SOC Playbook - Análise feita coletando, analisando e correlacionando grandes quantidades de dados, é um documento vivo que deve ser atualizado, revisto e gerenciado sempre:
Security analytics 1 Collect and analyze data - dados vindos de HIPS,NIPS, NGFW, Mail server, apliances, DNS etc;
Security analytics 2 Information Sharing - Infra necessária para o SOC classificar/armazenar e esportar os COIs;
Security analytics 3 Network Service - Oferecer serviços de rede críticos;
Security analytics 4 Detection tools - Ferramentas de detecção, de inteligencia e analise;
Security analytics 5 Playbook - O armazenamento de "plays" que se repetem (metodos e reports) para detecção e resposta à incidentes de segurança;
Security analytics 6 Mitigate - Mitigação do incidente (ex. Vacina de um antivírus, regras de firewall etc).
Security analytics 7 Remediate - Ações de médio a longo prazo para reparos (ex. atualização nos controles de acesso);
Eventos de um Playbook:
- Report ID
- Objective
- Data query
- Action
- Analysis
- Reference
SIEM - correlacionador de eventos que prove dados em tempo real de analises/alertas e alarmes voltados pra área de segurança;
Time to detection - tempo médio em que um evento malicioso é detectado;
Metricas de um SOC:
- Speed: detecção rápida;
- Focus: redução de falso positivos e garantia de ações eficientes na remediação;
- Accuracy - monitoramento continuo e eliminação de pontos cegos de segurança;
Incident Timeline - Evento - Analise do evento (triagem) - Report - Cotain (contenção) - Remediate (tempo para remediação);
Metricas devem ser especificas, mensuráveis, acionáveis e relevantes;
SOC WMS - Workflow management system - sistema de respostas a incidentes que automatiza as remediações e ações tomadas em um incidente de segurança.
- 3 tipos de workflows:
- Sequencial - baseado em flow, progressivo de estágio em estágio;
- State Machine - retorna ao estado estável do equipamento/sistema;
- Rules-driven - também sequencial, porém as regras ditam o progresso;
- Podem ser automatizado algumas tarefas do WMS - audit, gerenciamento de tickerts, lookup de devices etc;
- Analista de nível 1 - monitoramento e triagem;
- Analista de nível 2 - analise mais profunda, correlacionamento, remediação etc.
- Incident response handler - gerencia o incidente (comunicação, processos etc;)
- Especialista forense - foca em conseguir, manter e analisar dados para proposito de investigação;
- Especialista em engenharia reversa de malware - Focado em analise/técnicas e procedimentos na identificação/prevenção de malwares;
- SOC manager - Gerente responsável pela estratégia/budges/etc da área;
- Executive - Prove a direção e objetivos do SOC;
Incident Response Plan - Procedimentos para gerenciamento de incidentes de segurança que podem comprometer a confidencialidade, integridade e disponibilidade de informações ou ativos levando em conta 4 questões básicas:
- O que estamos protegendo?
- Quais são as ameaças?
- Como detectamos as ameaças?
- Como respondemos as ameaças?
- Fases;
- Preparação - Estar pronto para o incidente (educação de usuários, documentação, planejamento, captura e retenção de dados etc);
- Identificação - Monitoramento continuo;
- Análise - Analises como escopo do incidente, tipos de devices, velocidade de propagação etc;
- Containment - Contenção do incidente;
- Erradiction and recovery - Investigação da origem do incidente e erradicação (ex. código removido, conta reestabelecida etc);
- Leassons learned - Recomendações para que não ocorra novamente (utilizam o FMEA - Failure mode and effects analys);
- Reporting - Reporte para as equipes necessárias (deve ser imediato e baseado na severidade do incidente);
US-CERT categorias de incidentes:
- CAT0 Exercise/Network defense testing
- CAT1 Unauthorized access
- CAT2 Denial of service (DoS)
- CAT3 Malicious code
- CAT4 Improper usage
- CAT5 Scans/probes/attempted access
- CAT6 Investigation
PCI DSS - protege informações de cartões de crédito e transações monetárias;
SOX 2002 - Legislação que protege de fraudes empresarias;
HIPPA - protege informações médicas e do paciente em geral (voltada para o setor da saúde);
PHI - Protege os dados dos usuários baseados nas informações de saúde (ex. condição física/mental do usuário, exames, etc);
Automação = realizar execuções repetitivas sem intervenção humana.
Orchestration = automatização em grande escala.
CSIRT - Organizações responsáveis por receber/analisar e responder a incidentes de segurança, tem o objetivo de ajudar as companhias a prevenir e a investigar incidentes (investigação, mitigação e prevenção);
Internal CSIRT - dentro de uma organização);
National CSIRT - responde a uma nação;
Cordination centers - trocam informações entre eles;
Vendors Teams - Ex. CSIRT Microsoft;
Incident response providers - "pagos"
Analysis centers
Serviço de tratamento de incidentes CSIRT:
- Triage - Handling - Feedback - Annoucement (opcional)
Network Baselining - analise do tráfego normal (comportamento) que é usado como referencia nos casos de atividades suspeitas, é estabelecido uma carga (break point) para a rede e caso essa carga seja ultrapassada é iniciada a investigação (inclusive se a carga aumentar rápido demais);
REGEX - Expressão regular (estude por fora desse material);
Veris - Vocabulário de eventos e compartilhamento de incidentes criados para manter uma linguagem única e estruturada na tratativa dos mesmos.
- 4 principais componentes:
- Actions (malware, variedade, vetor, vulnerabilidade, social, físico, erro, etc)
- Actors (externo, interno ou parceiro)
- Assests (hardware, server, devices etc)
- Atributes (integridade, disponibilidade, confidencialidade);
- 5 principais sessões:
- Incident tracking (informações gerais sobre o incidente);
- Victim demographics (descreve sem identificar a organização afetada);
- Incident descriptions (quem ou o que foi feito e qual o resultado);
- Discovery and responses ( como foi descoberto e lições aprendidas);
- Impact assessment ( mensura o impacto calculando a magnitude, as perdas e a quantidade de ativos afetados);
Nenhum comentário:
Postar um comentário