Segundo o FBI, o número de ataques cibernéticos reportado à sua divisão cibernética aumentou 400% em comparação com níveis pré-pandêmicos, e os ataques estão piorando. De sites financeiros a sites de saúde, sites governamentais e indústrias de cadeia de suprimentos, ninguém está a salvo desses ataques. A defesa tradicional contra essas ameaças é a Centro de Operações de Segurança (SOC) – uma sala cheia de analistas observando alertas de segurança nas telas de TV – mas essa defesa não está funcionando muito bem – basta perguntar ao cíber segurança equipes da Continental Pipeline, Target, TransUnion ou qualquer uma das centenas de outras empresas que sofreram ataques significativos.
Como um SOC Funciona e não funciona.
A teoria operacional por trás de um SOC é que se você coletar dados suficientes em toda a empresa por meio de vários Ferramentas de TI e segurança, em seguida, use plataformas de análise para classificar e visualizar os alertas de diferentes ferramentas e, finalmente, implante uma equipe de analistas em camadas para gerenciar e responder aos alertas, então certamente a maioria ou todos os ataques cibernéticos serão detectados rapidamente e tratados antes que causem danos reais. A experiência do mundo real nos diz o contrário.
Existem várias razões pelas quais o SOC modelo está quebrado. Em primeiro lugar, todas essas ferramentas de segurança emitem MUITOS alertas – milhares deles, muitos dos quais são benignos. Por exemplo, um usuário que normalmente está no escritório fazendo login de um local remoto pode acionar um alerta, ou um usuário que faz login fora do horário comercial pode acionar um alerta. Os analistas de segurança precisam lidar com centenas ou milhares desses alertas “falsos positivos” todos os dias.
Outra razão pela qual SOCs falha é que cada uma das ferramentas discretas de segurança cibernética em uso tem seu próprio formato de dados e, muitas vezes, seu próprio console e, em última análise, apenas descreve um único aspecto da postura de segurança da organização. No mundo de hoje, muitos ataques cibernéticos complexos ocorrem por meio de dois ou mais vetores - não é apenas alguém batendo em um firewall, pode ser um ataque de phishing por e-mail ou um vírus baixado durante uma atualização de programa de rotina (como no caso do Ataque SolarWindsO problema é que em um SOCNinguém consegue ter uma visão completa de forma intuitiva – essa visão precisa ser correlacionada manualmente em milhares de alertas por equipes de analistas. Como esse processo é manual, ele não permite uma automação robusta, nem garante que todos os alertas recebam a devida atenção.
Portanto, há muitos alertas, muitas ferramentas e não há correlação automática de dados suficiente entre as ferramentas. Mas também há outro problema: analistas insuficientes. Um estudo global de profissionais de segurança cibernética por Associação de Segurança de Sistemas de Informação (ISSA) e empresa de analistas da indústria Grupo de Estratégia Empresarial (ESG) relata que o subinvestimento em ferramentas de segurança cibernética, combinado com o desafio de cargas de trabalho adicionais para analistas, está causando uma escassez de habilidades que está levando a empregos não preenchidos e alto desgaste entre a equipe de segurança da informação. E isso também aumenta os custos dos analistas: um analista de segurança cibernética de primeira linha pode ganhar US$ 200,000 por ano.
Claro, tudo isso está acontecendo em um mundo onde os ataques cibernéticos estão se tornando mais sofisticados e numerosos a cada mês.
SOCmenos – Outra maneira
Mas e se as empresas abandonassem a SOC idéia? E se eles distribuíssem suas defesas cibernéticas geograficamente e para uma equipe de especialistas em infraestrutura? E se uma plataforma automatizasse o trabalho mundano de responder a alertas de baixa prioridade e o complexo trabalho de correlacionar todas as ferramentas de TI e segurança? E se os analistas gastassem seu tempo procurando ameaças proativamente e implementando políticas de práticas recomendadas? E se a fadiga de alerta não existisse? Isso é possível?
Isso é. Podemos olhar para as equipes de desenvolvimento de software para um exemplo de como isso pode funcionar. No DevOps, uma abordagem moderna de desenvolvimento de software, as melhores empresas de software do mundo não alinham seus desenvolvedores em filas em uma sala – elas têm sistemas que permitem colaborações assíncronas de pessoas distribuídas ao redor do mundo. Mas há muito mais do que apenas onde as pessoas se sentam.
No DevOps, a inovação e a correção de bugs são uma operação contínua, 24 horas por dia, 7 dias por semana, construída sobre sistemas de integração contínua e entrega contínua (CI/CD). O CI/CD moderno permite que os desenvolvedores se concentrem na criação e permite que as equipes menores criem produtos que definem o mercado. Tarefas mundanas e complexas são totalmente automatizadas em CI/CD, e os desenvolvedores precisam implementar testes proativos para todos os recursos que lançam. Isso reduz significativamente erros e bugs nos sistemas, o que permite que os desenvolvedores se concentrem no que mais importa.
O trabalho tradicional de um SOC está colocando uma equipe dedicada de humanos contra milhares de alertas. Mas as principais empresas de tecnologia adotaram um novo modelo: alertas confiáveis, bem documentados e de alta fidelidade chamam a atenção, mas a maioria dos alertas pode ser ignorada devido à automação. As plataformas de cibersegurança mais avançadas enviam automaticamente alertas de rotina para o proprietário da infraestrutura ou aplicativo responsável por essa área específica – seja um firewall, um usuário final, um aplicativo ou um servidor – juntamente com um conjunto de respostas recomendadas. Como Alex Maestretti (Atual CISO da Remily, ex-Gerente de Engenharia da Netflix, onde a equipe de SecOps está) SOCmenos) colocá-lo, é isso que se entende por SOCmenos – descentralização da triagem de alertas para especialistas do sistema. A solução para alertar a fadiga não são mais humanos ou mais dados, são sistemas autônomos robustos com processos descentralizados.
Migrando para SOCMenos
Para fazer isso Operações de segurança trabalho de modelo, o departamento de segurança precisa de pessoas contribuindo continuamente com mudanças significativas de políticas, estratégias de detecção e manuais, não olhando para monitores em busca de alertas. É preciso trabalho e comprometimento para chegar a esse estado, mas se os analistas estiverem sempre monitorando os alertas, nunca se anteciparão ao problema. Para permitir a proatividade, as equipes de segurança precisam da CI / CD equivalente para infra-estrutura de segurança.
O primeiro requisito é ter controles centrais de gerenciamento de riscos com as melhores práticas de higiene facilmente aplicadas. Um excelente exemplo disso é a implementação completa do Zero Trust; isso não apenas melhora sua postura de segurança, mas também reduz alertas e ruídos, simplificando assim o problema de dados. O segundo requisito é uma segurança cibernética plataforma de detecção e resposta onde estratégias e manuais podem ser implantados rapidamente. A implantação e a configuração rápidas são primordiais – o tempo desde a detecção e a ideia de resposta até a implantação da produção deve ser o mais próximo possível de zero. Qualquer plataforma de detecção e resposta que ofereça suporte a isso será fácil de usar e terá conteúdo significativo e pronto para uso, incluindo detecções baseadas em IA e aprendizado de máquina, porque as regras não são suficientes.
Indo SOCmenos requer mais do que tecnologia, no entanto. É preciso uma equipe comprometida e processos reimaginados – ficar confortável com automação significativa, fazer com que os proprietários de infraestrutura recebam alertas relevantes diretamente e dedicar a maior parte do tempo ao trabalho de segurança proativo. No entanto, sempre haverá a necessidade de pessoas e, para muitas empresas, aumentar a equipe interna com um Provedor de Serviços de Segurança Gerenciada é uma maneira econômica de permanecer proativo. Uma empresa precisa de pessoas para garantir que as estratégias corretas sejam continuamente implantadas e um MSSPs com uma implantação cogerenciada de uma plataforma de detecção e resposta permite que as empresas aumentem o suporte conforme necessário. Assim como as empresas se voltaram para a nuvem para ofertas como serviço, elas podem recorrer a MSSPs for SOC-como um serviço ofertas. Isso ajudará muitos a completar o SOCmenos transição.
Assim, ao dar uma boa olhada nas funções de DevOps distribuídas e mapeá-las para operações de segurança distribuídas (SecOps), as empresas podem começar a se antecipar aos hackers em termos de detectar e remediar ataques complexos. É preciso uma mudança real na percepção para conseguir isso, mas muitas das maiores e mais avançadas empresas do planeta já SOCmenos. Talvez seja hora de todas as outras empresas também.
