SOC
Manuel Estévez GRC Manager
Enviado em 19 de Setembro de 2024 .

SOC, CERT, CSIRT: a qual pertences?

Em 1988, Robert Tappan introduziu na Internet o chamado “worm Morris”. É provável que não soubesse que estava a fazer história. Em 24 horas, o worm tinha infetado 10% dos sistemas então ligados e inutilizado uma boa parte deles.

As equipas de resposta a incidentes têm sido designadas por diferentes nomes e, de certa forma, especializaram-se ou diversificaram-se

Este ataque deu origem a um dos conceitos que, mais de 30 anos depois, continua válido e em evolução: a Equipa de Resposta a Emergências Informáticas (CERT).

Desde então, as equipas de resposta a incidentes têm sido designadas por diferentes nomes e, de certa forma, especializaram-se ou diversificaram-se, o que levou ao aparecimento de variadas e diferentes metodologias, procedimentos, capacidades e até objetivos. CERT é uma marca registada da Carnegie Mellon University (CMU), CSIRT (Computer Security Incident Response Team) é um conceito taxonómico sem restrições de utilização.
 

Um CERT recolhe e divulga informações de segurança, um CSIRT responde a incidentes.

Para utilizar uma definição formal, a própria CMU explica que um CSIRT é “uma unidade organizacional à qual é atribuída a responsabilidade de coordenar e apoiar a resposta a um incidente de segurança informática”, por oposição ao que considera um CERT, que designa como “o estudo de problemas com implicações generalizadas na cibersegurança e o desenvolvimento de métodos e ferramentas avançados”.

Por outras palavras, enquanto um CERT recolhe e divulga informações de segurança, um CSIRT responde a incidentes.

Muito mais recentes são os SOC (Centros de Operações de Cibersegurança), unidades encarregadas de monitorizar, detetar e analisar ameaças através da supervisão contínua de redes, sistemas, aplicações e dispositivos.

Assim, inicialmente, cada serviço deve centrar-se (especializar-se) numa área específica:

  • CERT: prevenção, por exemplo, procura de vulnerabilidades, sensibilização dos colaboradores, partilha de informação sobre ameaças ou incidentes. Em suma, evitar a ocorrência de incidentes de segurança.
  • SOC: deteção, identificando qualquer atividade suspeita ou anómala que possa indicar um incidente de segurança e dando prioridade à análise e resposta de acordo com a criticidade do evento detetado.
  • CSIRT: reação, ações tomadas em resposta a um incidente de segurança depois de este ter sido detetado

Com o tempo, os intervenientes no mercado e um certo preconceito de confirmação por parte de alguns clientes mancharam esta orientação e são frequentemente oferecidos serviços que parecem combinar todas estas capacidades numa espécie de pedra filosofal da segurança.

Lembram-se do episódio de Dom Quixote em que os capuzes acabam como dedais?

Ou se está num pavimento ou no outro, mas se se fica no meio, é-se atropelado

Separar as funções de prevenção, deteção e resposta em diferentes equipas ou fornecedores é a estratégia mais eficaz por várias razões:

  • Especialização e foco:
    • Prevenção: Conhecer as mais recentes vulnerabilidades e técnicas de ataque e saber como mitigar esses riscos antes que se tornem problemas.
    • Deteção: análise de dados, padrões de comportamento, deteção de intrusões e, em suma, identificação rápida de qualquer atividade suspeita ou anómala.
    • Reação: competências e capacidades de coordenação de incidentes e crises, gestão da comunicação, contenção de ameaças, recuperação de sistemas e capacidade de tomar decisões rápidas e eficazes em cenários de crise.
  • Eficiência: 
    • Cada equipa opera independentemente, mas de forma coordenada, o que reduz o tempo de resposta a incidentes e melhora as capacidades de deteção.
    • As equipas concentradas na prevenção não são distraídas pela necessidade de responder a incidentes em curso, o que lhes permite implementar controlos e melhorias sem interrupções.
  • Redução os conflitos de interesses:
    • Se uma única unidade ou equipa tratar de todas as funções, pode haver conflitos de interesses, especialmente quando se trata de identificar e comunicar falhas nas medidas de prevenção que eles próprios implementaram. A separação permite uma visão mais objetiva e crítica dos controlos de segurança.
    • Uma equipa de deteção independente da equipa de prevenção pode avaliar de forma mais imparcial a eficácia das políticas e tecnologias implementadas.
  • Melhoria da capacidade de reação:
    • Em caso de incidente, uma equipa de reação especializada pode atuar imediatamente sem esperar que sejam libertados os mesmos recursos que estão a tratar da prevenção ou da deteção. Isto reduz o tempo de contenção e minimiza o impacto dos incidentes.
    • Além disso, a existência de uma equipa de reação separada permite a execução de simulacros e exercícios de resposta a incidentes sem interromper as atividades de prevenção ou monitorização.
  • Desenvolvimento de estratégias complementares:
    • A separação permite que as equipas de prevenção e deteção desenvolvam e melhorem estratégias que se complementam sem se sobreporem. Por exemplo, enquanto a equipa de prevenção pode concentrar-se em melhorar as configurações de segurança, a equipa de deteção pode afinar os alertas para identificar quaisquer violações que possam ter passado despercebidas.
    • Isto cria uma “defesa em profundidade”, em que várias camadas de segurança trabalham em conjunto para proteger a organização.
  • Clareza das funções e responsabilidades:
    • Com funções claramente definidas e separadas, é mais fácil atribuir responsabilidades e responsabilização. Cada equipa sabe exatamente o que se espera dela, facilitando a avaliação do desempenho e a implementação de melhorias contínuas.
    • Isto também ajuda a evitar a “partilha de culpas”, em que um incidente pode ser mal gerido devido à confusão sobre quem deveria ter agido num determinado momento.

O primeiro passo não nos leva onde queremos ir, mas tira-nos de onde estamos

A IZERTIS tem uma equipa de resposta a incidentes (CSIRT) altamente experiente e qualificada

Começar com a aquisição de serviços de resposta a incidentes (CSIRT) de um fornecedor especializado será a melhor estratégia para uma empresa na maioria dos casos, especialmente quando se procura estabelecer uma estratégia de segurança robusta e reativa desde o início.

A nossa equipa está também preparada para intervir imediatamente em caso de incidente

A IZERTIS tem uma equipa de resposta a incidentes (CSIRT) altamente experiente e qualificada que se mantém a par das últimas ameaças, técnicas e procedimentos. Os nossos clientes têm acesso imediato a esta experiência sem a necessidade de desenvolver internamente uma equipa com estas capacidades.

  • Ajudamos as organizações a determinar a sua aptidão para ativar as suas capacidades de resposta.
  • Fornecemos uma capacidade de resposta de ação rápida a incidentes críticos, centrada na contenção e remoção.
  • Apoiamos a análise da situação, participamos em comités de crise e aconselhamos a administração na tomada de decisões.
  • Levamos a cabo processos de investigação no âmbito de um incidente e com base nos níveis de criticidade do impacto.

A nossa equipa está também preparada para intervir imediatamente em caso de incidente, minimizando o tempo de inatividade e o impacto do incidente. As primeiras horas após um ataque são as mais críticas.

Por último, fica a questão, porque é que lhe chamam incidente quando (não) querem dizer crise?

Cybersecurity Segurança cibernética Blog

< Voltar