SecOps
A SecOps, formada a partir de uma combinação de equipes de segurança e operações de TI, é uma equipe altamente qualificada, focada em monitorar e avaliar riscos e proteger ativos corporativos, muitas vezes operando a partir de um centro de operações de segurança, ou SOC.
Os ataques à cibersegurança estão aumentando, e o novo desafio de apoiar uma força de trabalho –amplamente remota em meio à pandemia e após– só dificulta a detecção e prevenção de ameaças. Estar um passo à frente dos atacantes é uma batalha constante, e o custo é insustentável, de acordo com 69% dos executivos pesquisados para o relatório State of Cyber Resilience da Accenture Security para 2020. As organizações, portanto, estão recorrendo mais fortemente a equipes dedicadas a SecOps para caçar, detectar, prevenir e mitigar ameaças cibernéticas. Este guia explica os benefícios de criar uma equipe dedicada de SecOps, como construir um centro de operações de segurança para apoiar a equipe SecOps, as ferramentas que sustentam o SecOps e as melhores práticas de implementação.
Benefícios e metas de SecOps
As equipes de segurança e operações de TI geralmente trabalham separadas umas das outras, o que torna a tarefa de identificar ameaças de segurança cibernética e se defender contra elas –ou, se essas ameaças se transformarem em ataques, mitigá-las– incrivelmente difícil. A combinação de operações de segurança e TI em uma equipe dedicada de SecOps permite que as organizações prevejam e resolvam de forma rápida e inteligente as preocupações de segurança.
A SecOps tem os seguintes benefícios e objetivos de negócios:
- proteção contínua;
- uma resposta rápida e eficaz;
- redução dos custos de violações e operações;
- prevenção de ameaças;
- experiência de segurança;
- conformidade;
- comunicação e colaboração; e
- uma reputação de negócios melhorada.
Papéis principais em uma equipe de SecOps
Como uma organização monta sua equipe SecOps determina o quão bem-sucedida ela será na prevenção de ciberataques. Juntar funções de forma fragmentada, sem uma estratégia abrangente, levará a uma resposta desarticulada. O que os CISOs precisam é de uma equipe coesa de SecOps com funções e responsabilidades claras que cubram a gama de ameaças e ataques de cibersegurança.
Existem cinco funções-chave que toda equipe do SecOps precisa:
- Resposta a incidentes
- Investigador de segurança
- Analista de segurança avançada
- Gerente de SOC
- Engenheiro/arquiteto de segurança
Surgiram algumas novas funções de cibersegurança que podem dar um impulso aos esforços de SecOps de uma organização: especialista em segurança na nuvem, especialista em risco de terceiros e profissional de ética digital. Essas posições abordam a influência da nuvem e as vulnerabilidades da cadeia de suprimentos, bem como preocupações com parceiros e privacidade.
As organizações que desejam migrar funcionários para papéis de SecOps podem conferir essas certificações e cursos de treinamento da SecOps.
O que faz um centro de operações de segurança?
Um SOC é uma instalação de central de comando para a equipe SecOps. Embora a equipe do SecOps possa interagir com outras equipes ou departamentos, ela é tipicamente independente com pessoal altamente qualificado (interno ou terceirizado). A maioria, mas não todos, os SOCs operam 24 horas por dia, 7 dias por semana, com equipes de SecOps trabalhando em turnos para registrar atividades e mitigar ameaças.
As organizações podem optar por implantar um de quatro modelos SOC:
- Um SOC virtual que opera online e é gerenciado por profissionais de SecOps da equipe ou terceirizados;
- Um SOC multifuncional que tenha um espaço físico dedicado, mas a equipe interna que executa o SOC é compartilhada, trabalhando em SecOps e outras tarefas de TI;
- Um SOC híbrido com uma equipe, especialistas terceirizados ou um mix para executar tarefas SecOps em tempo integral ou meio período em uma instalação dedicada, espaço virtual ou uma combinação de ambos; e
- Um SOC dedicado com um espaço físico interno que opera 24 horas por dia e é focado exclusivamente nas funções de SecOps.
Um SOC virtual como serviço permite que as empresas terceirizem algumas ou todas as responsabilidades do SOC para um provedor de serviços gerenciado –o que tem inúmeros benefícios, de acordo com Ashwin Krishnan, comunicador-chefe da SecureDynamics. Ao terceirizar um SOC, empresas com orçamento restrito ou habilidades internas limitadas podem lidar melhor com conformidade e regulamentações, preencher a lacuna de talentos e aproveitar as experiências e recursos agregados de um provedor.
Não importa o modelo que uma organização selecione, as capacidades técnicas do SOC devem ser as mesmas, permitindo que a equipe de SecOps realize a detecção de ameaças e resposta a incidentes. O SOC também deve prover notificações e alertas; orquestração de segurança, automação e resposta (SOAR); e caça a ameaças inteligente.
A Nemertes Research descobriu em seu Estudo de Pesquisa em Nuvem e Cibersegurança de 2019-2020 que organizações de cibersegurança bem-sucedidas (aquelas com tempo total médio para conter incidentes de segurança de 20 minutos ou menos) tinham 52% mais chances de ter um SOC do que organizações mal sucedidas (aquelas com um MTTC superior a 20 minutos).
Ferramentas comuns de SecOps
Firewalls e VPNs já foram considerados defesas fortes e adequadas contra ataques cibernéticos. Não são mais. Kevin Tolly, fundador do The Tolly Group, escreveu que essas tecnologias "não são mais um escudo contra ameaças de segurança mais modernas e sofisticadas".
Para combater as ameaças atuais, as organizações precisam que o software SecOps cubra cinco áreas:
- Segurança de DNS;
- Detecção e resposta de rede;
- Anti-phishing;
- Descoberta de dados; e
- Visibilidade no nível do pacote.
Mesmo as ferramentas de gerenciamento de informações de segurança e eventos (SIEM) são apenas o começo na construção de uma estratégia forte de SecOps: as organizações precisam adicionar orquestração, análise de comportamento de usuários e entidades e muito mais para criar uma defesa mais sofisticada e proativa.
Gerencie a segurança na nuvem
Gerenciar a segurança em ambientes de nuvem pode ser um pouco diferente do gerenciamento de segurança em uma empresa tradicional, por isso as equipes de SecOps precisam adaptar suas ferramentas e estratégias de acordo. Dave Shackleford, consultor principal da Voodoo Security, escreveu que a ativação de nuvem de um SOC exige que as equipes de SecOps façam o seguinte:
- Estabeleçam uma conta ou assinatura em nuvem separada inteiramente sob seu controle.
- Criem contas de menor privilégio para executar ações específicas na nuvem quando necessário.
- Implementem autenticação multifatorial em todas as contas.
- Habilitem gravação única de armazenamento para logs e evidências.
Ferramentas de automação e IA
A automação e a IA adentraram o universo das ferramentas de SecOps, e as organizações devem tentar automatizar o maior número possível de funções.
Os casos de uso de automação para SecOps e SOC são abundantes, incluindo detecção, resposta e análise de incidentes, análise de paisagem, mitigação de ameaças emergentes, aumento do analista SOC humano e gamificação do treinamento de segurança.
Funções automatizadas permitem que as equipes minerem dados sobre incidentes de segurança, atribuam pontuações de risco, agrupem por semelhanças, diferenciem e priorizem diferentes classes de ameaças, recomendem etapas de resposta ou remediação e muito mais.
Com a automação, as equipes da SecOps ganham perspectiva sobre o estado atual, insights sobre o que poderia acontecer e um plano de ação. O aumento dos vetores de ameaças, como dispositivos de IoT, exige que as equipes de SecOps tenham o acúmen do que a IA pode trazer –insights que ajudam a melhorar a detecção e prevenção. A automação também libera humanos de tarefas manuais tediosas para se concentrar mais na estratégia de SecOps.
Melhores práticas de implementação
O conceito de pareamento de segurança e operações de TI está crescendo em popularidade entre empresas de todos os tamanhos, e as melhores práticas para estruturar equipes e SOCs da SecOps estão emergindo.
Leia uma amostra das melhores práticas a seguir:
Defina o escopo de SecOps
As organizações devem determinar quais funções estão no âmbito da equipe de SecOps, levando em consideração os casos de uso da organização, os requisitos de segurança e as falhas de segurança. Só porque uma tarefa está fora do escopo da equipe não significa que não pode ser enfrentada. Algumas tarefas podem ser terceirizadas imediatamente ou destinadas a serem terceirizadas posteriormente.
Construir ou comprar
Considere cuidadosamente se deve construir um SOC ou comprar serviços SOC. A terceirização pode não dar às empresas a atenção dedicada de que precisam com base em sua tolerância ao risco de cibersegurança. Elas podem precisar de funcionários internos familiarizados intimamente com o negócio para ajudar a tomar decisões importantes.
As empresas menores, por sua vez, não devem ter medo de terceirizar seus SOCs, especialmente se seguirem esses critérios de seleção de SOC para avaliar potenciais provedores.
Invista no talento em SecOps
As pessoas podem ser um dos maiores desafios para a implementação do SOC, especialmente devido à escassez de pessoal e talentos, de acordo com John Burke, CIO e principal analista de pesquisa da Nemertes Research. As organizações devem criar uma estratégia voltada para o recrutamento e retenção de talentos de SecOps.
Realize exercícios de equipe vermelha vs. equipe azul
As equipes do SecOps precisam manter suas habilidades de inteligência de ameaças afiadas, incluindo a capacidade de detectar e prevenir ataques. Uma maneira de fazer isso é realizando exercícios de equipe vermelha vs. equipe azul, onde a equipe vermelha é o agressor e a equipe azul é o defensor. A equipe vermelha usa táticas como testes de penetração, phishing, engenharia social ou outros mecanismos de roubo de credenciais, varredura de portas e varredura de vulnerabilidade para se infiltrar na rede. A equipe vermelha também frequentemente cria ferramentas personalizadas para testar a capacidade da equipe azul de detectar problemas de segurança. Uma vez na rede, a equipe vermelha tentará escalar privilégios e acessar ou roubar identidades ou ativos.
A equipe azul, por sua vez, realiza atividades normais de SecOps, incluindo análise de sistemas corporativos, identificação de vulnerabilidades e avaliação da eficácia de ferramentas e políticas de segurança.
Cada equipe gera relatórios sobre suas atividades, e equipes mais avançadas de SecOps também terão uma equipe roxa para revisar esses relatórios e melhorar sua postura de segurança, já que muitas vezes equipes vermelhas e equipes azuis não querem compartilhar segredos entre si.
O futuro do SecOps
O futuro das SecOps verá a IA e o aprendizado de máquina se tornarem uma parte mais central da estratégia de SecOps. Os SOCs serão mais automatizados, personalizados, inteligentes, dinâmicos e proativos. No futuro, as organizações também dedicarão mais tempo ao desenvolvimento de métricas de sucesso para seus SOCs para avaliar o desempenho e melhorar os tempos de resposta.
Além disso, as equipes da SecOps precisarão dar maior ênfase à caça de ameaças para ficarem à frente dos atacantes, de acordo com Johna Till Johnson, presidente e sócia-fundadora sênior da Nemertes Research. As equipes de SecOps também precisarão provavelmente gastar mais tempo monitorando e avaliando ameaças no ambiente externo, revisando os serviços de inteligência de ameaças indo em frente.
As organizações devem começar agora a lançar ou expandir seus esforços de SecOps, já que os ciberataques inevitavelmente continuarão a ameaçar as operações corporativas.