Como construir e executar um Centro de Operações de Segurança

O centro de operações de segurança cibernética (CSOC) de hoje deve ter tudo o que precisa para montar uma defesa competente da empresa de tecnologia da informação (TI) em constante mudança.

Isso inclui uma vasta gama de tecnologias sofisticadas de detecção e prevenção, um mar virtual de relatórios de inteligência cibernética e acesso a uma força de trabalho em rápida expansão de profissionais de TI talentosos. No entanto, a maioria dos CSOCs continua aquém de manter o adversário – mesmo o não sofisticado – fora da empresa.

Garantir a confidencialidade, integridade e disponibilidade da empresa moderna de tecnologia da informação (TI) é um grande trabalho.

Ele incorpora muitas tarefas, desde engenharia robusta de sistemas e gerenciamento de configuração (CM) até políticas eficazes de segurança cibernética ou de garantia da informação (IA) e treinamento abrangente da força de trabalho.

Também deve incluir operações de segurança cibernética, em que um grupo de pessoas é encarregado de monitorar e defender a empresa contra todas as medidas de ataque cibernético.

O que é um SOC?

Um SOC é uma equipe composta principalmente por analistas de segurança organizados para detectar, analisar, responder, relatar e evitar incidentes de segurança cibernética.

A prática de defesa contra atividades não autorizadas em redes de computadores, incluindo monitoramento, detecção, análise (como análise de tendências e padrões) e atividades de resposta e restauração.

Há muitos termos que foram usados ​​para referenciar uma equipe de especialistas em segurança cibernética montados para executar o CND.

Eles incluem: ??

  • Equipe de Resposta a Incidentes de Segurança de Computadores (CSIRT)?
  • Equipe de Resposta a Incidentes no Computador (CIRT)?
  • Centro de Resposta a Incidentes de Computadores (ou Capability) (CIRC)?
  • Centro de Resposta a Incidentes de Segurança de Computadores (ou Capability) (CSIRC)?
  • Centro de Operações de Segurança (SOC)?
  • Centro de Operações de Segurança Cibernética (CSOC)
  • ?? Equipe de Resposta a Emergências em Computadores (CERT)

Para que uma organização seja considerada um SOC, ela deve:

  • 1. Fornecer meios para os constituintes notificarem incidentes suspeitos de cibersegurança
  • 2. Fornecer assistência na manipulação de incidentes aos constituintes
  • 3. Divulgar informações relacionadas a incidentes para constituintes e partes externas.

Missão e Operações Tempo

Os SOCs podem variar de pequenas operações de cinco pessoas a grandes centros de coordenação nacionais. Uma declaração de missão típica do SOC de médio porte geralmente inclui os seguintes elementos:

1. Prevenção de incidentes de segurança cibernética por meio de proatividade:

  • uma. Análise contínua de ameaças
  • b. Varredura de rede e host para vulnerabilidades
  • c. Coordenação de implantação de contramedidas
  • d. Política de segurança e consultoria em arquitetura.

2. Monitoramento, detecção e análise de possíveis intrusões em tempo real e através de tendências históricas em fontes de dados relevantes para a segurança

3. Resposta a incidentes confirmados, coordenando recursos e orientando o uso de contramedidas oportunas e apropriadas

4. Fornecer conscientização situacional e relatórios sobre o status da segurança cibernética, incidentes e tendências no comportamento do adversário para organizações apropriadas.

5. Engenharia e operação de tecnologias CND, como IDSes e sistemas de coleta / análise de dados.

Dessas responsabilidades, talvez o mais demorado seja o consumo e a análise de quantidades copiosas de dados relevantes para a segurança. Entre os muitos feeds de dados relevantes para a segurança que um SOC provavelmente ingerirá, os mais proeminentes geralmente são IDSs.

Os IDS são sistemas colocados no host ou na rede para detectar atividades potencialmente maliciosas ou indesejadas que merecem mais atenção do analista do SOC. Combinado com logs de auditoria de segurança e outros feeds de dados, um SOC típico coletará, analisará e armazenará dezenas ou centenas de milhões de eventos de segurança todos os dias.

De acordo com um evento é “qualquer ocorrência observável em um sistema e / ou rede. Os eventos às vezes fornecem uma indicação de que um incidente está ocorrendo ”(por exemplo, um alerta gerado por um IDS ou por um serviço de auditoria de segurança). Um evento nada mais é do que dados brutos.

É necessária uma análise humana – o processo de avaliar o significado de uma coleção de dados relevantes para a segurança, geralmente com a ajuda de ferramentas especializadas – para determinar se uma ação adicional é necessária.

Nível de Nível:

  1. Nível 1
  2. Nível 2
  3. Nível 3
  4. Gerente Soc

Camada 1: analista de alertas

Deveres

Monitora continuamente a fila de alertas; triages alertas de segurança; monitora a integridade dos sensores e terminais de segurança; coleta dados e contexto necessários para iniciar o trabalho de Nível 2.

Treinamento Requerido

Procedimentos de triagem de alerta; detecção de intruso; rede, informações de segurança e gerenciamento de eventos (SIEM) e treinamento investigativo baseado em host; e outros treinamentos específicos de ferramentas. As certificações podem incluir o SANS SEC401 : Estilo Bootcamp do Security Essentials.

Camada 2: Respondente de Incidente

Deveres

Executa análise de incidentes de mergulho profundo correlacionando dados de várias fontes; determina se um sistema ou conjunto de dados crítico foi afetado; aconselha sobre remediação; fornece suporte para novos métodos analíticos para detectar ameaças.

Treinamento Requerido

Perícia de rede avançada, análise forense baseada em host, procedimentos de resposta a incidentes, revisões de log, avaliação básica de malware, análise forense de rede e inteligência de ameaças. As certificações podem incluir o SANS SEC501: Advanced Security Essentials – Enterprise Defender; SANS SEC503: Detecção de intrusão em profundidade; SANS SEC504: Ferramentas, Técnicas, Explorações e Manipulação de Incidentes do Hacker.

Especialista em matéria de nível 3 / Hunter

Deveres

Possui profundo conhecimento de engenharia de rede, endpoint, ameaças, engenharia forense e engenharia reversa de malware, bem como o funcionamento de aplicativos específicos ou infraestrutura de TI subjacente; age como um incidente “caçador”, não esperando por incidentes escalados; intimamente envolvido no desenvolvimento, ajuste e implementação de análise de detecção de ameaças.

Treinamento Requerido

Treinamento avançado em detecção de anomalias; treinamento específico de ferramentas para agregação e análise de dados e inteligência de ameaças. As certificações podem incluir SANS SEC503: Detecção de intrusão em profundidade; SANS SEC504: Ferramentas, Técnicas, Explorações e Manipulação de Incidentes de Hackers; SANS SEC561: Desenvolvimento Intenso de Habilidades de Teste de Caneta Prática ; SANS FOR610: Malware de Engenharia Reversa: Ferramentas e Técnicas de Análise de Malware.

Gerente de SOC

Deveres

Gerencia recursos para incluir pessoal, orçamento, programação de turnos e estratégia de tecnologia para atender aos SLAs; comunica-se com a gerência; serve como ponto de apoio organizacional para incidentes críticos aos negócios; fornece orientação geral para o SOC e entrada para a estratégia geral de segurança

Treinamento Requerido

Gerenciamento de projetos, treinamento em gerenciamento de respostas a incidentes, habilidades gerais de gerenciamento de pessoas. As certificações incluem CISSP, CISA, CISM ou CGEIT.

O SOC normalmente utilizará recursos internos e externos em resposta e recuperação do incidente. É importante reconhecer que um SOC nem sempre pode implementar contramedidas no primeiro sinal de uma invasão. Existem três razões para isso:

  • 1. O SOC quer ter certeza de que não está bloqueando a atividade benigna.
  • 2. Uma ação de resposta pode impactar mais os serviços da missão de um eleitorado do que o próprio incidente.
  • 3. Compreender a extensão e a gravidade da intrusão observando o adversário às vezes é mais eficaz do que realizar a análise forense estática em sistemas comprometidos, uma vez que o adversário não esteja mais presente.

Para determinar a natureza do ataque, o SOC geralmente deve executar análise forense avançada em artefatos como imagens de disco rígido ou PCAP (captura de pacotes de sessão completa) ou engenharia reversa de malware em amostras de malware coletadas em apoio a um incidente. Às vezes, evidências forenses devem ser coletadas e analisadas de uma maneira legalmente correta. Em tais casos, o SOC deve observar maior rigor e repetibilidade em seus procedimentos do que seria necessário.

Construindo um Centro de Operações de Segurança

Além dos analistas do SOC, um centro de operações de segurança exige um diretor para suas muitas partes móveis.

O gerente de SOC geralmente combate incêndios, dentro e fora do SOC. O gerente do SOC é responsável por priorizar o trabalho e organizar os recursos com o objetivo final de detectar, investigar e mitigar incidentes que possam afetar os negócios.

O gerente do SOC deve desenvolver um modelo de fluxo de trabalho e implementar procedimentos operacionais padronizados (SOPs) para o processo de tratamento de incidentes que orienta os analistas por meio de procedimentos de triagem e resposta.

Processos

A definição de processos de investigação e triagem de incidentes repetitivos padroniza as ações tomadas por um analista de SOC e garante que nenhuma tarefa importante caia nas rachaduras.

Ao criar um fluxo de trabalho de gerenciamento de incidentes que pode ser repetido, as responsabilidades e ações dos membros da equipe, desde a criação de um alerta e avaliação inicial de Nível 1 até escalonamento para pessoal de Nível 2 ou Nível 3, são definidas.

Com base no fluxo de trabalho, os recursos podem ser alocados com eficiência.

Um dos modelos de processo de resposta a incidentes mais utilizados é o modelo DOE / CIAC, que consiste em seis etapas: preparação, identificação, contenção, erradicação, recuperação e lições aprendidas.

Tecnologia

Uma solução de coleta, agregação, detecção, análise e gerenciamento de dados de toda a empresa é a principal tecnologia de um SOC bem-sucedido.

Um sistema de monitoramento de segurança efetivo incorpora dados coletados do monitoramento contínuo de terminais (PCs, laptops, dispositivos móveis e servidores) , bem como redes e fontes de registro e eventos .

Com o benefício dos dados de rede, log e endpoint reunidos antes e durante o incidente, os analistas do SOC podem mudar imediatamente de usar o sistema de monitoramento de segurança como uma ferramenta de detetive para usá-lo como uma ferramenta investigativa, analisando atividades suspeitas que compõem o presente incidente. e até mesmo como uma ferramenta para gerenciar a resposta a um incidente ou violação.

A compatibilidade de tecnologias é imperativa, e os silos de dados são ruins – especialmente se uma organização tiver uma solução de monitoramento de segurança (SIEM, endpoint, rede ou outra) e quiser incorporar o relatório dessa ferramenta na solução de gerenciamento de incidentes.

Adicionando Contexto aos Incidentes de Segurança

A incorporação de informações de ameaças, ativos, identidade e outras informações de contexto é outra maneira pela qual uma solução de monitoramento de segurança corporativa eficaz pode auxiliar o processo investigativo do analista de contas emergentes.

Geralmente, um alerta é associado à atividade baseada na rede ou no host e, inicialmente, pode conter apenas o endereço IP do terminal suspeito. Em ordem para Fluxos de Rede Rede Tráfego Segurança Eventos Identidade / Asset Contexto Endpoint Data System Logs Ameaça Intel Feeds SECURITY MONITORING SYSTEM.

Tecnologias Compatíveis Ajudar a Agregação de Dados de Detecção para Melhor Visibilidade do Tratamento de Incidentes. Ao centralizar essas várias fontes de dados em um sistema de monitoramento de segurança, o SOC obtém informações acionáveis ​​sobre possíveis anomalias indicativas de atividade de ameaça. Açao. Com base nos resultados, intervenções automatizadas e manuais podem ser feitas para incluir correção, modificação de firewall, quarentena do sistema ou recriação de imagens e revogação de credenciais. Análise.

Os analistas de operações de segurança podem analisar dados de várias fontes e interrogar e triar os dispositivos de interesse para determinar um incidente.

Um Roteiro que o analista do SOC deve investigar o sistema em questão, o analista geralmente precisa de outras informações, como o proprietário e o nome do host da máquina ou registros de origem DHCP para mapeamento de informações de IP e host no momento do alerta.

Se o sistema de monitoramento de segurança incorpora informações de ativos e identidade, ele oferece uma enorme vantagem em termos de tempo e esforço de analistas, sem mencionar os principais fatores que o analista pode usar para priorizar o incidente de segurança – de modo geral, ativos de valor mais alto devem ser priorizados ativos de valor.

Definindo o normal por meio da linha de base

A capacidade de criar uma linha de base de atividades para usuários, aplicativos, infraestrutura, rede e outros sistemas , estabelecendo o aspecto normal, é uma vantagem dos dados agregados coletados de várias origens corporativas.

Armado com a definição de “normal”, detectar comportamentos suspeitos – atividades que estão de algum modo fora da norma – torna-se mais fácil.

Um sistema de monitoramento de segurança configurado corretamente com base e configurado envia alertas acionáveis ​​que podem ser confiáveis ​​e geralmente priorizados automaticamente antes de chegar ao analista da Camada 1.

Um dos principais desafios na utilização de dados de log citados pelos entrevistados é a incapacidade de discernir atividades normais e suspeitas.

Uma prática recomendada é usar plataformas que possam criar linhas de base monitorando a atividade da rede e do ponto de extremidade por um período de tempo para ajudar a determinar a aparência “normal” e fornecer a capacidade de definir limites de eventos como principais drivers de alerta.

Quando um comportamento inesperado ou desvio de atividade normal é detectado, a plataforma cria um alerta, indicando que investigações adicionais são necessárias.

Inteligência de ameaças

Os SOCs maduros desenvolvem continuamente a capacidade de consumir e aproveitar a inteligência de ameaças de seus incidentes passados ​​e de fontes de compartilhamento de informações, como um fornecedor especializado de inteligência contra ameaças, parceiros do setor, divisão de crimes cibernéticos de organizações policiais e de compartilhamento de informações (como ISACs) ou seus fornecedores de tecnologia de monitoramento de segurança.

De acordo com a pesquisa SANS Cyberthreat Intelligence (CTI) de 2015, 69% dos entrevistados relataram que sua organização implementou alguma capacidade de inteligência de ameaças cibernéticas, com 27% indicando que suas equipes adotam totalmente o conceito de CTI e procedimentos de resposta integrados entre sistemas e funcionários.

A capacidade de um sistema de monitoramento de segurança de operacionalizar a inteligência de ameaças e usá-la para ajudar a identificar padrões em dados de terminais, logs e redes, bem como associar anomalias a alertas, incidentes ou ataques anteriores, pode melhorar a capacidade de uma organização de detectar um sistema ou usuário comprometido a exibir as características de uma violação.

De fato, 55% dos entrevistados do CTI Survey estão usando atualmente um sistema centralizado de gerenciamento de segurança para agregar, analisar e operacionalizar seu CTI.

Manuseio eficiente de incidentes de SOC Para alcançar um gerenciamento eficiente de incidentes, o SOC deve evitar os gargalos no processo de IR que move os incidentes da Camada 1 para a Camada 2 e, finalmente, para a Camada 3.

Gargalos podem ocorrer devido a muito “ruído branco”, alertas de pouca consequência ou falso-positivos que levam ao analista “ fadiga de alerta ”.

Esse fenômeno é uma experiência comum entre os respondentes, os resultados da Pesquisa de Resposta a Incidentes, em que 15% relataram responder a mais de 20 alarmes falso-positivos originalmente classificados como incidentes . Ao escolher uma ferramenta de monitoramento de segurança corporativa, procure recursos como a personalização do limite de alerta e a capacidade de combinar muitos alertas em um único incidente.

Além disso, quando os incidentes incluem um contexto adicional, os analistas podem fazer a triagem mais rapidamente, reduzindo as camadas de avaliação que devem ocorrer antes que um problema possa ser confirmado e rapidamente mitigado.

Tipos de SOC

Categorizar os SOCs que são internos ao eleitorado em cinco modelos organizacionais de como a equipe é composta,

1. Equipe de segurança.

Não existe capacidade de detecção ou resposta a incidentes. No caso de um incidente de segurança de computador, os recursos são reunidos (geralmente de dentro do grupo) para lidar com o problema, reconstituir os sistemas e, em seguida, 16 fica em baixo.

Os resultados podem variar muito, pois não há monitoramento central ou um conjunto consistente de especialização, e os processos para tratamento de incidentes geralmente são mal definidos. Grupos constituintes compostos por menos de 1.000 usuários ou IPs geralmente se enquadram nessa categoria.

2. SOC distribuído interno.

Um SOC em pé existe, mas é composto principalmente de indivíduos cuja posição organizacional está fora do SOC e cujo trabalho principal é relacionado a TI ou segurança, mas não necessariamente relacionado a CND.

Uma pessoa ou um grupo pequeno é responsável por coordenar as operações de segurança, mas o trabalho pesado é realizado por indivíduos que estão matriculados em outras organizações. Os SOCs que suportam um público de pequeno a médio porte, talvez de 500 a 5.000 usuários ou IPs, geralmente se enquadram nessa categoria.

3. SOC centralizado interno.

Uma equipe dedicada de profissionais de TI e segurança cibernética compõe uma capacidade CND permanente, fornecendo serviços contínuos.

Os recursos e as autoridades necessárias para sustentar a missão de defesa da rede no dia-a-dia existem em uma entidade formalmente reconhecida, geralmente com orçamento próprio. Esta equipe reporta a um gerente de SOC que é responsável por supervisionar o programa CND para o eleitorado. A maioria dos SOCs se enquadra nessa categoria, geralmente atendendo a públicos que variam de 5.000 a 100.000 usuários ou endereços IP.

4. SOC interno combinado distribuído e centralizado.

O SOC é composto por uma equipe central (como com os SOCs internos centralizados) e recursos de outras partes do grupo (como os SOCs internos distribuídos). Indivíduos que suportam operações de CND fora do SOC principal não são reconhecidos como uma entidade SOC separada e distinta.

Para grupos constituintes maiores, esse modelo estabelece um equilíbrio entre ter uma equipe coerente e sincronizada e manter uma compreensão dos recursos e enclaves de TI de ponta. Os SOCs com distritos eleitorais na faixa de 25.000 a 500.000 usuários / IP podem adotar essa abordagem, especialmente se sua comunidade for geograficamente distribuída ou se eles atenderem a um ambiente de computação altamente heterogêneo.

5. Coordenação do SOC.

O SOC media e facilita as atividades do CND entre vários SOCs distintos subordinados, geralmente para um grande público, talvez medido em milhões de usuários ou endereços IP.

Um SOC coordenador geralmente fornece serviços de consultoria para um grupo que pode ser bastante diversificado.

Normalmente, ela não tem visibilidade ativa ou abrangente até o host final e, na maioria das vezes, tem autoridade limitada sobre seu público.

Os SOCs de coordenação geralmente servem como hubs de distribuição para inteligência, práticas recomendadas e treinamento. Eles também podem oferecer serviços de análise e análise forense, quando solicitados pelos SOC subordinados.

Capacidades

Um SOC satisfaz as necessidades de monitoramento e defesa da rede do grupo, oferecendo um conjunto de serviços.

Os SOCs amadureceram e se adaptaram a demandas crescentes, um ambiente de ameaças em mudança e ferramentas que melhoraram drasticamente o estado da arte nas operações da CND. Também desejamos articular o escopo completo do que um SOC pode fazer, independentemente de uma função específica servir ao eleitorado, ao SOC apropriado ou a ambos. Como resultado, os serviços SOC são incluídos em uma lista abrangente de recursos do SOC.

a cadeia de gerenciamento do SOC é responsável por escolher e escolher quais recursos melhor se adequam às necessidades do seu público, dadas as restrições políticas e de recursos.

  1. Análise em Tempo Real
  2. Intel e tendências
  3. Análise e Resposta a Incidentes
  4. Análise de Artefato
  5. Suporte ao Ciclo de Vida da Ferramenta SOC
  6. Auditoria e Ameaça Interna
  7. Digitalização e Avaliação
  8. Divulgação

Análise em Tempo Real

Central de Atendimento

Dicas, relatórios de incidentes e solicitações de serviços de CND dos constituintes recebidos por telefone, e-mail, postagens no website do SOC ou outros métodos. Isso é aproximadamente análogo a um help desk tradicional de TI, exceto que é específico do CND.

Monitoramento e Triagem em Tempo Real

Triagem e análise de curto prazo de feeds de dados em tempo real (como logs e alertas do sistema) para possíveis intrusões.

Após um limite de tempo especificado, os incidentes suspeitos são encaminhados para uma equipe de análise e resposta a incidentes para um estudo mais aprofundado. Geralmente é sinônimo de analistas de nível 1 do SOC, com foco em feeds de eventos em tempo real e outras visualizações de dados.

Nota: Esse é um dos recursos mais facilmente reconhecíveis e visíveis oferecidos por um SOC, mas não tem sentido sem uma análise de incidentes e capacidade de resposta correspondentes, discutidos abaixo.

Intel e tendências

Coleção e análise do Cyber ​​Intel

Coleta, consumo e análise de relatórios de inteligência cibernética, relatórios de intrusão cibernética e notícias relacionadas à segurança da informação, cobrindo novas ameaças, vulnerabilidades, produtos e pesquisas. Os materiais são inspecionados para obter informações que exijam uma resposta do SOC ou distribuição para o grupo constituinte. A Intel pode ser escolhida a partir da coordenação de SOCs, fornecedores, sites de mídia de notícias, fóruns on-line e listas de distribuição de e-mail.

Cyber ​​Distribuição Intel

Síntese, sumarização e redistribuição de relatórios de inteligência cibernética, relatórios de invasão cibernética e notícias relacionadas à segurança da informação para membros do grupo em qualquer base de rotina (como um boletim informativo semanal ou mensal) ou não rotineira (como um aviso de patch de emergência ou alerta de campanha de phishing).

Cyber

Intel Creation Autoria primária de novos relatórios de inteligência cibernética, como avisos de ameaças ou realces, com base em pesquisas primárias realizadas pelo SOC. Por exemplo, análise de uma nova ameaça ou vulnerabilidade não vista anteriormente em outro lugar. Isso geralmente é impulsionado pelos próprios incidentes do SOC, análise forense, análise de malware e compromissos com adversários.

Cyber ​​Intel Fusion

Extração de dados de cyber intel e sintetização em novas assinaturas, conteúdo e compreensão de TTPs adversários, evoluindo assim as operações de monitoramento (por exemplo, novas assinaturas ou conteúdo SIEM).

Tendendo

Análises de longo prazo de feeds de eventos, malwares coletados e dados de incidentes em busca de evidências de atividades mal-intencionadas ou anômalas ou para melhor entender o eleitorado ou os TTPs adversários. Isso pode incluir análises não estruturadas, abertas e aprofundadas em vários feeds de dados, tendência e correlação ao longo de semanas ou meses de dados de log, análise de dados “baixa e lenta” e métodos de detecção de anomalias esotéricas.

Avaliação de ameaça

Estimativa holística de ameaças colocadas por vários atores contra o eleitorado, seus enclaves ou linhas de negócios dentro do ciberespaço. Isso incluirá o aproveitamento de recursos existentes, como feeds e tendências da Intel, além da arquitetura e do status de vulnerabilidade da empresa. Frequentemente executado em coordenação com outras partes interessadas da cibersegurança.

Análise e Resposta a Incidentes

Análise de Incidentes

Análise aprofundada e prolongada de intrusões em potencial e de dicas enviadas por outros membros do SOC. Esse recurso geralmente é realizado por analistas nos níveis 2 e acima no processo de escalonamento de incidentes do SOC. Deve ser completado em um intervalo de tempo específico, de modo a suportar uma resposta relevante e eficaz. Esse recurso geralmente envolve análise que aproveita vários artefatos de dados para determinar quem, o que, quando, onde e por que de uma invasão – sua extensão, como limitar os danos e como recuperar. Um analista documentará os detalhes dessa análise, geralmente com uma recomendação de ação adicional.

Análise Tradecraft

Contratos cuidadosamente coordenados com os adversários, por meio dos quais os membros da SOC realizam um estudo e análise sustentáveis ​​das “desvantagens” das TTPs adversárias, em um esforço para melhor compreendê-las e informar o monitoramento contínuo. Essa atividade é distinta de outras capacidades porque (1) às vezes envolve instrumentação ad-hoc de redes e sistemas para se concentrar em uma atividade de interesse, como um honeypot, e (2) um adversário poderá continuar sua atividade sem imediatamente sendo cortado completamente. Esse recurso é suportado de perto por tendências e análise de malware e implante e, por sua vez, pode suportar a criação de informações cibernéticas.

Coordenação de Resposta a Incidentes

Trabalhe com os membros afetados para obter mais informações sobre um incidente, entenda seu significado e avalie o impacto da missão. Mais importante, essa função inclui coordenar ações de resposta e relatórios de incidentes. Este serviço não envolve o SOC implementando contramedidas diretamente.

Implementação de Contramedida

A implementação real de ações de resposta a um incidente para impedir, bloquear ou eliminar a presença ou dano do adversário. As contramedidas possíveis incluem o isolamento lógico ou físico de sistemas envolvidos, blocos de firewall, buracos negros de DNS, bloqueios de IP, implantação de patches e desativação de contas.

Resposta a incidentes no local

Trabalhar com os constituintes para responder e recuperar de um incidente no local. Isso geralmente exigirá que os membros do SOC que já estão localizados em, ou que viajam para, o local constituinte apliquem experiência prática na análise de danos, erradicando as alterações deixadas por um adversário e recuperando sistemas para um estado bom conhecido. Este trabalho é feito em parceria com proprietários de sistemas e administradores de sistema.

Resposta de Incidente Remoto

Trabalhe com os constituintes para se recuperar de um incidente remotamente. Isso envolve o mesmo trabalho que a resposta a incidentes no local. No entanto, os membros SOC têm comparativamente menos envolvimento prático na coleta de artefatos ou na recuperação de sistemas. O suporte remoto geralmente será feito via telefone e email ou, em casos mais raros, terminal remoto ou interfaces administrativas, como Microsoft Terminal Services ou Secure Shell (SSH).

Análise de Artefato

Manipulação de Artefato Forense

Coletar e armazenar artefatos forenses (como discos rígidos ou mídias removíveis) relacionados a um incidente de uma maneira que apóie seu uso em processos legais. Dependendo da jurisdição, isso pode envolver o manuseio de mídia ao documentar a cadeia de custódia, garantir o armazenamento seguro e suportar cópias de evidências verificáveis, bit a bit.

Análise de malware e implantes

Também conhecido como engenharia reversa de malware ou simplesmente “reversão”. Extrair malwares (vírus, cavalos de Tróia, implantes, conta-gotas, etc.) do tráfego de rede ou imagens de mídia e analisá-los para determinar sua natureza. Os membros do SOC normalmente procuram pelo vetor de infecção inicial, comportamento e, potencialmente, atribuição informal para determinar a extensão de uma invasão e para dar suporte à resposta em tempo hábil. Isso pode incluir análise de código estático por meio de descompilação ou análise de tempo de execução / execução (por exemplo, “detonação”) ou ambos. Essa capacidade é principalmente destinada a oferecer suporte a monitoramento e resposta eficazes. Embora aproveite algumas das mesmas técnicas que o tradicional “forense”, não é necessariamente executado para apoiar o processo legal.

Análise de Artefato Forense

Análise de artefatos digitais (mídia, tráfego de rede, dispositivos móveis) para determinar a extensão total e a verdade básica de um incidente, geralmente estabelecendo uma linha do tempo detalhada dos eventos. Isso aproveita as técnicas semelhantes a alguns aspectos da análise de malware e implantes, mas segue um processo documentado mais exaustivo. Isso geralmente é realizado usando processos e procedimentos de modo que suas descobertas possam apoiar ações legais contra aqueles que podem estar envolvidos em um incidente.

Suporte ao Ciclo de Vida da Ferramenta SOC

Dispositivo de Proteção de Fronteiras O & M

Operação e manutenção (O & M) de dispositivos de proteção de fronteiras (por exemplo, firewalls, proxies da Web, proxies de email e filtros de conteúdo ). Inclui atualizações e CM de políticas de dispositivos, às vezes em resposta a uma ameaça ou incidente. Esta atividade é estreitamente coordenada com um NOC.

Infraestrutura SOC O & M

O & M de tecnologias SOC fora do escopo do ajuste do sensor. Isso inclui cuidados e alimentação de equipamentos de TI da SOC: servidores, estações de trabalho, impressoras, bancos de dados relacionais, sistemas de emissão de problemas, redes de área de armazenamento (SANs) e backup em fita. Se o SOC tiver seu próprio enclave, isso provavelmente incluirá a manutenção de seus roteadores, comutadores, firewalls e controladores de domínio, se houver. Isso também pode incluir O & M de sistemas de monitoramento, sistemas operacionais (SO) e hardware. O pessoal que oferece suporte a esse serviço tem privilégios de “root” em equipamentos SOC.

Ajuste e Manutenção do Sensor

Cuidados e alimentação de plataformas de sensores pertencentes e operadas pelo SOC: IDS, IPS, SIEM e assim por diante. Isso inclui a atualização de sistemas IDS / IPS e SIEM com novas assinaturas, ajuste de conjuntos de assinaturas para manter o volume de eventos em níveis aceitáveis, minimizar falsos positivos e manter o status de integridade dos sensores e feeds de dados. Os membros SOC envolvidos nesse serviço devem ter uma grande consciência das necessidades de monitoramento do SOC, de modo que o SOC possa acompanhar o ritmo de constante consistência e ambiente de ameaças. Alterações em qualquer dispositivo de prevenção em linha (HIPS / NIPS) são geralmente coordenadas com o NOC ou outras áreas de operações de TI. Esse recurso pode envolver um script ad-hoc significativo para mover dados e integrar ferramentas e feeds de dados.

Criação de assinatura personalizada

Criação e implementação de conteúdo de detecção original para sistemas de monitoramento (assinaturas de IDS, casos de uso do SIEM, etc.) com base nas ameaças atuais, vulnerabilidades, protocolos, missões ou outros detalhes específicos do ambiente do grupo constituinte. Esse recurso aproveita as ferramentas à disposição do SOC para preencher lacunas deixadas por assinaturas comercialmente ou fornecidas pela comunidade. O SOC pode compartilhar suas assinaturas personalizadas com outros SOCs.

Engenharia de ferramentas e implantação

Pesquisa de mercado, avaliação de produtos, prototipagem, engenharia, integração, implantação e atualização de equipamentos SOC, principalmente com base em tecnologias de software livre ou de software livre (FOSS) ou comercial (COTS). Esse serviço inclui orçamento, aquisição e recapitalização regular de sistemas SOC. O pessoal que apóia esse serviço deve manter-se atento a um ambiente de ameaças em mudança, trazendo novas capacidades para suportar em questão de semanas ou meses, de acordo com as exigências da missão.

Pesquisa e Desenvolvimento de Ferramentas

Pesquisa e desenvolvimento (P & D) de ferramentas personalizadas em que nenhuma capacidade adequada comercial ou de código aberto atenda a uma necessidade operacional. O escopo desta atividade abrange desde o desenvolvimento de código para um problema conhecido e estruturado até a pesquisa acadêmica de vários anos aplicada a um desafio mais complexo.

Auditoria e Ameaça Interna

Coleta e Distribuição de Dados de Auditoria

Coleta de vários feeds de dados relevantes para segurança para fins de correlação e análise de incidentes. Essa arquitetura de coleção também pode ser aproveitada para oferecer suporte à distribuição e posterior recuperação de dados de auditoria para fins de investigação ou análise sob demanda fora do escopo da missão do SOC. Esse recurso abrange a retenção a longo prazo de dados relevantes para a segurança para uso por constituintes fora do SOC.

Criação e gerenciamento de conteúdo de auditoria

Criação e adaptação de conteúdo de SIEM ou manutenção de registros (LM) (correlação, painéis, relatórios, etc.) para fins de revisão de auditoria e detecção de uso indevido dos constituintes. Esse serviço baseia-se no recurso de distribuição de dados de auditoria, fornecendo não apenas um feed de dados brutos, mas também conteúdo criado para constituintes fora do SOC.

Suporte para casos de ameaças internas

Suporte para análise e investigação de ameaças internas em duas áreas relacionadas, mas distintas: 1. Encontrar dicas para potenciais casos de ameaças internas (por exemplo, uso indevido de recursos de TI, fraudes com cartões de ponto, fraude financeira, espionagem industrial ou roubo).

O SOC alertará os órgãos de investigação apropriados (agentes da lei, Inspetor Geral [IG], etc.) com um caso de interesse. 2. Em nome desses órgãos de investigação, o SOC fornecerá mais monitoramento, coleta de informações e análise em apoio a um caso de ameaça interna.

Investigação de caso de ameaça interna

O SOC aproveitando sua própria autoridade regulatória ou legal independente para investigar a ameaça interna, para incluir monitoramento focado ou prolongado de indivíduos específicos, sem precisar de apoio ou autoridades de uma entidade externa. Na prática, poucos SOCs fora da comunidade de aplicação da lei têm essas autoridades, então eles geralmente agem sob a direção de outra organização.

Digitalização e Avaliação

Mapeamento de Rede

Mapeamento sustentado e regular de redes constituintes para entender as interfaces de tamanho, forma, composição e perímetro do grupo, por meio de técnicas automatizadas ou manuais. Esses mapas geralmente são construídos em cooperação com – e distribuídos a – outros constituintes.

Análise de Vulnerabilidade

Interrogação de hosts de consistência para o status de vulnerabilidade, geralmente com foco no nível de patch de cada sistema e na conformidade de segurança, geralmente por meio de ferramentas distribuídas automatizadas. Como no mapeamento de rede, isso permite que o SOC compreenda melhor o que deve defender. O SOC pode fornecer esses dados de volta aos membros do grupo, talvez em relatório ou resumo. Esta função é realizada regularmente e não faz parte de uma avaliação ou exercício específico

Avaliação de vulnerabilidade

Conhecimento completo, avaliação de segurança aberta de um site, enclave ou sistema constituinte, às vezes conhecido como “Blue Teaming”. Os membros da SOC trabalham com proprietários de sistema e administradores de sistemas para examinar de forma holística a arquitetura de segurança e vulnerabilidades de seus sistemas, examinando configuração do sistema, revisão da documentação do projeto do sistema e entrevistas.

Essa atividade pode alavancar ferramentas de varredura de redes e vulnerabilidades, além de tecnologias mais invasivas usadas para interrogar sistemas para configuração e status. A partir desse exame, os membros da equipe produzem um relatório de suas descobertas, junto com a correção recomendada. Os SOCs aproveitam as avaliações de vulnerabilidade como uma oportunidade para expandir a cobertura de monitoramento e o conhecimento de seus analistas sobre o eleitorado

Teste de penetração

Não-conhecimento ou avaliação de conhecimento limitado de uma área específica do grupo, também conhecida como “Red Teaming”. Membros do SOC conduzem um ataque simulado contra um segmento do eleitorado para avaliar a resiliência do alvo em um ataque real.

Essas operações geralmente são conduzidas apenas com o conhecimento e a autorização dos executivos de nível mais alto dentro da consistência e sem aviso prévio aos proprietários do sistema. As ferramentas usadas na verdade executam ataques por vários meios: estouro de buffer, injeção de Linguagem de Consulta Estruturada (SQL) e fuzzing de entrada . As equipes vermelhas geralmente limitam seus objetivos e recursos para modelar a de um ator específico, talvez simulando uma campanha do adversário que pode começar com um ataque de phishing.

Quando a operação terminar, a equipe produzirá um relatório com suas descobertas, da mesma maneira que uma avaliação de vulnerabilidade. No entanto, como as atividades de teste de penetração têm um conjunto restrito de metas, elas não abrangem tantos aspectos da configuração do sistema e as melhores práticas quanto uma avaliação de vulnerabilidade faria.

Em alguns casos, o pessoal do SOC somente coordenará as atividades do Red-Teaming, com um terceiro designado realizando a maioria dos testes reais para garantir que os testadores não tenham conhecimento prévio dos sistemas constituintes ou vulnerabilidades.

Divulgação

Avaliação de Produto

Testando os recursos de segurança dos produtos pontuais sendo adquiridos pelos membros do grupo constituinte. Análogo às avaliações de vulnerabilidade em miniatura de um ou alguns hosts, esse teste permite uma análise aprofundada dos pontos fortes e fracos de um determinado produto, do ponto de vista da segurança. Isso pode envolver testes “internos” de produtos, em vez de avaliação remota de sistemas de produção ou pré-produção.

Consultoria de Segurança

Fornecer assessoria em segurança cibernética a entidades fora do âmbito da CND; suporte ao novo design do sistema, continuidade de negócios e planejamento de recuperação de desastres; política de segurança cibernética; guias de configuração segura; e outros esforços.

Formação e Conscientização

Um contato proativo com os participantes que apóiam o treinamento geral de usuários, boletins e outros materiais educacionais que os ajudam a entender vários problemas de segurança cibernética. Os principais objetivos são ajudar os membros a se proteger de ameaças comuns, como esquemas de phishing / pharming, sistemas finais mais seguros, aumentar a conscientização sobre os serviços do SOC e ajudar os constituintes a relatarem corretamente os incidentes.

Consciência situacional

Repackaging e redistribuição regular e repetível do conhecimento do SOC dos ativos, redes, ameaças, incidentes e vulnerabilidades dos constituintes. Essa capacidade vai além da distribuição de informações cibernéticas, melhorando a compreensão dos constituintes sobre a postura de segurança cibernética do público e de suas partes, impulsionando a tomada efetiva de decisões em todos os níveis. Essas informações podem ser entregues automaticamente por meio de um site da SOC, portal da Web ou lista de distribuição de e-mail.

Redistribuição de TTPs

Compartilhamento sustentado de produtos internos do SOC para outros consumidores, como SOCs parceiros ou subordinados, em um formato mais formal, polido ou estruturado. Isso pode incluir praticamente qualquer coisa que o SOC desenvolva sozinho (por exemplo, ferramentas, inteligência digital, assinaturas, relatórios de incidentes e outros observáveis ​​brutos). O princípio do quid pro quo geralmente se aplica: o fluxo de informações entre os SOCs é bidirecional.

Relações com a mídia

Comunicação direta com a mídia de notícias. O SOC é responsável por divulgar informações sem afetar a reputação do grupo ou as atividades de resposta em andamento.

Resumo

À medida que você enfrenta o desafio de construir um centro de operações de segurança ( SOC ), sua capacidade de antecipar obstáculos comuns facilitará o início, a construção e a maturação sem problemas ao longo do tempo. Embora cada organização seja única na atual postura de segurança, tolerância ao risco, experiência e orçamento, todos compartilham os objetivos de tentar minimizar e endurecer sua superfície de ataque e detectar rapidamente, priorizar e investigar incidentes de segurança quando eles ocorrem.

Referências

https://www.sans.org/reading-room/whitepapers/analyst/building-world-class-security-operations-center-roadmap-35907
https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf
http://www.mcafee.com/in/resources/white-papers/foundstone/wp-creating-maintaining-soc.pdf