Funções de SecOps (operações de segurança)

O principal objetivo de uma função de SecOps (operações de segurança de nuvem) é detectar, ataques ativos em recursos corporativos, além de responder e se recuperar deles.

Conforme o SecOps amadurece, as operações de segurança devem:

• Responder de maneira reativa aos ataques detectados pelas ferramentas
• Buscar de maneira proativa os ataques que não foram detectados nas detecções reativas passadas

Modernização

Atualmente, a detecção e a resposta a ameaças estão passando por uma modernização significativa em todos os níveis.

• Elevação para gerenciamento de riscos de negócios: o SOC está se transformando em um componente fundamental do gerenciamento de riscos de negócios para a organização
• Métricas e metas: o acompanhamento da eficácia do SOC está evoluindo do "tempo de detecção" a estes indicadores-chave:
  • Capacidade de resposta por meio do MTTA (tempo médio de reconhecimento).
  • Velocidade de correção por meio do MTTR (tempo médio de correção).
• Evolução da tecnologia: a tecnologia do SOC está evoluindo do uso exclusivo da análise estática de logs em um SIEM para adicionar o uso de ferramentas especializadas e técnicas de análise sofisticadas. Isso fornece insights detalhados sobre os ativos que fornecem alertas de alta qualidade e experiência de investigação que complementam a exibição de amplitude do SIEM. Os dois tipos de ferramentas estão usando cada vez mais a IA e o machine learning, a análise de comportamento e a inteligência integrada contra ameaças para ajudar a identificar e priorizar ações anormais que possam ser um invasor mal-intencionado.
• Busca de ameaças: os SOCs estão adicionando a busca de ameaças orientadas por hipótese para identificar de maneira proativa invasores avançados e deslocar os alertas com ruído para fora das filas de analistas de linha de frente.
• Gerenciamento de incidentes: a disciplina está se tornando formalizada para coordenar elementos não técnicos de incidentes com equipes legais, comunicações e outras equipes. Integração do contexto interno: para ajudar a priorizar atividades do SOC, como as pontuações de risco relativas de contas de usuário e dispositivos, a confidencialidade de dados e aplicativos e os principais limites de isolamento de segurança para proteção rigorosa.

Para obter mais informações, consulte:

• Disciplina de operações de segurança
• Vídeos e slides de melhores práticas de operações de segurança
• Módulo 4b do workshop para CISO: estratégia de proteção contra ameaças
• Série do blog do CDOC (Cyber Defense Operations Center): parte 1, parte 2a, parte 2b, parte 3a, parte 3b, parte 3c e parte 3d
• Guia do NIST para tratamento de incidentes de segurança do computador
• Guia do NIST para recuperação de eventos de segurança cibernética

Composição da equipe e relações principais

Em geral, o centro de operações de segurança de nuvem é formado pelos tipos de funções a seguir.

• Operações de TI (fechamento de um contato regular)
• Inteligência contra ameaças
• Arquitetura de segurança
• Programa de risco interno
• Recursos legais e humanos
• Equipes de comunicação
• Organização de risco (se presente)
• Associações, comunidades e fornecedores específicos do setor (antes que ocorra um incidente)

Próximas etapas

Revise a função de arquitetura de segurança.