Como construir e executar um centro de operações de segurança

Views: 568

O centro de operações de segurança cibernética (CSOC) de hoje deve ter tudo o que precisa para montar uma defesa competente da empresa de tecnologia da informação (TI) em constante mudança.

Isso inclui uma vasta gama de tecnologias sofisticadas de detecção e prevenção, um mar virtual de relatórios de inteligência cibernética e acesso a uma força de trabalho em rápida expansão de talentosos profissionais de TI. Ainda assim, a maioria dos CSOCs continua a falhar em manter o adversário – mesmo o não sofisticado – fora da empresa.

Garantir a confidencialidade, integridade e disponibilidade da empresa moderna de tecnologia da informação (TI) é um grande trabalho.

Ele incorpora muitas tarefas, desde robustos sistemas de engenharia e gerenciamento de configuração (CM) até políticas eficazes de segurança cibernética ou garantia de informações (IA) e treinamento abrangente da força de trabalho.

Também deve incluir operações de cibersegurança, onde um grupo de pessoas é encarregado de monitorar e defender a empresa contra todas as medidas de ataque cibernético.

O que é um SOC?

Um SOC é uma equipe composta principalmente por analistas de segurança organizados para detectar, analisar, responder, relatar e prevenir incidentes de segurança cibernética.

A prática de defesa contra atividades não autorizadas em redes de computadores, incluindo monitoramento, detecção, análise (como análise de tendência e padrão) e atividades de resposta e restauração.

Existem muitos termos que foram usados ​​para fazer referência a uma equipe de especialistas em segurança cibernética reunida para realizar o CND.

Eles incluem:

• Equipe de resposta a incidentes de segurança em computadores (CSIRT)  
• Equipe de resposta a incidentes de computador (CIRT)
• Centro (ou capacidade) de resposta a incidentes de computador (CIRC)
• Centro (ou capacidade) de resposta a incidentes de segurança em computadores (CSIRC)
• Centro de Operações de Segurança (SOC)  
• Centro de Operações de Cibersegurança (CSOC)
• Equipe de Resposta a Emergências de Computadores (CERT)

Para que uma organização seja considerada um SOC, ela deve:

• 1. Fornecer um meio para que os constituintes relatem suspeitas de incidentes de segurança cibernética 
• 2. Fornecer assistência para lidar com incidentes aos constituintes 
• 3. Divulgar informações relacionadas a incidentes para constituintes e partes externas.

Tempo de missão e operações

Os SOCs podem variar de pequenas operações com cinco pessoas a grandes centros de coordenação nacionais. A declaração de missão de um SOC de médio porte típico inclui os seguintes elementos:

1. Prevenção de incidentes de segurança cibernética por meio de ações proativas: 

• uma. Análise contínua de ameaças
• b. Varredura de rede e host em busca de vulnerabilidades
• c. Coordenação de implantação de contramedidas
• d. Consultoria em política de segurança e arquitetura.

2. Monitoramento, detecção e análise de potenciais intrusões em tempo real e por meio de tendências históricas em fontes de dados relevantes para a segurança 

3. Resposta a incidentes confirmados, coordenando recursos e direcionando o uso de contra-medidas oportunas e adequadas 

4. Fornecimento de consciência situacional e relatórios sobre o status da segurança cibernética, incidentes e tendências no comportamento do adversário para as organizações apropriadas 

5. Engenharia e operação de tecnologias CND, como IDSes e sistemas de coleta / análise de dados.

Dessas responsabilidades, talvez a mais demorada seja o consumo e a análise de grandes quantidades de dados relevantes para a segurança. Entre os muitos feeds de dados relevantes para a segurança que um Centro de Operações de Segurança provavelmente ingerirá, os mais proeminentes geralmente são os IDSs.

Os IDSs são sistemas colocados no host ou na rede para detectar atividades potencialmente mal-intencionadas ou indesejadas que exigem maior atenção do analista do SOC. Combinado com logs de auditoria de segurança e outros feeds de dados, um SOC típico irá coletar, analisar e armazenar dezenas ou centenas de milhões de eventos de segurança todos os dias.

De acordo com um evento é “Qualquer ocorrência observável em um sistema e / ou rede. Os eventos às vezes fornecem uma indicação de que um incidente está ocorrendo ”(por exemplo, um alerta gerado por um IDS ou um serviço de auditoria de segurança). Um eventonada mais é do que dados brutos.

É necessária uma análise humana – o processo de avaliar o significado de uma coleção de dados relevantes para a segurança dos Dez Fundamentos das Dez Estratégias de um Centro de Operações de Segurança Cibernética de Classe Mundial 11, normalmente com a ajuda de ferramentas especializadas – para estabelecer se outras ações são necessárias.

Nível de camada:

1. Camada 1
2. Camada 2
3. Nível 3
4. Gerente Soc

Camada 1: Analista de Alerta

Deveres

Monitora continuamente a fila de alertas; triagem de alertas de segurança; monitora a integridade dos sensores de segurança e terminais; coleta dados e contexto necessários para iniciar o trabalho da Camada 2.

Treinamento Requerido

Procedimentos de triagem de alerta; detecção de intruso; rede, informações de segurança e gerenciamento de eventos (SIEM) e treinamento investigativo baseado em host; e outro treinamento específico da ferramenta. As certificações podem incluir SANS SEC401 : Security Essentials Bootcamp Style.

Tier 2: Incident Responder

Deveres

Executa análise aprofundada de incidentes, correlacionando dados de várias fontes; determina se um sistema crítico ou conjunto de dados foi impactado; aconselha sobre remediação; fornece suporte para novos métodos analíticos para detecção de ameaças.

Treinamento Requerido

Análise forense avançada de rede, análise forense baseada em host, procedimentos de resposta a incidentes, revisões de log, avaliação básica de malware, análise forense de rede e inteligência de ameaças. As certificações podem incluir SANS SEC501: Advanced Security Essentials – Enterprise Defender; SANS SEC503: Detecção de intrusão em profundidade; SANS SEC504: Ferramentas, técnicas, explorações e manipulação de incidentes de hackers.

Especialista / Caçador no Assunto Nível 3

Deveres

Possui conhecimento profundo de rede, endpoint, inteligência de ameaças, forense e engenharia reversa de malware, bem como o funcionamento de aplicativos específicos ou infraestrutura de TI subjacente; atua como um “caçador” de incidentes, sem esperar por incidentes escalonados; intimamente envolvido no desenvolvimento, ajuste e implementação de análises de detecção de ameaças.

Treinamento Requerido

Treinamento avançado em detecção de anomalias; treinamento específico da ferramenta para agregação e análise de dados e inteligência de ameaças. As certificações podem incluir SANS SEC503: Intrusion Detection In-Depth; SANS SEC504: Ferramentas, técnicas, explorações e manipulação de incidentes de hackers; SANS SEC561: Desenvolvimentointenso de habilidades de teste prático com caneta; SANS FOR610: Malware de engenharia reversa: ferramentas e técnicas de análise de malware.

Gerente SOC

Deveres

Gerencia recursos para incluir pessoal, orçamento, programação de turnos e estratégia de tecnologia para atender aos SLAs; comunica-se com a gestão; atua como pessoa responsável pela organização para incidentes críticos de negócios; fornece direção geral para o SOC e entrada para a estratégia de segurança geral

Treinamento Requerido

Gerenciamento de projetos, treinamento em gerenciamento de resposta a incidentes, habilidades gerais de gerenciamento de pessoas. As certificações incluem CISSP, CISA, CISM ou CGEIT.

O SOC normalmente irá alavancar recursos internos e externos em resposta e recuperação do incidente. É importante reconhecer que um SOC nem sempre pode implantar contramedidas ao primeiro sinal de uma intrusão. Existem três razões para isso:

• 1. O SOC deseja ter certeza de que não está bloqueando atividades benignas. 
• 2. Uma ação de resposta pode impactar os serviços de missão de um grupo constituinte mais do que o próprio incidente. 
• 3. Entender a extensão e a gravidade da intrusão observando o adversário às vezes é mais eficaz do que realizar uma análise forense estática em sistemas comprometidos, uma vez que o adversário não está mais presente.

Para determinar a natureza do ataque, o SOC geralmente deve realizar análises forensesavançadas em artefatos, como imagens de disco rígido ou captura de pacote de sessão completa (PCAP), ou engenharia reversa de malware em amostras de malware coletadas em apoio a um incidente. Às vezes, as evidências forenses devem ser coletadas e analisadas de maneira legalmente adequada. Nesses casos, o SOC deve observar maior rigor e repetibilidade em seus procedimentos do que seria necessário.

Construindo um Centro de Operações de Segurança

Além dos analistas do SOC, um centro de operações de segurança requer um mestre de cerimônias para suas muitas partes móveis.

O gerente do SOC geralmente combate incêndios, dentro e fora do SOC. O gerente do SOC é responsável por priorizar o trabalho e organizar os recursos com o objetivo final de detectar, investigar e mitigar incidentes que possam impactar os negócios.

O gerente do SOC deve desenvolver um modelo de fluxo de trabalho e implementar procedimentos operacionais padronizados (SOPs) para o processo de tratamento de incidentes que orienta os analistas através dos procedimentos de triagem e resposta.

Processos

Definir a triagem de incidentes repetíveis e os processos de investigação padronizam as ações que um analista do SOC executa e garante que nenhuma tarefa importante seja perdida.

Ao criar um fluxo de trabalho de gerenciamento de incidentes repetível, as responsabilidades e ações dos membros da equipe, desde a criação de um alerta e avaliação inicial do Nível 1 até o escalonamento para o pessoal do Nível 2 ou Nível 3 são definidas.

Com base no fluxo de trabalho, os recursos podem ser alocados com eficácia.

Um dos modelos de processo de resposta a incidentes mais usados ​​é o modelo DOE / CIAC, que consiste em seis estágios: preparação, identificação, contenção, erradicação, recuperação e lições aprendidas.

Tecnologia

Uma solução de coleta, agregação, detecção, analítica e gerenciamento de dados em toda a empresa é a tecnologia central de um SOC de sucesso.

Um sistema de monitoramento de segurança eficaz incorpora dados coletados do monitoramento contínuo de terminais (PCs, laptops, dispositivos móveis e servidores) , bem como redes e fontes de registro e eventos .

Com o benefício dos dados de rede, log e endpoint coletados antes e durante o incidente, os analistas do SOC podem imediatamente passar do uso do sistema de monitoramento de segurança como uma ferramenta de detetive para usá-lo como uma ferramenta investigativa, revisando atividades suspeitas que constituem o presente incidente e até mesmo como uma ferramenta para gerenciar a resposta a um incidente ou violação.

A compatibilidade de tecnologias é imprescindível e os silos de dados são ruins – principalmente se uma organização tiver uma solução de monitoramento de segurança existente (SIEM, endpoint, rede ou outro) e deseja incorporar os relatórios dessa ferramenta à solução de gerenciamento de incidentes.

Adicionando Contexto a Incidentes de Segurança

A incorporação de inteligência de ameaças, ativos, identidade e outras informações de contexto é outra maneira que uma solução de monitoramento de segurança corporativa eficaz pode auxiliar o processo investigativo do analista de SOC.

Freqüentemente, um alerta está associado à rede ou à atividade baseada em host e, inicialmente, pode conter apenas o endereço IP do endpoint suspeito. Para fluxos de rede Tráfego de rede Eventos de segurança Contexto de identidade / ativo Dados do terminal Logs do sistema Ameaça Intel Feeds SISTEMA DE MONITORAMENTO DE SEGURANÇA.

As tecnologias compatíveis auxiliam na agregação de dados de detecção para melhorar a visibilidade do tratamento de incidentes. Ao centralizar essas várias fontes de dados em um sistema de monitoramento de segurança, o SOC obtém uma visão acionável de possíveis anomalias indicativas de atividade de ameaça. Açao. Com base nas descobertas, intervenções automatizadas e manuais podem ser feitas para incluir patch, modificação de firewall, quarentena ou nova imagem do sistema e revogação de credencial. Análise.

Os analistas de operações de segurança podem analisar dados de várias fontes e ainda interrogar e fazer a triagem de dispositivos de interesse para avaliar um incidente.

Um roteiro do analista SOC para investigar o sistema em questão, o analista geralmente precisa de outras informações, como o proprietário e o nome do host da máquina ou registros originados de DHCP para mapear informações de IP e host no momento do alerta.

Se o sistema de monitoramento de segurança incorpora informações de ativos e identidade, ele oferece uma grande vantagem em tempo e esforço do analista, sem mencionar os principais fatores que o analista pode usar para priorizar o incidente de segurança – em geral, os ativos de negócios de maior valor devem ser priorizados em relação aos menores -valor ativos.

Definição de normal por meio de linha de base

A capacidade de criar uma linha de base de atividades para usuários, aplicativos, infraestrutura, rede e outros sistemas , estabelecendo a aparência normal, é uma vantagem dos dados agregados coletados de várias fontes corporativas.

Armado com a definição de “normal”, a detecção de comportamentos suspeitos – atividades que estão de alguma forma fora do normal – torna-se mais fácil.

Um sistema de monitoramento de segurança devidamente definido e configurado envia alertas acionáveis ​​que podem ser confiáveis ​​e geralmente priorizados automaticamente antes de chegar ao analista de Nível 1.

um dos principais desafios na utilização de dados de log citados pelos entrevistados é a incapacidade de discernir entre atividades normais e suspeitas.

Uma prática recomendada é usar plataformas que podem construir linhas de base monitorando a atividade da rede e do endpoint por um período de tempo para ajudar a determinar a aparência “normal” e, em seguida, fornecer a capacidade de definir limites de eventos como principais drivers de alerta.

Quando um comportamento inesperado ou desvio da atividade normal é detectado, a plataforma cria um alerta, indicando que uma investigação mais aprofundada é necessária.

Inteligência de Ameaças

SOCs maduros desenvolvem continuamente a capacidade de consumir e aproveitar a inteligência de ameaças de seus incidentes anteriores e de fontes de compartilhamento de informações, como um fornecedor especializado de inteligência de ameaças, parceiros do setor, a divisão de crimes cibernéticos da aplicação da lei, organizações de compartilhamento de informações (como ISACs) ou seus fornecedores de tecnologia de monitoramento de segurança.

De acordo com a pesquisa SANS Cyberthreat Intelligence (CTI) 2015, 69% dos entrevistados relataram que sua organização implementou algum recurso de inteligência contra ameaças cibernéticas, com 27% indicando que suas equipes adotam totalmente o conceito de CTI e procedimentos de resposta integrados entre sistemas e equipe.

A capacidade de um sistema de monitoramento de segurança de operacionalizar a inteligência de ameaças e usá-la para ajudar a identificar padrões em endpoint, log e dados de rede, bem como associar anomalias a alertas, incidentes ou ataques anteriores, pode aprimorar a capacidade de uma organização de detectar um sistema ou usuário comprometido antes a ele exibindo as características de uma violação.

Na verdade, 55% dos entrevistados da Pesquisa CTI estão usando um sistema de gerenciamento de segurança centralizado para agregar, analisar e operacionalizar seu CTI.

Tratamento eficiente de incidentes do SOC Para obter um tratamento eficiente de incidentes, o SOC deve evitar gargalos no processo de IR que move os incidentes através do Nível 1, para o Nível 2 e, finalmente, através do Nível 3.

Gargalos podem ocorrer devido a muito “ruído branco”, alertas de pouca consequência ou falsos positivos que levam à ” fadiga de alerta ” do analista .

Esse fenômeno é uma experiência comum entre respondentes, resultados da Pesquisa de Resposta a Incidentes, onde 15% relataram ter respondido a mais de 20 alarmes falso-positivos originalmente classificados como incidentes . Ao escolher uma ferramenta de monitoramento de segurança corporativa, procure recursos como personalização de limite de alerta e a capacidade de combinar muitos alertas em um único incidente.

Além disso, quando os incidentes incluem contexto adicional, os analistas podem fazer a triagem deles mais rapidamente, reduzindo as camadas de avaliação que devem ocorrer antes que um problema possa ser confirmado e rapidamente mitigado.

Tipos de SOC

Categorize SOCs internos ao constituinte em cinco modelos organizacionais de como a equipe é composta,

1. Equipe de segurança.

Não existe detecção permanente de incidentes ou capacidade de resposta. No caso de um incidente de segurança do computador, os recursos são reunidos (geralmente de dentro do grupo constituinte) para lidar com o problema, reconstituir os sistemas e, em seguida, 16 desiste.

Os resultados podem variar amplamente, pois não há vigilância central ou pool consistente de especialização, e os processos para tratamento de incidentes geralmente são mal definidos. Constituintes compostos por menos de 1.000 usuários ou IPs geralmente se enquadram nesta categoria.

2. SOC interno distribuído.

Um SOC permanente existe, mas é principalmente composto por indivíduos cuja posição organizacional está fora do SOC e cujo trabalho principal está relacionado a TI ou segurança, mas não necessariamente relacionado ao CND.

Uma pessoa ou um pequeno grupo é responsável pela coordenação das operações de segurança, mas o trabalho pesado é realizado por indivíduos matriculados em outras organizações. Os SOCs que oferecem suporte a um grupo constituinte de pequeno a médio porte, talvez 500 a 5.000 usuários ou IPs, geralmente se enquadram nessa categoria.

3. SOC centralizado interno.

Uma equipe dedicada de profissionais de TI e segurança cibernética compreende uma capacidade CND permanente, fornecendo serviços contínuos.

Os recursos e as autoridades necessárias para sustentar a missão de defesa de rede do dia-a-dia existem em uma entidade formalmente reconhecida, geralmente com seu próprio orçamento. Essa equipe se reporta a um gerente do SOC responsável por supervisionar o programa CND para o grupo constituinte. A maioria dos SOCs se enquadra nessa categoria, geralmente atendendo constituintes que variam de 5.000 a 100.000 usuários ou endereços IP.

4. SOC interno combinado distribuído e centralizado.

O Centro de Operações de Segurança é composto por uma equipe central (como com SOCs centralizados internos) e recursos de outras partes do constituinte (como com SOCs internos distribuídos). Os indivíduos que oferecem suporte a operações CND fora do SOC principal não são reconhecidos como uma entidade SOC separada e distinta.

Para constituintes maiores, este modelo atinge o equilíbrio entre ter uma equipe coerente e sincronizada e manter uma compreensão dos ativos e enclaves de TI de ponta. SOCs com constituintes na faixa de 25.000–500.000 usuários / IP podem seguir essa abordagem, especialmente se seus constituintes estiverem geograficamente distribuídos ou se atenderem a um ambiente de computação altamente heterogêneo.

5. SOC de coordenação.

O SOC medeia e facilita as atividades CND entre vários SOCs distintos subordinados, normalmente para um grande constituinte, talvez medido em milhões de usuários ou endereços IP.

Um SOC coordenador geralmente fornece serviços de consultoria a uma clientela que pode ser bastante diversa.

Normalmente, ele não tem visibilidade ativa ou abrangente até o host final e, na maioria das vezes, tem autoridade limitada sobre seu constituinte.

Os SOCs coordenadores costumam servir como centros de distribuição para informações cibernéticas, práticas recomendadas e treinamento. Eles também podem oferecer serviços de análise e forense, quando solicitados por SOCs subordinados.

Capacidades

Um SOC atende às necessidades de defesa e monitoramento de rede do constituinte, oferecendo um conjunto de serviços.

Os SOCs amadureceram e se adaptaram às demandas crescentes, a um ambiente de ameaças em constante mudança e a ferramentas que aprimoraram dramaticamente o estado da arte nas operações CND. Também desejamos articular o escopo completo do que um SOC pode fazer, independentemente de uma função específica servir ao constituinte, ao próprio SOC ou a ambos. Como resultado, os serviços SOC em uma lista abrangente de recursos SOC.

a cadeia de gerenciamento do SOC é responsável por selecionar e escolher quais recursos melhor atendem às necessidades de seus constituintes, dadas as restrições políticas e de recursos.

1. Análise em tempo real
2. Intel e tendências
3. Análise e Resposta a Incidentes
4. Análise de artefato
5. Suporte ao ciclo de vida da ferramenta SOC
6. Auditoria e ameaça interna
7. Digitalização e avaliação
8. Divulgação

Análise em tempo real

Central de Atendimento

Dicas, relatórios de incidentes e solicitações de serviços CND de constituintes recebidos por telefone, e-mail, publicações no site do SOC ou outros métodos. Isso é quase análogo a um help desk de TI tradicional, exceto que é específico do CND.

Monitoramento e triagem em tempo real

Triagem e análise de curto prazo de feeds de dados em tempo real (como logs e alertas do sistema) para possíveis intrusões.

Após um limite de tempo especificado, os incidentes suspeitos são escalados para uma equipe de análise e resposta de incidentes para estudo posterior. Normalmente sinônimo de analistas de Nível 1 de um SOC, com foco em feeds de eventos em tempo real e outras visualizações de dados.

Nota: Este é um dos recursos mais facilmente reconhecíveis e visíveis oferecidos por um SOC, mas não faz sentido sem uma análise de incidente correspondente e capacidade de resposta, discutida abaixo.

Intel e tendências

Coleção e análise da Cyber ​​Intel

Coleta, consumo e análise de relatórios de inteligência cibernética, relatórios de intrusão cibernética e notícias relacionadas à segurança da informação, cobrindo novas ameaças, vulnerabilidades, produtos e pesquisas. Os materiais são inspecionados em busca de informações que exijam uma resposta do Centro de Operações de Segurança ou distribuição ao constituinte. A Intel pode ser selecionada através da coordenação de SOCs, fornecedores, sites de mídia de notícias, fóruns online e listas de distribuição de e-mail.

Distribuição Cyber ​​Intel

Síntese, resumo e redistribuição de relatórios de inteligência cibernética, relatórios de intrusão cibernética e notícias relacionadas à segurança da informação para membros do grupo constituintes em uma base rotineira (como um boletim informativo cibernético semanal ou mensal) ou não (como um aviso de patch de emergência ou alerta de campanha de phishing).

Cyber 

Criação da Intel Autoria primária de novos relatórios de inteligência cibernética, como avisos ou destaques de ameaças, com base na pesquisa primária realizada pelo SOC. Por exemplo, a análise de uma nova ameaça ou vulnerabilidade não vista anteriormente em outro lugar. Isso geralmente é motivado pelos próprios incidentes do SOC, análise forense, análise de malware e engajamentos do adversário.

Cyber ​​Intel Fusion

Extrair dados da cyber intel e sintetizá-los em novas assinaturas, conteúdo e compreensão de TTPs adversários, evoluindo assim as operações de monitoramento (por exemplo, novas assinaturas ou conteúdo SIEM).

Tendência

Análise de longo prazo de feeds de eventos, malware coletado e dados de incidentes em busca de evidências de atividades maliciosas ou anômalas ou para entender melhor o constituinte ou os TTPs adversários. Isso pode incluir análise não estruturada, aberta e profunda em vários feeds de dados, tendências e correlação ao longo de semanas ou meses de dados de registro, análise de dados “baixa e lenta” e métodos de detecção de anomalias esotéricas.

Avaliação de ameaça

Estimativa holística das ameaças apresentadas por vários atores contra o eleitorado, seus enclaves ou linhas de negócios no domínio cibernético. Isso incluirá o aproveitamento de recursos existentes, como feeds e tendências de cyber intel, junto com a arquitetura da empresa e o status de vulnerabilidade. Frequentemente realizado em coordenação com outras partes interessadas na segurança cibernética.

Análise e Resposta a Incidentes 

Análise de Incidentes

Análise prolongada e aprofundada de possíveis intrusões e de dicas encaminhadas de outros membros do SOC. Esse recurso é geralmente executado por analistas nas camadas 2 e acima no processo de escalonamento de incidentes do SOC. Deve ser preenchido em um intervalo de tempo específico, de modo a apoiar uma resposta relevante e eficaz. Esse recurso geralmente envolverá a análise de vários artefatos de dados para determinar quem, o quê, quando, onde e por que uma intrusão – sua extensão, como limitar os danos e como recuperar. Um analista documentará os detalhes dessa análise, geralmente com uma recomendação para ações futuras.

Análise Tradecraft

Engajamentos do adversário cuidadosamente coordenados, por meio dos quais os membros do SOC realizam um estudo e análise “ininterrupto” sustentado dos TTPs adversários, em um esforço para melhor entendê-los e informar o monitoramento contínuo. Esta atividade é distinta de outros recursos porque (1) às vezes envolve instrumentação ad-hoc de redes e sistemas para se concentrar em uma atividade de interesse, como um honeypot, e (2) um adversário terá permissão para continuar sua atividade sem imediatamente sendo cortado completamente. Esse recurso é apoiado de perto por análises de tendências e malware e implantes e, por sua vez, pode oferecer suporte à criação de inteligência cibernética.

Coordenação de Resposta a Incidentes

Trabalhe com os constituintes afetados para reunir mais informações sobre um incidente, entender sua significância e avaliar o impacto da missão. Mais importante, essa função inclui a coordenação de ações de resposta e relatórios de incidentes. Este serviço não envolve a implementação direta de contramedidas pelo Security Operations Center.

Implementação de contramedidas

A implementação real de ações de resposta a um incidente para impedir, bloquear ou interromper a presença ou dano do adversário. As possíveis contra-medidas incluem o isolamento lógico ou físico dos sistemas envolvidos, bloqueios de firewall, buracos negros de DNS, bloqueios de IP, implantação de patch e desativação de conta.

Resposta a incidente no local

Trabalhe com os constituintes para responder e se recuperar de um incidente no local. Isso geralmente exigirá que os membros do SOC que já estão localizados ou que viajam para o local constituinte apliquem experiência prática na análise de danos, erradicação de alterações deixadas por um adversário e recuperação de sistemas para um estado bom conhecido. Este trabalho é feito em parceria com os proprietários e administradores de sistemas.

Resposta a Incidente Remoto

Trabalhe com os constituintes para se recuperar de um incidente remotamente. Isso envolve o mesmo trabalho que a resposta a incidentes no local. No entanto, os membros do SOC têm comparativamente menos envolvimento prático na coleta de artefatos ou recuperação de sistemas. O suporte remoto normalmente será feito por telefone e e-mail ou, em casos mais raros, terminal remoto ou interfaces administrativas, como Microsoft Terminal Services ou Secure Shell (SSH).

Análise de artefato

Manipulação de artefatos forenses

Coletar e armazenar artefatos forenses (como discos rígidos ou mídia removível)relacionados a um incidente de uma maneira que apóie seu uso em processos judiciais. Dependendo da jurisdição, isso pode envolver o manuseio da mídia enquanto documenta a cadeia de custódia, garantindo o armazenamento seguro e apoiando cópias verificáveis ​​bit a bit das evidências.

Análise de malware e implante

Também conhecido como engenharia reversa de malware ou simplesmente “reversão”. Extração de malware (vírus, Trojans, implantes, droppers, etc.) do tráfego de rede ou imagens de mídia e analisando-os para determinar sua natureza. Os membros do SOC normalmente procuram o vetor de infecção inicial, comportamento e, potencialmente, atribuição informal para determinar a extensão de uma intrusão e para apoiar uma resposta oportuna. Isso pode incluir análise de código estático por meio de descompilação ou análise de tempo de execução / execução (por exemplo, “detonação”) ou ambos. Esse recurso tem como objetivo principal oferecer suporte a monitoramento e resposta eficazes. Embora aproveite algumas das mesmas técnicas da “perícia” tradicional, não é necessariamente executado para apoiar processos legais.

Análise de artefato forense

Análise de artefatos digitais (mídia, tráfego de rede, dispositivos móveis) para determinar a extensão total e a verdade básica de um incidente, geralmente estabelecendo uma linha do tempo detalhada dos eventos. Isso aproveita técnicas semelhantes a alguns aspectos de malware e análise de implantes, mas segue um processo documentado mais exaustivo. Isso geralmente é realizado por meio de processos e procedimentos de forma que suas descobertas possam apoiar uma ação legal contra aqueles que podem estar implicados em um incidente.

Suporte ao ciclo de vida da ferramenta SOC 

Dispositivo de proteção de fronteira O&M

Operação e manutenção (O&M) de dispositivos de proteção de fronteira (por exemplo, firewalls, proxies da Web, proxies de email e filtros de conteúdo ). Inclui atualizações e CM de políticas de dispositivo, às vezes em resposta a uma ameaça ou incidente. Esta atividade é coordenada de perto com um NOC.

O&M da infraestrutura SOC

O&M de tecnologias SOC fora do escopo de ajuste de sensor. Isso inclui o cuidado e a alimentação de equipamentos de TI da SOC: servidores, estações de trabalho, impressoras, bancos de dados relacionais, sistemas de tíquetes de problemas, redes de área de armazenamento (SANs) e backup em fita. Se o Security Operations Center tiver seu próprio enclave, isso provavelmente incluirá a manutenção de seus roteadores, switches, firewalls e controladores de domínio, se houver. Isso também pode incluir O&M de sistemas de monitoramento, sistemas operacionais (SOs) e hardware. O pessoal que oferece suporte a este serviço tem privilégios de “root” no equipamento SOC.

Ajuste e manutenção do sensor

Cuidado e alimentação de plataformas de sensores pertencentes e operadas pelo SOC: IDS, IPS, SIEM e assim por diante. Isso inclui a atualização dos sistemas IDS / IPS e SIEM com novas assinaturas, ajuste de seus conjuntos de assinaturas para manter o volume de eventos em níveis aceitáveis, minimizando falsos positivos e mantendo o status de saúde ativo / inativo dos sensores e feeds de dados. Os membros do SOC envolvidos neste serviço devem estar bem cientes das necessidades de monitoramento do SOC para que o SOC possa acompanhar a consistência em constante evolução e o ambiente de ameaças. As alterações em quaisquer dispositivos de prevenção em linha (HIPS / NIPS) são geralmente coordenadas com o NOC ou outras áreas de operações de TI. Esse recurso pode envolver um script ad-hoc significativo para mover dados e integrar ferramentas e feeds de dados.

Criação de assinatura personalizada

Criação e implementação de conteúdo de detecção original para sistemas de monitoramento (assinaturas de IDS, casos de uso de SIEM, etc.) com base nas ameaças, vulnerabilidades, protocolos, missões ou outras especificidades do ambiente constituinte. Esse recurso aproveita as ferramentas à disposição do SOC para preencher as lacunas deixadas por assinaturas fornecidas comercialmente ou pela comunidade. O SOC pode compartilhar suas assinaturas personalizadas com outros SOCs.

Engenharia e implantação de ferramentas

Pesquisa de mercado, avaliação de produto, prototipagem, engenharia, integração, implantação e atualizações de equipamentos SOC, principalmente com base em software livre ou de código aberto (FOSS) ou em tecnologias comerciais prontas para uso (COTS). Este serviço inclui orçamento, aquisição e recapitalização regular dos sistemas SOC. O pessoal que apóia este serviço deve manter um olhar atento sobre as mudanças no ambiente de ameaças, trazendo novas capacidades em questão de semanas ou meses, de acordo com as demandas da missão.

Pesquisa e desenvolvimento de ferramentas

Pesquisa e desenvolvimento (P&D) de ferramentas personalizadas onde nenhum recurso comercial ou de código aberto adequado atende às necessidades operacionais. O escopo desta atividade abrange desde o desenvolvimento de código para um problema estruturado conhecido até a pesquisa acadêmica de vários anos aplicada a um desafio mais complexo.

Auditoria e ameaça interna 

Coleta e distribuição de dados de auditoria

Coleta de uma série de feeds de dados relevantes para a segurança para fins de correlação e análise de incidentes. Essa arquitetura de coleta também pode ser aproveitada para oferecer suporte à distribuição e posterior recuperação de dados de auditoria para fins de investigação ou análise sob demanda fora do escopo da missão SOC. Esse recurso abrange a retenção de longo prazo de dados relevantes para a segurança para uso por constituintes fora do SOC.

Criação e gerenciamento de conteúdo de auditoria

Criação e adaptação de conteúdo de SIEM ou manutenção de log (LM) (correlação, painéis, relatórios, etc.) para fins de avaliação de auditoria de constituintes e detecção de uso indevido. Esse serviço se baseia na capacidade de distribuição de dados de auditoria, fornecendo não apenas uma alimentação de dados brutos, mas também conteúdo criado para constituintes fora do SOC.

Suporte para casos de ameaças internas

Suporte para análise e investigação de ameaças internas em duas áreas relacionadas, mas distintas: 1. Encontrar pistas para casos de ameaças internas (por exemplo, uso indevido de recursos de TI, fraude de cartão de ponto, fraude financeira, espionagem industrial ou roubo).

O SOC alertará os órgãos de investigação apropriados (policiais, Inspetor Geral [IG], etc.) com um caso de interesse. 2. Em nome desses órgãos investigativos, o SOC fornecerá monitoramento, coleta de informações e análises adicionais em apoio a um caso de ameaça interna.

Investigação de casos de ameaças internas

O SOC alavancando sua própria autoridade regulatória ou legal independente para investigar ameaças internas, para incluir monitoramento focado ou prolongado de indivíduos específicos, sem a necessidade de apoio ou autoridades de uma entidade externa. Na prática, poucos SOCs fora da comunidade de aplicação da lei têm tais autoridades, então eles geralmente agem sob a direção de outra organização

Digitalização e avaliação

Mapeamento de Rede

Mapeamento sustentado e regular de redes constituintes para entender o tamanho, forma, composição e interfaces de perímetro da constituinte, por meio de técnicas automatizadas ou manuais. Esses mapas geralmente são construídos em cooperação com – e distribuídos para – outros constituintes.

Verificação de vulnerabilidade

Interrogação de hosts de consistência para status de vulnerabilidade, geralmente com foco no nível de patch de cada sistema e conformidade de segurança, normalmente por meio de ferramentas distribuídas automatizadas. Assim como acontece com o mapeamento de rede, isso permite que o Security Operations Center entenda melhor o que deve defender. O Security Operations Center pode fornecer esses dados de volta aos membros do grupo constituinte – talvez em forma de relatório ou resumo. Esta função é realizada regularmente e não faz parte de uma avaliação ou exercício específico

Avaliação de vulnerabilidade

Avaliação de total conhecimento e segurança aberta de um site, enclave ou sistema constituinte, também conhecido como “Blue Teaming”. Os membros do SOC trabalham com proprietários de sistemas e administradores de sistemas para examinar holisticamente a arquitetura de segurança e as vulnerabilidades de seus sistemas, por meio de varreduras, examinando a configuração do sistema, revisando a documentação de design do sistema e entrevistas.

Esta atividade pode alavancar ferramentas de varredura de rede e vulnerabilidade, além de tecnologias mais invasivas usadas para interrogar sistemas para configuração e status. A partir desse exame, os membros da equipe produzem um relatório de suas descobertas, junto com a correção recomendada. Os SOCs aproveitam as avaliações de vulnerabilidade como uma oportunidade para expandir a cobertura de monitoramento e o conhecimento de seus analistas sobre o constituinte

Teste de Penetração

Avaliação sem conhecimento ou conhecimento limitado de uma área específica do grupo constituinte, também conhecida como “Equipe Vermelha”. Os membros do SOC conduzem um ataque simulado contra um segmento do constituinte para avaliar a resiliência do alvo a um ataque real.

Essas operações geralmente são conduzidas apenas com o conhecimento e autorização dos executivos de mais alto nível dentro da consistência e sem aviso prévio dos proprietários do sistema. As ferramentas usadas na verdade executam ataques por vários meios: estouro de buffer, injeção de Structured Query Language (SQL) e difusão de entrada. As equipes vermelhas geralmente limitarão seus objetivos e recursos para modelar os de um ator específico, talvez simulando a campanha de um adversário que pode começar com um ataque de phishing.

Terminada a operação, a equipe produzirá um relatório com suas constatações, da mesma forma que uma avaliação de vulnerabilidade. No entanto, como as atividades de teste de penetração têm um conjunto restrito de objetivos, elas não cobrem tantos aspectos da configuração do sistema e das melhores práticas quanto uma avaliação de vulnerabilidade faria.

Em alguns casos, o pessoal do Security Operations Center apenas coordenará as atividades do Red-Teaming, com um terceiro designado realizando a maior parte dos testes reais para garantir que os testadores não tenham conhecimento prévio dos sistemas constituintes ou vulnerabilidades.

Divulgação

Avaliação do Produto

Testar os recursos de segurança de produtos pontuais sendo adquiridos por membros constituintes. Análogo às avaliações de vulnerabilidade em miniatura de um ou alguns hosts, esse teste permite uma análise aprofundada dos pontos fortes e fracos de um produto específico de uma perspectiva de segurança. Isso pode envolver testes “internos” de produtos, em vez de avaliação remota de sistemas de produção ou pré-produção.

Consultoria de Segurança

Fornecimento de consultoria sobre segurança cibernética a constituintes fora do escopo do CND; apoiar o novo design de sistema, continuidade de negócios e planejamento de recuperação de desastres; política de segurança cibernética; guias de configuração segura; e outros esforços.

Treinamento e Conscientização

Alcance proativo para os constituintes apoiando o treinamento geral do usuário, boletins e outros materiais educacionais que os ajudem a entender várias questões de segurança cibernética. Os principais objetivos são ajudar os constituintes a se protegerem de ameaças comuns, como esquemas de phishing / pharming, sistemas finais mais seguros, aumentar a conscientização sobre os serviços do SOC e ajudar os constituintes a relatar incidentes corretamente

Consciência situacional

Reembalagem regular e repetível e redistribuição do conhecimento do SOC dos ativos, redes, ameaças, incidentes e vulnerabilidades dos constituintes. Essa capacidade vai além da distribuição de informações cibernéticas, aprimorando a compreensão dos constituintes sobre a postura de segurança cibernética do grupo constituinte e de partes dele, conduzindo à tomada de decisões eficazes em todos os níveis. Essas informações podem ser fornecidas automaticamente por meio de um site SOC, portal da Web ou lista de distribuição de e-mail.

Redistribuição de TTPs

Compartilhamento sustentado de produtos internos do Security Operations Center para outros consumidores, como SOCs de parceiros ou subordinados, em um formato mais formal, polido ou estruturado. Isso pode incluir quase tudo que o SOC desenvolve por conta própria (por exemplo, ferramentas, informações cibernéticas, assinaturas, relatórios de incidentes e outros observáveis ​​brutos). O princípio de quid pro quo geralmente se aplica: o fluxo de informações entre SOCs é bidirecional.

Relações com a mídia

Comunicação direta com a mídia. O SOC é responsável por divulgar informações sem afetar a reputação do constituinte ou das atividades de resposta em andamento.

Resumo

Conforme você enfrenta o desafio de construir um centro de operações de segurança ( SOC), sua capacidade de antecipar obstáculos comuns facilitará a inicialização, a construção e a maturação suaves com o tempo. Embora cada organização seja única em sua postura atual de segurança, tolerância a riscos, experiência e orçamento, todas compartilham os objetivos de tentar minimizar e fortalecer sua superfície de ataque e detectar, priorizar e investigar incidentes de segurança rapidamente quando eles ocorrem.

FONTE: GB HACKERS