ameaça em constante evolução. As alterações em quaisquer dispositivos de prevenção em linha (HIPS/NIPS) são geralmente coordenadas com o NOC ou outras áreas de operações de TI. Esse recurso pode envolver scripts ad hoc significativos para movimentar dados e integrar ferramentas e feeds de dados.
Criação e implementação de conteúdo de detecção original para sistemas de monitoramento (assinaturas IDS, casos de uso de SIEM, etc.) com base em ameaças atuais, vulnerabilidades, protocolos, missões ou outras especificidades do ambiente constituinte. Esta capacidade aproveita ferramentas à disposição do SOC para preencher lacunas deixadas por assinaturas fornecidas comercialmente ou pela comunidade. O SOC pode compartilhar suas assinaturas personalizadas com outros SOCs.
Pesquisa de mercado, avaliação de produtos, prototipagem, engenharia, integração, implantação e atualizações de equipamentos SOC, principalmente com base em software livre ou de código aberto (FOSS) ou tecnologias comerciais prontas para uso (COTS). Este serviço inclui orçamento, aquisição e recapitalização regular de sistemas SOC. O pessoal que apoia este serviço deve manter-se atento a um ambiente de ameaças em mudança, disponibilizando novas capacidades numa questão de semanas ou meses, de acordo com as exigências da missão.
Pesquisa e desenvolvimento (P&D) de ferramentas personalizadas onde nenhum recurso comercial ou de código aberto adequado atende a uma necessidade operacional. O escopo desta atividade abrange desde o desenvolvimento de código para um problema estruturado e conhecido até a pesquisa acadêmica plurianual aplicada a um desafio mais complexo.
Coleta de vários feeds de dados relevantes para a segurança para fins de correlação e análise de incidentes. Esta arquitetura de recolha também pode ser aproveitada para apoiar a distribuição e posterior recuperação de dados de auditoria para fins de investigação ou análise a pedido, fora do âmbito da missão do SOC.
Esta capacidade abrange a retenção a longo prazo de dados relevantes para a segurança para utilização por constituintes fora do SOC.
Criação e adaptação de conteúdo SIEM ou manutenção de log (LM) (correlação, painéis, relatórios, etc.) para fins de revisão de auditoria dos constituintes e detecção de uso indevido. Este serviço baseia-se na capacidade de distribuição de dados de auditoria, fornecendo não apenas um feed de dados brutos, mas também conteúdo criado para constituintes fora do SOC.
Apoio à análise e investigação de ameaças internas em duas áreas relacionadas, mas distintas:
O SOC avisará os órgãos de investigação apropriados (aplicação da lei, Inspetor Geral [IG], etc.) sobre um caso de interesse.
O SOC aproveita a sua própria autoridade reguladora ou legal independente para investigar ameaças internas, para incluir monitorização concentrada ou prolongada de indivíduos específicos, sem necessitar de apoio ou autoridades de uma entidade externa. Na prática, poucos SOCs fora da comunidade responsável pela aplicação da lei têm tais autoridades, pelo que normalmente actuam sob a direcção de outra organização.
Mapeamento sustentado e regular das redes constituintes para compreender o tamanho, a forma, a composição e as interfaces perimetrais do grupo constituinte, por meio de técnicas automatizadas ou manuais. Estes mapas são muitas vezes construídos em cooperação com — e distribuídos a — outros constituintes.
Interrogação de hosts de consistência quanto ao status de vulnerabilidade, geralmente com foco no nível de patch de cada sistema e na conformidade de segurança, normalmente por meio de ferramentas distribuídas e automatizadas. Tal como acontece com o mapeamento de rede, isto permite ao SOC compreender melhor o que deve defender. O SOC pode fornecer estes dados aos membros do círculo eleitoral – talvez em forma de relatório ou resumo. Esta função é executada regularmente e não faz parte de uma avaliação ou exercício específico
Avaliação de pleno conhecimento e segurança aberta de um local, enclave ou sistema constituinte, às vezes conhecido como “Blue Teaming”. Os membros do SOC trabalham com proprietários e administradores de sistemas para examinar holisticamente a arquitetura de segurança e as vulnerabilidades de seus sistemas, por meio de verificações, exame da configuração do sistema, revisão da documentação de design do sistema e entrevistas.
Esta atividade pode aproveitar ferramentas de verificação de redes e vulnerabilidades, além de tecnologias mais invasivas usadas para interrogar sistemas quanto à configuração e ao status. A partir desse exame, os membros da equipe produzem um relatório de suas descobertas, juntamente com as soluções recomendadas. Os SOCs aproveitam as avaliações de vulnerabilidade como uma oportunidade para expandir a cobertura de monitoramento e o conhecimento dos seus analistas sobre o grupo constituinte
Avaliação sem conhecimento ou com conhecimento limitado de uma área específica do grupo constituinte, também conhecida como “Red Teaming”. Os membros do SOC conduzem um ataque simulado contra um segmento do eleitorado para avaliar a resiliência do alvo a um ataque real.
Essas operações geralmente são realizadas apenas com o conhecimento e autorização dos executivos de mais alto nível, dentro da consistência e sem aviso prévio dos proprietários do sistema. As ferramentas usadas executarão ataques por vários meios: buffer overflows, injeção de Structured Query Language (SQL) e fuzzing de entrada . As Red Teams geralmente limitam seus objetivos e recursos para modelar os de um ator específico, talvez simulando a campanha de um adversário que pode começar com um ataque de phishing.
Terminada a operação, a equipe produzirá um relatório com suas constatações, da mesma forma que uma avaliação de vulnerabilidade. No entanto, como as atividades de testes de penetração têm um conjunto restrito de objetivos, elas não cobrem tantos aspectos da configuração do sistema e das melhores práticas como faria uma avaliação de vulnerabilidade.
Em alguns casos, o pessoal do SOC apenas coordenará as atividades do Red-Teaming, com um terceiro designado realizando a maior parte dos testes reais para garantir que os testadores não tenham conhecimento prévio dos sistemas constituintes ou das vulnerabilidades.
Testar os recursos de segurança de produtos pontuais adquiridos por membros do círculo eleitoral. Análogo às avaliações de vulnerabilidade em miniatura de um ou alguns hosts, esses testes permitem uma análise aprofundada dos pontos fortes e fracos de um produto específico do ponto de vista da segurança. Isto pode envolver testes “internos” de produtos, em vez de avaliação remota de sistemas de produção ou pré-produção.
Prestar aconselhamento em cibersegurança a constituintes fora do âmbito da CND; apoiar o projeto de novos sistemas, a continuidade dos negócios e o planejamento de recuperação de desastres; política de segurança cibernética; guias de configuração segura; e outros esforços.
Divulgação proativa aos constituintes, apoiando treinamento geral de usuários, boletins e outros materiais educacionais que os ajudam a compreender vários problemas de segurança cibernética. Os principais objetivos são ajudar os constituintes a se protegerem de ameaças comuns, como esquemas de phishing/pharming, melhorar a segurança dos sistemas finais, aumentar a conscientização sobre os serviços do SOC e ajudar os constituintes a relatar incidentes corretamente.
Reempacotamento e redistribuição regulares e repetíveis do conhecimento do SOC sobre ativos, redes, ameaças, incidentes e vulnerabilidades dos constituintes para os constituintes. Esta capacidade vai além da distribuição de informações cibernéticas, melhorando a compreensão dos constituintes sobre a postura de segurança cibernética do eleitorado e de partes dele, impulsionando a tomada de decisões eficaz em todos os níveis. Essas informações podem ser entregues automaticamente por meio de um site do SOC, portal da Web ou lista de distribuição de e-mail.
Compartilhamento sustentado de produtos internos do SOC com outros consumidores, como SOCs parceiros ou subordinados, em um formato mais formal, refinado ou estruturado. Isso pode incluir quase tudo que o SOC desenvolve por conta própria (por exemplo, ferramentas, informações cibernéticas, assinaturas, relatórios de incidentes e outros dados brutos observáveis). O princípio do quid pro quo aplica-se frequentemente: o fluxo de informações entre SOCs é bidirecional.
Comunicação direta com a mídia noticiosa. O SOC é responsável por divulgar informações sem afetar a reputação do grupo constituinte ou as atividades de resposta contínuas.
À medida que você enfrenta o desafio de construir um centro de operações de segurança (SOC), sua capacidade de antecipar obstáculos comuns facilitará a inicialização, o desenvolvimento e o amadurecimento sem problemas ao longo do tempo. Embora cada organização seja única na sua atual postura de segurança, tolerância ao risco, experiência e orçamento, todas partilham os objetivos de tentar minimizar e reforçar a sua superfície de ataque e de detetar, priorizar e investigar rapidamente incidentes de segurança quando estes ocorrem.
Referências
Copyright © 2024 Inteligência Brasil