A gestão do conhecimento é um conjunto de habilidades essencial quando se trata de orquestração, automação e resposta de segurança (SOAR). Leia por que a análise, prevenção e resposta adequadas à segurança dependem da arte operacional de compartilhar conhecimento, e como nossa segurança
Como Oficial de Risco e Conformidade da Guru, passo tempo cuidando dos nossos padrões e controles postados (coisas de segurança que precisamos fazer), mas também acompanho como a automação e a gestão do conhecimento podem possibilitar a “segurança tática.” O termo da indústria para essa prática é “Orquestração, Automação e Resposta de Segurança” (SOAR), mas por si só, a automação não gera sempre resultados bem-sucedidos.
Por exemplo, quando as lojas Target foram famosamente violadas em 2013, o ataque cibernético funcionou, em parte, porque a equipe de segurança ignorou um alerta de máquina que havia se perdido no barulho dos feeds de sensores de segurança deles. A violação custou ao final 300 milhões de dólares à empresa e serviu como uma história de cautionária do que pode dar errado quando muitos inputs geram confusão.
Claro, nem todo alerta perdido leva a uma violação do tamanho da Target. Ataques menores acontecem todos os dias. De fato, de acordo com o Breach Level Index, mais de quatro mil registros sensíveis são comprometidos a cada minuto. Para se manter à frente desses incidentes, as organizações normalmente empregam uma “pilha de segurança” para sinalizar comportamentos incomuns ou possíveis intrusões contra sua rede. Essa pilha é monitorada por uma equipe central de funcionários ou um Centro de Operações de Segurança (SOC) completo, e cada vez mais essas equipes estão sendo ajudadas por aplicações SOAR para separar o joio digital e agir sobre o que é real. Novos fornecedores de SOAR estão surgindo, com a Gartner relatando mais de uma dúzia de empresas separadas no espaço SOAR.
No entanto, essas aplicações SOAR brilhantes e prontas não criam e preenchem uma base de conhecimento sozinhas, um lugar onde os analistas podem encontrar informações acionáveis e repetíveis para tratar incidentes em seu ambiente. Essa prática operacional exige que o pessoal do SOC se liberte da armadilha do conhecimento e documente procedimentos concretos para a equipe mais ampla.
A documentação é particularmente difícil no mundo do SOC, pois o ritmo inibe a criação e a manutenção contínua de playbooks e procedimentos. Mas abandonar essa etapa não é uma opção. Escreve um blogueiro de segurança: “Sem playbooks, os analistas tendem a voltar para a intuição — o que pode ser eficaz para o indivíduo, mas deixa toda a equipe à mercê do conhecimento que existe na mente daquele analista.”
Então, o que um analista de segurança sobrecarregado deve fazer?
Segurança, conheça a gestão do conhecimento
A resposta vem da boa e velha gestão do conhecimento, que não é apenas um dever adicional dentro de um SOC ocupado, mas é um conjunto de habilidades essencial. Por exemplo, o NIST Cybersecurity Workforce Framework lista a gestão do conhecimento como uma expertise central entre o pessoal de segurança. Isso inclui proficiência em criação de conteúdo, gestão de ferramentas colaborativas e a capacidade geral de “identificar, documentar e acessar capital intelectual e conteúdo informativo.”
Especialistas da indústria concordam que uma base de conhecimento é um grande multiplicador de força dentro do SOC. Em seu artigo “Aumentando os Níveis de QI do SOC com Transferência de Conhecimento,” Mike Fowler destaca a necessidade específica de um armazenamento de conteúdo que todos possam acessar e manter facilmente:
“Implementar uma abordagem automatizada usando um banco de dados centralizado e playbooks estruturados garantirá que os processos de transferência de conhecimento sejam repetíveis, defensáveis e consistentes.”
Um exemplo de como SOAR e playbooks se juntam pode ser onde um alerta de máquina informa a equipe de segurança que uma grande quantidade de dados está saindo da organização, fluindo para um site desconhecido. O analista ou o responsável dedicado age sobre o alerta e bloqueia o site de receber quaisquer dados adicionais da empresa, mas esta é apenas a primeira etapa em o que deve ser uma série de ações humanas para entender a extensão do incidente e avaliar o impacto. O playbook pode dizer: “Pesquise o endereço do servidor e o domínio do site de download,” seguido por: “Pesquise os logs de rede e localize quaisquer downloads anteriores para aquele servidor.”
Ao executar essas ações, o responsável pelo incidente, no final, monta o quebra-cabeça do como, o que, quando e onde, para que a gerência possa ser informada e proceder de acordo (o que provavelmente exigiria seu próprio playbook).
Por que a gestão do conhecimento deve ser parte de sua pilha de segurança
Embora as ferramentas SOAR de hoje possam ajudar a identificar indicadores de ameaças e prepará-los para os analistas humanos, geralmente é o caso que as ferramentas sozinhas não são suficientes para responder a incidentes e acompanhá-los até a resolução.
A análise, prevenção e resposta adequadas à segurança ainda dependem das pessoas e da atemporal arte operacional de compartilhar conhecimento.
O pessoal de segurança é escasso e limitado em tempo demais para improvisar seu caminho através de cada novo incidente. Playbooks acessíveis, atualizados e repetíveis são a pedra angular para trabalhar de maneira mais inteligente em um ambiente que está sempre potencialmente sob ataque.
Como Oficial de Risco e Conformidade da Guru, passo tempo cuidando dos nossos padrões e controles postados (coisas de segurança que precisamos fazer), mas também acompanho como a automação e a gestão do conhecimento podem possibilitar a “segurança tática.” O termo da indústria para essa prática é “Orquestração, Automação e Resposta de Segurança” (SOAR), mas por si só, a automação não gera sempre resultados bem-sucedidos.
Por exemplo, quando as lojas Target foram famosamente violadas em 2013, o ataque cibernético funcionou, em parte, porque a equipe de segurança ignorou um alerta de máquina que havia se perdido no barulho dos feeds de sensores de segurança deles. A violação custou ao final 300 milhões de dólares à empresa e serviu como uma história de cautionária do que pode dar errado quando muitos inputs geram confusão.
Claro, nem todo alerta perdido leva a uma violação do tamanho da Target. Ataques menores acontecem todos os dias. De fato, de acordo com o Breach Level Index, mais de quatro mil registros sensíveis são comprometidos a cada minuto. Para se manter à frente desses incidentes, as organizações normalmente empregam uma “pilha de segurança” para sinalizar comportamentos incomuns ou possíveis intrusões contra sua rede. Essa pilha é monitorada por uma equipe central de funcionários ou um Centro de Operações de Segurança (SOC) completo, e cada vez mais essas equipes estão sendo ajudadas por aplicações SOAR para separar o joio digital e agir sobre o que é real. Novos fornecedores de SOAR estão surgindo, com a Gartner relatando mais de uma dúzia de empresas separadas no espaço SOAR.
No entanto, essas aplicações SOAR brilhantes e prontas não criam e preenchem uma base de conhecimento sozinhas, um lugar onde os analistas podem encontrar informações acionáveis e repetíveis para tratar incidentes em seu ambiente. Essa prática operacional exige que o pessoal do SOC se liberte da armadilha do conhecimento e documente procedimentos concretos para a equipe mais ampla.
A documentação é particularmente difícil no mundo do SOC, pois o ritmo inibe a criação e a manutenção contínua de playbooks e procedimentos. Mas abandonar essa etapa não é uma opção. Escreve um blogueiro de segurança: “Sem playbooks, os analistas tendem a voltar para a intuição — o que pode ser eficaz para o indivíduo, mas deixa toda a equipe à mercê do conhecimento que existe na mente daquele analista.”
Então, o que um analista de segurança sobrecarregado deve fazer?
Segurança, conheça a gestão do conhecimento
A resposta vem da boa e velha gestão do conhecimento, que não é apenas um dever adicional dentro de um SOC ocupado, mas é um conjunto de habilidades essencial. Por exemplo, o NIST Cybersecurity Workforce Framework lista a gestão do conhecimento como uma expertise central entre o pessoal de segurança. Isso inclui proficiência em criação de conteúdo, gestão de ferramentas colaborativas e a capacidade geral de “identificar, documentar e acessar capital intelectual e conteúdo informativo.”
Especialistas da indústria concordam que uma base de conhecimento é um grande multiplicador de força dentro do SOC. Em seu artigo “Aumentando os Níveis de QI do SOC com Transferência de Conhecimento,” Mike Fowler destaca a necessidade específica de um armazenamento de conteúdo que todos possam acessar e manter facilmente:
“Implementar uma abordagem automatizada usando um banco de dados centralizado e playbooks estruturados garantirá que os processos de transferência de conhecimento sejam repetíveis, defensáveis e consistentes.”
Um exemplo de como SOAR e playbooks se juntam pode ser onde um alerta de máquina informa a equipe de segurança que uma grande quantidade de dados está saindo da organização, fluindo para um site desconhecido. O analista ou o responsável dedicado age sobre o alerta e bloqueia o site de receber quaisquer dados adicionais da empresa, mas esta é apenas a primeira etapa em o que deve ser uma série de ações humanas para entender a extensão do incidente e avaliar o impacto. O playbook pode dizer: “Pesquise o endereço do servidor e o domínio do site de download,” seguido por: “Pesquise os logs de rede e localize quaisquer downloads anteriores para aquele servidor.”
Ao executar essas ações, o responsável pelo incidente, no final, monta o quebra-cabeça do como, o que, quando e onde, para que a gerência possa ser informada e proceder de acordo (o que provavelmente exigiria seu próprio playbook).
Por que a gestão do conhecimento deve ser parte de sua pilha de segurança
Embora as ferramentas SOAR de hoje possam ajudar a identificar indicadores de ameaças e prepará-los para os analistas humanos, geralmente é o caso que as ferramentas sozinhas não são suficientes para responder a incidentes e acompanhá-los até a resolução.
A análise, prevenção e resposta adequadas à segurança ainda dependem das pessoas e da atemporal arte operacional de compartilhar conhecimento.
O pessoal de segurança é escasso e limitado em tempo demais para improvisar seu caminho através de cada novo incidente. Playbooks acessíveis, atualizados e repetíveis são a pedra angular para trabalhar de maneira mais inteligente em um ambiente que está sempre potencialmente sob ataque.
