Sucesso Instantâneo na Caça a Ameaças com Detecção como Código Sob Demanda

A SOC Prime Lança Novos Planos de Assinatura para Acelerar a Detecção de Ameaças com Conteúdos Personalizados e Sob Demanda

Em geral, a engenharia de detecção sofre com a necessidade de caçar continuamente ameaças cibernéticas agressivas, prejudiciais, atuais e de longo impacto. A necessidade de abordagens automatizadas, sistemáticas, repetíveis, previsíveis e compartilháveis é evidente. Especialmente para a maioria dos engenheiros de detecção que devem atuar como caçadores de ameaças, analistas de SOC, criadores de conteúdo de detecção, administradores, mitigadores. E operar como parte de condutores, artistas, estrategistas e táticos.

Além disso, detectar ameaças exige não apenas capacidade, mas também ferramentas e conteúdo. As organizações podem construir, comprar, terceirizar ou sofrer as consequências, pois ignorância ou evitação geralmente resultam em multas, perda de receitas, perda de clientes e danos à marca. Muitas organizações não sobrevivem a esses impactos. A SOC Prime oferece soluções viáveis e econômicas possibilitando que as organizações potencializem suas capacidades de detecção de ameaças com uma abordagem inovadora de cibersegurança.

Paradigma de Detecção-como-Código

Anton Chuvakin pioneirizou o conceito de “Detecção como Código” para tentar alinhar as operações de segurança com outras diretorias DevOps que foram aprimoradas pelo sucesso do desenvolvimento de software com capacidade semelhante (daí a denominação “como código”). O objetivo é orientar a engenharia de detecção para um conjunto de práticas e sistemas que estão melhor equipados para entregar uma detecção de ameaças moderna e eficaz e fazer crescer a engenharia de detecção para ser uma prática “real”, construída sobre princípios modernos usados com sucesso em outras áreas de TI (ex. Ágil, ou DevOps). Em última análise, “Detecção como Código” é destinado a ser uma abordagem sistemática, flexível e abrangente para a evolução da operação de detecção de ameaças, permitindo uma melhor colaboração, teste, implementação e gestão do ciclo de vida da detecção de ameaças.

A SOC Prime é a inovadora original que abraçou o conceito de Detecção como Código. Hoje, a plataforma SOC Prime fornece mais de 180 mil regras baseadas no Sigma, queries, parsers, dashboards prontos para SOC, regras YARA e Snort, modelos de Machine Learning e Playbooks de Resposta a Incidentes mapeados para as estruturas CVE e MITRE ATT&CK®.

Os retornos ao se aproveitar a plataforma de Detecção-como-Código da SOC Prime são impressionantes. Mais de $3 milhões em custos podem ser eliminados ao remover a necessidade de alocar um dia de trabalho para desenvolver uma única regra de detecção a um custo aproximado de $800. Organizações empresariais economizam até 5 mil horas por ano na criação de conteúdo de detecção.

A SOC Prime também adotou o Sigma para garantir que o conteúdo de detecção seja open source, baseado em padrões e independente de fornecedor. As regras são escritas no formato YAML estruturado, facilitando tanto a leitura humana quanto o consumo por sistemas e garantindo:

• Escalabilidade: Regras Sigma podem ser implementadas via mais de 25 integrações SIEM, EDR, XDR.
• Compartilhamento: As regras Sigma são criadas para serem compartilhadas e traduzidas para integração com qualquer veículo de segurança.
• Simplicidade: Os engenheiros de Detecção de Ameaças precisam dominar um único padrão para criar conteúdo de detecção em todas as capacidades de segurança.

Planos de Assinatura Sob Demanda

Em um esforço para simplificar ainda mais o acesso e a aplicação do conceito de detecção como código, a SOC Prime disponibilizou Detecção como Código sob demanda. Assinaturas sob demanda oferecem acesso instantâneo e econômico a conteúdos de detecção-como-código com base em critérios de pesquisa personalizados, projetados para os vetores mais importantes de ataque para a investigação de uma organização individual. Um motor de tradução Sigma garante flexibilidade e que o conteúdo esteja disponível para qualquer ambiente SIEM, EDR ou XDR.

Isso garante que os caçadores de ameaças possam pesquisar qualquer frase de código de detecção para descobrir o conteúdo de detecção disponível e implantar rapidamente código de detecção relevante em sua infraestrutura de segurança. A intenção é escalar rapidamente o crescimento da capacidade de engenharia de ameaças organizacionais de forma econômica e permitir que os caçadores de ameaças se concentrem imediatamente em vulnerabilidades identificadas como problemáticas ou prioritárias em seus ambientes exclusivos.

“Num cenário de ameaças em constante mudança, manter o conteúdo de detecção de uma organização atualizado, eficaz e relevante é uma tarefa assustadora para os profissionais de segurança”, disse Andrii Bezverkhyi, fundador e CEO da SOC Prime. “Com a Detecção como Código Sob Demanda da SOC Prime, os profissionais de segurança podem receber conteúdo relevante no momento exato necessário e garantir continuamente que o conteúdo crucial de detecção de ameaças nunca será perdido.”