Funções de SecOps (operações de segurança)
O principal objetivo de uma função de SecOps (operações de segurança de nuvem) é detectar, ataques ativos em recursos corporativos, além de responder e se recuperar deles.
Conforme o SecOps amadurece, as operações de segurança devem:
- Responder de maneira reativa aos ataques detectados pelas ferramentas
- Buscar de maneira proativa os ataques que não foram detectados nas detecções reativas passadas
Modernização
Atualmente, a detecção e a resposta a ameaças estão passando por uma modernização significativa em todos os níveis.
- Elevação para gerenciamento de riscos de negócios: o SOC está se transformando em um componente fundamental do gerenciamento de riscos de negócios para a organização
- Métricas e metas: o acompanhamento da eficácia do SOC está evoluindo do "tempo de detecção" a estes indicadores-chave:
- Capacidade de resposta por meio do MTTA (tempo médio de reconhecimento).
- Velocidade de correção por meio do MTTR (tempo médio de correção).
- Evolução da tecnologia: a tecnologia do SOC está evoluindo do uso exclusivo da análise estática de logs em um SIEM para adicionar o uso de ferramentas especializadas e técnicas de análise sofisticadas. Isso fornece insights detalhados sobre os ativos que fornecem alertas de alta qualidade e experiência de investigação que complementam a exibição de amplitude do SIEM. Os dois tipos de ferramentas estão usando cada vez mais a IA e o machine learning, a análise de comportamento e a inteligência integrada contra ameaças para ajudar a identificar e priorizar ações anormais que possam ser um invasor mal-intencionado.
- Busca de ameaças: os SOCs estão adicionando a busca de ameaças orientadas por hipótese para identificar de maneira proativa invasores avançados e deslocar os alertas com ruído para fora das filas de analistas de linha de frente.
- Gerenciamento de incidentes: a disciplina está se tornando formalizada para coordenar elementos não técnicos de incidentes com equipes legais, comunicações e outras equipes. Integração do contexto interno: para ajudar a priorizar atividades do SOC, como as pontuações de risco relativas de contas de usuário e dispositivos, a confidencialidade de dados e aplicativos e os principais limites de isolamento de segurança para proteção rigorosa.
Para obter mais informações, consulte:
- Disciplina de operações de segurança
- Vídeos e slides de melhores práticas de operações de segurança
- Módulo 4b do workshop para CISO: estratégia de proteção contra ameaças
- Série do blog do CDOC (Cyber Defense Operations Center): parte 1, parte 2a, parte 2b, parte 3a, parte 3b, parte 3c e parte 3d
- Guia do NIST para tratamento de incidentes de segurança do computador
- Guia do NIST para recuperação de eventos de segurança cibernética
Composição da equipe e relações principais
Em geral, o centro de operações de segurança de nuvem é formado pelos tipos de funções a seguir.
- Operações de TI (fechamento de um contato regular)
- Inteligência contra ameaças
- Arquitetura de segurança
- Programa de risco interno
- Recursos legais e humanos
- Equipes de comunicação
- Organização de risco (se presente)
- Associações, comunidades e fornecedores específicos do setor (antes que ocorra um incidente)
Próximas etapas
Revise a função de arquitetura de segurança.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de