5 tendências modernas de operações de SOC que irão dominar 2021 e além

5 tendências modernas de operações de SOC que irão dominar 2021 e além. O ataque da SolarWinds pode ser um precursor do que há por vir e precisa ser tratado.

Em um ano que começou com o surgimento do COVID-19 (que trouxe novos desafios e ameaças, desde e -mails de phishing com tema de pandemia até ataques sofisticados e direcionados a empresas que pesquisam uma vacina), talvez a batalha mais difícil do setor tenha surgido no final com o ataque SolarWinds Sunburst .

O hack alarmou o mundo inteiro, o que a McAfee sinistramente descreveu como uma “arma cibernética inteligente guiada com precisão”, pode atuar como um projeto – e um precursor – do que está por vir . No entanto, os maiores fatores de estresse que afetam o centro de operações de segurança moderno em 2021 não serão os SolarWinds, mas os suspeitos usuais: fadiga de alertas, falsos positivos, superfícies de ataque crescentes, ferramentas de detecção díspares, escassez de habilidades e processos manuais e inconsistentes. 

O que nos leva a cinco tendências nas quais os profissionais de operações de segurança devem ficar de olho em 2021. Nada listado, pela Siemplify será necessariamente surpreendente ou mesmo novo, mas eles resumem a maneira como a cena SOC está caminhando – e se você não acompanhar, pode ficar atrás. Vamos começar!

1) Foco na detecção de ameaças, não no tratamento de alertas

Os alertas não são o problema. As ameaças são.” Essas foram as palavras do renomado pensador de segurança Anton Chuvakin durante uma apresentação no evento virtual SOCstock em dezembro últimoCom a empresa média forçada a realizar dezenas de milhares de eventos por dia, as organizações que estão focadas no alerta, versus na ameaça , correm o risco de se afogar em logs gerados pelo SIEM sem realmente entender como seus adversários operam e o que está contribuindo para sua suscetibilidade.

A grande maioria dos hackers são profissionais e sempre tentarão obter o melhor retorno possível através do menor esforço possível. Eles não vão escrever ferramentas de ataque se eles puderem usar outras ferramentas já criadas por outros “profissionais” (malwares, pentesting legítimos e outras ferramentas) e geralmente irão primeiro pela fruta mais baixa e seguem o caminho da menor resistência.

Mas, como observaram os White-Hats, os defensores devem ter em mente que uma defesa efetiva geralmente não dissuade os atacantes, simplesmente os força para um caminho diferente, e precisam prever o próximo passo dos atacantes antes que ele aconteça. 

Os atacantes adoram a simplicidade e, em geral, preferem manter o risco para si mesmos o mínimo possível.

Se levarmos todas estas coisas em consideração, não é de admirar que vimos a maioria deles passar de roubar dados de pagamento e identidade para ataques de resgate (ware), ataques DDoS e fraudes que dependem de ataques eficazes de lança. O anonimato da Tor e Bitcoin simplifica a folha de pagamento e o refúgio do atacante, reduzindo o risco de exposição consideravelmente“, observou um estudo da Arbor Networks.

Portanto, os analistas devem colaborar com outras pessoas, incluindo equipe de infraestrutura de rede, testadores de penetração, caçadores de ameaças, bem como quem Chuvakin descreve como “engenheiros de detecção” (responsáveis ​​por escrever regras de detecção). Mais tecnicamente falando, o agrupamento de alertas por tipo, que pode ser ativado por meio de automações, evitará que os analistas trabalhem em casos tediosos e os liberará para se concentrarem em obter maior visibilidade e consciência situacional dos ataques que estão ocorrendo.

Segundo a Arbor os defensores devem concentrar-se em defender o indivíduo em vez de apenas contas e ativos corporativos,  e devem ter uma boa ideia do que os invasores podem explorar na rede da empresa vindo da Internet (através de mecanismos de busca, mídias sociais, sites de pastebin, Shodan, etc. .). 

2) Envolvendo ajuda externa para formar um SOC Híbrido

Os pontos de pressão mencionados acima enfrentados pelas equipes de operações de segurança (sobrecarga de alertas, expansão da superfície de ataque, escassez de habilidades, etc.) também são algumas das principais razões pelas quais o SOC moderno continua a recorrer a prestadores de serviços terceirizados para ajudar a compensar seus limitações internas e ampliam suas capacidades de detecção e resposta. Os relacionamentos e necessidades que os usuários finais exigem de seus fornecedores de MSSP e MDR serão únicos, mas, em geral, as parcerias mais ideais são uma mistura entre o que você faz bem e o que o provedor faz bem. 

Para citar novamente Chuvakin, “Todo SOC moderno é um SOC híbrido.” A terceirização de terceiros para tarefas como análise de malware, inteligência de ameaças e gerenciamento de EDR deve continuar a crescer em 2021, recebendo um grande impulso do impacto contínuo do COVID-19, que forçou algumas organizações a sacrificar a segurança para a continuidade dos negócios. Provedores de MSSPs e MDR podem ajudar a fornecer agilidade, escala e economia de custos durante esses tempos difíceis. Esses arranjos também liberam as organizações para eventualmente obterem o conhecimento interno que originalmente não tinham, o que levou a convocar um provedor externo para ajudar a preencher as lacunas em primeiro lugar. 

3) Adotando uma estratégia SOC pesada ou nativa da nuvem

Outra área de tecnologia que está experimentando uma demanda acelerada do cliente são as ferramentas e serviços em nuvem , que permitem que as organizações mantenham os custos sob controle, permaneçam ágeis e obtenham um tempo de valorização mais rápido, especialmente porque uma grande parte da força de trabalho permanece remota. Da mesma forma, dentro do centro de operações de segurança, a nuvem está chegando para tirar proveito desses mesmos benefícios, onde algumas empresas estão abandonando o modelo tradicional de data centers e infraestrutura de servidor em favor de plataformas específicas de SOC nativas da nuvem e processos de segurança que se integram com ferramentas nativas da nuvem para impulsionar a visibilidade, detecção e resposta e ajudar a fornecer modelos de segurança como confiança zero. 

4) Atuando Remoto

Por falar em tradição de desenraizamento, os dias dos SOCs presenciais podem estar acabando. Instalações internas dedicadas são projetadas para máxima produtividade e conforto para analistas e engenheiros (e, dependendo de quantos sinos e apitos esses hubs de comando contêm, representam um “fator surpreendente” para clientes e clientes em potencial). O COVID-19 forçou as equipes de operações de segurança a fazer sua detecção e resposta a ameaças em ambientes totalmente remotos . Mas com o passar dos meses e as lacunas e vulnerabilidades iniciais foram preenchidas, os profissionais do SecOps – com a ajuda de liderança inteligente e ferramentas de colaboração – estão aprendendo que praticamente tudo o que fazem pode ser realizado remotamente, em muitos casos tão bem quanto fisicamente espaço.

A abordagem Zero Trust permite às empresas proteger seus ativos críticos, onde quer que estejam. Isso é importante porque usamos atualmente um grande e crescente número de dispositivos em empresas distribuídas, além do número cada vez maior de dispositivos conectados, que dificultam a definição dos perímetros das redes. Na realidade o perímetro de rede, como conhecido a décadas, esta desaparecendo.

Esse método assume confiança zero em todas as entidades – usuários, dispositivos, aplicações ou pacotes – independentemente com quem, com o que ou a que ponto elas se relacionem nas redes das empresas.

5) Maximizando capacidades por habilidades, não por níveis

No modelo SOC “em camadas”, os analistas juniores fazem a triagem dos eventos de entrada e escalam aqueles que eles não podem fechar rapidamente para uma equipe mais experiente. É um produto tradicional consagrado nas operações de segurança. Mas esse modelo está mudando, especialmente à medida que tarefas mais superficiais são amplamente resolvidas pela automação. Em um relatório de pesquisa do Cyentia Institute que produzido em 2019 pela Siemplify, as descobertas mostraram que pouco mais da metade dos entrevistados ainda trabalham em SOCs tradicionais ‘em camadas’ formados por diferentes níveis de analista. O restante forma equipes de funções e experiências mistas. Um SOC categorizado por habilidades, em vez de níveis, é mais flexível, garantindo que todos estejam entregando aquilo em que se destacam – e, com sorte, gostem de fazer. 

Conclusão

O tema que une essas cinco tendências e permite que prosperem é a automação. O papel da inteligência artificial e do aprendizado de máquina não é nenhuma novidade para a segurança, mas sua influência no SOC moderno está apenas se expandindo. Atualmente mais bem aplicada graças a tecnologias modernas, a automação visa reduzir a intervenção humana em tarefas demoradas e muitas vezes mundanas, do enriquecimento à resposta, trabalho que pode contribuir para o esgotamento . A automação, no entanto, sempre terá suas limitações, mesmo à medida que amadurece para assumir processos mais cognitivos. Isso garante que os humanos sempre terão um papel fundamental a desempenhar no SOC moderno .

Fonte: Siemplify


Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Webinars: Semana da Privacidade - Minuto da Segurança da Informação

Deixe sua opinião!