Principais Desafios para MSSPs e MDRs e Como Superá-los

Algumas coisas nunca envelhecem. No mundo dos provedores de segurança, sempre haverá falta de profissionais, tempo e fornecedores autênticos, enquanto você sempre enfrentará uma abundância de riscos, complexidade e pressão de custos. No entanto, existem alguns desafios menos óbvios que impedem o crescimento e a escalabilidade do seu MSSP ou MDR. Vamos mergulhar diretamente em alguns problemas angustiantes do dia-a-dia para resolvê-los e levar seu negócio para o próximo nível.

Desafio 1. Cobertura de fonte de log

Nós estamos começando diretamente com um dos mais complicados porque não importa quanto tempo você esteja na cibersegurança, você sabe que encontrar um equilíbrio é complicado. Onde está o meio termo entre uma ótima cobertura que o mantém seguro e enormes volumes de dados emparelhados com fadiga de alerta? Bem, este é um tema que vale horas de discussão porque cada caso é único. No entanto, há recomendações universais que, esperançosamente, evitam que seu olho pisque toda vez que alguém pergunta sobre a estratégia de registro.

Solução

Antes de começar a fazer qualquer coisa, reformule a pergunta de Quais logs devo coletar? to Para que eu coleto este log específico?

Agora, isso é o que você deve levar em conta ao selecionar logs:

• Não tente cobrir todas as técnicas. Em vez disso, melhore seu conhecimento da cadeia de ataque para entender os vetores de ataque. Você pode começar com o básico em MITRE ATT&CK e depois aprimorar seu conhecimento com uma série de artigos de Jose Luiz Rodriguez sobre fontes de dados ATT&CK.
• Lembre-se de que nenhum ataque se resume apenas a um framework. É por isso que você deve ser flexível.
• Mantenha-se atualizado com as novas técnicas verificando constantemente as pesquisas mais recentes e observando os líderes do setor.
• Considere sempre o campo de negócios e a região dos seus clientes. Com base nisso, defina os APTs e vetores de ataque mais comuns.
• Sempre use apenas a inteligência de ameaças confiável e mais recente, evitando dados históricos.
• Lembre-se de que a visibilidade é crítica não apenas antes, mas também durante e após um incidente de cibersegurança.

A grande base de conhecimento de sua fonte de log pode ser o Guia NIST para Gerenciamento de Logs de Segurança de Computadores (documento 800-92). Enquanto o NIST ainda está trabalhando na atualização deste guia, o instituto lançou um memorando para os chefes de departamentos executivos e agências. As revisões são principalmente impulsionadas pela natureza progressiva dos ataques recentes.

O próximo passo, igualmente importante quanto a coleta de logs, é a análise de eventos registrados. Nós já cobrimos as dicas para uma análise de logs bem-sucedida aqui.

Desafio 2. Variedade de plataformas

Ser um provedor de serviços de segurança cria um desafio de versatilidade. Para a satisfação dos clientes e um mercado-alvo maior, você deve ser capaz de suportar vários produtos e ferramentas, incluindo diversos SIEMs, EDRs e XDRs. Isso cria um problema de gerenciamento assustador, exige uma curva de aprendizado extra e demanda mais especialistas na sua equipe.

Solução

Para fornecer e suportar uma grande qualidade de serviços, o melhor caminho a seguir é procurar soluções universais. No caso de cibersegurança, a primeira coisa que você deve integrar em seus procedimentos de trabalho é Sigma. É uma linguagem comum para cibersegurança que permite criar uma consulta genérica e depois usá-la para várias plataformas. Se você é novo no Sigma, confira os materiais a seguir:

• SigmaHQ repositório GitHub
• A folha de dicas sobre o básico da engenharia de detecção com Sigma por Josh Brower e Chris Sanders
• Anatomia de uma regra Sigma por Thomas Roccia
• The pySigma repositório GitHub lançado por Thomas Patzke e Florian Roth. pySigma é uma biblioteca python para análise e conversão de regras Sigma em consultas
• A guia para regras Sigma para iniciantes

Outra dica é optar por fornecedores confiáveis que possam cobrir várias necessidades com uma solução. No entanto, evite produtos de tamanho único porque quanto mais ampla é a oferta, mais difícil é mantê-la profunda o suficiente. Veja como a LTI resolveu o desafio de gerenciar múltiplas soluções SIEM e EDR aproveitando a plataforma do SOC Prime.

Desafio 3. Ameaças emergentes

O cenário de ameaças está mudando em uma velocidade cada vez mais alta, o que nos deixa com a única opção de melhorar constantemente os métodos de detecção e resposta. Cada empresa encontra sua própria resposta para esse desafio. Algumas investem fortemente em novos softwares, enquanto outras empregam novos especialistas. Mas isso é realmente eficaz? Tais medidas aumentam o custo, mas não necessariamente trazem os resultados desejados. Qual é a abordagem mais apropriada?

Solução

Estas são as recomendações que podem fortalecer significativamente sua postura de segurança diante do cenário de ameaças em constante mudança:

1. Opte por detecções baseadas em comportamento em vez de regras baseadas em IOC. As regras de detecção baseadas em comportamento simplesmente duram mais porque estão principalmente buscando os padrões que os adversários usam repetidamente. Ao mesmo tempo, as detecções baseadas em IOC são melhor usadas retroativamente para verificar os dados históricos e descobrir se você foi atacado antes. Lembre-se apenas de que uma consulta simples feita para identificar a atividade incomum de rundll32 servirá por muito mais tempo do que uma detecção baseada no relatório de IOC.
2. Integre/aprimore seus procedimentos de Threat Hunting. Embora muitas empresas evitem Threat Hunting ou o executem de maneira muito básica, é uma excelente solução para melhorar sua defesa cibernética proativa.
3. Fique ciente de novas ameaças, vetores de ataque, técnicas, atores de ameaças, etc. Esteja sempre a par de novos relatórios, aprenda e tente seguir os líderes e especialistas da indústria. Isso pode certamente poupá-lo de uma grande quantidade de surpresas desagradáveis.
4. Use a defesa cibernética colaborativa a seu favor. Existem diferentes projetos de código aberto que podem ser altamente benéficos para o seu negócio. Tente começar com os repositórios do GitHub, como LOLBAS, ELF Parser, YARA, regexploit, lynis, etc.
5. Procure regras de detecção na Plataforma SOC Prime. É uma ótima maneira de encontrar detecções, contexto de ameaças, binários e as correspondentes simulações Red Canary.  

Desafio 4. Tempo

Embora possamos argumentar qual é o ativo mais valioso, todos concordariam que o tempo é inestimável. Não ser capaz de detectar ameaças de forma oportuna pode resultar não apenas em perdas financeiras, mas também em perda de dados, questões de conformidade e riscos reputacionais. Claro, ao falar de cibersegurança, nada e ninguém pode dar uma garantia de 100%, mas ser consistente e estratégico fará mais do que você pensa.

A detecção oportuna muitas vezes se resume aos fatores que já mencionamos: conhecimento da cadeia de ataque, coleta e análise sábia de logs, integração de Threat Hunting e estar atualizado sobre ameaças emergentes. No entanto, um passo adicional para aumentar a velocidade da entrega de serviços é automatizar os processos recorrentes sempre que possível. Mas qual automação é mais eficiente para MSSPs e MDRs em particular?

Solução

Para liberar mais tempo e recursos para atividades críticas para os negócios, tente automatizar os seguintes procedimentos:

• Varredura e monitoramento. Normalmente, esses processos são fáceis de automatizar porque não exigem muita atenção humana.
• Tarefas de enriquecimento de dados. A maioria das tarefas relacionadas a dados no nível inicial pode ser automatizada porque a atenção humana é muito mais útil depois.
• Classificação e análise básicas. Antes de passar os dados brutos para seu analista, você pode facilmente automatizar o processo de classificação e análise simples, pelo menos para os casos mais típicos.
• Resposta a incidentes de baixo nível. A resposta a incidentes pode variar muito. No entanto, alguns dos fundamentos podem ser facilmente automatizados
• Outras ideias: pentesting automatizado, implantação de detecção, atualizações de software, etc. Esta lista pode ser modificada e ampliada de acordo com as políticas e estratégia de sua empresa.

O conceito de Automação de Processos Robóticos (RBA) ainda é discutido por ter várias desvantagens, como:

• Nem todas as tarefas de cibersegurança podem ser automatizadas. Está, na verdade, longe disso.
• Bots de RPA podem ser hackeados, resultando em interrupção operacional ou perda de dados sensíveis, por exemplo.
• Ainda é necessário um especialista experiente para configurar o processo de automação e mantê-lo funcionando. Portanto, você não pode automatizar seus processos e esquecer deles.
• À medida que o cenário de ameaças muda, você também teria que fazer vários ajustes.
• Algumas empresas não podem aplicar automação devido a suas políticas.

Desafio 5. Concorrência

Provavelmente, todas as empresas alegariam que a alta concorrência é um de seus desafios, não importa o que façam. No entanto, cada indústria tem suas peculiaridades, então as estratégias para se destacar dos concorrentes também variam muito.

Solução

Como um provedor de serviços de segurança, você pode sempre retornar à lista de verificação a seguir que sempre o colocará de volta nos trilhos:

1. Prova de expertise e qualidade. Você pode imaginar que todo fornecedor diz que é o melhor. Seja aquele que pode provar isso e deixe suas avaliações falarem. Se você fizer um ótimo trabalho, seus clientes satisfeitos certamente compartilharão suas experiências positivas. Às vezes, você só precisa pedir.
2. Escolha seus parceiros com sabedoria. Se você tiver uma seleção de fornecedores confiáveis, não terá problemas para provar a qualidade dos seus serviços.
3. Mostre seu alto valor. Algumas empresas podem começar a entrar em uma corrida de ratos, reduzindo preços e adquirindo mais clientes do que podem gerenciar. Tente optar pela qualidade em vez da quantidade, e você verá os milagres do marketing boca a boca.
4. Comprove sua eficácia com relatórios claros. Lembre-se de que você está prestando serviços a empresas, e quase toda decisão tomada pelos líderes das empresas é baseada no ROI. Mostre que seus serviços são críticos fornecendo relatórios regulares e explícitos.
5. Velocidade e eficácia. A cibersegurança faz cada segundo contar. Portanto, você deve trabalhar para entregar resultados de qualidade no melhor tempo possível. No entanto, evite fazer promessas irreais.
6. Seja diferente. Embora este nicho esteja carregado de ofertas, veja como seus concorrentes se comercializam. Eles se envolvem com a comunidade? Quais são seus principais pontos de venda? E como eles atraem novos clientes? Essas são apenas algumas perguntas que podem ajudá-lo a mudar sua estratégia.

Conclusão

A cibersegurança é uma indústria desafiadora, então sempre haverá desafios a serem superados. Mas se você tem uma estratégia adequada, uma abordagem consistente e fornecedores de alta qualidade apoiando você, nada é impossível. SOC Prime é um parceiro de confiança de numerosos MSSPs e MDRs. Verifique a eficácia do maior mercado de detecção de ameaças por você mesmo de forma gratuita.