Assistência

À Distância

24 Horas

Disponíveis

3 motivos para ter um sistema de segurança SOC na sua organização

Os serviços do Informatico.pt estão focados na criação de soluções para problemas globais necessárias para criar, dimensionar, proteger e defender as redes utilizadas nos nossos negócios e na vida do dia a dia dos nossos clientes. A necessidade de especialistas em segurança cibernética com uma boa formação continua a crescer a uma taxa exponencial. Essa formação para se tornar um especialista em segurança cibernética requer sobretudo uma compreensão profunda sobre como ocorrem os ataques cibernéticos, e como são detetados e evitados. Essa habilidade inclui naturalmente o conhecimento das técnicas que se utilizam para se comprometerem os dados, privacidade e segurança dos computadores e das redes de telecomunicações.

Neste artigo, utilizaremos ferramentas e técnicas num ambiente de formação capazes de criar, implementar, monitorizar e detetar vários tipos de ataques cibernéticos. Serão úteis que poder adquirir as habilidades e conhecimentos necessários para evitar ataques cibernéticos. As falhas de segurança e vulnerabilidades mostradas neste artigo só devem ser utilizadas de forma ética e em ambientes de teste virtuais “sandbox”. A utilização destas ferramentas, técnicas e recursos fora de um ambiente virtual é da estrita responsabilidade do leitor deste artigo. Se tiver alguma dúvida sobre que sistemas e redes de computadores que deve utilizar em ambiente virtual, deve contactar-nos antes de fazer qualquer tipo de experiência.

O acesso não autorizado a dados, computadores e sistemas de rede é um crime punível por lei, normalmente acompanhado por graves consequências, independentemente das motivações do utilizador. É da inteira responsabilidade do leitor deste artigo conhecer e cumprir as leis para a utilização correta das tecnologias.

Provavelmente já alguma vez na sua vida já lhe roubaram alguma coisa. Quer tenha sido uma carteira ou então a sua própria casa. Por isso é importante não só proteger a sua propriedade física, como também proteger as suas informações. Mas afinal de contas quem rouba informações e porque é que costuma fazer? Talvez seja apenas um jovem a testar se consegue hackear as nossas informações. Infelizmente normalmente não é bem isso, fazem-nos para terem algum tipo de ganho financeiro ou por outras razões. Continue a ler este artigo para saber mais sobre as ameaças e os criminosos responsáveis por esses ataques.

 

1 – Exemplos de ameaças

 

Mostramos-lhe a seguir algumas das ameaças mais comuns que justificam a implementação de ums sistema SOC na sua organização.

 

Pessoas roubadas

Um dia à tarde, a Sara passou no seu café favorito para tomar uma bebida quente. Ela fez o pedido, pagou ao empregado de balcão e esperou enquanto os empregados trabalhavam arduamente para conseguirem dar resposta a todos os pedidos dos clientes do café. Entretanto, a Sara pegou no seu telemóvel, desbloqueou-o e ligou-se ao que ela presumiu ser a rede sem fio gratuita do café.

No entanto, sentado a um canto do café, está um hacker que acabou de configurar um hotspot sem fios “perigoso” sem password com o nome da rede Wifi do café. Quando Sara entrou no site do seu banco, o hacker conseguiu sequestrar a sua sessão online e ter acesso às suas contas bancárias. Basicamente estas redes sem fios abertas podem ser hotspots “clonados” utilizados pelos atacantes para acederem à nossa informação.

 

sistema segurança soc organização

 

Empresas sequestradas

O Rodrigo é um funcionário do departamento financeiro de uma grande organização pública e recebeu um e-mail do seu superior CEO com um ficheiro PDF em anexo. O documento em PDF é sobre os ganhos do terceiro trimestre da empresa. Na verdade, o Rodrigo não se lembra de ter pedido esse documento, despertando a sua curiosidade e faz com que ele abra o anexo do email.

A mesma coisa acontece na restante organização, já que dezenas de outros funcionários também se sentem atraídos a clicar no anexo para consultar o documento. Quando o ficheiro PDF é aberto, o ataque de ransomware é espalhado pelos computadores dos funcionários e inicia-se um processo de recolha e encriptação dos dados da organização. O objetivo dos criminosos é ganhar dinheiro com o ataque, porque guardam os dados da empresa até que um resgate seja pago.

 

sistema segurança soc organização

 

Países ameaçados

Atualmente alguns dos malwares são tão sofisticados e o seu desenvolvimento é tão caro que alguns especialistas em segurança acreditam que apenas com a ajuda de um país ou de um grupo de países é que é possível conseguir a influência e o financiamento suficiente para o conseguir. São normalmente sistemas malware concebidos para atacarem uma determinada infraestrutura mais vulnerável de um determinado país, como o sistema de abastecimento de água ou energia elétrica.

Sim, esse era o principal objetivo do worm chamado Stuxnet. Foi uma ameaça que infetou algumas Pen-Drives USB que depois foram levadas por alguns fornecedores iranianos de componentes eletrónicos para dentro das instalações seguras da organização com quem eles trabalhavam. O Stuxnet foi concebido para se infiltrar nos sistemas operativos da Microsoft Windows e em seguida atacar o software desenvolvido pela Siemens para alguns modelos de controladores lógicos programáveis (PLCs).

Basicamente, a Stuxnet procurava um modelo específico de PLCs da Siemens que controla os sistemas de centrifugação das instalações de processamento de urânio. Conseguiram isso porque o worm foi transmitido dos Pen-drives USB que estavam infetados para os PLCs o que danificou muitas dessas centrifugadoras.

Se ficou curioso sobre esta ataque conhecido mundialmente, procure pelo filme Zero Days. Foi lançado em 2016 e retrata o que se conhece sobre a forma como foi desenvolvido e implementado o ataque de malware da Stuxnet à central nuclear.

 

sistema segurança soc organização

 

2 – Origens das ameaças

 

Na realidade existem muitos vetores de ataque utilizados por diversos tipos de criminosos para comprometerem a segurança das redes de comunicações e dos dados das organizações. Mostramos-lhe a seguir algumas das principais origens dos ataques atuais.

 

Quem são os atacantes?

Alguns dos principais causadores destas ameaças incluem, por exemplo, hackers amadores, hacktivistas, grupos do crime organizado patrocinados por alguns países e alguns grupos terroristas, entre outros. Basicamente, os autores das principais ameaças cibernéticas são indivíduos ou grupos de indivíduos que se dedicam a este tipo de ataques informáticos. São considerados atos maliciosos intencionais destinados a prejudicar negativamente um indivíduo ou uma organização.

Os amadores, são conhecidos por serem muito jovens e com pouca ou nenhuma habilidade em termos informáticos, ou de telecomunicações. Ou seja, costumam utilizar ferramentas que já existem ou tutoriais que encontram na Internet para conseguirem fazer os seus ataques. Aliás, alguns são apenas curiosos, ou então tentam demonstrar as suas capacidades causando danos a terceiros. No entanto, mesmo quando utilizam ferramentas rudimentares, podem causar danos devastadores e por isso nunca devem ser negligenciados.

Por outro lado, os hacktivistas são criminosos que pretendem protestar contra uma variedade de ideias políticas e sociais. Ou seja, os hacktivistas insurgem-se publicamente contra algumas organizações ou governos. Para o conseguirem, publicam artigos, vídeos e informações confidenciais. Ou então, param e bloqueiam serviços da internet recorrendo a tráfego ilegítimo com base em ataques de negação de serviço distribuída (DDoS).

Grande parte destas atividades de hacking que ameaçam constantemente a nossa segurança é motivada pelo facto de serem financeiramente rentáveis para os criminosos. Ou seja, eles querem ter acesso à nossa conta bancária, aos nossos dados pessoais e a qualquer outra coisa que eles possam utilizar para conseguirem trocar por dinheiro.

Ultimamente temos ouvido dezenas de histórias sobre países que atacam outros países, ou então que interferem de alguma forma com a política interna dos adversários. Além disso, alguns estados ou nações estão interessados em utilizar o ciberespaço para fazerem espionagem industrial. Basicamente porque o roubo de propriedade intelectual pode dar a um país uma vantagem significativa muito importante no comércio internacional.

De facto, a proteção contra as consequências dos ataques de espionagem cibernética patrocinados por alguns Estados do mundo continuam a ser uma prioridade para todos os profissionais responsáveis pela segurança cibernética.

 

Estamos seguros?

 

sistema segurança soc organização

 

Provavelmente já se apercebeu que a Internet das Coisas (IoT) entrou nas nossas vidas e que está em rápida expansão. Na verdade, estamos apenas a começar a usufruir de alguns dos benefícios da IoT. Felizmente, existem novas formas de utilizar os objetos ligados à rede e são diariamente desenvolvidas novas tecnologias. De facto, a IoT ajuda as pessoas a ligarem as suas coisas para conseguirem melhorar a sua qualidade de vida. Por exemplo, atualmente já existem algumas pessoas que utilizam dispositivos eletrónicos que vestem e que estão ligados para conseguirem controlar as suas atividades físicas ou desportivas.

Já parou por um momento para pensar quantos equipamentos tem atualmente consigo que se ligam à Internet? Mas será que esses equipamentos são 100% seguros? Sabe, por exemplo, quem foi a pessoa ou a organização que criou o firmware? Será que esse programador se preocupou com as possíveis falhas de segurança? Tem a certeza que o seu termostato doméstico ou a sua câmara de segurança IP ligada à sua rede domestica, ou da sua organização são completamente imunes a ataques?

Felizmente, se forem encontradas vulnerabilidades de segurança, o firmware do equipamento pode ser corrigido para eliminar essa falha de segurança. O pior é que muitos dos equipamentos que se ligam à internet não atualizam regularmente os seus firmwares para versões mais recentes. Aliás, na realidade, alguns dos equipamentos mais antigos, nem se quer, foram concebidos para serem atualizados. Basicamente, estas duas situações criam enumeras oportunidades para que os criminosos possam explorar, para depois ameaçar a segurança dos proprietários desses equipamentos.

Um exemplo disso, foi um ataque de DDoS que aconteceu em outubro de 2016, dirigido a um provedor de nomes de domínio Dyn e que afetou dezenas de sites populares em todo o mundo. O ataque teve origem numa enorme quantidade de webcams, DVRs, routers e outros equipamentos IoT que forma comprometidos com software malicioso. O que aconteceu foi que esses equipamentos formaram uma “botnet” totalmente controlada por hackers. Depois, essa botnet foi utilizada pelos criminosos para criar um devastador ataque DDoS que conseguiu desativar alguns dos principais serviços da internet.

Na altura, a provedora de serviços Dyn publicou num blog, uma explicação resumida, sobre o ataque e qual foi a sua reação para se defender e resolver os danos causados. Se ficou curioso pode pesquisar na internet por “Dyn Analysis Summary of Friday October 21 Attack” e irá descobrir mais detalhes sobre este ataque mundialmente conhecido. Para conseguir uma explicação sobre este perigo real que existe em não proteger os equipamentos IoT, pode pesquisar no Google por uma apresentação da TED realizada por Avi Rubin e com o título em português “Todos os seus equipamentos podem ser hackeados”. Esse Dr. Rubin é atualmente professor de Ciências da Computação na Universidade de Johns Hopkins.

 

3 – Objetivos das ameaças

 

Neste capitulo mostramos-lhe alguns do principais objectivos dos ataque cibernéticos.

 

Roubar dados de PII, PHI e PSI

Na verdade, o impacto económico dos ataques cibernéticos é muito difícil de conseguir calcular com exatidão. No entanto, os peritos estimam que até 2024 a nível mundial as organizações irão perder mais de 5 triliões de euros devido a ataques cibernéticos.

Existem vários tipos de informações que os atacantes podem roubar às suas vítimas.As informações de identificação pessoal (PII) são todos os dados pessoais que podem ser utilizados para identificar inequivocamente uma pessoa. Algum desse tipo de informação PII pode ser, por exemplo:

 

  • Nome
  • Número da segurança social
  • Data de nascimento
  • Número do cartão de crédito
  • Número da conta bancária
  • Numero do cartão de cidadão
  • Endereços (morada, e-mail, telefone)

 

Uma das estratégias mais lucrativas dos criminosos cibernéticos é conseguirem obter listas com dados PII para depois os poderem vender na dark web. Utilizam a dark web sobretudo porque só pode ser acedida recorrendo a software especial utilizado para conseguir proteger as suas atividades. Os dados PII que roubam e depois vender são muitas vezes utilizados para criar contas bancárias falsas, cartões de crédito e fazerem créditos e empréstimos bancários.

Além disso, existe um subconjunto de dados PII com informações relacionadas com a saúde das vítimas (PHI). Como é do conhecimento publico, a comunidade médica cria e mantém registos médicos eletrónicos (EMRs) que contêm dados PHI. Por exemplo, nos Estados Unidos da América, o tratamento dos dados PHI é regulado pela Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA). Por outro lado, na União Europeia, o Regulamento Geral de Proteção de Dados (GDPR) protege a maioria das informações pessoais, incluindo também os registos relacionados com a saúde.

Também existem as informações relacionadas com a segurança pessoal (PSI) que podem ser classificadas como outro tipo de dados PII. Basicamente são informações que incluem os nomes de utilizador, passwords e outras informações relacionadas com a segurança das pessoas quando elas acedem a dados ou serviços na internet. Segundo um relatório da Verizon publicado em 2019, o segundo método mais utilizado pelos criminosos para conseguirem violar as rede informáticas foi recorrendo à utilização de dados PSI previamente roubados às vítimas.

De facto, a maioria dos ataques cibernéticos a organizações que apareceram em notícias recentes envolveram dados PII ou PHI que haviam sido roubados. Mostramos-lhe a seguir alguns exemplos desses ataques:

 

  • Um site de ferramentas de design gráfico on-line em 2019 foi vítima de uma violação de dados. O que aconteceu foi que os dados PII de aproximadamente 137 milhões dos seus utilizadores foram roubadas por hackers. Depois apareceram na internet informação de 4 milhões de contas dos utilizadores desse site.
  • Uma grande empresa chinesa relacionada com redes social foi hackeada em 2020 e roubaram-lhe dados PII que continham os números de telefone de cerca de 172 milhões de utilizadores. Como não conseguiram roubar as passwords das contas dos utilizadores, os dados ficaram disponíveis na internet por um preço bastante baixo.
  • Uma empresa de desenvolvimento de jogos para o Facebook foi hackeada em 2019 e roubaram-lhe os dados PII de cerca de 218 milhões de utilizadores.

 

Perder a competitividade

 

sistema segurança soc organização

 

De facto, as organizações estão cada vez mais preocupadas com a espionagem industrial que acontece no ciberespaço. Preocupam-se sobretudo com a perda da sua propriedade intelectual para os seus concorrentes. Além disso, e na nossa opinião, algo mais grave é perder a confiança dos clientes que acontece quando uma empresa é incapaz de proteger os dados pessoais dos seus clientes. Dai pode resultar uma redução da sua vantagem competitiva, sobretudo porque os parceiros e clientes da organização deixam de lhe conseguir confiar os seus dados. Por isso é crucial para as organizações manterem não só os seus segredos comerciais como os dados dos seus clientes bem guardados.

 

Comprometer a segurança

Infelizmente, não são só as empresas e organizações privadas que são hackeadas. Em fevereiro de 2016, um informático criminoso publicou na internet informações pessoais de cerca de 20.000 funcionários do FBI (Federal Bureau of Investigation) e de cerca de 9.000 funcionários do Departamento de Segurança Interna (DHS) dos EUA. Pelo que se conseguiu apura na altura, o hacker reivindicou motivos políticos para realizar o ataque.

Por falar nisso, o worm Stuxnet também foi criado especificamente para conseguir impedir o desenvolvimento do Irão relativamente ao enriquecimento de urânio porque isso depois podia ser utilizado numa arma nuclear. De facto, o Stuxnet é um excelente exemplo de um ataque informático motivado por questões relacionadas com segurança nacional. No Informatico.pt, acreditamos que a guerra cibernética é algo que não só as organizações privadas como publicas devem ter em consideração.

Existem soldados hackers que são muitas vezes apoiados por países para conseguirem causar problemas ou destruir completamente os serviços e recursos vitais de um país inimigo. Na verdade, a Internet tornou-se num campo de batalha, apesar de ser cada vez mais essencial para as atividades comerciais e financeiras. Com a interrupção dessas atividades é possível colapsar por completo a economia de um país. Lembramos que continuam a existir controladores, semelhantes aos que foram atacados pelo Stuxnet, utilizados para controlar o fluxo de água nas barragens e a troca de eletricidade na rede elétrica. Sim, os ataques que conseguirem afetar esses controladores podem ter consequências terríveis.

 

4 – Quais os mecanismos de proteção

Ao ler este artigo talvez esteja a considerando construir uma carreira em segurança informática e telecomunicações. Mas será que tem noção de todas as tecnologias que precisa de conhecer e dominar? Mostrar-lhe-emos neste capitulo uma breve descrição das funções e habilidades de um responsável por segurança.

 

Centros de segurança SOC

De facto, a proteção contra estas ameaças cibernéticas requer no mínimo uma abordagem formalizada, estruturada e disciplinada. As organizações utilizam habitualmente os serviços prestados por profissionais qualificados em Centros de Operações de Segurança (SOC). Estes SOCs possuem uma ampla gama de serviços que vão desde a monitorização e gestão de tecnologias até as soluções mais completas que controlam as ameaças e a segurança das organizações.

Este tipo de serviços pode ser personalizado para conseguir atender às reais necessidades dos clientes. Estes centros de segurança SOCs podem ser totalmente geridos internamente pela organização ou então podem ser serviços subcontratados a uma empresa externa de segurança como, por exemplo, a Managed Security Services da Cisco.

Como está representado na figura a seguir, os principais elementos que compõem um SOC, são as pessoas, os processos e as tecnologias. Na figura encontramos os três elementos de um centro de Operações de Segurança ou SOC.

 

sistema segurança soc organização

Fonte: Cisco

 

As pessoas de um SOC

As funções das pessoas que trabalham num SOC evoluem muito rapidamente. Normalmente, os SOCs atribuem essas funções de trabalho conforme a experiência e as responsabilidades necessárias para os diferentes níveis de segurança. Ou seja, os profissionais do primeiro nível são menos qualificados que os que trabalham nos níveis superiores, que exigem mais competências e experiência profissional.

 

  • Nível 1 – Analista de Alertas – Estes profissionais monitorizam todos os alertas que são recolhidos, verificam se um determinado incidente ocorreu na realidade e se considerarem necessário reencaminham o incidente através de um ticket para o responsável do Nível 2.
  • Nível 2 – Responsável por Incidentes – Estes profissionais são basicamente os responsáveis por investigar detalhadamente todos os incidentes relacionados com a segurança e por aconselhar aos superiores às correções e as ações que consideram necessárias para evitar mitigar ou resolver a vulnerabilidade.
  • Nível 3 – Detetor de Ameaças – Estes profissionais têm experiencia e são sempre especialistas em redes, endpoint, inteligência contra ameaças e engenharia reversa de malware. Na verdade, são tecnicamente especialistas em análise e controlo de processos relacionados com ameaças de malware e conseguem determinar o real impacto na organização e quais as medidas a tomar para o remover do sistema de informação. Além disso, também são envolvidos nas pesquisas de potenciais ameaças e na implementação de ferramentas de deteção de vulnerabilidades. Ou seja, procuram por ameaças cibernéticas que podem afetar a rede e que ainda não foram detetadas.
  • Gestor de centro de segurança SOC – Basicamente, este profissional é responsável pela gestão de todos os recursos do sistema de segurança SOC e serve como ponto de contacto entre o SOC e a organização ou cliente que contratou os serviços.

 

A figura a seguir criada pelo Instituto SANS representa graficamente como estas funções de profissionais de um centro de segurança interagem entre si.

sistema segurança soc organização

Fonte: Cisco

 

Os processos de um SOC

Um dia de um analista de segurança cibernética começa normalmente por monitorizar os registos de alertas de segurança. Normalmente existe um sistema de criação de pedidos (tíquetes) o qual é utilizado para atribuir alertas a cada analista para que ele possa depois investigar. Como o programa que gera esses alertas pode criar falsos positivos, uma das funções de um analista de segurança cibernética é verificar se realmente esse alerta representa um verdadeiro incidente de segurança ou não. Depois que o analista verifica e confirma o incidente, ele pode encaminhá-lo para os responsáveis pela sua investigação ou então para os seus superiores para poder ser devidamente tratado. Caso contrário, se for um falso positivo, o alerta pode ser descartado e marcado como um falso alarme.

Se por alguma razão um pedido não puder ser resolvido rapidamente pelo Analista de segurança cibernética, ele deve encaminhá-lo para um colega superior Responsável por Incidentes de Nível 2 para que ele possa efetuar uma investigação e correção mais aprofundada. Por sua vez, se o Responsável por incidentes não conseguir resolver o pedido, ele deve encaminhá-lo para o colega responsável pela deteção de ameaças de Nível 3 que terá maior conhecimento e habilidades para o resolver.

A figura a seguir tenta explicar resumidamente os papéis dos profissionais que fazem parte de um centro de segurança SOC. No Nível 1, os analistas monitorizam os registos de segurança, abrem pedidos de suporte e se possível realizam tarefas de mitigação básicas para conterem rapidamente as ameaças. No Nível 2, os responsáveis pelos incidentes executam uma investigação mais aprofundada do incidente reportado pelo Nível 1 e fazem recomendações relativamente à solução do problema. No Nível 3, os profissionais responsáveis pela deteção de ameaças utilizam o seu conhecimento mais aprofundado para resolver as ameaças e implementa medidas preventivas.

 

sistema segurança soc organização

Fonte: Cisco

 

5 – Quais as tecnologias de um SOC

Além das pessoas e dos processos, os sistemas SOC também possuem diferentes tecnologias que descrevemos a seguir.

 

Gestão de eventos e informação de segurança SIEM

Conforme está representado na próxima figura, um SOC precisa de um SIEM (Security Information and Event Management System) ou, em português, sistema de gestão de eventos e informações de segurança. O SIEM recorre a todos os dados gerados por sistemas de firewall, equipamentos de rede, sistemas de deteção de intrusões e outras tecnologias e equipamentos.

Os sistemas SIEM são utilizados para recolher e filtrar os dados de segurança, detetando e classificando as ameaças para posterior analisar e investigação. Além disso, os sistemas SIEM também podem ser utilizados para a gestão de recursos e implementação de medidas preventivas para lidarem melhor com as futuras ameaças. Na realidade, as tecnologias SOC incluem uma ou mais das seguintes funcionalidades:

 

  • Recolha, correlação e análise de eventos;
  • Monitorização da segurança;
  • Controlo de segurança;
  • Gestão de registos de logs;
  • Avaliação de vulnerabilidade;
  • Controlo de vulnerabilidades;
  • Inteligência de ameaças.

 

A imagem a seguir representa de forma simples e resumida um sistema de monitorização SOC. Tanto as informações sobre o tráfego da rede, como os próprios fluxos de rede, registos do sistema, feeds de ameaças, eventos de segurança e ativos de identificação são entregues ao sistema de monitorização de segurança.

 

sistema segurança soc organização

Fonte: Cisco

 

 

Segurança, orquestração, automação e resposta SOAR

A tecnologia anterior SIEM é normalmente emparelhada com a tecnologia de orquestração de segurança, automação e resposta (SOAR), sobretudo porque muitos dos seus recursos se complementam.

De facto, as grandes equipas de profissionais de operações de segurança (SecOps) utilizam normalmente ambas as tecnologias para conseguirem otimizar o seu SOC. Julga-se que cerca de 15% das organizações, com equipas de segurança constituídas por mais de cinco profissionais, já utilizam a tecnologia SOAR nos seus sistemas SOC.

Na verdade, a tecnologia SOAR é muito semelhantes à tecnologia SIEMs sobretudo porque ambas agregam, correlacionam e analisam alertas. No entanto, a tecnologia SOAR é um pouco mais avançada porque consegue integrar sistemas inteligentes de prevenção de ameaças e automatizar os fluxos de trabalho de investigação e resposta a incidentes suportada nos manuais desenvolvidos pelas equipas de segurança.

A figura a seguir representa os quatro principais componentes do SOAR que são a segurança, a orquestração, a automação e a resposta. Basicamente, a orquestração integra e coordena diversas ferramentas e recursos de segurança. A automação é responsável por ajudar a resolver a escassez de profissionais analistas de segurança cibernética e com isso tenta aumentar a sua eficiência. Finalmente, a resposta é uma forma de runbooks de segurança composta por tarefas automatizadas suportadas por regras criadas previamente para se tratarem certos tipos específicos de eventos.

 

sistema segurança soc organização

 

Mostramos a seguir algumas das principais funções das plataformas de segurança SOAR:

 

  • Reunir dados de alerta relacionados com cada um dos componente do sistema.
  • Disponibilizar ferramentas que permitam pesquisar, avaliar e investigar os incidentes que surgirem.
  • Promover a integração dos componentes para automatizar os fluxos de trabalho mais complexos que dão resposta aos incidentes. Ajuda a dar uma resposta mais rápida e estratégica aos incidentes com mecanismos de proteção adaptáveis.
  • Possui playbooks previamente criados que permitem uma resposta automática as ameaças mais específicas. Estes playbooks podem ser executados automaticamente tendo como base algumas regras predefinidas ou então podem ser executados manualmente pelos profissionais de segurança.

 

O sistema SOAR utiliza ferramentas de integração e automação de fluxos de trabalho SOC. Basicamente é responsável por orquestras muitos dos processos manuais, como a investigação de alertas de segurança, que normalmente exigem a intervenção humana. De facto, isso consegue libertar os profissionais de segurança para poderem tratar de questões mais urgentes como os relacionados com a investigação de incidentes e resolução de problemas relacionados com ataques. A adoção de plataformas SOAR mais sofisticadas facilita e melhora as operações SOC e as funções dos profissionais da área de segurança.

Na verdade, os sistemas SIEM conseguem gerar mais alertas do que a maioria das equipas de SECops conseguem investigar. Mas isso não faz com que deixe de ser necessário recolher o maior número possível de registos relacionados com potenciais ameaças. Além disso, a SOAR irá processar automaticamente a maioria desses alertas, o que permite aos profissionais de segurança poderem concentrar-se em investigações mais complexas e potencialmente mais prejudiciais para as organizações.

 

Métricas de um SOC

No Informatico.pt consideramos que cada vez mais os SOC são de extrema importância para a segurança das organizações, sobretudo quando se tratão de entidades com algum tamanho. Independentemente de o SOC ser um departamento interno de uma organização ou um fornecedor de serviços a várias organizações, é importante entender a sua importância. Sobretudo descobrir se o SOC funciona corretamente para se poder melhorar as tarefas dos profissionais de segurança dos processos e tecnologias da organização.

Já existem muitas métricas e indicadores interessantes relacionados com o desempenho (KPI) que podem ser utilizadas para se conseguir medir os diferentes aspetos relacionados com a performance do SOC. Basicamente, para o conseguir, utilizam-se normalmente cinco métricas diferentes. No entanto, chamamos a atenção para o facto de que as métricas que descrevem o desempenho geral, normalmente não representam uma visão precisa do funcionamento do SOC. Isso acontece sobretudo por causa da diversidade de ameaças que existem atualmente relacionadas com a segurança cibernética.

Mostramos a seguir a principais métricas definidas pelos profissionais responsáveis pela gestão de SOC e que são mais utilizadas atualmente:

 

  • Tempo de permanência – representa o tempo com acesso a uma rede que os criminosos têm até serem detetados e bloqueados.
  • Tempo médio de deteção (MTTD) – representa o tempo médio que os profissionais do SOC demoram a identificar os incidentes de segurança válidos que surgem na rede.
  • Tempo médio de resposta (MTTR) – representa o tempo médio necessário para se conseguir parar e corrigir um incidente de segurança.
  • Tempo médio de contenção (MTTC) – representa o tempo necessário para conseguir impedir que o incidente provoque mais danos aos sistemas ou dados.
  • Tempo médio de controlo – representa o tempo necessário para conseguir impedir a propagação de malware pela rede.

 

6 – Tipos de implementações de SOC

A deteção de incidentes de segurança com base na monitorização 24 horas é uma das principais vantagens em ter uma equipa SOC a controlar o nosso ambiente de rede. São tarefas de monitorização e análise contínua das atividades dos dados executadas por departamentos internos ou empresas externas especializadas em segurança. Os SOC oferecem às organizações a vantagem de se defenderem contra incidentes e invasões, independentemente da origem, hora do dia ou tipo de ataque. Mostramos-lhe a seguir algumas coisas que deve ter em conta quando pretender implementar um sistema SOC na sua organização.

 

sistema segurança soc organização

 

Segurança interna ou subcontratada

De facto, quando falamos de redes de médio e grande porte, as organizações têm tudo a ganhar com a implementação de um SOC, quer seja internamente como subcontratado. Ou seja, se a organização possuir esses recursos, o SOC pode ser perfeitamente implementado internamente. No entanto, o que acontece muitas vezes é que as organizações, sobretudo as maiores, subcontratam algumas partes das operações SOC a um fornecedor externo de soluções de segurança.

O Informatico.pt tem uma equipa de especialistas que ajudam as organizações a garantirem a resolução oportuna e precisa de incidentes relacionados com a segurança. Oferecemos uma grande variedade de recursos e respostas para a identificação e gestão a incidentes que incluem, por exemplo:

 

  • Serviço técnico à distância para a resolução rápida de problemas;
  • Equipa de resposta a incidentes de segurança disponível 24h/dia;
  • Serviço de deslocação às instalações da organização com resolução no local;
  • Garantia de satisfação, só paga se conseguirmos resolver;
  • Loja online com equipamentos de segurança.

 

Segurança e disponibilidade

Como trabalhamos com muitas organizações do setor do turismo, nomeadamente hotéis e pousadas, percebemos que a maioria das redes empresariais precisam de estar em constante funcionamento com o mínimo de interrupções de serviços possíveis. Ou seja, a nossa equipa de profissionais de segurança sabe que, para que a organização consiga cumprir com as suas prioridades, devem preservar ao máximo a disponibilidade da sua rede.

Na verdade, cada organização tem a sua própria tolerância no que diz respeito ao tempo de inatividade da rede. Chega-se a esse indicador de tolerância com base na comparação do custo que se tem com o tempo de inatividade e o custo que tem a garantia de tempo de atividade. Ou seja, uma loja comercial que tem apenas um local de venda, é aceitável que exista apenas um router como o único ponto de falha. No entanto, se a maioria das vendas que essa organização tem é feita por clientes on-line, o responsável pela segurança deve propor ao proprietário um nível de redundância maior para conseguir garantir que a ligação à internet esteja sempre disponível.

Basicamente, consideramos como o tempo de atividade é calculado com base no número de minutos de inatividade durante o ano, conforme mostramos na tabela a seguir. Ou seja, um tempo de atividade de “cinco noves” significa que a rede funcionou 99,999% do tempo ou então esteve inativa menos de 5 minutos por ano. Por outro lado, se o tempo de atividade for de “quatro noves” então isso significa que a rede esteve indisponível durante 53 minutos por ano.

 

Disponibilidade % Tempo de inatividade
99.8% 17,52 horas
99,9% (“três noves”) 8,76 horas
99,99% (“quatro noves”) 52,56 minutos
99,999% (“cinco noves”) 5.256 minutos
99,9999% (“seis noves “) 31,56 segundos
99,99999% (“sete noves “) 3,16 segundos

 

No entanto, devemos lembrar que a segurança não pode ser tão intensa que isso depois interfira nas necessidades ou funções dos funcionários da organização. Deve procurar-se o melhor equilíbrio entre uma forte segurança e um funcionamento eficiente dos negócios da organização.

 

7 – Conclusões

O Security Operation Center (SOC) é um sistema centralizado que existe em algumas organizações constituído por profissionais, processos e tecnologias que monitorizam e melhoram continuamente a sua segurança. Para isso executam tarefas para evitar, detetar, analisar e resolver incidentes de segurança cibernética.

Basicamente, um SOC funciona como um hub ou um posto de comando central, recebendo dados de telemetria de toda a infraestrutura de TI de uma organização. Isso inclui as suas redes internas, os seus equipamentos e bases de dados onde quer que eles possam estar. A proliferação das ameaças pode ser evitada analisando os dados recolhidos de diversas fontes. Na verdade, o SOC é um ponto de encontro onde vão parar todos os eventos registados na organização que é monitorizada. Para cada um desses eventos, o SOC deve analisar e decidir como devem ser geridos e tratados.

Os principais elementos do SOC são os seus profissionais, os seus processos e as suas tecnologias. As funções de um profissional evoluem rapidamente e incluem a atualização dos seus níveis de conhecimento e experiência. As suas funções podem ser classificadas em 3 níveis. Um Analista de Alerta de Nível 1, um Responsável por Incidentes de Nível 2, um Caçador de Ameaças de Nível 3 e um gestor SOC.

 

YouTube video

 

Os sistemas SEIM são utilizados não só para recolher e filtrar dados, mas também para detetar, classificar, analisar e investigar as ameaças. O SEIM e SOAR são semelhantes e costumam ser tecnologia utilizadas emparelhadamente. O SOAR é um pouco superior ao SEIM porque consegue integrar a inteligência das ameaças. É possível automatizar a investigação de incidentes e fluxos de trabalho de resposta às ameaças recorrendo a manuais desenvolvidos pela equipa de segurança. Os indicadores de desempenho (KPI) foram criados para conseguirmos medir a performance do SOC. As métricas mais comuns incluem, por exemplo, o tempo de espera, o tempo médio da deteção da ameaça (MTTD), o tempo médio da resposta (MTTR), o tempo médio de contenção (MTTC) e o tempo de controlo.

Deve sempre haver um equilíbrio entre o nível de segurança e disponibilidade das redes. A segurança não pode ser tão grande que chegue ao ponto de interferir nas funções normais dos utilizadores e nos processo normais da organização. Existem várias empresas de cibersegurança que prest

 

Tabela de conteúdo

António Almeida

António Almeida

Licenciado em engenharia Informático e Telecomunicações, mestre em Sistemas e Tecnologias de Informação e doutorando em Informática é um apaixonado por todo o tipo de tecnologia. Apostava na troca de informações e acaba de criar uma rede de informáticos especialistas interessados em tecnologia.

PRÓXIMOS ARTIGOS:

ARTIGOS RELACIONADOS:

COMENTÁRIOS E OPINIÕES:

0 Comentários
Inline Feedbacks
View all comments

AVISO:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de carácter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.

×