Identificação de ameaças é papel das operações de TI em SecOps

O maior avanço na segurança de TI deriva da percepção de que tanto as organizações de desenvolvimento quanto as operações devem desempenhar um papel. O SecOps ocorre no cruzamento de operações de TI e gerenciamento de segurança e ameaças. As equipes de operações de TI devem assumir funções de segurança semiautônomas, em particular para identificação de ameaças, para melhorar a abordagem geral de gerenciamento de riscos de uma organização.

Muitas organizações possuem centros de operações de segurança(SOCs)e equipes de segurança. Tradicionalmente, as equipes de segurança olham de fora do ambiente para dentro para potenciais pontos de ataque e sintomas de uma ameaça ativa. Os SOCs são frequentemente organizações separadas que usam ferramentas separadas das operações diárias de TI. Um SOC monitora e analisa os sistemas de TI da organização para atividades inesperadas que podem indicar problemas. Embora os SOCs sejam essenciais para a segurança total, eles podem perder a maior fonte de ameaças.

O SecOps descreve tarefas que as equipes de operações de TI realizam para endurecer preventivamente aplicativos e infraestrutura e protegê-los de ataques durante seu ciclo de vida. É uma formalização da segurança em tarefas diárias de TI. SecOps como disciplina tende a se concentrar em novas aplicações ou áreas significativamente alteradas do ambiente geral de TI. O SecOps presume que as ameaças surjam porque um aplicativo novo ou alterado pode expor dados críticos e ativos de aplicativos de novas maneiras, criando uma nova superfície de ataque.

Ferramentas automatizadas do SecOps testam APIs ou portas disponíveis para vulnerabilidades. Além dessas ferramentas, as ferramentas de operações de TI devem verificar as alterações de configuração. Uma mudança de configuração é uma operação de rotina – feita para melhor desempenho, para suportar um novo recurso, ou outra razão – que pode abrir a porta para os atacantes. As operações de TI devem lidar com esses tipos de ameaças.

Os SecOps modernos devem harmonizar a segurança e as operações para aplicativos novos ou alterados, mas também devem contratar administradores de operações de TI em identificação de ameaças continuamente. Para começar com os SecOps impulsionados pela equipe de operações de TI, revise as abordagens das operações de TI para a segurança. Em seguida, concentre-se em fluxos de trabalho, gerenciamento de log e menos falsos positivos.

Revisar processos de operações de TI

As equipes de operações de TI podem identificar muitas ameaças resultantes de más práticas internas. As ferramentas padrão de monitoramento e análise utilizadas pelas organizações de TI se encaixam nesse propósito. Pense na segurança da mesma forma que você faz outros processos para implantar, apoiar e manter aplicativos. As ameaças à segurança são apenas mais um problema para detectar, isolar e resolver com uma ferramenta de gerenciamento de falhas. A identificação de ameaças, no entanto, começa com a compreensão do que está em risco e como ela é protegida.

Para iniciar os SecOps orientados por TI, identifique os processos de operações de TI que interagem com ativos protegidos e sua exposição. Bancos de dados e APIs que expõem aplicativos críticos são os principais ativos que a TI deve proteger. Sempre que possível, os SecOps devem se concentrar diretamente nesses ativos, em vez de apenas nas APIs voltadas para o usuário. Os principais ativos são as tampas finais dos fluxos de trabalho críticos que as operações de TI devem monitorar para ameaças.

Estreitar o escopo

O foco é importante para os SecOps por duas razões:

  • Um esforço de identificação de ameaças que é muito amplo criará tantos falsos positivos a ponto de ser ineficaz.
  • Esforços amplos enterram indícios reais de ameaça sob uma enxurrada de informações sem importância. Esta é, por si só, uma potencial ameaça à segurança.

Identificar ativos importantes ajuda a concentrar os esforços do SecOps. Além disso, as equipes de operações de TI devem basear práticas de identificação de ameaças em fluxos de trabalho. O objetivo é compreender os fluxos de trabalho e suas propriedades, bem como os resultados estatísticos de padrões de fluxo de trabalho válidos. Assim, as equipes de operações de TI podem reconhecer as maneiras pelas quais um fluxo de trabalho se desvia da norma e ameaças potenciais por causa desse desvio. Geralmente há duas peças nesse processo: registro e rastreamento de incidentes de ameaça e monitoramento de fluxo de trabalho para padrões anormais.

Reconhecer padrões de ameaça

Muitas ameaças de segurança aos sistemas de TI exigem múltiplas tentativas do invasor. Pelo menos algumas dessas tentativas são reconhecidas, relatadas e registradas como violações. No entanto, as ferramentas de registro muitas vezes ignoram um baixo volume de incidentes. Essas ferramentas usam análise de padrões para indicar uma ameaça ativa. Para ajudar as ferramentas a encontrar esses padrões, classifique incidentes de ameaça. Por exemplo, uma série de incidentes de um único local ou indivíduo que raramente gerou um incidente – imagine alguém digitando a senha errada – é um indicador de ameaça potencial.

Embora vários incidentes decorrentes de uma fonte seja suspeito, uma série de incidentes são gerados por diferentes fontes. Os intrusos podem tentar vários endereços IP diferentes em um ataque, por exemplo. Neste exemplo, um padrão de eventos no registro de incidentes de ameaça será óbvio.

Outro padrão de ataque é uma falha de acesso ao aplicativo que não é seguida rapidamente pelo sucesso. Para detectar esses incidentes, configure logs de segurança do aplicativo para registrar falhas de autenticação e sucessos. A maioria dos incidentes de segurança criados por um erro são seguidos por entradas corretas; qualquer outro padrão é suspeito.

Rastrear o uso de recursos

O valor das informações do fluxo de trabalho entra em jogo em condições de recurso relacionadas — rede, servidores, VMs e APIs — a ameaças. Os fluxos de trabalho tendem a seguir padrões confiáveis de consumo de recursos em uma média de longo prazo. Esses níveis de consumo de recursos podem ser comparados com o volume de consumo atual para detectar desvios que podem indicar uma ameaça. Este método de monitoramento do SecOps ajuda a detectar um ataque de negação de serviço,bem como tentativas simultâneas maciças de quebrar senhas por tentativa e erro.

Cuidado com falsos positivos

A detecção de ameaças é inerentemente uma prática cheia de falsos positivos. Combater o problema com análise comportamental do usuário, análise contextual de ameaças e classificação forense de ameaças versus erros comuns. Todas essas técnicas requerem coleta completa de dados e análise estatística.

A tecnologia de identificação de ameaças não avançou o suficiente para suportar respostas automatizadas,e o pessoal das operações ficará entediado com o manuseio de falsos positivos. Aplique as técnicas aqui observadas para que as ameaças acionáveis compõem uma porcentagem maior de relatórios.

Fonte: Tech Target

Iniciar conversa
Precisa de ajuda?
Talma Teleinformática
Olá,
Em que podemos ajudar?