É verdade que por muito tempo, as plataformas de SIEM (Security Information and Event Management) ajudaram empresas de segurança da informação, instituições financeiras, governos e tantos outros segmentos a terem uma gestão centralizada dos eventos de segurança. Concordo plenamente!
Também é verdade, que a quantidade de ameaças cibernéticas aumentando significativamente, esses mesmos clientes passam a ter um olhar voltado para os iSOCs (Softwares que fazem a detecção, investigação, análise e resposta a incidentes).
Por que o SIEM não é mais suficiente para as ameaças atuais?
Estamos em uma guerra mundial cibernética, e as batalhas contra as ameaças cibernéticas podem ter sido deflagradas com as plataformas de SIEM. E de forma alguma, estamos citando que essas plataformas não corroboram com as equipes de segurança da informação, já que a abordagem e metodologia de grande parte dos SIEMs foi criada para fornecerem às equipes de segurança análises em tempo real de alertas de ameaças de aplicativos e hardware de rede, endpoints, e etc. Isso é bom? Sim, é bom, gosto da ideia de ter o controle e a correlação de dados que os endpoints enviam ativa ou passivamente. Mas isso é o suficiente? Não, certamente é necessário ter um plus considerável para melhorar o tempo de resposta a incidentes e dar tempo para que os colaboradores possam ter um diferencial técnico, e normalmente as equipes de segurança são extremamente sobrecarregadas.
Apesar das boas intenções e por trás do desenvolvimento do SIEM, à medida que o volume e a sofisticação dos ataques cibernéticos continuam a crescer, muitas empresas com um SOC orientado por SIEM descobrem que não podem lidar com isso. As equipes de segurança apontam para vários desafios – muito complexos, muito caros, muito longos para implantar e manter – como razões pelas quais o SIEM pode ter tornado a vida mais onerosa, e não mais fácil, para os profissionais de segurança.
Os SOCs orientados a SIEM vão se transformar em iSOC (utilizando inteligência acionável)?
Sim, certamente os SOCs modernos devem detectar ameaças em todos os pontos da cadeia de ataque (kill chain). Os SOCs tradicionais consistem em dezenas de perímetros baseados em assinatura e ferramentas de controle de acesso, juntamente com um sistema SIEM para monitoramento de registros. Essas ferramentas buscam apenas ataques conhecidos no ponto de entrada e se tornam cada vez mais ineficazes à medida que os ataques se tornam mais complexos e sofisticados. Os sistemas não possuem as ferramentas e tecnologias para descobrir ameaças avançadas (os famosos APTs) em toda a cadeia de ataque e não podem fornecer às organizações a visibilidade total necessária para detectar ameaças avançadas sem depender apenas de assinaturas. Os SOCs modernos precisam adicionar fontes dinâmicas, como de fontes abertas, darkweb, mídias sociais, fóruns abertos e fechados para fornecer às organizações informações valiosas sobre ameaças em andamento ou as ameaças que já foram realizadas e que seus sistemas não detectaram (vugo zeroday). Esses dados essenciais incluem a análise e a investigação de campanhas contínuas de cibercrime e hacktivismo, discussões sobre as vulnerabilidades e explorações mais recentes e evidências de vazamento de dados organizacionais.
Os SOCs modernos devem obter evidências forenses para investigação e remediação
Nos SOCs baseados em SIEM, os recursos forenses exigem ferramentas separadas para serem adquiridas e implantadas, e o manuseio manual pode acarretar em erros na investigação dos incidentes, consequentemente, podendo custar muito caro para a instituição (não digo apenas no sentido financeiro, mas no sentido de marketing negativo). Em um SOC acionado por inteligência, os recursos e a instrumentação forenses são incorporados à infraestrutura e aos processos de trabalho. Os dados forenses são recolhidos proativamente da rede e dos endpoints e são referenciados como parte de investigações automatizadas para confirmar ou refutar ataques e facilitar a colaboração entre usuários em diferentes níveis. Além disso, evitam muitos falsos positivos.
Os SOCs modernos devem usar a automação para investigação e resposta de alerta 24 horas por dia, 7 dias por semana
Os ciber-atacantes nunca dormem, botnets nunca dormem. Combine isso com a crescente escassez de analistas cibernéticos qualificados e torna-se óbvio que os SOCs tradicionais baseados em SIEM, com suas respostas reativas e posteriores, são inadequados. A automação permite que os “analistas virtuais” forneçam uma investigação e resposta de alertas em tempo real, 24 horas por dia, sete dias por semana. Ele também pode levar os esforços de segurança a um nível mais alto usando o aprendizado de máquina e o cálculo de modelos que o cérebro humano simplesmente não pode fazer – mas depois fornecer essas informações aos analistas humanos para acelerar a correção e a prevenção. Vale lembrar que em um iSOC, os ataques nunca são esquecidos, comportamentos e o modus operandi é percebido.
Os SOCs modernos devem usar uma plataforma abrangente e pré-integrada
Os SOCs tradicionais, mesmo quando reforçados com produtos especializados para lidar com ameaças cibernéticas avançadas, continuam a gerenciar os componentes de segurança separadamente, não funcionam de maneira integrada e não podem compartilhar informações com uma ampla variedade de partes interessadas. Os SOCs modernos e baseados em inteligência usam uma abordagem unificada que combina monitoramento de rede e endpoints e mecanismos de fraude, como colocar servidores isca na rede ou isca de clique para monitorar tráfego, mecanismos especializados para detecção de ameaças em toda a kill chain, investigações manuais e automatizadas. e medidas de remediação. Os analistas podem tomar decisões melhores e mais rápidas porque um SOC acionado por inteligência tem todas as informações em um único painel.
Uma plataforma pré-integrada permite o compartilhamento de conhecimento com o aprimoramento contínuo do quadro de ameaças, à medida que os incidentes são atualizados em tempo real. A automação da investigação permite que o processo imite o analista humano, reduza falsos positivos, represente toda a história de ataque da organização e construa o arquivo do caso de incidentes, incluindo alertas e perícias relacionados. Alivia a fadiga de alertas, aumenta a produtividade dos analistas e preenche a barreira de habilidades dos analistas, sem a necessidade de adicionar e gerenciar continuamente as regras de correlação e de enriquecimento, como no SIEM. O retorno é claramente visualizado, quando percebe-se que a equipe nível I e II, tornam-se mais eficientes e eficazes.
Os SOCs modernos devem oferecer eficiência operacional e produtividade
Os SOCs orientados a SIEM tradicionais exigem horas ou dias para investigar incidentes devido à falta de dados, instrumentação forense parcial e operação manual de várias interfaces, sem considerar as dezenas de funcionários para revisar alertas básicos sobre padrões e assinaturas de ataques conhecidos, sem mencionar os esforço necessário para administrar e manter o SIEM. Com milhares de leads automaticamente triados e fundidos em incidentes, os SOCs orientados por inteligência e unificados precisam de apenas minutos ou horas de investigação, graças à ampla visibilidade, automação e interfaces de usuário unificadas.
Os dados são simplesmente os meios. A inteligência acionável é literalmente o fim
Esse é o coração da questão: por que o SIEM sozinho não é suficiente para um SOC verdadeiramente eficaz? O SIEM é a união de dados de logs dos endpoints, identifica todo e qualquer alerta como um incidente, porém na prática poucas incidências são reais. O verdeiro fim teria que ser a priorização de riscos e inteligência focada em ações. Os SIEMs ainda serão necessários para fins de coleta, monitoramento e conformidade de registros, mas para a tarefa real de detecção, investigação e resposta a ameaças, um iSOC faz com muita exatidão, enquanto um SIEM não tem essa capacidade. Um sistema iSOC é sensível ao contexto e fornece informações rápidas, claras e acionáveis por meio de cobertura, continuidade, contexto, clareza, colaboração e coerência.