Estado do SOC e utilização do SIEM

O Passado, o Presente e o Futuro do SOAR - Parte 1

Os centros de operações de segurança (SOCs) precisam ser capazes de responder a qualquer tipo de alerta, ataque ou incidente de forma rápida e eficaz, mantendo equipes enxutas e demonstrando o retorno sobre o investimento (ROI) para seus executivos. Para isso, são necessários pessoal altamente qualificado e treinado, processos bem documentados e tecnologias otimizadas. Infelizmente, poucos SOCs possuem essa combinação mágica. Em vez disso, precisam gerenciar um dilúvio diário de alertas provenientes de um cenário de ameaças em constante evolução e agentes maliciosos sofisticados, com rotatividade constante de pessoal e ferramentas e processos díspares. Nesse ambiente típico, leva muito tempo para um analista receber um alerta, ler e compreender seus detalhes principais, copiar e colar os dados em outras ferramentas para verificar se não se trata de um falso positivo e, então, agir para interromper o ataque e iniciar a remediação. As organizações não podem se dar ao luxo de permanecer vulneráveis por tanto tempo.

Mas nós temos um SIEM.

A Sistema de gerenciamento de informações e eventos de segurança (SIEM) É o que a maioria dos SOCs está usando atualmente para combater os graves problemas descritos acima. O problema com um SIEM é que ele normalmente gera um volume enorme de informações, dificultando o acompanhamento por parte dos SOCs. De fato, de acordo com Pesquisas recentes da Enterprise Management Associates (EMA), 64% dos chamados de segurança gerados por dia não são investigados devido à falta de pessoal.

Embora uma solução SIEM ajude a capturar dados de alertas, ela não é uma ferramenta de Big Data. As equipes de segurança precisam de ferramentas de Big Data para analisar os grandes conjuntos de dados que acompanham os alertas do SIEM, a fim de tomar decisões rápidas e identificar padrões e tendências. As organizações estão analisando as ferramentas e os recursos disponíveis — sejam eles gerenciamento de dados, pipeline de dados ou mesmo computação em nuvem — e se perguntando por que não têm acesso a ferramentas semelhantes na área de segurança. À medida que as organizações migram cada vez mais recursos — especialmente agregação de logs, gerenciamento de logs e análise de dados — para a nuvem, elas começam a considerar o SIEM juntamente com as ferramentas disponíveis nativamente nessas infraestruturas. Idealmente, as equipes aproveitariam a mesma pilha de tecnologia e os mesmos recursos que possuem internamente, do ponto de vista de desenvolvimento e engenharia, para as operações de segurança.

Entre na automação.

Na tentativa de acompanhar os alertas do SIEM, os SOCs estão implementando automação. As equipes estão automatizando tarefas como padronização, gerenciamento e agregação de logs, além da investigação e revisão de dados de log por meio de alertas correlacionados, entre outras. Obviamente, não é possível revisar todos os alertas de log. O objetivo é automatizar a agregação e a análise dessas informações de log. E sim, as organizações têm obtido relativo sucesso na implementação da automação nesse nível na última década.

No entanto, tudo o que isso realmente fez foi limitar o potencial da parte superior do funil em relação à quantidade de trabalho que as pessoas tinham que realizar, porque houve pouca automação para o componente humano das operações de segurança (SecOps). Ao automatizar o máximo possível, as organizações se concentraram principalmente na priorização ou na desduplicação. Para realmente aproveitar a automação, precisamos repensar nossa abordagem e identificar oportunidades mais cedo no ciclo de vida de um ataque. Por exemplo, existem indicadores-chave de desempenho (KPIs) que identificam algo que não exige correlação ou análise e sobre o qual podemos tomar medidas? As organizações estão começando a perceber que as tecnologias que alimentam seus SIEMs ou seus data lakes são de alta fidelidade e acionáveis em seu estado original e não exigem tanto processamento.

Então, o SOC atual precisa de melhor automação. É só isso?

À medida que uma organização expande seus recursos, o que acontece quando ocorrem detecções e ações são necessárias? Considerando o número de recursos em nuvem e outros recursos que são constantemente adicionados, onde as detecções e ações devem ser gerenciadas? A superfície de ataque está se expandindo constante e rapidamente com uma infinidade de novos dispositivos da Internet das Coisas (IoT), virtualização, dispositivos móveis, conteinerização e outras mudanças e adições que precisam ser monitoradas. Cada uma dessas tecnologias tem seus próprios requisitos de infraestrutura, monitoramento, segurança, aplicação de patches e avaliação de vulnerabilidades. Quando consideramos a projeção de até 100 bilhões de dispositivos com IP nos próximos 5 a 10 anos, a quantidade de ações necessárias para manter tudo isso seguro é simplesmente impressionante. A flexibilidade e a capacidade de escalar nessa superfície de ataque são extremamente importantes para as organizações que buscam construir operações de segurança com visão de futuro. Resumindo, a resposta é "não". Aprimorar a automação no SOC não é tudo.

Nas próximas duas partes desta série de três artigos, analisaremos como a orquestração, automação e resposta de segurança (SOAR) estão atenuando os problemas descritos aqui no estado atual do SOC e o que as organizações devem ter em mente para uma nova década de SecOps.