O que é um Centro de Operações de Segurança (SOC)?
Optimizar um modelo de operações de segurança
Enquanto que lidar com incidentes monopoliza grande parte dos recursos do SOC, o principal responsável pela segurança da informação (CISO) é responsável por um quadro mais amplo de risco e conformidade. Para fazer a ponte entre os silos operacionais e de dados através destas funções, uma estratégia eficaz requer uma arquitectura de segurança adaptável que permita às organizações decretar operações de segurança optimizadas. Esta abordagem aumenta a eficiência através da integração, automatização e orquestração, e reduz a quantidade de horas de trabalho necessárias enquanto melhora a sua postura de gestão da segurança da informação.
Um modelo optimizado de operações de segurança requer a adopção de uma estrutura de segurança que facilite a integração de soluções de segurança e inteligência de ameaças nos processos do dia-a-dia. Ferramentas SOC como painéis de controlo centralizados e accionáveis ajudam a integrar dados de ameaças em painéis de controlo e relatórios de monitorização de segurança para manter as operações e a gestão a par da evolução de eventos e actividades. Ao ligar a gestão de ameaças a outros sistemas de gestão de risco e conformidade, as equipas SOC podem gerir melhor a postura de risco global. Tais configurações apoiam a visibilidade contínua entre sistemas e domínios e podem utilizar inteligência accionável para conduzir uma melhor precisão e consistência nas operações de segurança. As funções centralizadas reduzem o peso da partilha manual de dados, auditoria e relatórios ao longo de todo o processo.
A operacionalização da gestão de ameaças deve começar com uma avaliação atenta. Para além das defesas, uma organização deve avaliar processos e políticas. Onde é que a organização é forte? Quais são as lacunas? Qual é a postura de risco? Que dados são recolhidos, e quantos desses dados são utilizados?
Embora cada organização seja diferente, certas capacidades essenciais e as melhores práticas de operações de segurança representam hoje em dia o devido cuidado. Um processo razoável de gestão de ameaças começa com um plano, e inclui a descoberta (incluindo cálculo de base para promover a detecção de anomalias, normalização e correlação), triagem (com base no risco e no valor do activo), análise (incluindo contextualização), e delimitação de âmbito (incluindo investigação iterativa). Os processos de gestão de ameaças alimentam casos prioritizados e caracterizados em programas de resposta a incidentes. Um plano de resposta bem definido é absolutamente fundamental para conter uma ameaça ou minimizar os danos de uma violação de dados.
Figure 1. Os planos de gestão de ameaças integram e estruturam muitos processos através de operações de segurança e TI.
Visibilidade eficaz e gestão de ameaças recorrerão a muitas fontes de dados, mas pode ser difícil ordenar a informação útil e oportuna. Os dados mais valiosos provaram ser dados de eventos produzidos por contramedidas e activos de TI, indicadores de compromisso (IoCs) produzidos internamente (através de análise de malware) e externamente (através de feeds de inteligência de ameaças), e dados de sistema disponíveis a partir de sensores (por exemplo, anfitrião, rede, base de dados, etc.).
Fontes de dados como estas não são apenas um input para a gestão de ameaças. Acrescentam contexto e tornam a informação valiosa e accionável para uma avaliação mais precisa, precisa e rápida durante todo o esforço iterativo e interactivo de gestão de ameaças. O acesso e a utilização eficaz dos dados correctos para apoiar planos e procedimentos é uma medida de maturidade organizacional. Um cenário “maduro” incluiria um fluxo de trabalho que retira a informação certa ou permite uma acção directa dentro de consolas operacionais e entre produtos. Este fluxo integra operações de TI e equipas e ferramentas de segurança em resposta a incidentes quando há um evento crítico.
Todas estas avaliações ajudarão a dar prioridade onde é necessário um aumento do investimento ou redução do atrito para que a implementação da gestão de ameaças corresponda aos objectivos. Consultores e testes de penetração podem ajudar a aferir a estratégia e maturidade organizacional e a verificar a resposta de segurança contra ataques para obter uma medida actual da capacidade de uma organização para detectar e conter eventos maliciosos. Ao comparar com empresas homólogas, esta análise pode ajudar a justificar e explicar a necessidade de redireccionar ou investir em recursos de operações de ciber-segurança.