Visão geral das operações de segurança

  • Artigo

As operações de segurança (SecOps) mantêm e restauram as garantias de segurança do sistema à medida que adversários em tempo real o atacam. O NIST Cybersecurity Framework descreve as funções SecOps de Detetar, Responder e Recuperar bem.

  • Detetar - O SecOps deve detetar a presença de adversários no sistema, que são incentivados a permanecer ocultos na maioria dos casos, permitindo que eles alcancem seus objetivos sem impedimentos. Isso pode assumir a forma de reagir a um alerta de atividade suspeita ou procurar proativamente eventos anômalos nos logs de atividades da empresa.

  • Responder - Após a deteção de potencial ação ou campanha adversária, o SecOps deve investigar rapidamente para identificar se é um ataque real (verdadeiro positivo) ou um falso alarme (falso positivo) e, em seguida, enumerar o escopo e o objetivo da operação adversária.

  • Recuperar - O objetivo final do SecOps é preservar ou restaurar as garantias de segurança (confidencialidade, integridade, disponibilidade) dos serviços empresariais durante e após um ataque.

O risco de segurança mais significativo que a maioria das organizações enfrenta é de operadores de ataque humano (de diferentes níveis de habilidade). O risco de ataques automatizados/repetidos foi significativamente mitigado para a maioria das organizações por meio de abordagens baseadas em assinatura e aprendizado de máquina incorporadas ao antimalware. Embora deva ser notado que existem exceções notáveis como Wannacrypt e NotPetya, que se moveram mais rápido do que essas defesas).

Embora os operadores de ataque humano sejam desafiadores de enfrentar por causa de sua adaptabilidade (vs. lógica automatizada/repetida), eles estão operando na mesma "velocidade humana" que os defensores, o que ajuda a nivelar o campo de jogo.

O SecOps (às vezes chamado de Centro de Operações de Segurança (SOC)) tem um papel crítico a desempenhar na limitação do tempo e do acesso que um invasor pode obter a sistemas e dados valiosos. Cada minuto que um invasor tem no ambiente permite que ele continue a conduzir operações de ataque e acessar sistemas confidenciais ou valiosos.