Alcançando a resiliência cibernética por meio da consciência situacional.

Informações incompletas podem ser um obstáculo para uma cibersegurança eficaz. Por exemplo, uma equipe de operações de segurança (SecOps) recebe um alerta de um firewall, mas não consegue determinar facilmente se é um ping insignificante ou o início de um incidente grave. Pode ser difícil saber, especialmente no começo. Erros podem ser muito custosos. Ao mesmo tempo, investir muita energia em falsos positivos desperdiça recursos.

A consciência situacional oferece uma solução para esse dilema. Ter consciência situacional significa possuir conhecimento oportuno e preciso de múltiplos fluxos de informação relacionados a um potencial incidente. Isso pode envolver a coordenação entre sistemas de segurança. Uma forte consciência situacional ajuda a equipe a evitar se perder em falsos positivos, mantendo-se atenta a ameaças sérias, porém ocultas. Isso permite que a organização seja resiliente diante de ameaças à segurança cibernética.

Especialistas em cibersegurança concordam que a resiliência cibernética é uma prioridade máxima.

Um recente painel de discussão com autoridades de segurança governamentais revelou como os principais profissionais de cibersegurança da atualidade estão respondendo ao cenário de ameaças cibernéticas. O evento reuniu representantes do Gabinete do Diretor de Inteligência Nacional, da Administração de Segurança de Transportes e outras instituições.

A resiliência cibernética é talvez o seu objetivo mais importante. No dia a dia, resiliência significa ser capaz de se recuperar rapidamente de um revés, como uma lesão. Os participantes do painel descreveram a resiliência cibernética como "usar o conhecimento situacional para impedir um ataque precocemente ou para retornar rapidamente à normalidade após uma violação". O objetivo, segundo o painel, é "lidar com ocorrências ao longo de toda a cadeia de eliminação cibernética, desde a detecção de uma ameaça até a eventualidade de algum tipo de dano ou perda de dados".“

A resiliência é holística. Ela vai além do objetivo de tempo de recuperação (RTO) padrão definido nos acordos de nível de serviço. Embora os RTOs sejam necessários e importantes, eles são basicamente pontos de dados que definem o quão bem um determinado sistema está sendo protegido.

Resiliência reflete a postura de segurança de toda a organização, sua capacidade de suportar um ataque e superá-lo — ou, melhor ainda, evitá-lo completamente. Ser resiliente significa ter uma visão ampla — estar ciente da situação.

Nesse sentido, a consciência situacional é tanto local quanto global. Os gestores de cibersegurança precisam estar cientes de sua situação específica, mas também da totalidade do cenário de ameaças cibernéticas. Isso pode exigir comunicação com outras organizações e compartilhamento de informações de segurança de forma estruturada.

As equipes de SecOps precisam ter consciência situacional da segurança cibernética tanto local quanto global.

Como os principais profissionais de cibersegurança do governo federal desenvolvem consciência situacional

A percepção situacional precisa ser rápida e o mais próxima possível do tempo real. Os participantes do painel discutiram como implementaram respostas rápidas.

Wally Coggins, diretor do Centro de Coordenação de Segurança da Comunidade de Inteligência no Gabinete do Diretor de Inteligência Nacional, está abordando a resposta rápida por meio da consciência situacional de três maneiras:

1. Ele está automatizando o fluxo de dados entre seu centro de coordenação de segurança e os de outras agências. O objetivo é fornecer informações o mais rápido possível a todos, referentes a gerenciamento de vulnerabilidades, segurança de endpoints e incidentes de segurança.
2. Ele está reunindo pessoas de diferentes origens e funções de inteligência para se concentrarem em segurança cibernética. Por exemplo, conectando profissionais de contrainteligência e segurança cibernética em uma "célula" analítica que colabora para identificar ameaças internas.
3. Ele está conduzindo exercícios de segurança cibernética. Por exemplo, estes incluem "jogos de guerra" cibernética para melhorar os tempos de resposta e as capacidades da equipe de segurança cibernética.

O objetivo dessas etapas é construir uma capacidade de defesa cibernética que proporcione resiliência por meio da consciência situacional em cibersegurança.

Automação e orquestração de segurança (SAO) e consciência situacional de cibersegurança

A resposta rápida é um requisito essencial para a resiliência cibernética por meio da consciência situacional. Isso também se aplica à orquestração e automação de processos de segurança. A dependência excessiva de tarefas manuais de resposta a incidentes prejudica a consciência situacional. Isso reforça a necessidade de uma solução como... Automação e Orquestração de Segurança (SAO).

Automatização

Todos os funcionários do governo presentes no painel utilizam algum tipo de ferramenta SAO. Essas soluções automatizam as tarefas de análise tradicionalmente lentas e manuais, e planos de resposta a incidentes. As soluções podem orquestrar tarefas de gerenciamento de casos de segurança em vários sistemas, pessoas e entidades. Elas substituem processos manuais por tomadas de decisão em velocidade automatizada.

Detecção e análise

Uma solução SAO agiliza a detecção e análise de ameaças. Por exemplo, ela pode ser configurada para reagir automaticamente a um alerta de um sistema de detecção de intrusões. Ao receber o alerta, a solução SAO pode enviar automaticamente os detalhes do alerta para um sistema de inteligência de ameaças, abrir um chamado de gerenciamento de casos em um sistema como o JIRA e enviar e-mails para as partes interessadas relevantes.

Inteligência de ameaças

Ter maior inteligência de ameaças Melhora a consciência situacional em cibersegurança e a resiliência contra ameaças. Ao responder automaticamente a alertas, a solução SAO mantém a equipe de segurança informada sobre suas atividades. Dessa forma, permite que a equipe tenha consciência situacional e responda rapidamente a ameaças. A solução também pode executar tarefas mais abrangentes necessárias para a consciência situacional, como coleta completa de dados, padronização e análise de fluxo de trabalho. Algumas soluções SAO podem "aprender" a emular as práticas da equipe de segurança para diferentes respostas a ameaças. A ferramenta captura o conhecimento e as melhores práticas demonstradas pela equipe de segurança. Essa capacidade aproveita as habilidades da equipe e lhes dá mais tempo para se concentrarem em questões complexas, em vez de trabalhos administrativos repetitivos.

Registros e relatórios

As soluções SAO geram registros de suas atividades. Esses registros podem ser posteriormente analisados e compartilhados entre equipes e entidades. Com a interpretação dos registros e o histórico de gerenciamento de casos, é possível aprimorar aspectos da gestão de segurança que promovem maior consciência situacional, resposta rápida e resiliência.

Aprimore o conhecimento da situação de cibersegurança com o Swimlane.

A Swimlane entrega automação de segurança e orquestração Para aumentar a consciência situacional e enriquecer as informações situacionais apresentadas aos analistas, é fácil de implementar, usar, gerenciar e dimensionar. Utiliza métodos orientados a objetos que permitem à equipe de operações de segurança aproveitar os recursos de suas soluções de segurança existentes.

Tem interesse em saber mais sobre como a automação e a orquestração de segurança podem ajudar sua organização? Baixe nosso e-book – 8 casos de uso reais para orquestração, automação e resposta de segurança.