Estabelecer uma disciplina de SecOps

Este artigo ajuda as equipes de segurança e tecnologia a estabelecer e modernizar uma disciplina de Operações de Segurança (SecOps) que ajuda as organizações a detectar, investigar e responder a ameaças ativas que ignoram controles preventivos.

As disciplinas de segurança são agrupamentos de trabalhos de segurança relacionados que ajudam as organizações a fornecer resultados de segurança consistentemente em toda a propriedade tecnológica. No modelo de adoção de segurança, as disciplinas ajudam a fornecer uma ponte entre cenários de negócios e implementação técnica, garantindo que os investimentos em segurança se traduzam em resultados reais mensuráveis como parte do modelo de adoção de segurança.

O que é SecOps?

O SecOps mantém e restaura as garantias de segurança do sistema à medida que os adversários ativos o atacam. O NIST Cybersecurity Framework descreve bem as funções SecOps de Detectar, Responder e Recuperar.

  • Detectar – o SecOps deve detectar a presença de adversários no sistema, que são incentivados a permanecer ocultos na maioria dos casos, permitindo que eles atinjam seus objetivos sem impedimentos. Isso pode assumir a forma de reagir a um alerta de atividade suspeita ou buscar proativamente eventos anômalos nos logs de atividades empresariais.
  • Responder - Após a detecção de uma possível ação adversária ou campanha, o SecOps deve investigar rapidamente para identificar se é um ataque real (verdadeiro positivo) ou um alarme falso (falso positivo) e, em seguida, enumerar o escopo e o objetivo da operação adversária.
  • Recuperar – O objetivo final do SecOps é preservar ou restaurar as garantias de segurança (confidencialidade, integridade, disponibilidade) dos serviços empresariais durante e após um ataque.

Mitigação de risco

O risco de segurança mais significativo que a maioria das organizações enfrenta é de operadores de ataque humano.

Com exceções notáveis, o risco de ataques automatizados/repetidos tem sido reduzido significativamente para a maioria das organizações por abordagens baseadas em assinatura e machine learning incorporadas ao antimalware.

Embora os operadores humanos de ataque sejam difíceis de enfrentar devido à sua adaptabilidade, eles operam na mesma "velocidade humana" que os defensores, o que ajuda a equilibrar o jogo.

O SecOps desempenha um papel fundamental na limitação do tempo e do acesso que um invasor pode obter a sistemas e dados valiosos. Cada minuto que um invasor tem no ambiente permite que ele continue a realizar operações de ataque e acesse sistemas confidenciais ou valiosos.

Por que essa disciplina?

Nem todos os ataques podem ser evitados. Mesmo com a arquitetura de segurança forte e o gerenciamento de postura que bloqueia a maioria dos ataques, os atores de ameaças às vezes obtêm acesso inicial aos ambientes.

O SecOps concentra-se no gerenciamento desses ataques ativos e incidentes de segurança, limitando os danos que os invasores podem causar após o comprometimento. O SecOps efetivo reduz o risco em:

  • Detectando atividades mal-intencionadas rapidamente.
  • Encurtando o tempo de espera do invasor.
  • Contenção de movimento lateral e impacto.
  • Suporte à recuperação e à resiliência organizacional.

No modelo de adoção de segurança, o SecOps representa o lado pós-comprometimento e reativo da segurança, complementando o gerenciamento de postura de segurança, que se concentra na redução proativa de riscos e na prevenção de ataques.

Diagrama de Operações de Segurança e Gerenciamento de Postura de Segurança mostrando suas funções complementares na redução de risco.

Sem uma disciplina de SecOps eficaz, os invasores que obtêm acesso podem operar sem serem detectados, escalonar privilégios, mover-se lateralmente e infligir o máximo de danos aos negócios.

Missão e resultados

A missão da disciplina secops é limitar o impacto nos negócios dos ataques cibernéticos detectando, investigando e respondendo rapidamente a ameaças em toda a propriedade tecnológica moderna.

Independentemente do tamanho da equipe ou do modelo operacional, o SecOps maduro fornece estes resultados:

  • Resposta rápida contra ameaças – detecção oportuna e contenção de ameaças entre identidades, pontos de extremidade, infraestrutura, aplicativos e dados
  • Inteligência de ameaças compartilhada – sinais centralizados e insights que informam analistas, automação e controles de segurança downstream
  • Descoberta proativa de ameaças – Busca de ameaças e simulação de ataque para descobrir técnicas emergentes e comportamento do invasor

As equipes de SecOps podem variar de um único indivíduo a grandes operações distribuídas globalmente 24/7, e as funções podem ser parcial ou totalmente terceirizadas. Independentemente da estrutura e do tamanho, os resultados permanecem os mesmos.

Adotar Confiança Zero no SecOps

A Operação de Segurança (SecOps) é fundamental para uma estratégia de Confiança Zero. Confiança Zero pressupõe comprometimento e se concentra em minimizar o impacto quando os controles falham. O SecOps transforma essa suposição em ação detectando, investigando e respondendo continuamente a ameaças em todo o ambiente.

Em um modelo Confiança Zero, a prevenção por si só é insuficiente. As organizações devem esperar que os invasores ignorem os controles e confiem em SecOps para identificar atividades mal-intencionadas antecipadamente, conter ataques rapidamente e gerar insights que melhorem a postura de segurança ao longo do tempo.

Em nosso modelo de adoção de segurança, as diretrizes do SecOps se concentram nos recursos operacionais necessários para dar suporte a Confiança Zero em toda a organização, incluindo monitoramento, detecção, investigação, resposta, automação e aprendizado contínuo.

  • Centralize a detecção e a visibilidade: Integre logs e telemetria de todo o ambiente — incluindo identidades, endpoints, aplicativos e infraestrutura — em uma capacidade centralizada de detecção e investigação. Isso garante que o SecOps tenha visibilidade consistente entre domínios para detectar o comprometimento precocemente e entender o comportamento do invasor.
  • Automatizar a resposta e a contenção: use a orquestração e a automação para executar ações de resposta repetíveis, como isolar dispositivos comprometidos ou desabilitar contas arriscadas. A automação reduz o tempo de resposta, reduz a carga cognitiva do analista e garante uma execução consistente sob pressão.
  • Procure ameaças proativamente: trate a busca de ameaças como uma funcionalidade de SecOps principal. Use a caça orientada por hipóteses e análises avançadas para identificar atividades de invasores que escapam das detecções automatizadas, reduzindo o tempo de permanência e identificando lacunas nos controles.
  • Gerencie alertas e incidentes com eficiência: ajuste as detecções para reduzir o ruído e garantir que os analistas se concentrem em alertas significativos. Padronizar fluxos de trabalho de investigação e resposta usando guias estratégicos para que os incidentes sejam tratados de forma consistente e eficiente.
  • Reduza continuamente a exposição com base no risco: use análise de caminho de ataque e insights de exposição para identificar condições que possam habilitar o comprometimento. Priorize a correção com base no impacto e na probabilidade dos negócios, portanto, o esforço é focado onde mais importa.
  • Evolua continuamente os processos de SecOps: revise regularmente detecções, guias estratégicos e resultados de resposta com base em incidentes reais e inteligência contra ameaças. Alimente esses aprendizados de volta à estratégia de SecOps para garantir que os recursos se adaptem à medida que invasores, tecnologias e prioridades de negócios mudam.

Ao alinhar o SecOps aos princípios Confiança Zero, as organizações passam do tratamento reativo de incidentes para um modelo operacional resiliente em que cada incidente fortalece a detecção, a resposta e a prevenção em toda a empresa.

Como aplicar essa disciplina

Para aplicar a disciplina secOps efetivamente, concentre-se em estabelecer uma abordagem coordenada para detectar, responder e recuperar-se de ameaças em toda a organização:

  1. Definir uma estratégia de detecção e resposta de ameaças alinhada ao risco de negócios
    Estabeleça uma abordagem clara para identificar, priorizar e responder a ameaças com base em seu potencial impacto nos negócios.
  2. Garantir a detecção e a resposta consistentes em todo o ambiente
    Aplique uma abordagem unificada para monitoramento, investigação e resposta entre identidades, dispositivos, aplicativos e infraestrutura.
  3. Padronizar processos para detecção, resposta e recuperação
    Forneça diretrizes claras para garantir que os incidentes sejam tratados de forma consistente, reduzindo o tempo de resposta e limitando o impacto.
  4. Alinhar o SecOps com prioridades de negócios e cenários críticos
    Priorize os esforços de detecção e resposta para se concentrar na proteção de ativos críticos e minimizar o impacto dos incidentes de segurança.
  5. Aprimore continuamente por meio de percepções e retorno
    Use aprendizados com incidentes, inteligência contra ameaças e métricas operacionais para fortalecer os recursos de detecção e melhorar a resposta ao longo do tempo.

Gerenciar alteração

A modernização do SecOps é um percurso de melhoria contínua, não uma implantação de ferramentas única. O objetivo é melhorar continuamente a capacidade da organização de reduzir o impacto causado por invasores quando houver comprometimentos.

Captura de tela do resumo da missão de operações de segurança com principais ações e alinhamento com Confiança Zero destacados.

Uma abordagem moderna de SecOps, alinhada aos princípios do Confiança Zero, enfatiza:

  • Alinhamento da missão – priorizando o que mais importa para a empresa quando alertas e ameaças excedem sua capacidade de responder com humanos e automação, incluindo IA.
  • Aprendizado contínuo – A adaptação de detecções, habilidades e processos como atores de ameaças, plataformas e prioridades de negócios muda.
  • Colaboração e compartilhamento – Tratando o SecOps como um esforço de equipe em segurança, operações de TI, engenharia, jurídico, comunicações e liderança.

Os atores de ameaça tendem a reutilizar técnicas baratas, eficazes e confiáveis até falharem, portanto, é fundamental capturar e compartilhar a inteligência contra ameaças como insights sobre ataques passados. A inteligência contra ameaças do SecOps deve informar diretamente o design do controle de segurança, a priorização e a melhoria da postura, juntamente com os requisitos de conformidade e de negócios.

Funções de disciplina e colaboradores

A disciplina de SecOps geralmente é liderada por uma equipe dedicada de SecOps. Em organizações menores, as responsabilidades de SecOps podem ser part-time ou compartilhadas entre funções, mas ainda exigem uma propriedade clara.

As principais funções nessa disciplina normalmente incluem:

  • Gerenciador de SecOps/SOC
  • Analistas de triagem de camada 1
  • Analistas de investigação de camada 2
  • Caçadores de ameaças (Nível 3)
  • Engenheiros de detecção
  • Engenheiros de dados e plataforma SecOps
  • Especialistas em perícia digital e resposta a incidentes
  • Analistas de inteligência de ameaças
  • Funções de coordenação e gerenciamento de incidentes
  • Especialistas em simulação de ataque (equipe vermelha, equipe roxa, teste de penetração)

Os principais colaboradores incluem:

  • Equipes técnicas de engenharia e operações – viabilizam o registro em log e dão suporte à investigação, à contenção e à recuperação dos sistemas que projetam e operam.
  • Funções de arquitetura – aprimore continuamente o design de sistemas e controles com base em aprendizados de incidentes da inteligência contra ameaças do SecOps.
  • Equipes de aplicativos e produtos – atualize o software e os serviços em resposta aos insights de incidentes.
  • Estratégia de segurança, integração e disciplina de governança – defina prioridades, métricas e responsabilidade para investimentos em SecOps. Forneça suporte e coordenação durante incidentes importantes.

Um SecOps eficaz depende de ciclos de feedback estreitos entre a resposta a incidentes e o projeto do sistema.

Alinhamento com outras disciplinas

O SecOps opera como parte de um modelo operacional de segurança mais amplo e é fortemente integrado a outras disciplinas:

  • Disciplina de Gerenciamento de Postura de Segurança: concentra-se na prevenção de incidentes; O SecOps gerencia os incidentes que ainda ocorrem.
  • Disciplina de acesso e identidades: a telemetria de identidade é um sinal de detecção e investigação primário.
  • Disciplina de segurança de dados: o SecOps investiga roubo de dados, extorsão, risco interno e incidentes de privacidade.
  • Disciplina de Arquitetura de Segurança: garante que os mecanismos de detecção e resposta estejam alinhados com o design do sistema pretendido.
  • Disciplina de estratégia, integração e governança: define prioridades, métricas e critérios de sucesso do SecOps.

Alinhamento com pilares de tecnologia

A disciplina secOps opera em todos os pilares de tecnologia e deve detectar e conter ataques onde quer que ocorram.

  • Identidades: essa é uma prioridade máxima para SecOps porque as identidades são pontos de entrada de ataque primários. Quase todos os ataques em vários estágios dependem de ataques de identidade (pass-the-hash/ticket/etc.) para percorrer lateralmente e obter acesso a mais ativos organizacionais, muitas vezes usando contas privilegiadas associadas a administradores de TI ou contas de serviço administrativo.
  • Terminais: os terminais são pontos comuns de comprometimento inicial, uma base de operações e armazenamento local de ferramentas de ataque para invasores. É essencial localizar rapidamente endpoints comprometidos para conter os danos e entender melhor os objetivos e as capacidades dos invasores.
  • Infraestrutura: a detecção e a resposta efetivas são importantes porque os atores de ameaça frequentemente se destinam a ativos de infraestrutura locais e de nuvem de alto valor que permitem um amplo comprometimento quando violados.
  • Aplicativos: a detecção rápida e a resposta a ataques em email, colaboração, linha de negócios e outros aplicativos são essenciais porque os invasores geralmente os usam para entrar e percorrer lateralmente uma organização para acessar ativos comerciais.
  • Dados: os invasores geralmente direcionam dados para roubo de propriedade intelectual, criptografia para obter vantagem para extorsão ou ransomware, planejamento de ataques futuros e outros fins. Além disso, o SecOps pode estar envolvido ou colaborar em investigações relacionadas a dados relacionadas à privacidade, ao risco interno e a outras pessoas.
  • Rede: Assim como as comunicações legítimas, as comunicações do ator de ameaças e as operações de ataque viajam por conexões de rede. O SecOps se concentra no sensor de rede e os dados ainda são valiosos para contexto e contenção, mesmo que a criptografia reduza a visibilidade.
  • IA: À medida que a IA surge como uma superfície de ataque, novas ferramentas e habilidades são necessárias para detecção e investigação eficazes. O volume de ataque de IA está aumentando à medida que os atores de ameaça adotam a tecnologia de IA. O SecOps também pode aproveitar a IA para automatizar a análise e outros processos.

Próximas Etapas 

Microsoft Unified oferece workshops liderados por especialistas para ajudar as organizações a acelerar a modernização da estratégia, arquitetura e tecnologia do Gerenciamento de Postura de Segurança. Estes workshops incluem:

  • Workshops de arquitetura e estratégia – A SAF (Security Adoption Framework) -Architecture Design Session: Modern Security Operations workshop concentra-se na aceleração da modernização do SecOps. Este workshop está disponível da seguinte maneira:

    • Resumo do Tópico – Uma discussão de menos de quatro horas focada nos principais aprendizados e práticas recomendadas.
    • Full Security Architecture Design Session (Security ADS) – um workshop de dois dias que fornece detalhes adicionais, um estudo de caso Microsoft, discussões de modelo de maturidade e planos de modernização de referência.

  • Workshops de adoção de tecnologia - O Microsoft Unified oferece workshops para ajudar as organizações a conhecer, planejar, implementar e otimizar o SecOps.

Diagrama de workshops do Microsoft Unified SecOps mostrando fases para aprendizado, planejamento e implementação de tecnologias de segurança.

Entre em contato com o gerente de conta de sucesso do cliente para obter mais informações sobre workshops liderados por Microsoft.

  • Last updated on