Funções de operações de segurança (SecOps)

O principal objetivo de uma função de operações de segurança na cloud (SecOps) é detetar, responder e recuperar de ataques ativos a recursos empresariais.

À medida que o SecOps amadurece, as operações de segurança devem:

• Responder reativamente a ataques detetados por ferramentas
• Proativamente, procure ataques que passaram por deteções reativas

Modernização

Detetar e responder a ameaças está atualmente a sofrer uma modernização significativa a todos os níveis.

• Elevação à gestão de riscos empresariais: O SOC está a tornar-se num componente fundamental da gestão do risco empresarial para a organização
• Métricas e objetivos: O controlo da eficácia do SOC está a evoluir de "tempo para detetar" para estes indicadores principais:
  • Capacidade de resposta através do tempo médio a reconhecer (MTTA).
  • Velocidade de remediação através do tempo médio de remediação (MTTR).
• Evolução tecnológica: A tecnologia SOC está a evoluir da utilização exclusiva da análise estática de registos num SIEM para adicionar a utilização de ferramentas especializadas e técnicas de análise sofisticadas. Isto fornece informações aprofundadas sobre recursos que fornecem alertas de alta qualidade e experiência de investigação que complementam a visão de amplitude do SIEM. Ambos os tipos de ferramentas estão a utilizar cada vez mais IA e machine learning, análise de comportamentos e informações sobre ameaças integradas para ajudar a identificar e priorizar ações anómalos que podem ser um atacante malicioso.
• Investigação de ameaças: Os SOCs estão a adicionar hipóteses orientadas para a investigação de ameaças para identificar proativamente atacantes avançados e transferir alertas ruidosos para fora das filas de analistas de primeira linha.
• Gestão de incidentes: A disciplina está a tornar-se formalizada para coordenar elementos não técnicos de incidentes com equipas legais, comunicações e outras equipas. Integração do contexto interno: Para ajudar a priorizar as atividades SOC, tais como as classificações de risco relativos de contas de utilizador e dispositivos, a confidencialidade dos dados e das aplicações e os principais limites de isolamento de segurança a defender de perto.

Para obter mais informações, consulte:

• Disciplina de operações de segurança
• Vídeos e diapositivos de melhores práticas de operações de segurança
• Módulo 4b do workshop CISO: estratégia de proteção contra ameaças
• Série de blogue do Centro de Operações de Defesa Cibernética (CDOC) parte 1, parte 2a, parte 2b, parte 3a, parte 3b, parte 3c, parte 3d
• Guia de processamento de incidentes de segurança informática NIST
• Guia NIST para recuperação de eventos de cibersegurança

Composição da equipa e relações-chave

Geralmente, o centro de operações de segurança da cloud é composto dos seguintes tipos de funções.

• Operações de TI (fechar contacto regular)
• Informações sobre ameaças
• Arquitetura de segurança
• Programa de risco interno
• Recursos legais e humanos
• Equipas de comunicações
• Organização de risco (se presente)
• Associações, comunidades e fornecedores específicos do setor (antes de o incidente ocorrer)

Passos seguintes

Reveja a função da arquitetura de segurança.