Mapear o que é realmente importante dentro de um Centro de Operações de Segurança (SOC) é de suma importância. De acordo com um recente estudo, publicado pelo quadrante mágico do Gartner para Gerenciamento de Incidentes e Eventos de Segurança, o mercado de SIEM cresceu de US $ 1,67 bilhão em 2014 para US $ 1,73 bilhão em 2015. O principal fator para os investimentos em SIEM é a segurança e a quantidade de guerras batalhadas todos os dias contra atacantes mal intencionados. A conformidade com normativas ainda continua sendo um aspecto secundário, porém o foco principal continua sendo o ataque direcionados (APT – Advanced Persistent Threat) e a detecção de violações de todos os tipos.
Com a maturidade das empresas passando para um outro nível, ficou claro que um sistema SIEM tornou-se a peça chave de qualquer Security Operations Center (SOC). Esse passo foi realmente importante para reunir de forma unificada diversos sensores que monitoram o perímetro de rede, aplicações e comportamentos. O objetivo do SOC é, obviamente, detectar e prevenir violações o mais rápido possível, enquanto continuamente gerencia e aprimora a postura de segurança da organização para evitar futuros incidentes.
Os sistemas SIEM foram originalmente projetados para agregar a enxurrada de alertas de sistemas como IPS e IDS que estavam sobrecarregando o departamento de TI e, ao longo do tempo, se tornaram uma plataforma de informações, agregando logs de firewalls e outros dispositivos. Como era muito difícil encontrar a agulha no palheiro, as plataformas SIEM evoluíram ainda mais para fornecer ferramentas de usabilidade, como regras de correlação e dashboards.
Então, um SIEM claramente desempenha um papel importante em um SOC. Mas isso é suficiente? O principal objetivo é o ataque direcionado e a detecção de violações, mas um SIEM é a melhor plataforma para o trabalho? Vamos dar uma olhada em alguns dos principais requisitos para um SOC bem-sucedido.
1. Detectar ameaças em todos os pontos da cadeia de ataque ( cyber kill chain)
Para lidar com o número crescente e a complexidade das ameaças cibernéticas, as organizações implantaram várias soluções de segurança para lidar com vetores de ataques. Em resposta, os invasores desenvolveram métodos mais sofisticados que usam várias técnicas e etapas. Soluções pontuais trabalhando sozinhas não podem ver as conexões entre uma série de eventos. Para garantir que os invasores não se infiltrem, as operações de segurança devem atender a dois requisitos principais:
- Implemente tecnologias de prevenção e detecção em toda a cadeia de ataque (cyber kill chain), em todos os vetores de ataque e em todo o ambiente de TI.
- Arquitete para que todas as tecnologias trabalhem juntas de forma holística, compartilhando informações para garantir que os invasores não possam se esgueirar.
2. Investigue todos os alertas para que nada seja perdido
O grande número de alertas vindo de diversos dispositivos foram o principal motivo para as plataformas de SIEM terem dado certo. Para ajudar as equipes a lidar com dezenas de milhares de eventos coletados todos os dias, o sistema SIEM introduziu regras de correlação para agrupar eventos relacionados em alertas. Mas hoje, a maioria das organizações informa que, mesmo após a correlação, o número de alertas que chegam a cada dia é muito numeroso para investigar, resultando em um nível inaceitável de risco.
Ao criar um SOC, as organizações precisam procurar soluções que não apenas agreguem alertas, mas as validem e investiguem automaticamente, reduzindo o número final de casos e de falsos positivos que devem ser revisados por analistas humanos para um número gerenciável.
3. Obter evidência forense para investigação e remediação
Para investigar alertas, as equipes de segurança precisam de dados detalhados das atividades de rede e dos seus respectivos endpoints, em via de regra a maioria das empresas estão buscando soluções que façam a análise forense de forma automatizada. Em todo o setor, as ferramentas forenses, particularmente as de análise de rede, são famosas por serem extremamente difíceis e demoradas de serem usadas, e a perícia forçosamente é um dos principais obstáculos no caminho, já que pode demorar e exige um alto nível de conhecimento técnico. Para um SOC eficiente e eficaz, é necessário que a parte de investigação seja feita através de uma plataforma que possua Inteligência Artificial.
Quando se trata de análise forense, as organizações devem procurar soluções que sejam automatizadas e fáceis de usar. O segredo é adotar soluções que integrem proativamente a coleta de provas forenses no processo de investigação e apresentem os resultados no contexto do alerta ou lead que os dados pretendem confirmar. Quando a evidência forense é analisada e apresentada dessa maneira, ela chega no prazo e em um formato que analistas de diferentes níveis de habilidade possam entender e resolver esses incidentes.
4. Identifique, pare, erradique e corrija rapidamente as Ameaças Avançadas
O principal objetivo do SOC é identificar, parar, remover e corrigir qualquer ameaça que não possa ser evitada pelos sensores do perímetro. A abordagem eficaz dos três primeiros requisitos: combinar detecção minuciosa com investigação automatizada que abrange todos os alertas e integra a análise forense, já terão um tremendo impacto no tempo da resposta ao incidente.
A resposta a incidentes é basicamente a transformação da investigação em inteligência acionável, gerando insights consequentemente mostrando como tratar o incidente, podendo ser integrada a um sensor, efetivando um bloqueio por exemplo ou apenas informando um analista humano para que ele tome a ação. As organizações devem escolher soluções que forneçam linhas históricas de ataque de forma clara e totalmente documentadas, as recomendações detalhadas para correção e ferramentas internas para conter rapidamente as ameaças.
5. Gerenciar incidentes para visibilidade, transparência e comunicação
O compartilhamento de informações é fundamental para a capacidade de qualquer equipe de resposta a incidentes. As organizações devem insistir em soluções que tornem a informação acessível e compreensível para uma ampla variedade de interessados. O SOC é uma operação 24 horas por dia, 7 dias por semana, de modo que o compartilhamento de informações e a transferência de conhecimento são cruciais. Procure soluções que transformem alertas e dados em inteligência que seja autoexplicativa e possa ser compartilhada entre funções e turnos de trabalho. Aumente a transparência adotando paradigmas que façam sentido intuitivo – como incidentes, riscos e recomendações – em vez de alertas, registros e relatórios.
6. Continuamente automatizar e melhorar processos para otimizar a operação
Mais do que qualquer tecnologia ou solução, um SOC é baseado em conhecimento de pessoas e processos bem definidos, que levam a proteção da sua organização. A escassez de mão de obra especializada em segurança cibernética é grande e crescente, e as habilidades necessárias para lidar com as ameaças e tecnologias atuais continuam aumentando. Os gerentes de SOC devem estar constantemente atentos a maneiras de automatizar a análise de rotina, orquestrar processos manuais e fornecer às equipes inteligência acionável em vez de registros (registros e relatórios engavetados não servem para nada).
Então, um SOC precisa de um SIEM? Para a maioria das organizações, a resposta é sim. Ao longo dos anos, o SIEM provou ser altamente eficaz na coleta e no gerenciamento de dados que são vitais para a TI, a segurança e os negócios.
No entanto, para organizações que enfrentam a possibilidade de ataques complexos e direcionados e precisam saber que estão preparados para enfrentá-los cedo e de forma agressiva, o SIEM sozinho não é suficiente. O grande volume de informações coletadas pelo SIEM, combinado com os métodos ineficientes de investigação e análise, significa que os atacantes podem ficar um passo à frente.
Para lidar com ameaças avançadas, os SOCs precisam de uma solução para detecção e resposta a ameaças projetada e construída desde o início, para atender aos requisitos descritos acima. Ficou interessado em obter uma plataforma de Proteção contra Ameaças Avançadas para o seu SOC? A 4Security trabalha com a melhor tecnologia em inteligência acionável do mercado.