O documento descreve a metodologia de gestão de incidentes de segurança, incluindo preparação, detecção, triagem, análise, contenção, erradicação, recuperação e pós-incidente. Detalha também a estrutura do SOAR da Eleven Paths para gestão de incidentes e casos de uso, além de definições de criticidade e SLA.
2. Índice
• Metodologia gestão de incidente
• Estrutura do SOAR da Eleven Paths
• Infra estrutura de gestão de incidente
• Fluxo do atendimento no MDR|SOC
• Caso de uso de Segurança da informação
• Definição de criticidade dos alertas e SLA
• Notificação de Incidente
• Novos casos de uso de segurança
• Auditoria
3. Metodologia gestão de incidente
• Preparação: Realizamos a preparação com o
inventário do ambiente.
• Detecção: Estipulamos as detecções dos
equipamentos do ambiente.
• Triagem & Priorização: Categorizamos os níveis do
alerta em low, Medium, High e Critical.
•
• Análise: Distinguimos o vetor e a criticidade do
Ataque.
• Contenção, Erradicação e Recuperação: Criamos os
casos de uso para conter o ataque, em seguida
eliminar o incidente e consequentemente restaurar o
backup.
• Pós-incidente: Geramos os relatórios do incidente e
propomos melhorias.
4. Preparação
O primeiro passo a ser dado no plano de respostas a incidentes é a preparação. Inicialmente deve-se definir
parâmetros concretos de utilização de informações, estabelecendo quais níveis hierárquicos podem ter acesso a quais
tipos de informação.
5. Detecção e Triagem & Priorização
Em primeiro lugar, a própria fase de detecção conterá um conjunto de subprocessos com etapas estruturadas para
monitorar a rede, o SIEM, os indicadores de captura etc. Cada subprocesso seria um manual, executado manualmente
ou automatizado.
6. Análise
Análise é identificar o incidente é o primeiro passo a se tomar como resposta a uma possível situação de emergência.
Após a identificação, segue-se os protocolos de execução de acordo com o treinamento e os protocolos pré-definidos.
7. Contenção, Erradicação e Recuperação
Criamos os casos de uso para conter o ataque, em seguida eliminar o incidente e consequentemente restaurar o
backup.
8. Pós incidente:
Pós Incidente é o momento de lições aprendidas, onde é possível revisar o incidente, analisar os GAPs na infraestrutura
de segurança e propor as ações corretivas necessárias para evitar que o incidente ocorra novamente.
9. Estrutura do SOAR da Eleven Paths
SOAR
Orquestração
e automação
de respostaGestãodecasoe
acompanhamento
Monitoramentode
segurança:emissão
debilhetes,KPIs
Portal Cliente
KPIs, alertas,
dashboard e
relatórios
Dashboard
Estratégico para
SOC e serviços
Plano de ControleTicket
Remedy
CyberCorp
SUBEX
Serviços IoT
VAMPS
Análise e
monitoramento de
vulnerabilidade
Cloud
Ticket + sincronização
de sistemas de
automação
Serviços de Segurança
Análise de Malware
Análise
automatizado
Análise de
DocumentosAnálise
automatizado
Análise de Phishing
Análise
automatizado
BUILDING
BLOCKS
Objetos bloqueados
Adicionar metas
automatizadas
TIP (Threat Connect)
Plataforma de
Inteligencia da
Telefónica
SIEM (ELASTIC)
Correlação de
normalização
UBA
Dados
Plataforma de
pesquisa e análise.
Usando ML / BigData
Plano Dados
Gestão do Plano
Manager Saúde dos dispositivos
Dispositivos – FW| Balanceador | Antivirus
Dispositivos
10. Estrutura do SOAR da Eleven Paths
SOAR: o Security Orchestration, Automation and
Response, é um conjunto de soluções de
softwares compatíveis que permitem que uma
organização colete dados sobre ameaças de
segurança de várias fontes e executar ações
automática para remediar e incidente.
Playbook: Um Playbook é definido como um
conjunto de regras, descrevendo pelo menos
uma ação a ser executada com dados de
entrada e disparada por um ou mais eventos
11. Infra estrutura de gestão de incidente
No diagrama mostra os passos para
realizarmos a preparação para gestão de
incidente.
Para realizarmos a notificação é
necessário passar pelo coletor, SIEM e
SOAR. Após isso e realizado a notificação
do incidente.
12. Fluxo do atendimento no MDR|SOC
Para incidentes de alta criticidade realizamos a ligação para cliente e para incidente de baixa criticidade e informado o
Incident Handling.
13. Caso de uso de Segurança da informação
Caso de uso descreve a funcionalidade de como o alerta será proposto. Os campos dentro do caso de uso são:
Regra, Descrição, criticidade, tecnologia, trigger, notificação, contenção, erradicação, recuperação e pós incidente.
Levantar dados do cliente como topologia, inventário e etc para elaborar os casos de uso.
14. Exemplo de Caso de uso
No caso de uso abaixo descreve um ataque de Ransomware, onde em pouco tempo é realizado a criptografia em
mais de 1000 arquivos de um única maquina do cliente em menos de 1 hora.
15. Elastic (ELK) Stack
Use o Elastic Security como seu SIEM. Integre facilmente diversos dados para eliminar pontos cegos. Exponha
ameaças com trabalhos de detecção de anomalia pré-criados e regras de detecção disponíveis publicamente.
Acelere a resposta com uma poderosa UI de investigação e gerenciamento de casos incorporado. Tudo em uma
única UI no Kibana.
16. Definição de criticidade dos alertas e SLA
Definições dos níveis de criticidade, e como estamos realizando o atendimento de segurança da informação
Incidentes de Segurança Definição
Crítico Evento que causa indisponibilidade dos serviços de um ativo.
Alto Evento que degrada a qualidade dos serviços em um ativo critico.
Médio Evento que degrada a qualidade dos serviços em um ativo não critico.
Baixo Evento que está em aprendizado e não impacta funcionalidade do ambiente
Definição Critico Alto Médio Baixo
Tempo de notificação da detecção a partir da plataforma até
a comunicação do evento para o cliente.
15 min. 15 mim. 30 min. 1h
Tempo entre notificação e recomendação da ação que deve
ser executada. 1h 2h 3h 3h
Definição do SLA para atendimento de um incidente de segurança da informação
17. Notificação de Incidente
Notificação do Incidente é respeitável quando se realiza com clareza e rapidez. Para que as áreas responsáveis
consigam atuar com assertividade na remediação do incidente.
Telegram: Para a notificação via Telegram é criado um
grupo no Telegram com os exceptivos usuários, após isso é
criado o BOT na ferramenta de SOAR da Eleven Paths
E-mail: Notificação utilizamos o protocolo SMTP de forma
criptografa “TLS” com as credenciais para envio dos e-mails
para as equipes responsáveis.
Telefone: Por telefone em caso high ou critical.
18. Novos casos de uso de segurança
Eleven Paths tem uma equipe global em constante desenvolvimento de novos casos de uso. Novas solicitações de
alertas entram na base de casos de uso global.
19. Matrizes de gestão de incidente
Gestão de Incidentes é um processo ITIL que tem como principal objetivo restaurar a operação o mais rápido possível,
minimizando os à operação do negócio e garantindo assim o melhor nível de serviço e disponibilidade
Descrição Notificação de incidente Resposta incidente 8/5 Resposta incidente 24/7
Preparação
Detecção
Triagem & Priorização
Contenção, Erradicação, Recuperação
Pós incidente
Notificação 24/7
Gestão dos Equipamentos
Relatório do incidente
Playbook
20. Auditoria
Gestão de Incidentes tem auditoria de todo o ambiente para manter a confidencialidade, disponibilidade e integridade.
Descrição Auditoria
SOAR Telefonica
SIEM Telefonica
Monitoramento Telefonica
Duplo fator de autenticação “Radius”
Confidencialidade de Acesso entre clientes
Acesso criptografado ao ambiente