Você está na página 1de 8

White paper

Criando uma funo eficaz de operaes de segurana

A conscincia dos problemas de segurana fundamental para uma poltica eficaz.


Quando pensamos em um SOC (Security Operations Center, centro de operaes de segurana), freqentemente temos a imagem de uma sala ampla, cheia de pessoas sentadas em filas perfeitas, com sua ateno dividida entre os monitores de seus computadores e uma grande tela frente, como no Centro Espacial de Houston durante o lanamento de um nibus espacial. claro que tais locais existem, mas em muitas empresas, a realidade bem diferente. Embora quase toda empresa tenha uma funo de operaes de segurana, ela pode assumir vrias formas. Em alguns casos, um grupo formalmente Onde quer que voc se encontre nesse continuum, entender todas as atividades e papis de uma funo de operaes de segurana o primeiro passo para tornar essas operaes mais eficazes e eficientes permitindo que voc aproveite os investimentos relacionados em tecnologia e a expertise humana para obter a melhor vantagem. designado, com equipe e instalaes dedicadas. Em outros, as operaes de segurana consistem em apenas um punhado de pessoas com vrias responsabilidades que lidam com problemas de segurana de TI conforme surgem.

Operaes de segurana definidas: o que exatamente voc faz?


O termo operaes de segurana surgiu nos anos mais recentes para descrever uma gama de atividades cujo propsito era manter seguros os ativos de informaes de uma organizao. No passado, as tarefas relacionadas segurana eram divididas, segundo as necessidades, entre o pessoal de segurana, os administradores de rede e as equipes de operaes do servidor. Cada vez mais, essas responsabilidades esto sendo unidas sob a abrangncia das operaes de segurana. Atividades dirias Quer voc tenha ou no um SOC formal ativo, bem provvel que os membros da equipe estejam executando determinadas obrigaes rotineiras em algum aspecto ou de alguma forma. Essas atividades dirias so criadas para manter os sistemas de segurana funcionando do modo ideal, de maneira que os processos de negcios fiquem protegidos contra ataques e abusos e ainda possam operar perfeitamente e sem interrupo. O gerenciamento de vulnerabilidades mantm hackers (e auditores) afastados. A identificao de sistemas sem correes, senhas fracas e configuraes equivocadas serve a dois propsitos: ajudar a fortalecer tanto a segurana quanto a conformidade. Ela proporciona um panorama preciso das vulnerabilidades de segurana de modo que, por exemplo, voc possa encorajar a equipe de operaes do servidor a corrigir seus sistemas. Por sua vez, voc pode ficar um passo frente dos hackers, que podem querer explorar essas vulnerabilidades, e dos editores, que iro consider-lo responsvel por proteger a infra-estrutura de modo conforme.

O gerenciamento de dispositivos de segurana aumenta a preciso da deteco de ameaas. Manter as polticas do firewall atualizadas e ajustar as regras para IDS (Intrusion Detection System, sistema de deteco de intruses) e SIEM (Security Information and Event Management, gerenciamento de informaes e eventos de segurana) permite que voc refine continuamente a preciso dos alertas. Quando a tecnologia que voc implantou est cumprindo sua tarefa eficazmente, o trfego de rede pode fluir para onde precisa ir, o software pode ser executado sem interrupo e o tempo da equipe no desperdiado com a investigao de alarmes falsos. A monitorao propicia uma advertncia precoce quando ocorrem problemas. Examinar o ambiente de segurana em busca de sinas de problemas uma tarefa contnua. Essa tarefa inclui verificar se os sistemas de segurana esto funcionando adequadamente, se h alertas automatizados nos vrios canais de comunicao que possam exigir acompanhamento e examinar outros indicadores, como um pico inexplicvel no trfego de rede, o que pode sinalizar um ataque em andamento. A pesquisa de ameaas informa o que procurar e como outros esto respondendo. Muitos recursos esto disponveis para ajudar a acompanhar as vulnerabilidades recm detectadas, como esto sendo exploradas e que correes foram desenvolvidas em resposta. Esses recursos incluem informes de segurana do fornecedor, quadros de avisos, listas de e-mail e organizaes como o CERT (Computer Emergency Response Team, equipe de resposta a emergncias de informtica), o SANS Internet Storm Center e os alertas de cibersegurana do Departamento de Segurana Nacional dos EUA. As informaes que proporcionam podem ajudar a reconhecer rapidamente um ataque e tomar as medidas apropriadas para reduzir seu risco. Ao longo prazo, podem ajudar a priorizar investimentos de segurana para melhor proteger seu ambiente.

Ferramentas
Alimentaes e quadros de avisos

Dados

Ameaas

Banco de dados do gerenciamento de configurao Avaliao da vulnerabilidade

Informaes
Ativos Alertas Vulnerabilidades

SIEM e gerenciamento de registros Consoles de dispositivos

Eventos

Centro de operaes de segurana

Figura 1. Um instantneo das operaes de segurana


Aproveitando-se de vrias ferramentas e recursos de informao, a funo de operaes de segurana monitora continuamente o ambiente de segurana de uma empresa, responde a ameaas imediatas e vulnerabilidades em longo prazo, e proporciona aconselhamento e orientao sobre questes de segurana tanto para o gerenciamento snior quanto para as unidades de negcios.

Relatrios

Informes Polticas

Gerenciamento de identidade e acesso

Identidades

Gerenciamento de incidentes e problemas Alm das operaes dirias, outro conjunto de tarefas realizado em resposta a incidentes de segurana. Em empresas menores, esses eventos podem acontecer apenas periodicamente; em empresas maiores, provvel que ocorram com maior freqncia, exigindo a ateno de um pessoal de operaes de segurana dedicado. A rpida resposta a incidentes abranda o impacto dos ataques. O SOC direciona a resposta a ataques e vulnerabilidades de alto risco, tomando as medidas imediatas para abrandar o impacto de um ataque em andamento e fornecer a administradores de rede e operadores de sistema orientao sobre medidas adicionais para conter ou remediar uma ameaa. A triagem de problemas e o gerenciamento de incidentes ajudam a garantir que voc esteja empregando seu tempo sensatamente. A maioria das equipes de operaes de segurana tem mais trabalho do que pode suportar. Estabelecer um processo de triagem de problemas permite que a equipe avalie rapidamente incidentes e problemas e priorize os que representam o maior risco para os negcios. Por sua vez, voc pode alocar recursos experientes para os problemas mais urgentes e/ou importantes. E mais, procedimentos de fluxo de trabalho e escalonamento bem-definidos ajudam a garantir que os incidentes de alto risco sejam resolvidos o mais rapidamente possvel.

A investigao forense revela a origem bsica de incidentes de segurana. Com as informaes e ferramentas corretas, os analistas de segurana podem estudar as circunstncias que envolvem um ataque ou violao e seguir o rastro da evidncia at chegar origem. Por sua vez, a equipe do SOC pode proteger contra a repetio de eventos e sua empresa pode tomar medidas contra grupos conhecidos (por exemplo, funcionrios, scios ou contratadas) que estejam envolvidos. Aconselhamento e orientao estratgicos Enquanto desempenha suas obrigaes, as operaes de segurana coletam dados valiosos sobre o ambiente de TI e o modo com o qual a empresa est abordando a segurana. Transformar esses dados operacionais em aconselhamento de negcios capazes de gerar aes tambm uma tarefa essencial. O aconselhamento estratgico sobre segurana apia a inovao e a ampliao dos negcios. Com uma viso do ambiente de segurana que ampla e altamente granular ao mesmo tempo, as operaes de segurana esto em uma excelente posio para aconselhar os negcios sobre como a segurana pode dar suporte a iniciativas estratgicas como aquisies e fuses, redes de parceiros e implementao de novas linhas de negcios.

White paper da RSA

Figura 2. Quem quem no SOC?


Mesmo em uma funo relativamente pequena de operaes de segurana, os papis, as responsabilidades e o organograma normalmente lembram alguma variao desse modelo. As reas sombreadas representam sobreposio funcional.

Estratgico
Aconselhamento estratgico Coleta de medidas

Resposta a incidentes

Cotidiano

CSO

Gerente de segurana Guru de segurana

Coleta de medidas Superviso de IR

Coleta de medidas

Triagem de problemas Investigao

Pesquisa de ameaas

Investigao

Analista de segurana

Monitorao e emisso de alertas Gerenciamento de configuraes de dispositivos Gerenciamento de vulnerabilidades

A avaliao das operaes de segurana mostra as reas que exigem melhorias. Os dados operacionais recolhidos de registros de eventos de segurana e relatrios de incidentes expem lacunas entre suas expectativas quanto a como o SOC deve operar e as realidades cotidianas com as quais sua equipe deve lutar. Examinando as tendncias nos dados operacionais, voc pode identificar reas que exigem melhorias nos membros da equipe, em treinamento, poltica ou tecnologia. Por exemplo, uma falha persistente na correo de vulnerabilidades pode indicar que h necessidade de uma comunicao mais forte ou treinamento de conscientizao voltado ao pessoal de operaes do servidor. O aumento das lentides de rede causadas por ataques iniciados externamente pode indicar a necessidade de monitorao mais sensvel a ameaas ou um processo de escalonamento mais disciplinado. Nesses e em outros cenrios, uma vez tomadas as medidas corretivas, os dados de tendncia tambm podem medir se essas aes esto tendo o efeito desejado.

Os informes especficos da empresa elevam a conscincia e levam mudana. Uma responsabilidade importante da equipe de SOC traduzir os prprios incidentes de segurana da empresa e tambm as informaes de ameaas sendo geradas pelo CERT, SANS e outras fontes competentes em recomendaes que podem gerar aes especficas da organizao. Quando sistematicamente aplicadas de modo oportuno, essas recomendaes podem melhorar constantemente a postura de segurana geral. Por exemplo, os informes podem oferecer orientao aos arquitetos corporativos e outros sobre os tipos de controles que precisam estar em vigor para proteger o negcio. Alm disso, os informes que so mais estratgicos por natureza podem elevar a conscincia dos executivos sobre problemas de segurana e influenciar os tomadores de decises a dar segurana um nvel mais elevado de ateno e investimento.

White paper da RSA

Funes e responsabilidades: quem quem nas operaes de segurana


O ingrediente mais importante em um centro de operaes de segurana bem-sucedido uma equipe que funciona bem. Em pequenas empresas, isso pode incluir apenas uma ou duas pessoas que lidem com todas as tarefas do SOC, ainda que com um foco necessariamente limitado nas atividades mais urgentes ou essenciais. As empresas maiores podem ter uma equipe considervel de pessoal dedicado a operaes de segurana, cada um com reas especializadas de expertise. A Figura 2 mostra as principais atividades que cada funo desempenha e como podem se relacionar entre si. Analistas de segurana Os analistas de segurana esto nas linhas de frente das operaes de segurana. Eles tm a responsabilidade de garantir que as ferramentas de segurana sejam implantadas adequadamente e estejam em execuo da forma ideal. Eles monitoram constantemente o ambiente em busca de sinais de problemas e freqentemente so o primeiro ponto de contato quando um alerta de alto risco emitido ou um ataque suspeito comea a afetar as operaes de negcios. Normalmente, os analistas tambm conduzem os estgios iniciais da investigao pericial. Especialistas em pesquisa Nos bastidores dos SOCs mais bem-sucedidos h um ou mais "gurus" de segurana, cujo ttulo formal pode ser Especialista em Pesquisa ou Analista Snior. Normalmente, esses indivduos tm vasta expertise tcnica e ampla experincia. Eles "vivem, respiram e comem segurana"

e so chamados para auxiliar em incidentes de segurana que so particularmente complexos e/ou de alta presso. Em funo de sua compreenso dos desafios e tecnologias de segurana, eles tambm podem atuar como consultores para o Gerente do SOC e para o CISO (Chief Information Security Officer, diretor de segurana das informaes), aconselhando-os sobre estratgia de segurana. Gerente de SOC O gerente de SOC supervisiona as operaes de segurana cotidianas, adequando pessoal, ferramentas, processos e mtodos de medio necessrios para alcanar os objetivos do SOC no tocante ao apoio aos negcios. O gerente de SOC tambm serve de interface entre o SOC e o CISO. Nessa funo, ele traduz as metas e requisitos do CISO em um conjunto de aes para a equipe do SOC executar e, reciprocamente, comunica o CISO de problemas que exigem ateno e/ou investimento executivo. CISO Como a principal interface entre o departamento de segurana e o negcio, o CISO responsvel por garantir que os recursos e atividades do SOC estejam alinhados para apoiar a estratgia geral de negcios e estejam ajudando a criar valor de negcios. O SOC traduz as necessidades dos negcios em objetivos de operaes de segurana, prioriza onde o oramento gasto e freqentemente serve como um divulgador, ensinando os executivos de negcios sobre como a segurana pode permitir a inovao dos negcios e ser usada para gerenciar o risco s informaes.

Os mais avanados centros de operaes de segurana esto se voltando para ferramentas como o SIEM, bem como para o gerenciamento de registros, a fim de automatizar a coleta de informaes, emisso de alertas e de relatrios.

White paper da RSA

As mais avanadas equipes de SOC enriquecem ainda mais sua percepo do ambiente de segurana com informaes contextuais oferecidas por outras ferramentas e fontes de informao.
Proporcionar informaes de segurana em tempo real que podem gerar aes. Os alertas em tempo real destacam problemas de alto risco, permitindo que os profissionais de segurana priorizem suas atividades. Os recursos de correlao dimensionveis melhoram a produtividade do analista ao reduzir os falsos positivos. Permitir investigaes periciais. A plataforma RSA en Vision serve de apoio para o trabalho investigativo sobre incidentes de segurana passados ao proporcionar a capacidade de pesquisar eventos de vrios modos, por exemplo, por perodo, ID de usurio, nmero de porta e servidor host, para chegar rapidamente origem do incidente. O fluxo de trabalho acelera o ciclo de vida da resoluo de problemas desde a investigao inicial, o direcionamento aos membros apropriados da equipe, o escalonamento automtico de incidentes de alta prioridade ou de difcil resoluo, at a resoluo, o fechamento e o arquivamento. Aumentar a visibilidade na eficcia das medidas de segurana. A tecnologia RSA enVision ajuda as empresas a avaliar a eficcia do programa de segurana especificando informaes sobre o quo bem os controles de acesso esto sendo aplicados, e tambm sobre quaisquer aplicativos e servios de rede no-autorizados. O contexto a chave As mais avanadas equipes de operaes de segurana enriquecem ainda mais sua percepo do ambiente de segurana com informaes contextuais oferecidas por outras ferramentas e fontes de informao. Por exemplo, o banco de dados de gerenciamento de configuraes, que captura os dados de configurao de vrios ativos, facilita a avaliao tanto dos requisitos para a implementao de alteraes de segurana em toda a empresa quanto do possvel impacto operacional e de negcios de tais alteraes. Os sistemas de IAM (Identity and Access Management, gerenciamento de identidades e acessos) propiciam visibilidade do comportamento do usurio, no somente quanto a incidentes de segurana especficos, mas tambm para reconhecer tendncias mais amplas de IAM. Isso ajuda a aumentar a responsabilidade do usurio, permitindo simultaneamente que a equipe do SOC detecte mais facilmente o uso indevido de privilgios por pessoas de dentro.

Ferramentas do SOC: da bsica avanada


A tecnologia um elemento-chave de operaes de segurana, proporcionando os meios para centralizar processos, automatizar tarefas repetitivas e tornar seu pessoal mais produtivo de modo geral. A maioria das equipes de operaes de segurana utiliza as seguintes ferramentas bsicas: Cada dispositivo e software de segurana perimetral (por exemplo, firewalls, IDS e produtos antivrus) tem seus prprios mecanismos de emisso de relatrios e alertas, alm de consoles para fazer alteraes nas polticas. Em SOCs rudimentares, essas ferramentas freqentemente so o primeiro ponto de entrada para que os analistas investiguem ou remediem um problema de segurana. As ferramentas de avaliao de vulnerabilidades podem ser produtos comerciais ou ferramentas de cdigo aberto, como o Nessus. De qualquer modo, elas proporcionam uma valiosa percepo de quais sistemas esto corrigidos e configurados corretamente e quais representam um risco de segurana para o ambiente. As ferramentas freeware de diagnstico podem ser facilmente encontradas para download e so extremamente teis, mesmo para o mais avanado analista de operaes de segurana. As ferramentas de varredura de rede, como o nmap, as ferramentas de varredura sem fio (Kismet) ou ferramentas de teste de penetrao como o Metasploit podem ser inestimveis no teste e diagnstico de problemas de segurana. Alm do bsico Os mais avanados centros de operaes de segurana esto se voltando para ferramentas como o SIEM, alm de ferramentas de gerenciamento de registros para automatizar a coleta de informaes, a emisso de alertas e os recursos de emisso de relatrios. Por exemplo, a soluo de SIEM da RSA a plataforma RSA enVision simplifica as operaes de segurana ao:

White paper da RSA

Como comear: como voc mantm as operaes de segurana ativas e funcionais?


Depois de identificar as atuais funes das operaes de segurana de sua empresa, voc desejar identificar as lacunas e ineficincias e comear a solucion-las. Algumas das principais prticas recomendadas empregadas pelas melhores organizaes de TI esto resumidas a seguir. Comece facilitando a vida do analista O cargo de analista de segurana pode ser frustrante. Freqentemente esse cargo altamente reativo e, se no houver estrutura definida em vigor para priorizar e escalonar os problemas, pode facilmente se tornar uma tarefa de combate a incndio, em que a equipe fica constantemente suprimindo os sintomas mais bvios das ameaas de segurana sem solucionar os problemas bsicos. Alm do mais, se seus analistas de segurana no puderem acessar informaes oportunas e precisas sobre o que est acontecendo em seu ambiente, impossvel que saibam se voc est instaurando os controles corretos. Durante um ms inteiro, avalie as atividades nas quais seus analistas esto empregando o tempo e priorize os pontos onde voc acredita que uma equipe ou tecnologia adicional possa ter o maior impacto na melhoria da eficcia dos analistas. D s pessoas as informaes corretas para realizarem suas tarefas Em todas as reas do SOC, fazer a tarefa eficazmente depende de estar armado com as informaes certas no momento certo. Considere o uso inteligente da tecnologia para colocar essas informaes nas mos das pessoas. Analistas alertas oportunos, priorizados com base na urgncia. Dados de registros e ativos para fornecer informaes contextuais sobre incidentes de segurana. Especialistas em pesquisa informaes aprofundadas sobre incidentes de segurana medida que ocorrem para acelerar a resoluo. Dados sobre ameaas emergentes para que possam recomendar medidas de proteo. Gerentes de segurana status atualizado sobre problemas de segurana pendentes. Dados sobre como os recursos da equipe esto sendo utilizados. CISOs informaes resumidas sobre os mais urgentes problemas e incidentes de segurana. Postura geral do negcio quanto ao risco e segurana.

Foco nas melhorias de processos em vez de na automao do SOC improvvel que a tecnologia venha realmente a substituir o pessoal de operaes de segurana, mas ferramentas como o gerenciamento de registros e SIEM podem simplificar alguns dos processos mais tediosos e repetitivos com os quais eles lidam e, assim, torn-los mais produtivo. Um exemplo seria pegar os alertas do IDS, fazer uma referncia cruzada entre eles e uma lista de mquinas vulnerveis ao ataque especfico detectado e reiniciar os servios nos dispositivos afetados. Nos casos em que os dispositivos pertenam a outro grupo, pode ser necessrio negociar a permisso para automatizar a ao corretiva. Faa a tecnologia trabalhar para o seu pessoal, e no o contrrio Uma funo bem-sucedida de operaes de segurana depende, principalmente, de se ter uma equipe coesa, com suporte de processos bem-definidos e informaes oportunas que os capacite a tomar decises beminformadas. A tecnologia til at onde ela torna seu pessoal mais eficaz, portanto, use solues como o SIEM criteriosamente para simplificar seus processos e tornar as informaes disponveis de um modo facilmente digervel. Ao decidir sobre a tecnologia SIEM correta para sua funo de operaes de segurana, procure por: Uma soluo facilmente empregvel que acelere e simplifique seus processos. Uma soluo que torne prontamente disponveis todos os dados de que seu pessoal precisa para realizar suas tarefas. Uma soluo que oferea as ferramentas para transformar dados operacionais em informaes que podem ser convertidas em aes, as quais iro melhorar sua postura de segurana e apoiar as iniciativas estratgicas do negcio.

White paper da RSA

Sobre a RSA RSA, a diviso de segurana da EMC, a melhor fornecedora de solues de segurana para a acelerao de negcios, ajudando as mais importantes empresas do mundo a alcanar a soluo de seus desafios de segurana mais complexos e delicados. A abordagem de segurana centralizada nas informaes, como feito pela RSA, protege a integridade e a confidencialidade das informaes em todo o ciclo de vida delas no importando para onde so transferidas, quem as acessa nem como so utilizadas. A RSA oferece solues lderes do setor quanto segurana de identidade e controle de acesso, preveno contra perda de dados, gerenciamento de chaves e criptografia, gerenciamento de informaes de segurana e conformidade e proteo contra fraude. Essas solues levam confiana s identidades de milhes de usurios, s transaes que eles executam e aos dados gerados. Para obter mais informaes, visite www.RSA.com e www.EMC2.com.br.

RSA, enVision e RSA Security so marcas registradas ou marcas comerciais da RSA Security Inc. nos Estados Unidos e/ou em outros pases. EMC marca registrada da EMC Corporation. O CERT uma marca registrada da Carnegie Mellon University. Todos os outros produtos e servios mencionados so marcas comerciais de seus respectivos proprietrios. 2008 RSA Security Inc. Todos os direitos reservados.

SOC WP 0808

White paper da RSA