No primeiro e no segundo artigos desta série dedicada às transformações no papel dos CISOs e gestores de segurança, introduzimos os desafios apresentados a estes profissionais em uma realidade onde a cibersegurança é, cada vez mais, uma decisão de negócios.

Resumidamente, o cenário apresentado traz dois problemas fundamentais:

– conectar a segurança da informação às necessidades do negócio, considerando seu contexto e atuando na gestão da continuidade do negócio sem causar fricção com a operação.

-produzir e extrair das ferramentas disponíveis resultados que sejam consistentes, adequados, razoáveis e eficazes, de forma a fornecer insights e informações que justifiquem e auxiliem a tomada de decisão nas questões envolvendo segurança.

Ou seja, atualmente, dos gestores de segurança aos CISOs (passando pelos conselhos de administração), todos enfrentam uma batalha diária para saber se a segurança cibernética está em níveis satisfatórios, e se é necessário investir mais ou não, seja para proteger ativos existentes ou plugar a segurança desde a concepção de projetos inovadores.

E essa não pode ser uma decisão subjetiva, mas sim guiada pelas características de controles que as tecnologias e seus fornecedores oferecem. Em qualquer área de uma organização, quanto mais insumos estiverem à disposição, mais sólida será a tomada de decisão.

Isso vale para qualquer iniciativa de segurança cibernética e, de forma especial, vale para os SOCs.

Para usar uma expressão corrente aqui na Tempest, “não há bala de prata” no que se refere à segurança da informação. Não existe uma ferramenta única capaz de oferecer resultados mensuráveis os quais, sob análise, sejam capazes de criar condições para tomar as decisões necessárias para priorizar o investimento mais acertado (ou urgente, a depender do caso) no contexto do negócio.

A obtenção destes resultados depende da combinação de pessoas, processos e tecnologias. E contar com um Centro de Operações de Segurança permite aliar esses componentes em torno de uma estratégia de segurança.

Segundo um survey do SANS Institute, “a experiência recente demonstra que a existência de um SOC com processos bem definidos, conduzidos por pessoal capacitado e utilizando tecnologias efetivas é um diferencial crucial entre empresas que experimentam altos níveis de dano nos negócios devido a ataques cibernéticos e aquelas que conseguem evitar estes ataques”.

No entanto, mesmo a definição destes elementos não se dá sem os próprios desafios.

Processos, Pessoas e Tecnologias e os desafios envolvidos

Como sabemos, as empresas não são iguais e, por consequência, suas necessidades em termos de segurança podem variar imensamente. Nesse sentido, a definição da combinação ideal entre os elementos de um SOC que considere essas necessidades é crucial. Segundo o SANS: “o sucesso de um SOC requer um mix de analistas capacitados, administradores competentes, processos repetíveis, ferramentas efetivas e curadores capazes de lidar com essas ferramentas”.

Processos

A definição e documentação de processos é fundamental para garantir que as atividades do SOC (rotineiras ou não) sejam executadas a contento.

Envolve, por exemplo, a definição de quem são os atores envolvidos e quais são as rotinas necessárias para realizar a análise de um evento (log) ? Ou, quem são os responsáveis por conduzir a resposta a um incidente? Quais os passos envolvidos e quais os stakeholders que devem ser reportados em uma emergência deste tipo? Tudo isso definido sob a perspectiva do negócio e de quanto ele está exposto a ameaças.

Segundo o Gartner, o sucesso na definição de processos está relacionado com a escolha criteriosa dos requerimentos para a operação, manter as expectativas dentro da realidade do negócio e foco na aplicação dos processos definidos.

Tecnologias

Mais uma vez, não há solução “one size fits all” no que diz respeito às ferramentas a serem adotadas por um SOC. É verdade que é possível apontar um conjunto de tecnologias recomendáveis para a sua operação (veja o quadro), mas a escolha, no fim, deve ser guiada por “um profundo conhecimento do negócio, do mercado e das tecnologias, a fim de atingir os objetivos atuais e futuros”, aponta o Gartner.

Além disso, como já expusemos, independente da configuração do SOC, a análise e extração de inteligência de todo o arcabouço de dados ainda depende de um fator crucial: o conhecimento necessário para operar e gerenciar esta estrutura.

Pessoas

O gap de profissionais nas áreas de tecnologia é um problema antigo e na cibersegurança isso não é diferente. Na verdade, um dos efeitos da pandemia é o agravamento deste gap, uma vez que a aceleração da digitalização de processos em diversos setores aumentou a exposição de empresas a uma série de riscos cibernéticos, levando ao aumento na busca por profissionais qualificados.

A falta de profissionais qualificados está no topo da lista dos motivos que emperram as operações dos SOCS para os entrevistados do SANS, com um dos respondentes inclusive afirmando que é “muito difícil ensinar um profissional iniciante a sintetizar um dado volume de dados em informações que alimentem a tomada de decisão”.

Conhecendo o Intelligence Driven SOC da Tempest

Com base nestas premissas, a Tempest aliou a expertise acumulada em mais de 12 anos de operação de Centros de Operações de Segurança e o que há de mais recente em tecnologias voltadas para a cibersegurança para conceber o Threat Intelligence SOC. No seu cerne, o novo SOC traz uma combinação de:

-Processos com automação e orquestração, oferecendo alta performance;

-Conexão com o mapa de riscos existente, trazendo contexto de negócio;

-A mais avançada Engenharia de Detecção de Ameaças, fornecendo indicadores de cobertura através do mapeamento com base no MITRE ATT&CK;

–Governança e acompanhamento com base em indicadores de desempenho ligados a casos de uso extraídos a partir da compreensão do mapa de riscos;

-A mais alta tecnologia e inteligência voltada para Cibersegurança, aliando equipe capacitada, plataforma de compartilhamento e bases de informação geolocalizadas.

Ao englobar estes conceitos, o Intelligence Driven SOC da Tempest realiza estudos detalhados sobre ameaças avançadas a partir de seus contextos, oferecendo grande vantagem ao seu negócio no combate aos crimes cibernéticos.

Nossos times de segurança ofensiva participam desde a criação das regras até a realização de simulações que melhoram de forma contínua ao longo do tempo o nível de detecção, através de casos de uso – tudo com a máxima automação, e alinhado ao mapa de riscos e cenários de ameaças realmente relevantes para o seu negócio.

Metodologia do SOC

O Intelligence Driven SOC possui 3 pilares principais:

a. Threat Tracker
Ir além do padrão do ataque. Enxergar e entender as TTPs (Técnicas, Táticas e Práticas) utilizadas habitualmente pelas ameaças, permitindo uma identificação de padrões.

Sair da visão de alertas e ir para um modelo centrado no contexto da ameaça, considerando integração de informações de diferentes fontes, automação de triagem, enriquecimento e resposta. O modelo centrado no perfil  da ameaça permite ir além da visão de alertas, considerando a integração de  informações de diferentes  fontes do seu negócio para  automatizar com inteligência  as etapas de triagem, enriquecimento e resposta.

b.  Use Case Builder
Governança baseada em cenários de ameaças. Ir além dos usos de regras, criando casos de uso de detecção.

Calibração da detecção e resposta com base em cenários de ameaça materializando riscos relevantes ao negócio, através de detection use cases criados a partir de simulações contínuas (red/blue/purple), wargaming, hunting e RI.

A calibração da detecção e resposta é realizada com base em cenários de ameaça, materializando os riscos relevantes ao seu negócio através de casos de uso criados a partir de simulações contínuas (red/blue/purple), wargaming, threat hunting e Resposta a Incidentes.

c. Automated Response

Plataformas de segurança conectadas e integradas, oferecendo maior performance na detecção e na eventual resposta. Capacidade de automatizar a resposta com o apoio de plataforma de SOAR.

O INTELLIGENCE DRIVEN SOC integra dados de diferentes fontes (cloud IaaS/SaaS e on-premise) para enriquecimento, triagem, análise e resposta, facilitando a integração entre esses dados para a realização de análises de ataques sofisticados, facilitando a missão dos líderes de segurança e de suas equipes em aumentar a velocidade de análise e resposta às ameaças digitais e até mesmo em caso de eventuais incidentes.

Benefícios ao negócio

Melhores práticas e previsibilidade.

– Conexão entre o mapa de riscos corporativos e artefatos técnicos de detecção

– Priorização da detecção com base nas prioridades de risco do negócio

– Simulações contínuas para demonstrar cobertura e eficácia , e garantir a evolução do nível de detecção.

Elevada produtividade e consistência.
– Inteligência de detecção se torna código – extensível, compartilhável e consistente

– Enriquecimento automatizado com informações de outras linhas traz contexto para o evento

– Automação de resposta permite ação rápida em ambiente de alta escala

– Knowledge-base + Code-base de detecção e resposta

– Utilização de plataformas best-of-breed do mercado, unificadas via SIEM+SOAR (Security Information And Event Management + Security Orchestration, Automation and Response).

Detecção das ameaças mais avançadas através da interconexão das plataformas.

– Coleta e integração de informações de todo tipo de plataforma (cloud + on premise)

– Automação de enriquecimento permite ir além de alertas para a criação de  modelos por contexto da ameaça

Case de sucesso

Cliente do segmento financeiro, posicionado entre os maiores players do mercado e em forte processo de transformação digital, procurou a Tempest para:

– Ampliar a capacidade de detecção à ameaças avançadas

– Otimizar os esforços da equipe interna, focada em atividades mais complexas

– Prover visibilidade à alta direção sobre a cobertura de ameaças consideradas mais prejudiciais ao negócio

– Atender a níveis altíssimos de governança, compliance e às regulações do setor financeiro.

Big numbers após a mudança para o novo SOC

Diante das deficiências identificadas nas camadas de detecção e resposta de incidentes, foi realizado um projeto de migração para o novo SOC, ajudando na estruturação de novos processos de governança, garantindo a busca proativa de vulnerabilidades no ambiente e suas respectivas ações corretivas.

Alguns números obtidos após a migração do cliente para o novo SOC:

– Redução de falsos positivos de 15 para 2%

– Otimização de regras em 80%

– Aumento de alertas legítimos de 65% para 95%

– Aumento da cobertura de técnicas do Mitre Att&ck (de 11 para 47 técnicas em 2 meses)

– Análise e enriquecimento: redução de 17 para 2 minutos no tempo de análise de eventos.

Sobre a Tempest

É  fundamental contar com parceiros com expertise técnica que ofereçam produtos, serviços e conhecimento para identificar possíveis brechas de segurança na organização.

A Tempest Security Intelligence  é a maior empresa brasileira especializada em  cibersegurança e prevenção a fraudes digitais. Hoje contamos com um time de mais de 390 profissionais e escritórios em Recife, São Paulo e Londres; nos últimos anos a Tempest ajudou a proteger mais de 500 empresas  de todos os portes de setores como serviços financeiros, varejo e e-commerce.

Pesquisando  e criando novas soluções de proteção digital, a Tempest alia expertise técnica, sólida metodologia e alta tecnologia para entregar um portfólio com mais de 70 soluções, envolvendo Consultorias, Digital Identity, Managed Security Services e Integração.