Como criar um SOC de próxima geração

Por: Redação, ⌚ 11/10/2019 às 15h43 - Atualizado em 11/10/2019 às 16h17

Para as organizações que administram SOCs (Security Operations Center – Centros de Segurança Operacional) há vários anos, a pergunta é: como você pode obter maior valor agregado e melhorar o retorno do investimento?

 

Na medida em que as ameaças cibernéticas crescem, os SOCs estão cada vez mais famintos por recursos. Encontrar analistas de segurança altamente treinados é complicado devido à falta de pessoal qualificado. Enquanto isso, os atacantes estão ficando cada vez mais sofisticados. Para as organizações, isso significa recorrer à automação para melhorar o desempenho de seus SOCs.

 

Comece a jornada de automação

Nos SOCs tradicionais, os analistas passam muito tempo lidando com ameaças conhecidas e pouco tempo procurando novas ameaças e combatendo ataques direcionados. Com alguma automação inteligente para cuidar das tarefas repetitivas, os analistas do SOC terão tempo para trabalhar no aspecto mais produtivo da segurança cibernética.

 

Existem três níveis de ameaças que os SOCs geralmente abordam. As mais fáceis são as ameaças conhecidas, como malwares, worms e vírus, que podem estar ativos há anos. Isso geralmente é tratado com facilidade pelo SOC, pois há muitos patches testados e aprovados para cuidar da defesa.

 

Em seguida, vêm os malwares um pouco mais desafiadores e os ataques zero day, que estão se tornando mais frequentes. O SOC pode resolvê-los sem muita dificuldade, desde que siga as diretrizes das melhores práticas.

 

No outro espectro estão as ameaças mais sofisticadas. São ataques direcionados onde um determinado grupo criminoso (ou mesmo um país) está preparado para coordenar pacientemente um ataque à uma organização por várias semanas (ou meses).

Esses ataques direcionados são, justamente, onde a maior parte do foco do SOC precisa estar. Porém, na configuração tradicional, os analistas de segurança não conseguem diferenciar esses tipos diferentes de ataques. Eles tendem a gastar muito tempo lidando com o primeiro nível e gastando tempo insuficiente com o terceiro.

 

Os analistas do SOC lidam com as ameaças seguindo os processos estabelecidos em um manual de instruções que lhes informa sobre as etapas a serem tomadas para neutralizar um ataque. Isso pode ser bastante “mecânico”. Eles seguem os mesmos quatro ou cinco passos sem diferenciar entre os ataques não sofisticados e os graves.

 

Um ataque direcionado geralmente ocorre em vários estágios. Pode começar com spear phishing – enviando e-mails de um endereço conhecido para induzir um usuário a clicar em um link e baixar malwares. Esses e-mails são usados ​​para obter acesso à uma rede – para fazer o reconhecimento inicial antes que ocorra um ataque sustentado. Um analista de SOC normalmente segue as mesmas regras do manual para lidar com isso, como ocorre com ataques menos sofisticados. Eles precisam automatizar as coisas fáceis e gastar mais tempo nas tarefas desafiadoras.

 

Em caso de dúvida, leia o manual

Uma razão pela qual os SOCs lutam para diferenciar diferentes tipos de ataque é devido à dificuldade no processamento de grandes volumes de inteligência de ameaças a partir de recursos de prevenção automatizados, como firewalls e programas de proteção de terminais.

 

Às vezes, as organizações desativam esses recursos, pois eles podem diminuir a velocidade de suas redes. Mas isso pode, por outro lado, deixá-los expostos a ameaças.

 

Cada programa interfere no bom funcionamento da rede. Se todos os programas estiverem sendo executados ao mesmo tempo, isso pode reduzir a velocidade das operações. Desligá-los acelera a rede. Mas quando esses programas de prevenção estão em funcionamento, ocorre uma dor de cabeça ainda maior. Eles produzem “levas” de dados de ameaças da rede que precisam ser analisados ​​manualmente. Os SOCs podem rapidamente ficar sobrecarregados com o grande volume de alertas que processam.

 

A reação instintiva da maioria das empresas é continuar adicionando mais analistas ao SOC para lidar com o crescente número de alertas. No entanto, uma maneira mais eficaz de lidar com essa sobrecarga de dados é integrar todos esses programas de prevenção para que eles alimentem os dados em um painel central. Isso classificará centralmente as ameaças naquelas que são facilmente tratadas – e podem ser neutralizadas por sistemas automatizados – e aquelas que precisam de intervenção humana.

 

Você pode estar se perguntando sobre a melhor maneira de automatizar as ameaças de baixo nível. Isso pode ser realizado seguindo os processos descritos no manual do SOC. Por exemplo, se uma ameaça cibernética for descoberta visando um banco, um fornecedor de segurança normalmente enviará um aviso de alerta a bancos de tamanho semelhante. Ao receber o alerta, seus analistas do SOC pesquisam em sua rede para encontrar arquivos com características semelhantes à ameaça. Se eles encontrarem um, resolverão – provavelmente com um patch.

 

Libere seus analistas de SOC

Com um SOC de próxima geração, a inteligência de ameaças é automatizada. Um fornecedor que descobre uma possível ameaça envia as informações ao SOC da empresa cliente. O SOC de próxima geração verifica automaticamente a rede de computadores da empresa para ver se o arquivo incorreto entrou no sistema. Se ele identifica uma infecção com o arquivo, retira esse dispositivo da rede, notifica o analista do SOC e abre um ticket para lidar com essa ameaça. Tudo isso deve acontecer alguns segundos após a descoberta da ameaça – em vez das horas que um SOC tradicional leva para conseguir isso.

 

A automação de playbooks é direta – e essencial para criar um SOC de próxima geração. Ela permite que as máquinas assumam trabalhos manuais dispendiosos. O analista SOC da próxima geração deve ser liberado do trabalho de baixo nível para se concentrar no monitoramento de ameaças antes que elas surjam, na identificação e no tratamento de ataques direcionados.

 

Se você acha que o custo de execução do SOC está aumentando sem um aumento correspondente à proteção de segurança, pergunte ao seu CISO como o SOC pode ser automatizado para aumentar sua eficácia. Ofereça seu apoio na criação de um SOC de última geração que leve a automação e a proteção cibernética para o próximo nível e, então, você realmente obterá o valor do seu dinheiro para sua organização.

 

Como isso é algo importante, aqui está um passo-a-passo para criar um SOC de próxima geração:

 

  1. Automatize as tarefas mundanas e repetitivas de neutralizar ameaças de baixo nível;
  2. Integre dados de sistemas de prevenção, como firewalls e softwares de proteção de terminais, para fornecer ao SOC uma visão geral dos dados de ameaças;
  3. Automatize as etapas fáceis no manual do SOC;
  4. Por meio da automação, libere analistas de segurança para se concentrarem nas tarefas vitais de caçar ameaças e lidar com ataques direcionados.

 

Por Marcos Oliveira, Country Manager da Palo Alto Networks Brasil

 



Newsletter

Rangel Rodrigues
Rangel Rodrigues
Rangel Rodrigues
Alex Amorim

/ VEJA TAMBÉM



/ COMENTÁRIOS