Visão geral das operações de segurança

  • Artigo

As operações de segurança (SecOps) mantêm e restauram as garantias de segurança do sistema, à medida que adversários dinâmicos atacam o sistema. A NIST Cybersecurity Framework descreve as funções do SecOps de Detecção, Resposta e Recuperação.

  • Detectar: as SecOps devem detectar a presença de adversários no sistema, que são incentivados a permanecer ocultos na maioria dos casos, permitindo que atinjam seus objetivos livremente. Isso pode assumir a forma de reagir a um alerta de atividade suspeita ou procurar proativamente eventos anormais nos logs de atividade da empresa.

  • Responder: após a detecção de uma possível ação ou campanha do adversário, as SecOps devem investigar rapidamente para identificar se é um ataque real (verdadeiro positivo) ou um alarme falso (falso positivo) e, em seguida, enumerar o escopo e a meta da operação do adversário.

  • Recuperar: a meta final das SecOps é preservar ou restaurar as garantias de segurança (confidencialidade, integridade, disponibilidade) dos serviços comerciais durante e após um ataque.

O risco de segurança mais significativo que a maioria das organizações enfrenta é de operadores de ataque humano (de diferentes níveis de habilidade). O risco de ataques automatizados/repetidos foi atenuado significativamente para a maioria das organizações por abordagens baseadas em assinatura e aprendizado de máquina incorporadas ao antimalware. Embora deva ser notado que há exceções notáveis como Wannacrypt e NotPetya, que se moveram mais rápido do que essas defesas).

Embora os operadores de ataque humano sejam difíceis de enfrentar devido à sua adaptabilidade (em comparação à lógica automatizada/repetida), eles estão operando na mesma "velocidade humana" que os defensores, o que ajuda a estabelecer igualdade de condições.

As SecOps, às vezes conhecidas como SOC, Centro de Operações de Segurança, têm uma função essencial na limitação do tempo e do acesso que um invasor pode obter em sistemas e dados importantes. Cada minuto que um invasor tem no ambiente permite que ele continue a realizar operações de ataque e acessar sistemas confidenciais ou importantes.