Funções de operações de segurança (SecOps)
O principal objetivo de uma função de operações de segurança na cloud (SecOps) é detetar, responder e recuperar de ataques ativos a recursos empresariais.
À medida que o SecOps amadurece, as operações de segurança devem:
- Responder reativamente a ataques detetados por ferramentas
- Proativamente, procure ataques que passaram por deteções reativas
Modernização
Detetar e responder a ameaças está atualmente a sofrer uma modernização significativa a todos os níveis.
- Elevação à gestão de riscos empresariais: O SOC está a tornar-se num componente fundamental da gestão do risco empresarial para a organização
- Métricas e objetivos: O controlo da eficácia do SOC está a evoluir de "tempo para detetar" para estes indicadores principais:
- Capacidade de resposta através do tempo médio a reconhecer (MTTA).
- Velocidade de remediação através do tempo médio de remediação (MTTR).
- Evolução tecnológica: A tecnologia SOC está a evoluir da utilização exclusiva da análise estática de registos num SIEM para adicionar a utilização de ferramentas especializadas e técnicas de análise sofisticadas. Isto fornece informações aprofundadas sobre recursos que fornecem alertas de alta qualidade e experiência de investigação que complementam a visão de amplitude do SIEM. Ambos os tipos de ferramentas estão a utilizar cada vez mais IA e machine learning, análise de comportamentos e informações sobre ameaças integradas para ajudar a identificar e priorizar ações anómalos que podem ser um atacante malicioso.
- Investigação de ameaças: Os SOCs estão a adicionar hipóteses orientadas para a investigação de ameaças para identificar proativamente atacantes avançados e transferir alertas ruidosos para fora das filas de analistas de primeira linha.
- Gestão de incidentes: A disciplina está a tornar-se formalizada para coordenar elementos não técnicos de incidentes com equipas legais, comunicações e outras equipas. Integração do contexto interno: Para ajudar a priorizar as atividades SOC, tais como as classificações de risco relativos de contas de utilizador e dispositivos, a confidencialidade dos dados e das aplicações e os principais limites de isolamento de segurança a defender de perto.
Para obter mais informações, consulte:
- Disciplina de operações de segurança
- Vídeos e diapositivos de melhores práticas de operações de segurança
- Módulo 4b do workshop CISO: estratégia de proteção contra ameaças
- Série de blogue do Centro de Operações de Defesa Cibernética (CDOC) parte 1, parte 2a, parte 2b, parte 3a, parte 3b, parte 3c, parte 3d
- Guia de processamento de incidentes de segurança informática NIST
- Guia NIST para recuperação de eventos de cibersegurança
Composição da equipa e relações-chave
Geralmente, o centro de operações de segurança da cloud é composto dos seguintes tipos de funções.
- Operações de TI (fechar contacto regular)
- Informações sobre ameaças
- Arquitetura de segurança
- Programa de risco interno
- Recursos legais e humanos
- Equipas de comunicações
- Organização de risco (se presente)
- Associações, comunidades e fornecedores específicos do setor (antes de o incidente ocorrer)
Passos seguintes
Reveja a função da arquitetura de segurança.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários