Serviços de MDR e SOC Modernos: Funções-Chave dos SOC Modernos
A um nível mais elevado, a principal missão do SOC continua a ser ajudar a empresa a gerir o ciber-risco, mas o que mudou foi a sofisticação das ciberameaças e a mecânica de funcionamento do SOC. Para proteger e responder com sucesso às ameaças, os SOC precisam de uma visibilidade profunda da atividade da organização e automatizar funções-chave, mas repetitivas, ao mesmo tempo que libertam os analistas para se concentrarem em funções mais valiosas, como a caça às ameaças e a gestão da vulnerabilidade.
Funções-chave desempenhadas por um SOC moderno
1- Segurança preventiva:
Este passo inclui todas as ações para complicar o sucesso de um ataque e forçar o atacante a abandonar, incluindo a manutenção e atualização regular dos sistemas existentes, atualização das políticas de firewall, correção de vulnerabilidades, lista branca e lista negra de aplicações, entre outras.
2 - Normalização e gestão do data lake:
O SOC moderno recolhe, mantém e revê regularmente eventos e registos de redes, utilizadores, atividade de endpoint e comunicações na organização. Estes dados ajudam os threat hunters a descobrir agentes de ameaça não detetados e são utilizados para remediação e investigação forense.
3 - Monitorização proativa contínua e deteção de atividades suspeitas:
As ferramentas utilizadas pelo SOC moderno monitorizam a atividade 24 horas por dia, 7 dias por semana, e assinalam quaisquer atividades suspeitas. A monitorização 24 horas por dia permite identificar as ameaças emergentes, dando-lhes a melhor oportunidade de prevenir ou mitigar os danos. As ferramentas de monitorização automatizam a análise comportamental, minimizando a quantidade de triagem e análise que os humanos devem dominar.
4 - Indicadores de triagem de compromisso e ataque, priorização e correlação:
Apoiados por análises de segurança automatizadas (ML/ AI), os analistas SOC analisam cada alerta e indicador de ataque, descartam quaisquer falsos positivos e determinam a criticidade das ameaças. Isto permite-lhes fazer uma triagem apropriada das ameaças emergentes, lidando primeiro com as questões mais urgentes.
5 - Threat hunting:
É um processo centrado no analista que permite às organizações descobrir proactivamente ameaças ocultas e avançadas perdidas por controlos automatizados preventivos e de deteção, para as deter antes que o dano seja feito, e automatizar mecanismos para desencadear indicadores de ataque a serem investigados para detetar a ameaça mais cedo.
6 - Investigação da causa principal:
No rescaldo de um incidente ou durante o ataque, o SOC moderno é responsável por descobrir exatamente o que aconteceu - quando, como, e porquê. Durante esta investigação, os analistas SOC modernos utilizam registos, eventos, informações sobre ameaças e análises de segurança para os ajudar a responder eficazmente e a prevenir problemas semelhantes.
7 - Resposta a ameaças:
Assim que um incidente é confirmado, o SOC moderno pode agir como o primeiro a responder, realizando ações de contenção como isolar endpoints, terminar processos prejudiciais, apagar ficheiros e muito mais. O objetivo é responder ao mesmo tempo que reduz o impacto na continuidade do negócio.
8 - Remediação e recuperação:
No rescaldo de um incidente, o SOC moderno irá trabalhar para restaurar os sistemas. Isto pode incluir a limpeza e o reinício dos endpoints reconfigurando os sistemas, ou, no caso de ataques de ransomware, a instalação de cópias de segurança viáveis para contornar o ransomware.
9 - Lições aprendidas:
Embora frequentemente negligenciadas, as sessões de lições aprendidas são cruciais para melhorar a postura de segurança de uma organização e a prontidão para enfrentar incidentes de segurança no futuro. Elas ajudam a avaliar os riscos de segurança da organização e o desempenho da resposta a incidentes, a identificar desafios e a melhorar as capacidades de resposta a incidentes no futuro.
10 - Otimização do modelo de operações de segurança:
Uma estratégia defensiva eficaz requer uma arquitetura de segurança adaptável, que permita às organizações decretar operações de segurança otimizadas, aumentando a eficiência através da integração, automatização e orquestração enquanto melhoram a postura de segurança da organização.
A tecnologia permite escalar as funções SOC
Cada uma das funções do SOC está criticamente dependente da tecnologia. A abordagem tecnológica correta influenciará significativamente as capacidades e os custos organizacionais ao minimizar o tempo para detetar e responder aos atores da ameaça. As equipas de operações de segurança tendem idealmente a exigir uma plataforma moderna e altamente integrada, baseada na cloud, que proporciona tudo o que se segue:
- Visibilidade e pesquisa centralizada: Pesquisa centralizada em todos os dados da infraestrutura de TI distribuída, incluindo acesso imediato a alertas de segurança e telemetria completa para acelerar a investigação de ameaças e a resposta a incidentes com visibilidade em tempo real.
- Análise holística de ameaças: A aplicação de inteligência artificial, análise de cenários baseada em TTP e análise contextual profunda através dos dados forenses para detetar ameaças avançadas e dar prioridade precisa a todas as ameaças em toda a superfície de ataque.
- Gestão de casos de incidentes: Capacidades que permitem às equipas de segurança participar em fluxos de trabalho colaborativos e eficientes com uma plataforma centralizada e segura de gestão de casos para gerir e acelerar a investigação de ameaças e os esforços de resposta a incidentes.
- Automatização de tarefas: A automatização de tarefas de rotina e demoradas para apoiar a investigação de ameaças e a resposta a incidentes, incluindo a execução automatizada de atenuações e contramedidas para a contenção e neutralização de ameaças.
- Métricas operacionais: A capacidade de facilmente captar métricas e comunicar eficazmente os indicadores-chave de desempenho (KPI) e os acordos de serviço (SLA) do negócio.
Pode encontrar toda a informação necessária para iniciar a modernização de uma equipa de operações de segurança nos e-books: SOC e serviços MDR modernos: o que são e porque são importantes e Empoderar o SOC: Modelo de Maturidade de Operações de Segurança.
Se quiser saber mais sobre os centros de operações de segurança modernos, não perca a nossa série de artigos:
