O centro de operações de segurança cibernética (CSOC) de hoje deve ter tudo o que precisa para montar uma defesa competente da empresa de tecnologia da informação (TI) em constante mudança.
Isso inclui uma vasta gama de tecnologias sofisticadas de detecção e prevenção, um mar virtual de relatórios de inteligência cibernética e acesso a uma força de trabalho em rápida expansão de talentosos profissionais de TI. No entanto, a maioria dos CSOCs continua aquém de manter o adversário - mesmo o não sofisticado - fora da empresa.
Garantir a confidencialidade, a integridade e a disponibilidade da empresa moderna de tecnologia da informação (TI) é um grande trabalho.
Ele incorpora muitas tarefas, desde engenharia robusta de sistemas e gerenciamento de configurações (CM) a políticas efetivas de segurança cibernética ou garantia de informações (IA) e treinamento abrangente da força de trabalho.
Também deve incluir operações de segurança cibernética, nas quais um grupo de pessoas é encarregado de monitorar e defender a empresa contra todas as medidas de ataque cibernético.
O que é um SOC?
Um SOC é uma equipe composta principalmente por analistas de segurança organizados para detectar, analisar, responder, relatar e prevenir incidentes de segurança cibernética.
A prática de defesa contra atividades não autorizadas nas redes de computadores, incluindo monitoramento, detecção, análise (como análise de tendências e padrões) e atividades de resposta e restauração.
Existem muitos termos que foram usados para fazer referência a uma equipe de especialistas em segurança cibernética reunida para executar o CND.
Eles incluem: ??
- Equipe de resposta a incidentes de segurança de computadores (CSIRT)?
- Equipe de resposta a incidentes de computador (CIRT)?
- Centro de Resposta a Incidentes de Computador (ou Capacidade) (CIRC)?
- Centro de resposta a incidentes de segurança de computadores (ou capacidade) (CSIRC)?
- SOC (Centro de Operações de Segurança)?
- Centro de Operações de Segurança Cibernética (CSOC)
- ?? Equipe de resposta a emergências de computadores (CERT)
Para que uma organização seja considerada um SOC, deve:
- 1. Fornecer meios para que os constituintes reportem incidentes suspeitos de segurança cibernética
- 2. Prestar assistência ao tratamento de incidentes aos constituintes
- 3. Divulgar informações relacionadas a incidentes aos constituintes e partes externas.
Missão e Operações
Os SOCs podem variar de pequenas operações para cinco pessoas a grandes centros nacionais de coordenação. Uma declaração de missão típica do SOC de médio porte normalmente inclui os seguintes elementos:
1. Prevenção de incidentes de segurança cibernética por meio de ações proativas:
- uma. Análise contínua de ameaças
- b. Verificação de rede e host em busca de vulnerabilidades
- c. Coordenação de implantação de contramedidas
- d. Consultoria em arquitetura e política de segurança.
2. Monitoramento, detecção e análise de possíveis invasões em tempo real e através de tendências históricas em fontes de dados relevantes para a segurança
3. Resposta a incidentes confirmados, coordenando recursos e direcionando o uso de contramedidas oportunas e apropriadas
4. Fornecer conscientização situacional e relatórios sobre status, incidentes e tendências de segurança cibernética às organizações apropriadas
5. Engenharia e operação de tecnologias CND, como IDSs e sistemas de coleta / análise de dados.
Dessas responsabilidades, talvez as mais demoradas sejam o consumo e a análise de grandes quantidades de dados relevantes para a segurança. Entre os muitos feeds de dados relevantes para a segurança que um Centro de Operações de Segurança provavelmente ingere, os mais importantes são os IDSs.
Os IDSs são sistemas colocados no host ou na rede para detectar atividades potencialmente maliciosas ou indesejadas que merecem mais atenção pelo analista do SOC. Combinado com logs de auditoria de segurança e outros feeds de dados, um SOC típico coletará, analisará e armazenará dezenas ou centenas de milhões de eventos de segurança todos os dias.
De acordo com um evento, “Qualquer ocorrência observável em um sistema e / ou rede. Os eventos às vezes fornecem uma indicação de que um incidente está ocorrendo ”(por exemplo, um alerta gerado por um IDS ou um serviço de auditoria de segurança). Um evento nada mais é do que dados brutos.
É necessária uma análise humana - o processo de avaliar o significado de uma coleção de dados relevantes para a segurança, geralmente com a ajuda de ferramentas especializadas - para determinar se ações adicionais são necessárias.
Nível:
- Nível 1
- Nível 2
- Nível 3
- Gerente Soc
Nível 1: Analista de Alerta
Deveres
Monitora continuamente a fila de alertas; triagem de alertas de segurança; monitora a integridade dos sensores e pontos de extremidade de segurança; coleta dados e contexto necessários para iniciar o trabalho de nível 2.
Treinamento Necessário
Procedimentos de triagem de alerta; detecção de intruso; rede, informações de segurança e gerenciamento de eventos (SIEM) e treinamento investigativo baseado em host; e outro treinamento específico para ferramentas. As certificações podem incluir o SANS SEC401 : Security Essentials Bootcamp Style.
Camada 2: Respondente a Incidentes
Deveres
Executa análise de incidentes detalhados, correlacionando dados de várias fontes; determina se um sistema ou conjunto de dados críticos foi impactado; assessora em remediação; fornece suporte para novos métodos analíticos para detectar ameaças.
Treinamento Necessário
Análise forense de rede avançada, análise forense baseada em host, procedimentos de resposta a incidentes, revisões de logs, avaliação básica de malware, análise forense de rede e inteligência de ameaças. As certificações podem incluir o SANS SEC501: Advanced Security Essentials - Enterprise Defender; SANS SEC503: Detecção de intrusão em profundidade; SANS SEC504: Ferramentas, técnicas, explorações e manipulação de incidentes.
Especialista em Matéria de Camada 3 / Caçador
Deveres
Possui conhecimento profundo de engenharia reversa de rede, endpoint, inteligência de ameaças, engenharia forense e de malware, bem como o funcionamento de aplicativos específicos ou infraestrutura de TI subjacente; age como um “caçador” de incidentes, sem esperar por incidentes escalados; intimamente envolvido no desenvolvimento, ajuste e implementação da análise de detecção de ameaças.
Treinamento Necessário
Treinamento avançado em detecção de anomalias; treinamento específico para ferramentas para agregação e análise de dados e inteligência de ameaças. As certificações podem incluir o SANS SEC503: Detecção de intrusões em profundidade; SANS SEC504: Ferramentas, técnicas, explorações e manipulação de incidentes; SANS SEC561: Desenvolvimento intenso de habilidades de teste prático com caneta; SANS FOR610: Malware de engenharia reversa: ferramentas e técnicas de análise de malware.
Gerente de SOC
Deveres
Gerencia recursos para incluir pessoal, orçamento, agendamento de turnos e estratégia de tecnologia para atender aos SLAs; comunica-se com a gerência; serve como pessoa de ponto organizacional para incidentes críticos para os negócios; fornece orientação geral para o SOC e insere a estratégia geral de segurança
Treinamento Necessário
Gerenciamento de projetos, treinamento em gerenciamento de respostas a incidentes, habilidades gerais de gerenciamento de pessoas. As certificações incluem CISSP, CISA, CISM ou CGEIT.
O SOC normalmente utilizará recursos internos e externos em resposta e recuperação do incidente. É importante reconhecer que um SOC nem sempre pode implantar contramedidas ao primeiro sinal de uma invasão. Existem três razões para isso:
- 1. O SOC quer ter certeza de que não está bloqueando atividades benignas.
- 2. Uma ação de resposta pode afetar os serviços de missão de um grupo constituinte mais do que o próprio incidente.
- 3. Compreender a extensão e a gravidade da invasão observando o adversário às vezes é mais eficaz do que realizar análises forenses estáticas em sistemas comprometidos, uma vez que o adversário não está mais presente.
Para determinar a natureza do ataque, o SOC geralmente deve executar análises forenses avançadas em artefatos, como imagens de disco rígido ou captura de pacotes de sessão completa (PCAP) ou engenharia reversa de malware em amostras de malware coletadas em apoio a um incidente. Às vezes, as evidências forenses devem ser coletadas e analisadas de maneira legal. Nesses casos, o SOC deve observar maior rigor e repetibilidade em seus procedimentos do que seria necessário.
Construindo um Centro de Operações de Segurança
Além dos analistas do SOC, um centro de operações de segurança exige um diretor de ringue para suas diversas partes móveis.
O gerente do SOC geralmente combate incêndios, dentro e fora do SOC. O gerente do SOC é responsável por priorizar o trabalho e organizar os recursos com o objetivo final de detectar, investigar e mitigar incidentes que possam impactar os negócios.
O gerente do SOC deve desenvolver um modelo de fluxo de trabalho e implementar procedimentos operacionais padronizados (POPs) para o processo de tratamento de incidentes que orienta os analistas nos procedimentos de triagem e resposta.
Processos
A definição de processos repetitivos de triagem e investigação de incidentes padroniza as ações que um analista do SOC executa e garante que nenhuma tarefa importante caia nas falhas.
Ao criar um fluxo de trabalho repetitivo de gerenciamento de incidentes, são definidas as responsabilidades e ações dos membros da equipe, desde a criação de um alerta e uma avaliação inicial de Nível 1 até a escalação para o pessoal de Nível 2 ou Nível 3.
Com base no fluxo de trabalho, os recursos podem ser efetivamente alocados.
Um dos modelos de processos de resposta a incidentes mais frequentemente usados é o modelo DOE / CIAC, que consiste em seis etapas: preparação, identificação, contenção, erradicação, recuperação e lições aprendidas.
Tecnologia
Uma solução corporativa de coleta, agregação, detecção, análise e análise de dados é a tecnologia principal de um SOC de sucesso.
Um sistema eficaz de monitoramento de segurança incorpora dados coletados a partir do monitoramento contínuo de terminais (PCs, laptops, dispositivos móveis e servidores) , além de redes e fontes de log e eventos .
Com o benefício de dados de rede, log e pontos de extremidade coletados antes e durante o incidente, os analistas do SOC podem imediatamente usar o sistema de monitoramento de segurança como uma ferramenta de detetive para usá-lo como uma ferramenta de investigação, analisando atividades suspeitas que compõem o presente incidente e até mesmo como uma ferramenta para gerenciar a resposta a um incidente ou violação.
A compatibilidade de tecnologias é imperativa e os silos de dados são ruins - principalmente se uma organização tiver uma solução de monitoramento de segurança existente (SIEM, terminal, rede ou outra) e desejar incorporar os relatórios dessa ferramenta na solução de gerenciamento de incidentes.
Adicionando contexto a incidentes de segurança
A incorporação de informações sobre inteligência de ameaças, ativos, identidade e outras informações de contexto é outra maneira pela qual uma solução eficaz de monitoramento de segurança corporativa pode auxiliar o processo investigativo do analista do SOC.
Freqüentemente, um alerta é associado à atividade baseada na rede ou no host e, inicialmente, pode conter apenas o endereço IP do terminal suspeito. Para fluxos de rede Eventos de segurança de tráfego na rede Identidade / contexto de ativo Endpoint Logs do sistema de dados Ameaça Intel Feeds SISTEMA DE MONITORIZAÇÃO DE SEGURANÇA.
Agregação de dados de detecção de auxílio de tecnologias compatíveis para melhor visibilidade da manipulação de incidentes. Ao centralizar essas várias fontes de dados em um sistema de monitoramento de segurança, o SOC obtém informações acionáveis sobre possíveis anomalias indicativas de atividade de ameaças. Açao. Com base nas descobertas, intervenções automáticas e manuais podem ser feitas para incluir aplicação de patches, modificação de firewall, quarentena ou nova imagem do sistema e revogação de credenciais. Análise.
Os analistas de operações de segurança podem analisar dados de várias fontes e ainda interrogar e fazer a triagem de dispositivos de interesse para identificar um incidente.
Como um roteiro para o analista do SOC para investigar o sistema em questão, o analista geralmente precisa de outras informações, como o proprietário e o nome do host da máquina ou os registros fornecidos pelo DHCP para mapear as informações de IP e host no momento do alerta.
Se o sistema de monitoramento de segurança incorpora informações de ativos e identidades, oferece uma enorme vantagem em termos de tempo e esforço do analista, sem mencionar os principais fatores que o analista pode usar para priorizar o incidente de segurança - em geral, os ativos de negócios de maior valor devem ser priorizados em relação aos mais baixos. ativos de valor.
Definindo Normal através da linha de base
A capacidade de criar uma linha de base de atividade para usuários, aplicativos, infraestrutura, rede e outros sistemas , estabelecendo a aparência normal, é uma vantagem dos dados agregados coletados de várias fontes corporativas.
Armado com a definição de "normal", detectar comportamentos suspeitos - atividades que estão de alguma forma fora da norma - fica mais fácil.
Um sistema de monitoramento de segurança adequadamente baseado em linha e configurado envia alertas acionáveis que podem ser confiáveis e geralmente priorizados automaticamente antes de chegar ao analista de nível 1.
um dos principais desafios na utilização dos dados de log citados pelos entrevistados é a incapacidade de discernir atividades normais e suspeitas.
Uma prática recomendada é usar plataformas que possam construir linhas de base monitorando a atividade da rede e do terminal por um período de tempo para ajudar a determinar se a aparência é "normal" e, em seguida, fornecer a capacidade de definir limites de eventos como principais drivers de alerta.
Quando um comportamento inesperado ou desvio da atividade normal é detectado, a plataforma cria um alerta, indicando que uma investigação adicional é necessária.
Inteligência contra ameaças
Os SOCs maduros desenvolvem continuamente a capacidade de consumir e aproveitar a inteligência de ameaças de seus incidentes anteriores e de fontes de compartilhamento de informações, como um fornecedor especializado de inteligência de ameaças, parceiros do setor, a divisão de crimes cibernéticos da polícia, organizações de compartilhamento de informações (como ISACs) , ou seus fornecedores de tecnologia de monitoramento de segurança.
De acordo com a Pesquisa de Inteligência de Ameaça Cibernética (CTI) de 2015, 69% dos entrevistados relataram que sua organização implementou alguma capacidade de inteligência de ameaças cibernéticas, com 27% indicando que suas equipes adotam totalmente o conceito de CTI e procedimentos de resposta integrados em sistemas e equipe.
A capacidade de um sistema de monitoramento de segurança de operacionalizar a inteligência de ameaças e usá-lo para ajudar a identificar padrões nos dados de extremidade, log e rede, além de associar anomalias a alertas, incidentes ou ataques passados, pode aprimorar a capacidade de uma organização de detectar um sistema ou usuário comprometido antes exibindo as características de uma violação.
De fato, 55% dos entrevistados da Pesquisa CTI estão atualmente usando um sistema centralizado de gerenciamento de segurança para agregar, analisar e operacionalizar sua CTI.
Manuseio eficiente de incidentes do SOC Para obter um manuseio eficiente de incidentes, o SOC deve evitar gargalos no processo de RI que move incidentes pela camada 1, pela camada 2 e, finalmente, pela camada 3.
Gargalos podem ocorrer devido a muito "ruído branco", alertas de pouca consequência ou falsos positivos que levam ao analista " alerta de fadiga ".
Esse fenômeno é uma experiência comum entre os respondentes, resultados da Pesquisa de resposta a incidentes, em que 15% relataram responder a mais de 20 alarmes falsos positivos originalmente classificados como incidentes . Ao escolher uma ferramenta de monitoramento de segurança corporativa, procure recursos como a personalização do limite de alerta e a capacidade de combinar muitos alertas em um único incidente.
Além disso, quando os incidentes incluem contexto adicional, os analistas podem fazer a triagem mais rapidamente, reduzindo as camadas de avaliação que devem ocorrer antes que um problema possa ser confirmado e mitigado rapidamente.
Tipos de SOC
Categorizar os SOCs internos ao grupo constituinte em cinco modelos organizacionais de como a equipe é composta,
1. Equipe de segurança.
Não existe detecção de incidente permanente ou capacidade de resposta. No caso de um incidente de segurança do computador, os recursos são reunidos (geralmente de dentro do círculo eleitoral) para lidar com o problema, reconstituir sistemas e, em seguida, 16 são desativados.
Os resultados podem variar amplamente, pois não há vigilância central ou conjunto consistente de conhecimentos, e os processos para tratamento de incidentes são geralmente mal definidos. Os grupos constituintes compostos por menos de 1.000 usuários ou IPs geralmente se enquadram nessa categoria.
2. SOC distribuído interno.
Um SOC permanente existe, mas é composto principalmente por indivíduos cuja posição organizacional está fora do SOC e cujo trabalho principal está relacionado à TI ou à segurança, mas não necessariamente ao CND.
Uma pessoa ou um pequeno grupo é responsável pela coordenação das operações de segurança, mas o trabalho pesado é realizado por indivíduos matriculados em outras organizações. Os SOCs que dão suporte a um grupo pequeno e médio, talvez de 500 a 5.000 usuários ou IPs, geralmente se enquadram nessa categoria.
3. SOC centralizado interno.
Uma equipe dedicada de profissionais de TI e segurança cibernética compreende uma capacidade permanente de CND, fornecendo serviços contínuos.
Os recursos e as autoridades necessárias para sustentar a missão de defesa da rede cotidiana existem em uma entidade formalmente reconhecida, geralmente com seu próprio orçamento. Essa equipe se reporta a um gerente do SOC responsável pela supervisão do programa CND para o círculo eleitoral. A maioria dos SOCs se enquadra nessa categoria, normalmente atendendo grupos constituintes que variam de 5.000 a 100.000 usuários ou endereços IP.
4. SOC combinado, distribuído e centralizado, interno.
O Security Operations Center é composto por uma equipe central (como nos SOCs centralizados internos) e recursos de outras partes do círculo eleitoral (como nos SOCs distribuídos internos). Indivíduos que apóiam operações de CND fora do SOC principal não são reconhecidos como uma entidade SOC separada e distinta.
Para grupos constituintes maiores, esse modelo encontra um equilíbrio entre ter uma equipe coerente e sincronizada e manter um entendimento dos ativos e enclaves de TI de ponta. Os SOCs com constituintes na faixa de 25.000 a 500.000 usuários / IP podem seguir essa abordagem, especialmente se seu constituinte estiver geograficamente distribuído ou se atender a um ambiente de computação altamente heterogêneo.
5. Coordenando o SOC.
O SOC medeia e facilita as atividades CND entre vários SOCs distintos subordinados, geralmente para um grande grupo constituinte, talvez medido em milhões de usuários ou endereços IP.
Um SOC de coordenação geralmente fornece serviços de consultoria a um grupo constituinte que pode ser bastante diversificado.
Normalmente, ele não tem visibilidade ativa ou abrangente até o host final e, na maioria das vezes, possui autoridade limitada sobre seus eleitores.
Os SOCs coordenadores geralmente servem como hubs de distribuição de informações cibernéticas, práticas recomendadas e treinamento. Eles também podem oferecer serviços de análise e forense, quando solicitados por SOCs subordinados.
Recursos
Um SOC satisfaz as necessidades de monitoramento e defesa de rede do grupo, oferecendo um conjunto de serviços.
Os SOCs amadureceram e se adaptaram a demandas crescentes, um ambiente de ameaças em mudança e ferramentas que aprimoraram drasticamente o estado da arte nas operações da CND. Também queremos articular o escopo completo do que um SOC pode fazer, independentemente de uma função específica servir ao eleitorado, ao SOC apropriado ou a ambos. Como resultado, os serviços SOC se transformam em uma lista abrangente de recursos SOC.
a cadeia de gerenciamento do SOC é responsável por escolher quais recursos melhor atendem às necessidades de seus membros, dadas as restrições políticas e de recursos.
- Análise em tempo real
- Intel e tendências
- Análise e resposta a incidentes
- Análise de Artefato
- Suporte ao ciclo de vida da ferramenta SOC
- Ameaça de auditoria e informações privilegiadas
- Digitalização e Avaliação
- Divulgação
Análise em tempo real
Central de Atendimento
Dicas, relatórios de incidentes e solicitações de serviços CND dos constituintes recebidos por telefone, email, publicação no site do SOC ou outros métodos. Isso é aproximadamente análogo a um suporte técnico tradicional de TI, exceto pelo fato de ser específico do CND.
Monitoramento e triagem em tempo real
Triagem e análise de turno curto de feeds de dados em tempo real (como registros e alertas do sistema) para possíveis invasões.
Após um limite de tempo especificado, os incidentes suspeitos são encaminhados para uma equipe de análise e resposta a incidentes para estudos adicionais. Geralmente sinônimo de analistas de nível 1 de um SOC, com foco em feeds de eventos em tempo real e outras visualizações de dados.
Nota: Esse é um dos recursos mais facilmente reconhecíveis e visíveis oferecidos por um SOC, mas não faz sentido sem a capacidade correspondente de análise e resposta a incidentes, discutida abaixo.
Intel e tendências
Coleta e análise da Cyber Intel
Coleta, consumo e análise de relatórios de inteligência cibernética, relatórios de intrusão cibernética e notícias relacionadas à segurança da informação, cobrindo novas ameaças, vulnerabilidades, produtos e pesquisas. Os materiais são inspecionados para obter informações que exijam uma resposta do Security Operations Center ou distribuição ao distrito constituinte. A Intel pode ser selecionada a partir da coordenação de SOCs, fornecedores, sites de mídia de notícias, fóruns on-line e listas de distribuição de e-mail.
Distribuição da Cyber Intel
Síntese, resumo e redistribuição de relatórios de inteligência cibernética, relatórios de intrusão cibernética e notícias relacionadas à segurança das informações aos membros do círculo eleitoral de forma rotineira (como um boletim informativo semanal ou mensal sobre cibersegurança) ou não rotineira (como um aviso de patch de emergência ou alerta de campanha de phishing).
Cyber
Criação da Intel Autoria principal de novos relatórios de inteligência cibernética, como avisos ou destaques sobre ameaças, com base em pesquisas primárias realizadas pelo SOC. Por exemplo, análise de uma nova ameaça ou vulnerabilidade não vista anteriormente em outros lugares. Isso geralmente é causado pelos próprios incidentes do SOC, análises forenses, análises de malware e compromissos do adversário.
Cyber Intel Fusion
Extrair dados da cyber intel e sintetizá-los em novas assinaturas, conteúdo e entendimento de TTPs adversários, evoluindo assim as operações de monitoramento (por exemplo, novas assinaturas ou conteúdo SIEM).
Tendendo
Análise de longo prazo de feeds de eventos, malware coletado e dados de incidentes para evidências de atividades maliciosas ou anômalas ou para entender melhor o TTPs constituinte ou adversário. Isso pode incluir análises não estruturadas, abertas e aprofundadas em vários feeds de dados, tendências e correlações ao longo de semanas ou meses de dados de log, análise de dados "baixa e lenta" e métodos de detecção de anomalias esotéricas.
Avaliação de ameaça
Estimativa holística das ameaças colocadas por vários atores contra o eleitorado, seus enclaves ou linhas de negócios, no âmbito cibernético. Isso incluirá o aproveitamento de recursos existentes, como feeds e tendências de informações cibernéticas, juntamente com a arquitetura e o status de vulnerabilidade da empresa. Frequentemente realizado em coordenação com outras partes interessadas em segurança cibernética.
Análise e resposta a incidentes
Análise de Incidentes
Análise aprofundada e prolongada de possíveis invasões e dicas enviadas por outros membros do SOC. Esse recurso geralmente é executado por analistas nas camadas 2 e acima no processo de escalação de incidentes do SOC. Ele deve ser concluído em um período de tempo específico, a fim de apoiar uma resposta relevante e eficaz. Esse recurso geralmente envolve análises que utilizam vários artefatos de dados para determinar quem, o que, quando, onde e por que uma invasão - sua extensão, como limitar os danos e como recuperar. Um analista documentará os detalhes dessa análise, geralmente com uma recomendação para ações adicionais.
Análise Tradecraft
Compromissos do adversário cuidadosamente coordenados, nos quais os membros do SOC realizam um estudo e análise sustentados dos TTPs do adversário, em um esforço para melhor entendê-los e informar o monitoramento contínuo. Essa atividade é distinta de outros recursos porque (1) às vezes envolve instrumentação ad-hoc de redes e sistemas para se concentrar em uma atividade de interesse, como um honeypot, e (2) um adversário poderá continuar sua atividade sem imediatamente sendo cortado completamente. Esse recurso é apoiado de perto pela análise de tendências e malware e implantes e, por sua vez, pode suportar a criação de informações cibernéticas.
Coordenação de resposta a incidentes
Trabalhe com os constituintes afetados para obter mais informações sobre um incidente, entender seu significado e avaliar o impacto da missão. Mais importante, essa função inclui a coordenação de ações de resposta e relatórios de incidentes. Este serviço não envolve o Security Operations Center implementando diretamente contramedidas.
Implementação de contramedidas
A implementação real de ações de resposta a um incidente para impedir, bloquear ou eliminar a presença ou dano do adversário. As possíveis contramedidas incluem isolamento lógico ou físico dos sistemas envolvidos, bloqueios de firewall, buracos negros do DNS, bloqueios de IP, implantação de patches e desativação de conta.
Resposta a incidentes no local
Trabalhe com os constituintes para responder e se recuperar de um incidente no local. Isso normalmente exigirá que os membros do SOC que já estão localizados ou que viajam para o local constituinte apliquem conhecimentos práticos na análise de danos, na erradicação de alterações deixadas por um adversário e na recuperação de sistemas em bom estado conhecido. Este trabalho é realizado em parceria com os proprietários do sistema e administradores de sistemas.
Resposta Remota a Incidentes
Trabalhe com os constituintes para se recuperar remotamente de um incidente. Isso envolve o mesmo trabalho que a resposta a incidentes no local. No entanto, os membros do SOC têm comparativamente menos envolvimento prático na coleta de artefatos ou sistemas de recuperação. O suporte remoto geralmente é feito por telefone e e-mail ou, em casos mais raros, terminal remoto ou interfaces administrativas, como Microsoft Terminal Services ou Secure Shell (SSH).
Análise de Artefato
Manuseio de artefato forense
A coleta e o armazenamento de artefatos forenses (como discos rígidos ou mídia removível) relacionados a um incidente de uma maneira que suporte seu uso em processos legais. Dependendo da jurisdição, isso pode envolver o manuseio da mídia enquanto documenta a cadeia de custódia, assegura o armazenamento seguro e oferece suporte a cópias de evidência verificáveis bit a bit.
Análise de malware e implantes
Também conhecida como engenharia reversa de malware ou simplesmente "reversão". Extrair malware (vírus, Trojans, implantes, conta-gotas, etc.) do tráfego de rede ou imagens de mídia e analisá-los para determinar sua natureza. Os membros do SOC normalmente procuram o vetor inicial de infecção, o comportamento e, potencialmente, a atribuição informal para determinar a extensão de uma invasão e apoiar a resposta oportuna. Isso pode incluir análise de código estático por meio de descompilação ou análise de tempo de execução / execução (por exemplo, "detonação") ou ambos. Esse recurso destina-se principalmente a oferecer suporte a monitoramento e resposta eficazes. Embora utilize algumas das mesmas técnicas dos “forenses” tradicionais, ele não é necessariamente executado para apoiar processos legais.
Análise de Artefato Forense
Análise de artefatos digitais (mídia, tráfego de rede, dispositivos móveis) para determinar a extensão total e a verdade básica de um incidente, geralmente estabelecendo uma linha do tempo detalhada dos eventos. Isso utiliza técnicas semelhantes a alguns aspectos da análise de malware e implantes, mas segue um processo documentado mais exaustivo. Isso geralmente é realizado usando processos e procedimentos para que suas descobertas possam apoiar uma ação legal contra aqueles que podem estar envolvidos em um incidente.
Suporte ao ciclo de vida da ferramenta SOC
Dispositivo de proteção de fronteiras O&M
Operação e manutenção (O&M) de dispositivos de proteção de borda (por exemplo, firewalls, proxies da Web, proxies de email e filtros de conteúdo ). Inclui atualizações e CM das políticas do dispositivo, às vezes em resposta a uma ameaça ou incidente. Esta atividade é coordenada de perto com um NOC.
O&M de infraestrutura de SOC
O&M de tecnologias SOC fora do escopo do ajuste do sensor. Isso inclui cuidados e alimentação de equipamentos de TI SOC: servidores, estações de trabalho, impressoras, bancos de dados relacionais, sistemas de emissão de chamados, redes de área de armazenamento (SANs) e backup em fita. Se o Security Operations Center tiver seu próprio enclave, isso provavelmente incluirá a manutenção de seus roteadores, comutadores, firewalls e controladores de domínio, se houver. Isso também pode incluir O&M de sistemas de monitoramento, sistemas operacionais (SOs) e hardware. O pessoal que oferece suporte a esse serviço possui privilégios de "root" nos equipamentos SOC.
Ajuste e manutenção do sensor
Cuidado e alimentação de plataformas de sensores pertencentes e operadas pelo SOC: IDS, IPS, SIEM e assim por diante. Isso inclui a atualização dos sistemas IDS / IPS e SIEM com novas assinaturas, ajustando seus conjuntos de assinaturas para manter o volume de eventos em níveis aceitáveis, minimizando falsos positivos e mantendo o status de integridade dos sensores e feeds de dados. Os membros do SOC envolvidos neste serviço devem ter uma profunda consciência das necessidades de monitoramento do SOC, para que ele possa acompanhar o ritmo de um ambiente de consistência e ameaça em constante evolução. As alterações em qualquer dispositivo de prevenção em linha (HIPS / NIPS) geralmente são coordenadas com o NOC ou outras áreas das operações de TI. Esse recurso pode envolver um script ad-hoc significativo para mover dados e integrar ferramentas e feeds de dados.
Criação de assinatura personalizada
Criação e implementação de conteúdo de detecção original para sistemas de monitoramento (assinaturas de IDS, casos de uso de SIEM etc.) com base nas ameaças, vulnerabilidades, protocolos, missões ou outras especificidades atuais do ambiente constituinte. Esse recurso utiliza ferramentas à disposição do SOC para preencher as lacunas deixadas pelas assinaturas fornecidas comercialmente ou pela comunidade. O SOC pode compartilhar suas assinaturas personalizadas com outros SOCs.
Engenharia e Implantação de Ferramentas
Pesquisa de mercado, avaliação de produtos, prototipagem, engenharia, integração, implantação e atualizações de equipamentos SOC, principalmente com base em software livre ou de código aberto (FOSS) ou tecnologias comerciais disponíveis no mercado (COTS). Este serviço inclui orçamento, aquisição e recapitalização regular dos sistemas SOC. O pessoal que presta suporte a esse serviço deve manter um olho atento a um ambiente de ameaças em mudança, trazendo novos recursos em questão de semanas ou meses, de acordo com as demandas da missão.
Pesquisa e Desenvolvimento de Ferramentas
Pesquisa e desenvolvimento (P&D) de ferramentas personalizadas, nas quais nenhuma capacidade comercial ou de código aberto adequada se adapta a uma necessidade operacional. O escopo desta atividade abrange desde o desenvolvimento de código para um problema conhecido e estruturado até pesquisa acadêmica plurianual aplicada a um desafio mais complexo.
Ameaça de auditoria e informações privilegiadas
Coleta e distribuição de dados de auditoria
Coleta de vários feeds de dados relevantes à segurança para fins de correlação e análise de incidentes. Essa arquitetura de coleta também pode ser aproveitada para oferecer suporte à distribuição e recuperação posterior de dados de auditoria para fins de investigação ou análise sob demanda, fora do escopo da missão SOC. Esse recurso abrange a retenção a longo prazo de dados relevantes à segurança para uso de constituintes fora do SOC.
Criação e gerenciamento de conteúdo de auditoria
Criação e adaptação de conteúdo SIEM ou manutenção de log (LM) (correlação, painéis, relatórios etc.) com o objetivo de atender à revisão de auditoria dos componentes e à detecção de uso indevido. Esse serviço se baseia no recurso de distribuição de dados de auditoria, fornecendo não apenas um feed de dados brutos, mas também o conteúdo criado para constituintes fora do SOC.
Suporte para casos de ameaças internas
Suporte para análise e investigação de ameaças internas em duas áreas relacionadas, mas distintas: 1. Encontrar sugestões para possíveis casos de ameaças internas (por exemplo, uso indevido de recursos de TI, fraude de cartão de ponto, fraude financeira, espionagem industrial ou roubo).
O SOC indicará os órgãos de investigação apropriados (policiais, Inspetor-Geral [IG] etc.) com um caso de interesse. 2. Em nome desses órgãos de investigação, o SOC fornecerá monitoramento adicional, coleta de informações e análise para apoiar um caso de ameaça interna.
Investigação de casos de ameaças internas
O SOC utiliza sua própria autoridade reguladora ou legal independente para investigar ameaças internas, para incluir o monitoramento focado ou prolongado de indivíduos específicos, sem a necessidade de apoio ou autoridades de uma entidade externa. Na prática, poucos SOCs fora da comunidade de aplicação da lei têm essas autoridades, portanto, geralmente agem sob a direção de outra organização.
Digitalização e Avaliação
Mapeamento de Rede
Mapeamento regular e sustentado das redes constituintes para entender as interfaces de tamanho, forma, composição e perímetro do constituinte, por meio de técnicas manuais ou automatizadas. Esses mapas geralmente são construídos em cooperação com - e distribuídos para - outros constituintes.
Verificação de vulnerabilidades
Interrogação de hosts de consistência pelo status de vulnerabilidade, geralmente focando no nível de patch de cada sistema e na conformidade de segurança, geralmente por meio de ferramentas distribuídas e automatizadas. Assim como o mapeamento de rede, isso permite que o Security Operations Center entenda melhor o que ele deve defender. O Security Operations Center pode fornecer esses dados de volta aos membros do círculo eleitoral - talvez em forma de relatório ou resumo. Esta função é realizada regularmente e não faz parte de uma avaliação ou exercício específico
Avaliação de vulnerabilidade
Avaliação de segurança aberta de conhecimento completo de um local, enclave ou sistema do círculo eleitoral, às vezes conhecido como "Blue Teaming". Os membros do SOC trabalham com proprietários de sistemas e administradores de sistemas para examinar holisticamente a arquitetura de segurança e as vulnerabilidades de seus sistemas, através de varreduras, examinando a configuração do sistema, revisando a documentação de design do sistema e entrevistas.
Essa atividade pode aproveitar as ferramentas de varredura de rede e vulnerabilidades, além de tecnologias mais invasivas usadas para interrogar os sistemas quanto à configuração e status. A partir desse exame, os membros da equipe produzem um relatório de suas descobertas, juntamente com a correção recomendada. Os SOCs aproveitam as avaliações de vulnerabilidade como uma oportunidade para expandir a cobertura do monitoramento e o conhecimento dos seus analistas sobre o círculo eleitoral
Teste de penetração
Avaliação sem conhecimento ou conhecimento limitado de uma área específica do círculo eleitoral, também conhecida como "Equipe Vermelha". Os membros do SOC realizam um ataque simulado contra um segmento do círculo eleitoral para avaliar a resiliência do alvo a um ataque real.
Essas operações geralmente são realizadas apenas com o conhecimento e a autorização dos executivos de mais alto nível, dentro da consistência e sem os proprietários do sistema de aviso prévio. As ferramentas usadas realmente executam ataques por vários meios: estouros de buffer, injeção de Linguagem de Consulta Estruturada (SQL) e difusão de entrada . As equipes vermelhas geralmente limitam seus objetivos e recursos para modelar o de um ator específico, talvez simulando a campanha de um adversário que pode começar com um ataque de phishing.
Quando a operação terminar, a equipe produzirá um relatório com suas descobertas, da mesma maneira que uma avaliação de vulnerabilidade. No entanto, como as atividades de teste de penetração têm um conjunto restrito de metas, elas não abrangem tantos aspectos da configuração do sistema e práticas recomendadas quanto uma avaliação de vulnerabilidade.
Em alguns casos, o pessoal do Centro de Operações de Segurança coordenará apenas as atividades do Red Teaming, com um terceiro designado realizando a maioria dos testes reais para garantir que os testadores não tenham conhecimento prévio dos sistemas ou vulnerabilidades dos eleitores.
Divulgação
Avaliação do Produto
Testando os recursos de segurança dos produtos pontuais que estão sendo adquiridos pelos membros do grupo constituinte. Analogamente às avaliações de vulnerabilidade em miniatura de um ou alguns hosts, esse teste permite uma análise aprofundada dos pontos fortes e fracos de um produto em particular, do ponto de vista da segurança. Isso pode envolver testes "internos" dos produtos, em vez de avaliação remota dos sistemas de produção ou pré-produção.
Consultoria de Segurança
Fornecer aconselhamento sobre segurança cibernética a componentes fora do escopo da CND; dando suporte ao novo design do sistema, continuidade dos negócios e planejamento de recuperação de desastres; política de segurança cibernética; guias de configuração segura; e outros esforços.
Treinamento e conscientização
Alcance proativo aos constituintes que apóiam o treinamento geral do usuário, boletins e outros materiais educacionais que os ajudam a entender vários problemas de segurança cibernética. Os principais objetivos são ajudar os constituintes a se protegerem de ameaças comuns, como esquemas de phishing / pharming, sistemas finais mais seguros, aumentar a conscientização sobre os serviços do SOC e ajudar os constituintes a relatar incidentes corretamente
Consciência situacional
Reempacotamento e redistribuição regular e repetível do conhecimento do SOC sobre ativos, redes, ameaças, incidentes e vulnerabilidades dos constituintes para os constituintes. Esse recurso vai além da distribuição de informações cibernéticas, aprimorando a compreensão dos constituintes sobre a postura de segurança cibernética do eleitorado e partes dele, impulsionando a tomada de decisões eficaz em todos os níveis. Essas informações podem ser entregues automaticamente através de um site do SOC, portal da Web ou lista de distribuição de email.
Redistribuição de TTPs
Compartilhamento sustentado de produtos internos do Security Operations Center a outros consumidores, como SOCs subordinados ou parceiros, em um formato mais formal, polido ou estruturado. Isso pode incluir quase tudo o que o SOC desenvolve por conta própria (por exemplo, ferramentas, informações cibernéticas, assinaturas, relatórios de incidentes e outros observáveis brutos). O princípio do quid pro quo geralmente se aplica: o fluxo de informações entre os SOCs é bidirecional.
Relações com a mídia
Comunicação direta com a mídia. O SOC é responsável pela divulgação de informações sem afetar a reputação do eleitorado ou as atividades de resposta em andamento.
Sumário
Ao enfrentar o desafio de construir um centro de operações de segurança ( SOC ), sua capacidade de antecipar obstáculos comuns facilitará a inicialização, a criação e a maturação sem problemas ao longo do tempo. Embora cada organização seja única em sua atual postura de segurança, tolerância a riscos, conhecimento e orçamento, todos compartilham os objetivos de tentar minimizar e fortalecer sua superfície de ataque e detectar rapidamente, priorizar e investigar incidentes de segurança quando ocorrerem.
Referências
https://www.sans.org/reading-room/whitepapers/analyst/building-world-class-security-operations-center-roadmap-35907
https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf
http://www.mcafee.com/in/resources/white-papers/foundstone/wp-creating-maintaining-soc.pdf
Postar um comentário