Um insight sobre o 1º ano de operações de automação SOC

Já se passou pouco mais de um ano desde que a SOC Prime se dedicou à sua missão atual – trazer eficiência para as tecnologias de Cibersegurança mais sofisticadas por meio de automação, consolidação de conhecimento e fusão de tecnologias líderes de mercado existentes. Usando as frases da moda, afirmamos que faríamos a “Cibersegurança ser acionável” através da automação da detecção de ameaças conhecidas e fornecendo ferramentas e liberando FTE para combater as desconhecidas. E enquanto muitas empresas por aí lutam pelo mesmo propósito, acreditamos que nenhuma solução ou organização única pode combater os adversários sozinha e há claramente a necessidade de um sistema de defesa coletiva. Bem, estou orgulhoso de anunciar que hoje completamos nossos primeiros passos para tornar esse objetivo uma realidade. É hoje que a SOC Prime anuncia a unificação de nossos dois produtos principais, Manutenção Preditiva para SIEM e Framework de Integração, sob uma única plataforma para Gestão de Segurança e Inteligência.

Atualmente, podemos afirmar com convicção que a velocidade atual de detecção de violações de segurança pode ser melhorada e pode ser drasticamente reduzida em comparação com os infames 200 dias. E uma das primeiras respostas está em automatizar muitas operações rotineiras de um SOC moderno e fundir as tecnologias que há muito tempo foram estabelecidas na indústria. Como muitos de vocês, nossa equipe passou anos em operações de primeira linha de implantações de SIEM e, como muitos de vocês, passamos por toda a diversão e desafios de escrever parsers, desenvolver Casos de Uso, dimensionar, delimitar, encontrar soluções alternativas e fazer todos esses sistemas complexos fazerem o que deveriam – detectar incidentes de segurança! Se pensarmos nisso por um momento, uma detecção precisa depende de múltiplos fatores, incluindo: disponibilidade de Dados de Log e feeds externos, qualidade dos dados consumidos pelo SIEM que começa com a correta interpretação desde o momento em que é extraído da fonte de log e termina com categorização & enriquecimento, desempenho da própria plataforma que precisa de uma constante atenção do seu administrador, precisão das informações de ativos e rede e por último, mas não menos importante – segurança do próprio sistema SIEM.

Tudo isso foi um trabalho manual minucioso por mais de uma década, e tudo isso está mudando agora que aplicamos conjuntos de ferramentas mais avançadas para tornar nossos trabalhos diários mais fáceis e usar nossos recursos de forma mais eficiente. É para isso que nosso módulo de Manutenção Preditiva foi construído – melhorar a visibilidade no coração do seu SOC e fornecer a você uma visão completa e respostas instantâneas, exatamente quando precisar delas. Não haverá mais dúvidas ou espaço para adivinhar se um SIEM capturou os dados de que você precisa e pode fornecê-los quando necessário, agora você pode confiar nos fatos e ver um quadro completo a qualquer momento.

Ainda assim, o SIEM em si é apenas um pedaço de uma infraestrutura de segurança sólida e precisa se interconectar com uma variedade de dispositivos e tecnologias de segurança. Conforme observado pela SANS no início de 2015, mais de 52% das empresas responderam à pesquisa do SOC que têm pouca visibilidade sobre as configurações e vulnerabilidades de seus ativos, o que, por sua vez, reduz a eficiência na resposta a incidentes. Embora os sistemas de gerenciamento de vulnerabilidades e avaliação de conformidade estejam em operação desde 1999 e tenham alcançado grande sucesso em precisão e velocidade ao realizar seus trabalhos, ainda existe uma lacuna entre operacionalizá-los quando se trata de SOC. E essa lacuna é fechada através da plena integração das tecnologias de Gerenciamento de Vulnerabilidades com o SIEM, e essa foi uma das primeiras coisas de que cuidamos por meio do nosso Framework de Integração.

Juntamente com nossos primeiros clientes e parceiros, agora provamos na prática que o framework é a base para o Monitoramento Contínuo de Vulnerabilidades e Ativos. Agora qualquer empresa no mundo pode automatizar as operações da plataforma de Gerenciamento de Vulnerabilidades, Avaliação de Conformidade e Configuração em seu SOC. Como nem todas as empresas são iguais em termos de tamanho, infraestrutura, especificidades da indústria e regulamentações, desenvolvemos nossa plataforma para estar disponível para todos por meio de edições puramente SaaS e on-premise, implantáveis nas plataformas de virtualização VMware ESXi, Microsoft HyperV, Amazon AWS, KVM & Proxmox. No entanto, a integração e a automação irão elevar a segurança como um todo para o próximo nível de evolução? Ainda não, e temos muito mais por vir nos próximos meses. Fique atento para atualizações!