Módulo 2_Soldados na guerra contra o crime digital

Question 1

O que é um SOC (Centro de Operações de Segurança)?

Answer 1

Uma unidade centralizada que monitora e gerencia a postura de segurança de uma organização. A equipe do SOC é responsável por identificar, responder e atenuar as ameaças à segurança.

Question 2

O que os SOCs oferecem?

Answer 2

Os SOCs oferecem uma ampla gama de serviços, desde monitoramento e gerenciamento até soluções abrangentes de ameaças e segurança hospedada que podem ser personalizadas para atender às necessidades dos clientes. Os SOCs podem ser totalmente internos, de propriedade e operados por uma empresa, ou elementos de um SOC podem ser contratados a fornecedores de segurança.

Question 3

Quais são os elementos de um SOC?

Answer 3

Pessoas, processos e tecnologias.

Question 4

Tradicionalmente, os SOCs atribuem funções de trabalho por níveis, de acordo com a experiência e as responsabilidades necessárias para cada uma, quais são essas funções?

Answer 4

De acordo com a Sans Institute, uma das maiores empresas de treinamento e certificação em cyber dos EUA, as funções são:
Analista de Alerta de Nível 1 (formação desse curso);
Respondente a Incidentes de Nível 2;
Caçador de ameaças de Nível 3;
Gerente SOC.

Question 5

Função: Analista de Alerta de Nível 1

Answer 5

Esses profissionais monitoram alertas recebidos, verificam se um incidente verdadeiro ocorreu e encaminham tickets para o Nível 2, se necessário.

Question 6

Função: Respondente a Incidentes de Nível 2

Answer 6

Esses profissionais são responsáveis pela investigação aprofundada de incidentes e aconselham a correção ou a ação a serem tomadas.

Question 7

Função: Caçador de ameaças de Nível 3

Answer 7

Esses profissionais possuem habilidades de nível especializado em rede, endpoint, inteligência contra ameaças e engenharia reversa de malware. Eles são especialistas em rastrear os processos do malware para determinar seu impacto e como ele pode ser removido. Eles também estão profundamente envolvidos na busca de ameaças potenciais e na implementação de ferramentas de detecção de ameaças. Os caçadores de ameaças buscam ameaças cibernéticas presentes na rede, mas ainda não foram detectadas.
OBS.: Podem ser divididos em caças específicas, como redes, malware, endpoint…

Question 8

Função: Gerente SOC

Answer 8

Este profissional gerencia todos os recursos do SOC e serve como ponto de contato para a organização ou cliente maior.

Question 9

Processos principais em Nível 1 de SOC:

Answer 9

Conferir tickets do sistema e analisar se realmente são incidentes (sistema pode dar alarme falso), caso não consiga resolver, envia para o próximo nível (esse processo pode acontecer até chegar em um especialista ou alguém com maior capacidade de resolver).

Monitora incidentes;
Abre tíquete;
Mitigação básica.

Question 10

Processos principais em Nível 2 de SOC:

Answer 10

Investigação profunda;
Aconselha a correção.

Question 11

Processos principais em Nível 3 de SOC:

Answer 11

Proffisional mais especializado, conhecimento profundo para buscar e mitigar ameaças e vulnerabilidade;
Responsável por medidas preventivas.

Question 12

O que é SIEM (Security Information and Event Management System, sistema de gerenciamento de eventos e informações de segurança)?

Answer 12

É uma solução de segurança que ajuda as organizações a identificar, analisar e responder a ameaças à segurança.

O SIEM combina a gestão de informações de segurança (SIM) e a gestão de eventos de segurança (SEM) em um único sistema. Ele coleta dados de uma variedade de fontes, como aplicativos, dispositivos, servidores, usuários, redes e cargas de trabalho na nuvem.

O SIEM analisa os dados em tempo real para identificar padrões ou eventos que possam indicar uma ameaça de segurança. Ele também pode se integrar a feeds de inteligência sobre ameaças de terceiros, e pode gerenciar recursos para implementar medidas preventivas.

Question 13

O que é SOAR (Security Orchestration, Automation, and Response)?

Answer 13

SOAR é uma sigla em inglês que significa Security Orchestration, Automation, and Response (orquestração, automação e resposta de segurança). Trata-se de uma solução de software que permite às equipes de segurança automatizar a prevenção e a resposta a ataques cibernéticos. Frequentemente utilizado junto com o SIEM.

O SOAR permite que as equipes de segurança:
Integrem e coordenem ferramentas de segurança;
Automatizem tarefas repetitivas;
Otimizem os fluxos de trabalho de resposta a incidentes;
Priorizem possíveis ameaças;
Avaliem o possível impacto;
Triem as ameaças mais importantes;
Respondam adequadamente às ameaças.

Question 14

Etapa SOAR: Orquestração

Answer 14

Cria uma plataforma personalizada que integra e coordena inúmeras ferramentas e recursos de segurança.

Question 15

Etapa SOAR: Automação

Answer 15

Executa processos de segurança com uma quantidade mínima de intervenção humana. Ajuda a lidar com a escassez de talentos de analistas de segurança cibernética e aumenta a eficiência.

Question 16

Etapa SOAR: Resposta

Answer 16

Prescreve e executa procedimentos de segurança a serem seguidos em resposta a eventos de segurança. Pode ser na forma de runbooks de segurança que consistem em respostas automatizadas baseadas em regras que foram criadas para tratar tipos específicos de eventos.

Question 17

Capacidades de uma plataforma SOAR:

Answer 17

Reunir dados de alarme de cada componente do sistema.
Fornecer ferramentas que permitam que os casos sejam pesquisados, avaliados e investigados.
Enfatizar a integração como um meio de automatizar fluxos de trabalho complexos de resposta a incidentes que permitem respostas mais rápidas e estratégias de defesa adaptativas.
Incluir playbooks predefinidos que permitem a resposta automática a ameaças específicas. Os playbooks podem ser iniciados automaticamente com base em regras predefinidas ou podem ser acionados pelo pessoal de segurança.

Question 18

Muitas métricas ou indicadores chave de desempenho (KPI) podem ser projetadas para medir diferentes aspectos específicos do desempenho do SOC. Mesmo não abrangendo todas as ameaças da segurança, cinco métricas são comumente utilizadas:

Answer 18

Tempo de permanência;
Tempro médio para detectar (MTTD);
Tempo médio para responder (MTTR);
Tempo médio para conter (MTTC);
Tempo de controle.

Question 19

Métrica: Tempo de permanência

Answer 19

O período de tempo que os atores da ameaça têm acesso a uma rede antes de serem detectados e seu acesso é interrompido.

Question 20

Métrica: Tempo médio para detectar (MTTD)

Answer 20

O tempo médio que o pessoal do SOC leva para identificar incidentes de segurança válidos ocorreu na rede.

Question 21

Métrica: Tempo médio para responder (MTTR)

Answer 21

O tempo médio necessário para parar e corrigir um incidente de segurança.

Question 22

Métrica: Tempo médio para conter (MTTC)

Answer 22

O tempo necessário para impedir que o incidente cause mais danos aos sistemas ou dados.

Question 23

Métrica: Tempo de controle

Answer 23

O tempo necessário para impedir a propagação de malware na rede.

Question 24

Segurança corporativa e gerenciada, solução em SOC

Answer 24

Pode ser local, mas normalmente, possui parte terceirizada. Empresas como a CISCO oferecem diversos serviços para isso.

Question 25

A segurança não pode ser tão forte que interfira com as necessidades dos funcionários ou funções empresariais, segurança x disponibilidade, dentro desse dilema, a indisponibilidade de rede pode ser escolhida. O tempo de atividade preferencial geralmente é medido no número de minutos de inatividade em um ano:

Answer 25

99,8% - 17,52 horas
99,9% - 8,76 horas (três noves)
99,99% - 52,56 minutos (quatro noves)
99,999% - 5.256 minutos (cinco noves)
99,9999% - 31,56 segundos (seis noves)
99,99999% - 3,16 segundos (sete noves)

Question 26

Cisco Certified CyberOps Associate

Answer 26

A certificação Cisco Certified CyberOps Associate fornece um primeiro passo valioso na aquisição do conhecimento e das habilidades necessárias para trabalhar com uma equipe de SOC. Pode ser uma parte valiosa de uma carreira no campo empolgante e crescente das operações de segurança cibernética.

Question 27

Certificação de analista de segurança cibernética CompTIA

Answer 27

A certificação CompTIA Cybersecurity Analyst (CySA+) é uma certificação profissional de TI neutra no fornecedor. Ele valida o conhecimento e as habilidades necessárias para configurar e usar ferramentas de detecção de ameaças, realizar análises de dados, interpretar os resultados para identificar vulnerabilidades, ameaças e riscos para uma organização. O objetivo final é a capacidade de proteger e proteger aplicativos e sistemas dentro de uma organização.

Question 28

( ISC) ² Certificações de segurança da informação

Answer 28

(ISC) ² é uma organização internacional sem fins lucrativos que oferece a altamente aclamada certificação CISSP. Eles oferecem uma gama de outras certificações para várias especialidades em segurança cibernética.

Question 29

Certificação Global de Garantia de Informações (GIAC)

Answer 29

A GIAC, fundada em 1999, é uma das mais antigas organizações de certificação de segurança. Oferece uma ampla gama de certificações em sete categorias.