Faça um balanço dos recursos disponíveis

O SOC gerencia duas categorias de recursos.

Um abrange os dispositivos, aplicativos e processos que eles devem proteger. A outra envolve as ferramentas que o SOC usa para proteger esses ativos.

O cenário de ativos que o SOC está encarregado de proteger pode ser vasto, dependendo das necessidades de TI da organização.

Inclui todos os componentes que constituem a rede – normalmente, uma variedade de terminais, tanto móveis quanto de desktop.

Também pode envolver recursos de nuvem que atendem aos clientes da organização ou oferecem suporte a operações e aplicativos internos.

Em algumas situações, o SOC concebe proteções para dispositivos de Internet das Coisas (IoT), que podem incluir tudo, desde micro-ondas de cozinha a scanners de armazém.

A chave para proteger a rede é a visibilidade adequada.

Sem ele, pode haver pontos cegos potencialmente perigosos dos quais os invasores podem tirar vantagem.

Portanto, um dos objetivos principais do SOC é obter visibilidade total de todos os terminais, software e servidores.

Isso inclui componentes internos e qualquer coisa que se conecte à rede da organização.

Às vezes, significa levar em consideração os terminais que os clientes e parceiros podem usar para fazer interface com a rede para reuniões ou colaboração profissional.

Como esses recursos são protegidos e usados

Para proteger adequadamente essa vasta gama de sistemas e dispositivos, um SOC deve ter um conhecimento amplo e profundo das ferramentas à sua disposição.

É semelhante a um carpinteiro que precisa não apenas saber qual tipo de martelo é melhor para cravar um certo tipo de prego, mas também a melhor maneira de girá-lo, aproveitando o peso da cabeça do martelo e a distância do cabo para segurá-lo enquanto bate no prego.

Além disso, o SOC precisa de uma compreensão profunda dos fluxos de trabalho dentro da organização, incluindo como departamentos e equipes individuais trabalham e como as ameaças são tratadas diariamente.

Preparação e manutenção preventiva

Não importa o quão bem preparada seja uma equipe de TI, é virtualmente impossível prevenir todos os problemas.

As ameaças tendem a inundar o sistema de uma forma ou de outra – e de vários ângulos.

No entanto, o SOC pode fazer muito para mitigar os esforços dos invasores, muitas vezes eliminando-os completamente. Isso é feito por meio de preparação e manutenção preventiva.

Preparação

O primeiro passo para a preparação é que o SOC se mantenha atualizado sobre as inovações de segurança à sua disposição. Isso é crucial porque as ameaças mais recentes costumam ser mais bem tratadas com as tecnologias de detecção e resposta de ameaças mais recentes.

Além disso, com o uso de dispositivos IoT crescendo rapidamente, o cenário de proteção está sempre se expandindo.

Portanto, um entendimento completo de como cada categoria de dispositivo IoT funciona e suas vulnerabilidades é essencial.

A preparação envolve fazer um balanço das ferramentas disponíveis e das ameaças que podem surgir e, em seguida, conceber um roteiro que detalha como enfrentar cada desafio.

Este plano deve ser completo, mas flexível, especialmente porque novas ameaças surgem constantemente.

Devem ser incluídas no roteiro medidas de recuperação de desastres. Se o sistema estiver infiltrado e um ataque for bem-sucedido, essas medidas podem fazer a diferença entre horas e dias de inatividade.

O roteiro de recuperação de desastres também deve levar em consideração os diferentes tipos de desastres que afetam sua infraestrutura de TI de maneiras imprevisíveis e assimétricas.

Por exemplo, um ataque pode infectar terminais móveis, enquanto outro pode paralisar as estações de trabalho dos usuários locais. É prudente formular planos para ambas as situações.

Manutenção preventiva

A manutenção preventiva não tem tanto a ver com a prevenção de ataques porque os ataques vão acontecer.

Ele se concentra mais em garantir que os ataques falhem – ou em limitar os danos que eles infligem.

Parte integrante da manutenção preventiva é a regularidade. Seu sistema de segurança deve ser constantemente atualizado para que possa acompanhar as metodologias de ataque em constante evolução.

Isso envolve garantir que suas políticas de firewall de rede estejam atualizadas, identificando vulnerabilidades e corrigindo-as e escolhendo quais sites você deseja colocar na lista de permissões e na lista negra e, em seguida, adicionar e subtrair regularmente sites de ambas as categorias.

A manutenção preventiva também envolve garantir que os aplicativos que interagem com a rede sejam seguros.

Os aplicativos se tornaram uma superfície de ataque cada vez mais popular, mas ao proteger o aplicativo ou seu ambiente, você pode limitar a eficácia dos ataques.

Monitoramento Proativo Contínuo

O monitoramento constante é a chave para maximizar a visibilidade.

Para garantir que seu sistema de monitoramento seja eficaz, a equipe SOC implementa ferramentas que fazem a varredura de sua rede, procurando por qualquer coisa que pareça suspeita.

Isso inclui ameaças óbvias e atividades anormais que podem ou não representar um perigo.

Algumas atividades serão fáceis de identificar como maliciosas porque os dados se ajustam a um perfil de ameaça pré-identificado.

Outra atividade pode ser suspeita, mas não abertamente perigosa.

Lidar proativamente até mesmo com ameaças ligeiramente suspeitas pode envolver sandbox dos dados ou a execução de protocolos de segurança para proteger os dispositivos expostos.

Para tornar isso possível, ferramentas como um SIEM ou sistema de detecção e resposta de endpoint (EDR) podem ser as peças centrais da abordagem da equipe SOC.

Os sistemas SIEM e EDR avançados incorporam inteligência artificial (IA) para ajudá-los a “aprender” o comportamento dos usuários e dos próprios terminais.

Se algo parecer fora do comum, medidas preventivas podem ser tomadas para conter ou eliminar o perigo.

Dentro do processo de monitoramento, deve haver sistemas que alertem automaticamente – e imediatamente – a equipe SOC sobre ameaças emergentes.

Como não é incomum receber centenas ou milhares de alertas todos os dias, os próprios alertas precisam ser gerenciados.

Classificação e gerenciamento de alertas

Os alertas gerados pelo sistema devem ser examinados para evitar a perda de tempo da equipe de TI ou a interrupção desnecessária do fluxo de trabalho dos funcionários ou da gerência.

A equipe SOC assume a responsabilidade de examinar cada alerta.

Em seguida, a equipe filtra os falsos positivos que podem consumir tempo e recursos desnecessariamente.

Se uma ameaça real for identificada, a equipe SOC terá que descobrir o quão agressiva ela é e o tipo de ameaça.

Ele também precisa determinar quais áreas da rede a ameaça está direcionada. Isso torna mais fácil para o SOC lidar com cada ameaça potencial da maneira mais eficiente possível.

Também lhes dá um meio de classificar as ameaças em termos de urgência. Eles podem então descobrir como distribuir melhor os recursos para lidar com eles.

Resposta à Ameaça

Lidar com uma ameaça emergente é uma das atividades mais importantes de um SOC. Quando uma ameaça é identificada, é o SOC que atua como inicializador no solo e é o primeiro a entrar no local, tomando as medidas adequadas para proteger a rede e seus usuários. Isso pode envolver o encerramento completo dos terminais ou a sua desconexão da rede.

Em alguns casos, eles precisam isolar um ponto de extremidade para garantir que a ameaça não se espalhe.

A resposta a ameaças do SOC também pode envolver a identificação de processos afetados e o encerramento deles.

Com algumas ameaças, os processos podem ser usados ​​por softwares mal-intencionados para executar ataques em outros dispositivos conectados, portanto, a terminação pode proteger uma série de outros pontos de extremidade na rede.

Em outras situações, pode ser necessário excluir os arquivos de componentes específicos da rede para proteger outros usuários.

Conforme o SOC responde à ameaça, eles se concentram em fornecer uma solução abrangente, minimizando a interrupção da atividade do usuário.

Desta forma, a continuidade dos negócios pode ser mantida, mantendo a organização segura.

Recuperação e Remediação

Depois que a poeira assenta após um incidente, o SOC precisa fazer as coisas voltarem a funcionar.

Isso pode envolver a recuperação de dados perdidos ou o exame de dados que podem ter sido comprometidos.

O processo é necessariamente completo.

Cada ponto de extremidade que pode estar dentro do vetor de ataque precisa ser examinado cuidadosamente para garantir que seja seguro, assim como todas as áreas da rede que se conectam a ele.

No caso de um ataque de ransomware, o SOC pode ter que identificar backups feitos antes de quando o ataque ocorreu.

Eles podem então ser usados para restaurar os dispositivos após uma limpeza ter sido realizada, o que efetivamente envia o dispositivo “de volta no tempo” ao que era antes do incidente.

Gerenciamento de Log

Embora os logs sejam frequentemente gerados automaticamente e ignorados na maior parte do tempo, eles contêm uma infinidade de informações úteis sobre o sistema, incluindo qualquer coisa que possa ter se infiltrado nele.

A equipe SOC, portanto, deve coletar, manter e revisar cuidadosamente a atividade de log.

Em um log, você vê um instantâneo da linha de base do sistema em um estado íntegro. Se dois logs forem comparados lado a lado, a presença de uma ameaça pode ser revelada porque o segundo log é diferente do instantâneo da linha de base.

Além disso, os logs podem ser usados ​​para corrigir após um incidente de segurança.

O principal para a remediação é se envolver em um exame forense de dados de log, que muitas vezes revela informações importantes sobre a natureza de uma ameaça e seus alvos.

Obviamente, vários logs são renderizados simultaneamente por diferentes endpoints, firewalls e sistemas operacionais conectados à rede.

Como cada um deles produz seu próprio log, um SOC pode usar uma ferramenta SIEM para a agregação e correlação dos dados. Isso agiliza o processo de análise de log.

Análise de causa raiz

Após um incidente, é o SOC que deve responder às questões centrais do incidente. O que aconteceu? Como isso foi realizado? Por que isso aconteceu?

Os dados de registro também desempenham um papel importante neste processo.

Ajuda a descobrir como a ameaça penetrou no sistema, bem como por onde entrou e de onde veio.

Quando essas informações são coletadas e correlacionadas, elas podem ser usadas para evitar que ameaças semelhantes passem no futuro.

Com alguns sistemas, o SOC pode obter informações sobre a ameaça e inseri-las no sistema de prevenção para que possam ser adicionadas a uma lista de perigos.

Isso ajuda a impedir ameaças futuras para a própria organização e outras pessoas que podem fazer uso dos mesmos mecanismos de proteção.

Refinamento e melhoria de segurança

Como os cibercriminosos refinam e atualizam constantemente a forma como operam, um SOC precisa fazer o mesmo.

Isso envolve mais do que apenas atualizar um banco de dados de detecção de ameaças.

O SOC deve fazer melhorias contínuas em suas medidas de segurança e tecnologia para se manter atualizado e à frente das ferramentas mais recentes usadas por hackers e outros agentes mal-intencionados.

O refinamento e a melhoria eficazes envolvem fazer mudanças – pequenas ou grandes – no roteiro de segurança.

Se isso for feito de forma unificada, em nível global, todos na organização podem se beneficiar.

Gestão de Conformidade

Os requisitos de conformidade vêm em duas formas: aqueles que são ditados por agências governamentais externas e aqueles que constituem as melhores práticas para uma organização.

A conformidade decorrente de regulamentações governamentais é comum em uma variedade de setores, especialmente nas áreas médica, financeira, jurídica e de aplicação da lei.

Alguns regulamentos que comumente afetam as considerações de conformidade das organizações incluem o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).

O cumprimento dessas regulamentações protege o sistema de perigos e a organização de litígios potencialmente caros.

Um SOC eficaz assume o controle dessas medidas, garantindo que tudo seja feito de acordo com as normas legislativas.

A conformidade decorrente das melhores práticas estabelecidas pela organização é comum a praticamente qualquer empresa.

O SOC tem a tarefa de tomar as medidas existentes e implementá-las de acordo com a política organizacional.

Além disso, se a estrutura de conformidade de uma organização ainda estiver incompleta, o SOC pode assumir a responsabilidade de determinar quais são as práticas recomendadas da organização e, em seguida, traduzi-las em um protocolo replicável e acionável.

Saiba mais sobre SOC DANRESA Fortinet lendo os artigos relacionados

FortiAnalyzer com FortiSOC na Gestão, Automação e Resposta a Incidentes

FortiSOC e Threat Hunting

FortiSOC – O que é SOC

FortiSOC – Modelos, Benefícios, e Desafios do SOC

comercial@danresa.com.br | (11) 4452-6448
www.danresa.com.br
Chat Online neste site!

DANRESA Security and Network Solutions é uma Consultoria de Segurança da Informação que se destaca por prover Soluções Completas em Segurança, Infraestrutura de Redes e Comunicação de TI, desde 1998.

  • Revenda Platinum da Fortinet.
  • NSE8 Fortinet Network Security Expert.
  • Atuação nos mercados Enterprise, Telcos e Data Centers.
  • Projetos e cases de sucesso SD-WAN, Secure Access, Security Cloud, VoIP, Advanced Threat Protection e todos os componentes do Security Fabric da Fortinet.
  • SNOC e Suporte Especializado 7x24x365, DevSecOps, Instalações em Massa, Equipe de Engenheiros, Analistas e Integradores Certificados, Metodologia de Projetos PMI.
  • Maior diversidade de produtos Fortinet instalados em clientes.
  • Parceira Oficial de Produtos e Soluções de Segurança de TI dos Fabricantes
A Partner of