Escolar Documentos
Profissional Documentos
Cultura Documentos
Práticas recomendadas
e lições aprendidas
com o Microsoft Cyber
Defense Operations
Center
Operações de segurança modernas 2
Sumário
1. Visão geral das operações de segurança 3
4. Recomendações finais 39
Operações de segurança modernas 3
● Detectar
● Responder
● Recuperar
Relacionamentos
de negócios
Criar e manter relacionamentos com o lado
comercial da organização melhora a eficácia
da equipe de segurança. Isso inclui fazer
um esforço para entender as estratégias
de negócios e envolver os líderes de forma
a ajudá-los a entender o que sua equipe
faz para prevenir e mitigar ataques.
● Contexto empresarial
● Business intelligence
Como as operações de
segurança trabalham com as
outras equipes da organização,
principalmente da área
comercial?
Sua equipe deve estar ciente das principais Uma das melhores maneiras de criar
prioridades de negócios para que eles os relacionamentos necessários com a área
possam identificar os ativos críticos e definir comercial é por meio de exercícios de simulação
prioridades de segurança de acordo. Desse para praticar a resposta a incidentes. Todos
modo, você pode se concentrar nos ativos participam dos exercícios de simulação:
mais críticos e aplicar os sistemas de defesa, as equipes de liderança e os stakeholders
as políticas e as investigações automatizadas de resposta a incidentes. Desse modo, os
necessárias para se alinhar à equipe de stakeholders de negócios e segurança podem
negócios. criar esses relacionamentos. As duas funções
aprenderão a trabalhar melhor em conjunto
Saber quem são os principais stakeholders para que todos saibam quem é quem, como
e informá-los imediatamente permite que interagir e o que fazer para resolver a situação
toda a empresa responda, incluindo: de emergência quando ocorrer um incidente.
● Operações de segurança
● Operações
● Logística
● RP/comunicações
● Liderança de negócios
Modernização
das operações
de segurança
Para modernizar as operações de
segurança, é preciso amadurecer as
ferramentas e os processos que vão
sustentar a evolução de uma postura
reativa para uma postura proativa
e de um modelo de perímetro de rede
para um modelo de segurança que
usa a identidade como principal plano
de controle da segurança.
Abordagem da Microsoft
No Microsoft SOC, temos essa visibilidade ampla e detalhada com os recursos integrados de SIEM
e XDR do Microsoft Sentinel, do Microsoft 365 Defender e do Microsoft Defender para Nuvem.
Microsoft Sentinel
SIEM nativo de nuvem, fornecendo análises de segurança inteligentes em toda a empresa
Incidentes compartilhados
com sincronização
bi-direcional
Confiança Zero e as
operações de segurança
modernas
Hoje, a maioria das organizações têm
boas defesas para se proteger de ataques
baseados em rede. Reconhecendo isso,
os invasores mudaram a tática usada nos
ataques baseados em identidade e aplicativos
em que as defesas são mais fracas. Além
disso, dispositivos e aplicativos agora estão
saindo da rede, eliminando o perímetro
como ponto de controle.
Identidades Pontos de
Humanos Não
extremidade
Corporativos
humanos
Pessoais
Rede
Pública Privada
Aplica-
Dados tivos Infraestrutura
IaaS -PaaS - Contêineres de
Emails e documentos Aplicativos SaaS
sites internos - Sem servidor
Dados estruturados Aplicativos na
infraestrutura local JIT e controle de versão
Telemetria/análise/avaliação
A função da orquestração
na Confiança Zero
Orquestração é o processo de integração
de aplicativos e automação de um fluxo de
trabalho. Como já mencionado, a Confiança
Zero é mais eficaz quando totalmente
integrada a uma estratégia de ponta a ponta.
Mas alcançar essa integração de uma forma
que apoie a conformidade e a eficiência
operacional requer uma orquestração
cuidadosa.
Alinhe a estratégia de
Finalize a estratégia
segmentação e as equipes
Introdução à
Confiança Zero
Ameaças internas são algo inevitável para Mas existem outras classes de ameaças em que
todas as empresas e, às vezes, os dados são o usuário talvez nem saiba que está violando
colocados em risco mesmo no curso normal a política corporativa. O usuário pode estar
do trabalho legítimo. Pense no número de entusiasmado com um projeto e compartilhar
pessoas que acessam recursos, o ciclo natural informações sobre ele fora de seu grupo, por
de pessoas que entram e saem de uma exemplo, e no processo, ele acaba vazando
empresa. Com os processos, funcionalidades dados sem perceber que está enviando
e controles certos em vigor, você pode manter informações confidenciais. As ferramentas que
a supervisão de dados e a confiança dos param esse vazamento de dados involuntário
usuários sem prejudicar a produtividade. antes que ele possa acontecer e/ou investigar
e observá-lo em tempo real, no contexto,
Uma funcionalidade importante é diferenciar permitem que você determine a intenção
um risco intencional de um risco não e o impacto e decidir se foi um ato único
intencional por parte de seus usuários. Um de descuido ou parte de um padrão maior
usuário verdadeiramente mal-intencionado e potencialmente malicioso.
pode tentar fazer coisas que vão contra
as políticas corporativas, como desativar À medida que você revela o risco, precisa
controles de segurança, por exemplo, ou garantir que o foco permaneça na atividade
instalar software malicioso. genuinamente suspeita para não causar
problemas com os usuários nem sobrecarregar
Muitas vezes, o intuito é vazar ou roubar dados os analistas com alertas que são falsos
em benefício próprio ou por má intenção. positivos.
Práticas recomendadas
para operações de
segurança
● Orientar
● Decidir
● Agir
Para os lugares no processo onde faz sentido Além disso, você deve garantir que
haver interação humana (escolhas difíceis, o aprendizado seja integrado ao longo
novas decisões etc.), você deve garantir do processo, incluindo a consideração
que os analistas tenham acesso a profundo de quando observar um ataque para saber
conhecimento e inteligência para facilitar essas o objetivo dele (valor de longo prazo)
decisões. ou bloqueá-lo (valor de curto prazo).
A cultura orienta inúmeras decisões por dia, ● Trabalho em equipe – recomendamos não
estabelecendo como seria a resposta certa tolerar a mentalidade do "herói solitário" na
em situações ambíguas, que são muitas nas equipe. Ninguém sozinho é tão inteligente
operações de segurança. quanto toda a equipe. O trabalho em
equipe torna um ambiente onde existe
Concentrar elementos culturais em pessoas, uma grande pressão muito mais divertido,
trabalho em equipe e aprendizado contínuo agradável e produtivo quando todos
ajuda a garantir que a equipe se desenvolva sabem que estão no mesmo time e têm
constantemente para acompanhar o ritmo uns aos outros. No Centro de Operações de
das ameaças contra as quais ela protege: Segurança da Microsoft, projetamos nossos
processos e ferramentas para dividir tarefas
● Use o talento humano com sabedoria – em especialidades e incentivar as pessoas a
nosso pessoal é o ativo mais valioso, compartilhar insights, coordenar e verificar
e não podemos nos dar ao luxo de o trabalho uns dos outros e aprender
desperdiçar o tempo deles em tarefas constantemente uns com os outros.
repetitivas que podem ser automatizadas.
Para combater as ameaças humanas que ● Mude a mentalidade – avançar e ficar
enfrentamos, precisamos de pessoas à frente dos criminosos cibernéticos
experientes e bem preparadas que e hackers, que sempre aperfeiçoam suas
possam aplicar conhecimentos, bom técnicas, exige melhorar continuamente
senso e pensamento criativo. Esse fator e mudar o rumo das suas atividades
humano afeta quase todos os aspectos das "deixadas" na linha do tempo de ataques.
operações de segurança, inclusive o papel Priorizar a velocidade e a eficiência ajuda
das ferramentas e da automação para a equipe a "ser mais rápida do que o ataque"
capacitar as pessoas a fazer mais (em vez porque ela vai considerar maneiras pelas
de substituí-las) e diminuir o trabalho dos quais poderia ter detectado os ataques com
nossos analistas. antecedência e reagido com mais agilidade.
Esse princípio é a aplicação de uma
mentalidade de crescimento e aprendizado
contínuos que mantém a equipe totalmente
focada em diminuir os riscos para
a organização e os clientes.
Nem todos os ataques são iguais do ponto de invasores etc.). Consideramos os desvios
vista dos danos que eles poderiam causar aos uma oportunidade de aprendizado para
negócios se fossem bem-sucedidos. As contas melhorar processos ou ferramentas, e não
de alto perfil (por exemplo, contas de uma dificuldade por parte do SOC de atingir
membros do Conselho, do CEO e do CFO) e de uma meta.
administrador são as que correm mais risco se
comprometidas. Por isso você deve dar uma
atenção especial à proteção proativa dessas
contas, segregando-as primeiro em ambientes
de computação dedicados usando estações
de trabalho com acesso privilegiado (PAWs),
que protegem essas contas importantes
contra ataques da Internet e outros vetores
de ameaças.
Métodos, defesas e efeitos podem variar À medida que os invasores descobrem novas
mas, simplificando, os invasores exploram formas de criar um modelo de negócios ou
as vulnerabilidades. O que, por sua vez, torna inventam uma nova técnica de ataque, muitas
o seu trabalho como profissional de segurança vezes eles só estão explorando as mesmas
simples: elimine vulnerabilidades. vulnerabilidades antigas, mas de novas
maneiras. Em alguns casos, pode ser que eles
Toda equipe tem um trabalho a fazer para explorem vulnerabilidades que você ainda não
atualizar seu ambiente. Chamamos isso de conhecia. Por isso, ainda que as técnicas dos
carregar uma "dívida técnica". Você precisa invasores sejam aprimoradas, a necessidade
fazer backups ou atualizar as permissões de de uma boa e velha higiene técnica é a mesma.
arquivo. Ou precisa aplicar patches ou desativar Manter o ambiente atualizado da forma que
protocolos antigos. Todas essas práticas você conhece há muito tempo e aprender
recomendadas são bem conhecidas. o que mais precisa ser feito com base no
comportamento do invasor é fundamental para
proteger a organização contra ataques, até
mesmo contra os mais novos tipos de ataques.
Aumentar Aumentar
"Novo" elemento Aumentar a prioridade a prioridade
a prioridade
• Roubo de • Aplicar patches • Segurança de
credenciais • Backups • Desativar aplicativos Web
• Permissões de protocolos antigos • Monitoramento
arquivo da performance
Busca proativa
rastrear considerando os adversários que ação por parte da equipe de TI. Ter bons
escolhem empresas como a sua e entendendo relacionamentos e conhecer as funções,
as técnicas que eles aplicam nos ataques. as responsabilidades e os conjuntos de
Você pode criar detecções com base em quais habilidades dos membros da equipe de TI
adversários e técnicas são mais propensos a pode ajudar você a chegar à pessoa certa mais
escolher a sua organização. rapidamente quando ocorre um incidente.
Recomendações
finais
1 2 3 4. Recomendações finais
Operações de segurança modernas 40
1 2 3 4. Recomendações finais
41
©2022 Microsoft Corporation. Todos os direitos reservados. Este documento é fornecido "no estado em que
se encontra". As informações e opiniões expressas aqui, incluindo URLs e outras referências a sites, podem
ser alteradas sem aviso prévio. Você assume o risco de utilização. Este documento não oferece a você direitos
legais sobre a propriedade intelectual de produtos da Microsoft. Você pode copiar e usar este documento
para referência interna.