0
0
Enquanto o mundo assiste ao desenrolar do conflito com a Rússia, os defensores da segurança cibernética estão trabalhando horas extras. Os defensores estão sendo solicitados pelas principais partes interessadas, conselhos e até pela CISA por transparência sobre como sua organização está se saindo contra ataques cibernéticos.
Sucesso das equipes de SecOps
SOCs sob tensão
As equipes de operações de segurança (SecOps) passam seus dias procurando vulnerabilidades conhecidas e observando novas ameaças. Combine essas tarefas diárias com as mudanças recebidas nas regulamentações e regras de conformidade, e as prioridades para SecOps estarão competindo ao ponto de quebrar.
Liderar uma equipe que prioriza efetivamente as ameaças cibernéticas para evitar perdas significa que a equipe precisa entender os pontos de exposição que existem em todas as superfícies de ataque. Para determinar o que e onde defender primeiro, eles também precisam ter visibilidade de onde os ativos críticos estão localizados e mantidos. Especialmente para grandes organizações com requisitos de segurança de TI e OT, a priorização de ameaças começa com um sólido entendimento das operações internas de negócios e das plataformas e sistemas físicos e digitais implantados para dar suporte a essas operações. Uma vez compilado, o SecOps pode começar a avaliar as lacunas de segurança e os riscos para essas operações e combinar isso com seu conhecimento dos adversários que visam sua empresa ou setor.
A interseção desses dois pontos permite que os defensores cibernéticos determinem quais ameaças são de maior prioridade e quão bem elas podem mitigar ou detectar uma determinada ação maliciosa. Com ameaças potenciais identificadas, eles podem operar e priorizar por meio de uma matriz de ameaças, como MITRE ATT&CK ou outras estruturas de cadeia de eliminação, para eliminar essas vulnerabilidades. A base da matriz permite que os líderes de segurança estabeleçam medidas de sucesso para seu programa de defesa cibernética e relatem às principais partes interessadas organizacionais.
Operacionalizando a segurança cibernética por meio de frameworks
Alcançar o sucesso nesta educação começa com a compreensão das prioridades das principais partes interessadas em relação ao negócio e sua segurança. Ao adotar uma estrutura de ameaças e riscos à segurança alinhada a essas prioridades, as organizações podem priorizar e mostrar com eficácia a cobertura ou as lacunas em sua postura de segurança.
Embora isso historicamente não seja uma tarefa fácil, a operacionalização da segurança cibernética por meio de estruturas permite que as organizações rastreiem efetivamente sua postura à medida que novas ameaças surgem e mostrem melhorias em relação aos principais KPIs que as partes interessadas precisam avaliar.
O maior desafio que a maioria das organizações enfrenta ao operacionalizar essas estruturas é o fato de que os dados/informações de que precisam estão isolados em vários sistemas de dados e ferramentas de segurança cibernética.
Os dados de segurança vivem em vários lugares, com organizações usando uma variedade de sistemas de registro de dados, como Splunk, Snowflake ou outros data lakes, como base para busca e pesquisa de ameaças. O centro de operações de segurança (SOC) será colocado em plataformas para gerenciamento de informações e eventos de segurança (SIEM), detecção e resposta estendidas (XDR) e outras ferramentas sobre esses data lakes para ajudar a analisar dados e correlacionar eventos (por exemplo, Crowdstrike Falcon Data Replicator ou sistemas de segurança de e-mail, como Proofpoint ou Tessian).
Os analistas de segurança podem passar horas exportando dados desses sistemas, rotulando e normalizando as informações e ingerindo esses dados em seus SIEMs e SOARs antes que possam começar a detectar, caçar, fazer a triagem e responder a ameaças.
Mas estão sendo desenvolvidas ferramentas de última geração que abordam exatamente esse problema com automação e aprendizado de máquina. As organizações agora têm uma maneira melhor de integrar e ingerir alertas de suas pilhas de dados e têm uma única fonte de verdade a partir da qual podem executar correlações avançadas, detecções mais precisas e manter uma visão completa de sua cobertura e cenário de ameaças. As plataformas SOC modernas permitem que os analistas de segurança consultem dados automaticamente onde estão, seja na nuvem ou no local, ingerem e integrem alertas de sua pilha de tecnologia de segurança para correlacionar rapidamente informações relevantes em detecções precisas.
Conclusão
A importância da visibilidade total da cobertura e da compreensão do que realmente está acontecendo nos ambientes é fundamental para o sucesso das equipes de SecOps. As equipes de SOC mais eficazes estão fortemente envolvidas na comunidade de segurança e estão avaliando sua postura de segurança de uma perspectiva de detecção e prevenção em tempo real. As equipes de SecOps que extraem informações de segurança de uma variedade de pesquisadores e fontes confiáveis para orientar sua própria postura de segurança e as compartilham com a comunidade são essenciais para o sucesso combinado da comunidade.
É difícil conseguir que o nível C, a diretoria e outros se alinhem se estiverem questionando se você tem um processo claro e contínuo para monitorar a segurança nos sistemas dos quais a organização depende. Ao alavancar uma abordagem moderna para operações de segurança e focar na cobertura de detecção e automatizar tarefas de detecção manual, as organizações líderes podem oferecer melhores resultados de segurança e as equipes de SOC podem parar de se afogar em um mar de alertas.
FONTE: HELPNET SECURITY