Quem precisa de um centro de operações de segurança (SOC)?
Não importa o tamanho ou o propósito de uma empresa, é valioso ter uma equipa dedicada a nível organizacional cuja função é monitorizar constantemente as operações e incidentes de segurança e responder a quaisquer questões que possam surgir. As várias responsabilidades dentro de uma equipa de cibersegurança podem ser extremamente complexas, e um SOC pode servir não só como consola táctica para capacitar os membros da equipa na execução das suas tarefas diárias, mas também como centro estratégico para manter a equipa ciente das tendências de segurança maiores e a longo prazo.
Um centro de operações de segurança típico rastreia qualquer número de alertas de segurança que uma organização possa encontrar, incluindo notificações de ameaças potenciais através de tecnologias e ferramentas, bem como empregados, parceiros e fontes externas. A partir desse ponto, o SOC investiga e valida a ameaça reportada para se certificar de que não é um falso positivo (ou seja, uma ameaça reportada que é realmente inofensiva). Se o incidente de segurança for considerado válido e exigir uma resposta, o SOC entrega-o às pessoas ou equipas apropriadas para resposta e recuperação.
É necessária uma combinação sofisticada de perícia, processo e organização para gerir eficazmente um centro de operações de segurança como parte de um programa global de detecção e resposta a incidentes. É por isso que todas as organizações podem não ser capazes de apoiar ou financiar um SOC internamente. Em vez disso, muitas optam por ter o seu SOC gerido por uma agência externa ou mesmo completamente externalizado.
Laying the groundwork
Há uma série de componentes de apoio que devem estar no lugar antes de um SOC ser uma opção viável para uma organização. O primeiro é ter um bom programa de gestão de superfícies de ataque. Isto inclui tecnologia de prevenção de ameaças para todas as vias de entrada e saída de ameaças, scan regular de vulnerabilidade (e patching associado), testes de caneta, autenticação e autorização de utilizadores, gestão de activos, testes de aplicação externa (com patching associado), e gestão de acesso remoto.
P>Próximo está a ter um plano de resposta a incidentes. Tipicamente, um dos principais objectivos da introdução de um SOC num programa de IDR é aumentar a eficácia da detecção de ameaças no ambiente da organização. Se os processos de resposta a incidentes que se seguem à descoberta de uma violação não estiverem implementados e testados regularmente, só se está a abordar alguns componentes de um programa de IDR eficaz.
Finalmente, é importante ter um plano de recuperação de desastres implementado. Uma violação é simplesmente um exemplo específico de um desastre do qual as organizações precisam de se recuperar. Uma vez que a violação detectada tenha sido totalmente delimitada e os activos, aplicações e utilizadores afectados tenham sido contidos, é necessário ter um plano em vigor para restaurar os processos normais de funcionamento do negócio. Isto é a recuperação de desastres.
A começar
Dada a complexidade inerente a um centro de operações de segurança, há muitas coisas a considerar quando se instala um. Independentemente de estar a ser criado internamente ou externalizado, a preparação para os três elementos seguintes é essencial para o sucesso do SOC:
- Pessoas: A compreensão dos papéis e responsabilidades dos analistas do SOC é um importante precursor na selecção da tecnologia que irá gerir o seu SOC. As equipas que criar e as tarefas que lhes atribui dependerão da estrutura existente da sua organização. Por exemplo, se estiver a construir um SOC para aumentar as capacidades existentes de detecção e resposta a ameaças, vai querer considerar quais as tarefas específicas pelas quais os membros da equipa SOC são responsáveis e quais recaem sobre as equipas não SOC IDR. Também vai querer dividir as responsabilidades entre os analistas SOC, para que haja uma compreensão clara de quem lida com alertas de alta fidelidade, quem valida alertas de baixa fidelidade, quem aumenta os alertas, quem caça ameaças desconhecidas, etc. Muitos centros de operações de segurança operam com um quadro escalonado para o pessoal para ajudar a estabelecer responsabilidades e hierarquia claras.
- Processos: Estabelecer os processos que as pessoas e a tecnologia delineada acima irão seguir é o componente final que terá de considerar quando começar a utilizar um SOC. O que acontece se um incidente de segurança precisar de ser validado, reportado, escalonado, ou entregue a outra equipa? Como irá recolher e analisar as métricas? Estes processos devem ser suficientemente precisos para assegurar que as pistas de investigação sejam tratadas por ordem de criticidade, mas suficientemente soltas para não ditarem processos de análise. Os processos podem fazer ou quebrar a eficácia de um SOC e valem o esforço para acertar.
li> Tecnologia: Decidir que tecnologia o SOC utiliza é onde o tempo gasto a estabelecer as funções e responsabilidades acima mencionadas compensará. Que tecnologia irão utilizar? Provavelmente, necessitarão de combinar ferramentas de agregação de registos, análise do comportamento do utilizador, interrogação do ponto final, pesquisa em tempo real, e muito mais. Será importante observar como os analistas SOC estão a utilizar a sua tecnologia e determinar se a tecnologia existente está a ajudar ou a dificultar os processos SOC, e se a nova tecnologia terá de a substituir. Além disso, será importante dispor de ferramentas de comunicação que permitam aos analistas colaborar.