No capítulo anterior,vimos a importância de ter uma equipe de centro de operações de segurança (SOC). Neste artigo, vamos analisar as diversas ferramentas e tecnologias utilizadas nos SOCs.
Ferramentas
Para realizar qualquer análise de segurança, você primeiramente precisa obter as informações relevantes. Os logs são a melhor fonte de informação sobre diversas atividades que ocorrem na sua rede. No entanto, milhões de logs são gerados por muitos dispositivos na rede diariamente. Filtrá-los manualmente é algo ineficaz ou totalmente impossível. A ferramenta de gerenciamento de logs pode automatizar todo o processo de coleta e análise de logs. Ela geralmente está incluída em uma solução de SIEM..
Uma das tecnologias mais fundamentais que formam a base de um SOC é uma ferramenta de SIEM. Os logs coletados na rede da organização fornecem uma riqueza de informações que devem ser analisadas em busca de comportamentos anormais. Uma plataforma SIEM agrega dados de logs de fontes heterogêneas, examina-os para detectar possíveis padrões de ataque e emite um alerta rapidamente caso uma ameaça for encontrada.
As informações relacionadas à segurança são apresentadas na forma de relatórios gráficos em um painel interativo para a equipe do SOC. Usando esses relatórios, ela pode investigar ameaças e padrões de ataque rapidamente e obter vários insights de tendências de logs, tudo isso em um único console. Quando um incidente de segurança ocorre, a equipe do SOC também pode usar a ferramenta de SIEM para identificar a causa-raiz da violação utilizando a análise forense de logs. Ela pode detalhar os dados de logs para investigar qualquer incidente de segurança mais detalhadamente.
Uma solução de SIEM fornece uma visão holística da sua rede corporativa.
Os criminosos cibernéticos visam e exploram principalmente vulnerabilidades que já possam estar presentes na sua rede para se infiltrar nos seus sistemas. Portanto, a equipe do SOC deve verificar e monitorar a rede da organização periodicamente em busca de quaisquer vulnerabilidades. Após a descoberta, ela precisa resolver a vulnerabilidade rapidamente antes que possa ser explorada.
A tecnologia de EDR geralmente refere-se a ferramentas focadas principalmente na investigação de ameaças direcionadas a endpoints ou hosts. Elas ajudam a equipe do SOC agindo como uma defesa de linha de frente contra ameaças projetadas para escapar facilmente das defesas perimetrais.
As ferramentas de EDR monitoram vários endpoints continuamente, coletam dados desses dispositivos e analisam as informações em busca de atividades suspeitas e padrões de ataque. Caso uma ameaça for identificada, a ferramenta de EDR vai contê-la e alertar a equipe de segurança imediatamente. As ferramentas de EDR também podem ser integradas à inteligência de ameaças cibernéticas, caça a ameaças, e análise comportamental para detectar atividades maliciosas com mais rapidez.
Outra ferramenta inestimável para uma equipe do SOC é uma solução UEBA. As ferramentas de UEBA utilizam técnicas de machine learning para processar dados coletados de vários dispositivos de rede e desenvolver uma linha de base do comportamento normal para cada usuário e entidade na rede. Com mais dados e experiência, as soluções UEBA tornam-se mais eficazes.
As ferramentas de UEBA analisam logs provenientes de vários dispositivos de rede diariamente. Caso algum evento se desviar da linha de base, ele será sinalizado como uma anomalia e analisado posteriormente em busca de ameaças potenciais. Por exemplo, se um usuário que normalmente efetua o login entre 9:00 e 18:00 repentinamente realiza-o às 3:00, esse evento é marcado como uma anomalia.
Uma pontuação de risco de 0 a 100 é atribuída ao usuário ou entidade com base em diversos fatores, como a intensidade da ação e frequência do desvio. Se a pontuação de risco for alta, a equipe do SOC poderá investigar a anomalia e tomar medidas corretivas rapidamente.
Com os ataques à segurança cibernética tornando-se cada vez mais sofisticados, como as equipes de SOC podem permanecer um passo à frente? Os criminosos cibernéticos podem ficar à espreita na rede da organização, coletando dados continuamente e aumentando privilégios sem serem descobertos por semanas. Os métodos convencionais de detecção são reativos. Por outro lado, a caça a ameaças, é uma estratégia proativa. Ela é útil na detecção de ameaças que muitas vezes passam despercebidas pelas ferramentas de segurança convencionais.
O processo começa com uma hipótese seguida de uma investigação. Os caçadores de ameaças pesquisam a rede proativamente em busca de quaisquer ameaças ocultas para evitar ataques potenciais. Caso alguma ameaça for detectada, eles coletam informações sobre ela e as repassam às equipes envolvidas para que as ações apropriadas possam ser tomadas imediatamente.
Para permanecer à frente dos ataques cibernéticos mais recentes, a equipe do SOC deve estar totalmente ciente de todos os tipos de possíveis ameaças à organização. A inteligência sobre ameaças é o conhecimento baseado em evidências de ameaças que ocorreram ou ocorrerão, compartilhado por diferentes organizações. Com a inteligência de ameaças, a equipe do SOC pode obter informações valiosas sobre diversas ameaças maliciosas e agentes de ameaças, seus objetivos, sinais a serem observados e como mitigá-las.
Os feeds de inteligência de ameaças podem ser utilizados para obter informações sobre indicadores comuns de comprometimento, como IPs, URLs, nomes de domínio e endereços de e-mail não autorizados. Com novos tipos de ataques surgindo diariamente, os feeds de ameaças são atualizados constantemente. Ao correlacionar esses feeds de ameaças com dados de logs, a equipe do SOC pode ser alertada imediatamente quando qualquer agente de ameaça interagir com a rede.
Zoho Corporation Pvt. Ltd. All rights reserved.