Modelo de Maturidade de Operações de Segurança II: em que é que consiste?

O modelo de maturidade das operações de segurança avalia as atuais capacidades de segurança de uma organização para reduzir o seu ciber-risco e custo de incidentes, diminuindo o seu tempo para detetar e responder a ameaças, tornar-se mais ciberresiliente e delinear um plano para amadurecer ao longo do tempo. Cada nível baseia-se no anterior, adicionando tecnologia adicional e melhorias de processo que reforçam as capacidades de uma organização de operações de segurança em direção à redução do MTTD (tempo médio de deteção)/MTTR (tempo médio de resposta).

Níveis do Modelo de Maturidade de Operações de Segurança

O modelo de operações de segurança compreende as fases que definem uma gestão completa do ciclo de vida da ameaça, desde a prevenção à deteção e resposta e à análise de lições aprendidas para melhorar a postura de segurança de uma organização.

O quadro seguinte descreve cada nível da segurança do endpoint, identificando as funções críticas tecnológicas e de fluxo de trabalho/processo que devem ser implementadas em cada fase.

Nível 0 - MÍNIMO

1. Abordagem preventiva (firewalls, antivírus, etc. no local) e de defesa reativa.
2. Tecnologia e silos funcionais.
3. Nenhum processo formal de deteção de incidentes e resposta.
4. Políticas de segurança não definidas ou básicas.
5. Cegos a ameaças desconhecidas e sofisticadas, utilizando técnicas de ataque "living-off-the-land".

Nível 1 - REATIVO

1. Implementação mínima de práticas de redução de superfície de ataque: monitorização da saúde dos controlos de segurança, avaliação da vulnerabilidade, gestão de patches e deteção de ativos desprotegidos, entre outros.
2. A recolha e retenção de registos ou eventos é impulsionada principalmente pelos requisitos de conformidade e auditoria.
3. Nenhum processo formal de deteção e resposta a incidentes.
4. Cegos a ameaças desconhecidas e sofisticadas, utilizando técnicas de ataque "living-off-the-land".
5. Falta de tecnologias que identifiquem atividade suspeita de uma forma consistente e recorrente.

Nível 2 - PROATIVO

1. Soluções de resposta de deteção de endpoint (EDR) e de deteção e resposta de rede (NDR) em vigor com integração mínima, trabalhando em silos.
2. Políticas de segurança fortes e maduras, implementadas com modelos de configuração pré-definidos para evitar erros humanos.
3. Centralização mínima de dados de registo e eventos de segurança em caso de violação de dados, com prioridade para servidores e ativos críticos.
4. Falta de pessoas e processos para uma avaliação e priorização de alerta eficaz.
5. Mais resistente aos cibercriminosos, exceto aqueles que aproveitam ataques desconhecidos e sofisticados que visam os pontos cegos, tais como os endpoint desprotegidos.

Nível 3 - GERIDO

1. Estabelecimento de um processo básico, mas formal, de monitorização contínua, análise comportamental para deteção de anomalias e contenção de ameaças à espreita no ambiente através de soluções avançadas de segurança EDR/NDR.
2. Centralização holística de dados de registo e de eventos de segurança.
3. Inteligência de ameaças baseada em IoC integrada na análise e no fluxo de trabalho.
4. Análise de segurança para detetar ameaças conhecidas TTP (tática, técnica e procedimento).
5. Métricas operacionais básicas de MTTD/MTTR.

Nível 4 - OTIMIZADO

1. Centralização holística de dados de registo e de eventos com tempo de retenção suficiente para investigar ameaças avançadas de persistência.
2. Gestão de casos multi-organizacionais, colaboração e automatização.
3. Inteligência de ameaças baseada em COI e TTP específica da indústria, integrada nos controlos e fluxos de trabalho de segurança.
4. Análise avançada de segurança para deteção de anomalias através de comportamentos baseados em IA/ML liderada por peritos SOC.
5. Processos de investigação e resposta estabelecidos e documentados com manuais, lições aprendidas, e melhoria contínua dos processos e ferramentas SOC.
6. 24/7 internamente ou SOCaaS, incluindo analistas SOC, respondedores, e caçadores.
7. Métricas operacionais avançadas de MTTD/MTTR e tendências históricas.

As organizações que não têm pessoal de segurança com a especialização necessária devem trabalhar com um fornecedor de segurança gerido (MSP) experiente, que tenha feito os investimentos de capital necessários para as ajudar a nivelar com pessoal qualificado. É claro que as organizações também podem construir o seu próprio SOC moderno se tiverem os recursos e pessoas experientes para lá chegarem.

Faça o download e saiba mais sobre SOC modernos, serviços MDR e o modelo de Maturidade de Operações de Segurança nos seguintes e-books: 'Modern SOCs and MDR services: what they are and why they matter' e 'Empowering the SOC: Security Operations Maturity Model', e não perca a nossa série de artigos:

• Serviços SOC e MDR Modernos: O que são, Porque São Importantes 
• Serviços SOC e MDR Modernos série II: 6 Benefícios e Porque São Importantes 
• Serviços SOC e MDR Modernos Série III: Os diferentes papéis dentro de um SOC moderno
• Serviços SOC e MDR Modernos Série IV: Modelos de implantação
• Serviços SOC e MDR Modernos Série V: Funções-chave de um SOC Moderno
• Maturidade de Operações de Segurança | Modelo I: Medição do desempenho do SOC