Equipe seu Centro de Operações de Segurança com o SOAR.

A Covid-19 apenas exacerbou um cenário de ameaças já desafiador para os centros de operações de segurança (SOCs) atuais, e os cibercriminosos estão se aproveitando do caos. Algumas vulnerabilidades relacionadas incluem o aumento de ataques de phishing, o registro de domínios questionáveis e a necessidade de maior monitoramento de VPNs.

Uma solução de orquestração, automação e resposta de segurança (SOAR) otimiza as capacidades de um SOC automatizando tarefas demoradas de resposta a incidentes, ao mesmo tempo que orquestra as pessoas, os processos e a tecnologia da organização. Três usos do SOAR que se tornaram cada vez mais importantes durante este período sem precedentes incluem phishing, monitoramento de domínio e monitoramento de VPN. No artigo a seguir, exploraremos cada um desses casos de uso com mais detalhes e analisaremos o infográfico no final!

Phishing

De acordo com um Relatório recente no CIO Dive, Entre fevereiro e março de 2020, houve um aumento de 6.671.000 ataques de phishing com tema de vírus. E um Relatório recente da Forbes Observou-se um aumento repentino do código 350% em sites de phishing associados.

Ao automatizar a triagem de phishing, as organizações geralmente seguem um processo documentado como este:

1. Uma solução SOAR é configurada para monitorar a caixa de entrada de uma organização onde os usuários enviam e-mails suspeitos de spam e phishing.
2. Quando um e-mail chega, ele é analisado automaticamente.
3. Detalhes como cabeçalho, assunto, corpo do texto e endereços de e-mail são inseridos em campos de dados em um registro de caso.
4. Outros indicadores potenciais, como o endereço IP, URL e nomes de domínio, também são extraídos do e-mail e adicionados aos campos de registro apropriados.
5. A utilização de integrações com outras ferramentas engajadas pela plataforma SOAR enriquece os dados e ajuda a determinar como o caso deve ser tratado.

Em um caso de uso de phishing Quando um e-mail é identificado como malicioso, uma ação apropriada pode ser a aplicação de uma etiqueta de quarentena ou o isolamento do sistema host usando uma ferramenta de detecção e resposta de endpoints (EDR) ou uma ferramenta de gerenciamento de políticas de endpoints (EPM). A solução SOAR pode notificar imediatamente o SOC e o usuário que enviou o e-mail por meio de ferramentas de mensagens como Slack, SMS ou e-mail. Os usuários podem ser atualizados sobre o status do fluxo de trabalho automatizado e agradecidos pelo envio e pela ajuda na detecção de possíveis ameaças. E-mails maliciosos também podem ser removidos de todas as caixas de entrada dos usuários para evitar riscos adicionais. E-mails benignos podem acionar notificações aos usuários, agradecendo-lhes pelo envio e informando o resultado. Muitas outras medidas também são possíveis.

Monitoramento de Domínio

Monitoramento de domínio Pode ser usado para detectar e bloquear outros domínios relacionados a uma situação urgente atual. Por exemplo, nomes como "COVID" ou "vacina" ou quaisquer outros nomes que uma organização queira avaliar.

A Relatório recente da Computer Business Review Um estudo mostrou que, de 6.000 domínios registrados em uma única semana, mais de um terço foi considerado suspeito, e 93 desses domínios já considerados suspeitos foram confirmados como maliciosos no momento do relatório. É importante lembrar que os atacantes nem sempre ativam um domínio ou o transformam em arma imediatamente. Um domínio pode permanecer inativo por um período e, então, tornar-se malicioso. Em última análise, é possível que muito mais do que 93 tenham sido usados de forma maliciosa.

Com o SOAR, uma equipe de SOC pode definir um conjunto de domínios monitorados para identificar possíveis domínios ocupados ilegalmente. Em um intervalo personalizável — geralmente uma vez por dia — a solução SOAR baixa os domínios recém-registrados e os compara com a lista de domínios monitorados em busca de padrões semelhantes.

As equipes do SOC podem revisar os registros e determinar se são ou não tentativas reais de apropriação indevida de domínios. Para qualquer domínio que não seja resolvido, o registro permanece na fila e a plataforma SOAR continua tentando se conectar regularmente. Se e quando o site se tornar ativo, ele será capturado e colocado na fila de análise. Ao revisar cada registro, os analistas podem marcar o domínio como malicioso, benigno ou desconhecido.

Monitoramento de VPN

Desde diversos dispositivos IoT até funcionários com pouca conscientização sobre segurança cibernética, as equipes de SOC têm tido que monitorar muitas vulnerabilidades desde que a maioria dos funcionários passou a trabalhar remotamente. Além disso, as organizações estão tentando fornecer acesso remoto seguro aos recursos do escritório por meio de VPNs.

monitoramento de VPN Com o SOAR, a equipe pode verificar rapidamente o status da VPN, identificar interrupções e realizar soluções de problemas básicos, como reiniciar os serviços. Em muitos casos, a plataforma SOAR consegue restaurar o serviço automaticamente ou permitir que os usuários identifiquem problemas na VPN, façam uma triagem inicial e encaminhem quaisquer problemas restantes.

Os benefícios do SOAR vão além desses três casos de uso. O SOAR permite que o SOC utilize os recursos existentes de forma eficaz. A equipe não fica presa a tarefas manuais, repetitivas e demoradas, já que a orquestração, a automação e a resposta ocorrem na velocidade das máquinas. Além disso, uma verdadeira solução SOAR se integra às ferramentas existentes para formar um conjunto único e coeso para um SOC otimizado.

Equipe seu SOC com orquestração, automação e resposta de segurança.

Os atacantes estão se aproveitando da situação atual e explorando as vulnerabilidades existentes e novas das organizações. É fundamental que as equipes de operações de segurança otimizem os recursos que já possuem. É aí que uma solução de orquestração, automação e resposta de segurança (SOAR) pode ajudar. Baixe este infográfico para saber como!

Baixe agora