MSOC - MDR

AK PROTECT

A AK Networks traz uma solução inovadora para MSOC consolidando ferramentas de MDR, serviços de gestão de incidentes de segurança da informação, proteção do ambiente de autenticação, que é o principal objetivo dos atacantes e também uma visão completa de postura interna e externa de segurança, gerando automaticamente KPIs para acompanhamento das ações do roadmap de cyber segurança.

AD Protection

Identificação de ataques MITRE, Roubo de credenciais avançado, Operações de autenticação suspeitas

01

MDR

Alertas, mitigações, melhorias, correlação, kpis de ativos de TI, CCM, automation, performance

02

24x7 response

Comunicação, gestão de crises, escalonamento, relatórios, N3 (investigação local)

03

SOC x MSOC / MSIEM

Os centros de operações de segurança são caros e complexos de operar

SOC

Resposta manual a ameaças, Infraestrutura dedicada, 5-8 especialistas em segurança internos, o custo aumenta com o volume de log, grande investimento inicial

Modern SIEM

Monitoramento e detecção automatizados, resposta automatizada a ameaças, infraestrutura em nuvem, acesso à experiência em segurança, custo previsível com base no usuário

AK Protect

F.A.Q

O que é MDR?

MDR (Managed Detection and Response) é um serviço especializado em cibersegurança projetado para proteger as informações e ativos da empresa para casos de detecção de ameaças em alguma plataforma de proteção implementada, ou em outros casos, através de serviços adicionais de proteção complementar, mitigações e controles adicionais em vulnerabilidades conhecidas e atividades de investigação pro ativa para identificar potenciais pontos de ataque. Uma plataforma MDR é considerada um avançado ambiente de controle 24x7 que inclui uma gama de fundamentais atividades de segurança da informação, principalmente para empresas que buscam mais otimização e efetividade para substituir ou implementar funções de SOC (Security Operations Center). MDR traz diversos benefícios adicionais como bases analíticas, equipe de inteligência para alimentação do MDR com informações de proteção de ataques e equipe com experiencia em investigação e resposta a incidentes.

MDR é um MSOC?

Um MDR inclui funções e serviços de SOC (Security Operations Services), porém traz inúmeras características adicionais, além dos conceitos de serviços remotos.

Qual a diferença entre MDR e SOC?

Um MDR implementa todos os recursos de SOC de maneira remota, com os processos organizados junto com as equipes de TI. A implementação de um MDR já organiza previamente todos os processos e procedimentos de atuação das equipes para atendimento a incidentes, incluindo os papéis responsabilidades. Práticas de implementação orientam a adoção de um MDR, fazendo que o processo de implementação seja mais rápido que a implementação e capacitação das equipes internas. Um MDR também inclui diversos serviços e atividades adicionais aos serviços de SOC externos, pois são conceitos e ferramentas mais modernas, que trabalham de maneira mais proativa e com ferramentas mais flexíveis que suportam as frequentes mudanças corporativas e de transformações digitais.

MDR ou MSOC?

Segundo o Gartner®, um MDR fornece também serviços de MSOC (Modern SOC) 24x7, para rapidamente detectar, analisar, investigar e responder aos incidentes de segurança da informação. Um MDR é complementado com características definidas por especialistas em segurança da informação, que constantemente evoluem as regras de proteção com base nos tipos de ataques modernos que são criados, não apenas alertando e monitorando vulnerabilidades conhecidas e já tratadas por outras ferramentas de análise de vulnerabilidade e proteção por patch virtual. Assim, um MDR consegue oferecer recursos mais completos de identificação, monitoramento e detecção de eventos, reduzindo o número de falso-positivos através de suas tecnologias diferenciadas, antes de definir o(s) evento(s) como um incidente de segurança. Outra característica de um MDR é sua possibilidade de conectar com ferramentas de ITSM, Job Scheduling ou execução de scripts pela equipe, com o objetivo de automatizar as respostas, de acordo com os playbooks definidos e preacordados. Outras características diferentes também incluem a execução automatizada para processamento de milhares de eventos por segundo (evitando trabalho manual e gerando mais assertividade), ambiente preparado para início imediato, acesso rápido a profissionais experientes no tema e que mantém o ambiente MDR sempre atualizado e custos adaptáveis as necessidades.

Por que um MDR? Um EDR/XDR não é suficiente?

EDR ou XDR são produtos específicos de determinado fabricante, utilizando suas tecnologias específicas de detecção, proteção e análise local. São produtos para proteção, porém que também geram alertas e bloqueiam atividades suspeitas imediatamente porque estão instaladas na própria infraestrutura da empresa. Um MDR normalmente é um serviço de proteção oferecido para uma plataforma específica, que inclusive pode ser para um produto do tipo EDR. Neste caso, o MDR é um serviço de detecção e resposta a incidentes baseado no produto EDR ou XRD. Um Full MDR é um ambiente multi plataforma, multi produto e flexível para importação de inúmeros tipos de logs, permitindo correlacionar dados de forma independente da tecnologia que originou a informação, conseguindo oferecer uma visão abrangente e completa de eventos suspeitos que ocorrem no ambiente, e também, normalmente são complementados por ferramentas ou características que permitem aumentar a assertividade das detecções.

Um MDR é um SIEM?

Um produto SIEM (Security Information and Event Management) tem por objetivo consolidar logs de diversas plataformas e identificar eventos de alertas gerados pelas ferramentas que geraram os logs. Também permite correlação entre os logs de diferentes ferramentas para avaliar se houve evento suspeito também em outro local ou ferramenta, ou se foi apenas uma ameaça pontual, que pode ter sido gerada pelo próprio usuário do computador por baixar um software identificado como malicioso ou por ter acessado uma URL inválida a partir do browser. Um MDR aplica os mesmos conceitos de SIEM, porém utiliza modernas tecnologias para análise de eventos e correlações inteligentes, com o objetivo de eliminar falso-positivos e depender menos de interação humana para validar manualmente cada alerta suspeito gerado.

O AK Protect usa Full MDR?

Sim. Os serviços AK Protect tem como base ferramentas Full MDR, complementados por outros produtos para oferecer uma visão proativa, trabalho colaborativo sobre as lacunas de proteção e também sobre a automação e velocidade das respostas a potenciais ameaças e incidentes.

O AK Protect é um SOC?

O AK Protect oferece além dos recursos de um SOC ou Modern SOC, serviços e produtos complementares para melhorar o processo de detecção de ameaças (através das verificações de todas as autenticações no AD), possibilidade de incluir add-ons que elevam o nível de prontidão de acordo com as tecnologias utilizadas na empresa, e também buscam otimização constante através de rotinas predefinidas (playbooks) e automações. Também oferece flexibilidade para adaptar-se ao ritmo de transformação digital e mudanças da empresa, incluindo novas fontes de dados para ampliar o nível de detecção para todo o ambiente mais crítico, seguindo a lógica que não adianta proteger somente uma parte das tecnologias, deixando as demais sem a devida atenção, pois é exatamente este ponto que os atacantes exploram.

Um SOC ou MDR precisa de um SIEM?

Não. Anteriormente os serviços de um SOC eram baseados em análises e alertas gerados por ferramentas SIEM. Com o crescimento de ferramentas de proteção de segurança da informação, velocidade das mudanças corporativas, novos sistemas SaaS, workloads migrados para Cloud, interfaces via API e novos tipos de ataques ao ambiente de TI, as ferramentas SIEM tiveram também que mudar, e novas tecnologias como o MDR surgiram neste período. Em paralelo a falta de profissionais e a necessidade de implementação rápida exigiram a contratação de serviços gerenciados de monitoramento, detecção e resposta. Desde então, os serviços continuam evoluindo, para um tratamento mais rápido das respostas, de forma automatizado, flexível para integração com qualquer tipo de ferramenta e também reduzindo o número de falso-positivos.

Qual a diferença do AK Protect e a implementação de um SIEM interno (ou em cloud)?

O uso de uma solução de identificação, correlação, detecção e alertas de incidentes apresenta alguns desafios que não são muito claros durante as etapas de seleção da fermenta e implementação, porém à medida que a maturidade de gestão de incidentes aumenta, que novas tecnologias são implementadas na empresa e que novas técnicas de ataque são refinadas, estas soluções precisam ser constantemente refinadas. Este trabalho de refinamento constante nem sempre é estimado, ou a equipe não domina detalhadamente as ferramentas para implementar novas regras, ou até mesmo pode haver custos adicionais para novas conexões e volumes de armazenamento. Os serviços AK Protect já consideram estas mudanças e dinâmica de trabalho como normais e são parte inerentes da solução, buscando sempre a melhoria contínua e a visão abrangente das lacunas de proteção, assim como a visualização dos potenciais riscos existentes, oferecendo estas atividades no próprio serviço, além das características padrão de um ambiente SIEM.

Já tenho um SIEM, como o AK Protect pode ajudar?

Sim, o AK Protect pode fazer a primeira linha de detecção e resposta, através de seus métodos mais avançados e integrados de identificação e classificação de incidentes. O SIEM existente pode ser mantido para dados históricos, para quando for necessário buscar determinadas ocorrências em um período de tempo anterior.

O AK Protect atende os requisitos de auditoria relacionados a resposta a incidentes de segurança da informação?

Sim, cada incidente permite adicionar informações sobre como foi a resposta a este incidente, principalmente se houver um playbook relacionado. Desta forma, o incidente traz as informações de como foi feita a resposta, facilitando a exportação destas informações posteriormente para os processos de auditoria. Assim todos os incidentes detectados, mesmo que sejam encerrados por algum motivo, estão com as informações de seu fechamento.

Quais os diferenciais do AK Protect em relação a outros serviços SOC?

O AK Protect utiliza ferramentas e tecnologias diferenciadas, reduzindo o volume de falso-positivo e permitindo uma visão proativa do ambiente, executando as repostas ao incidente (previstos nos playbooks), ao invés apenas de informar que um evento ocorreu. Caso não tenha um playbook de resposta previamente alinhado entre as partes, os serviços AK Protect orientam sobre os passos a executar para uma investigação detalhada, mitigação ou eliminação do incidente. Além disto é um serviço que contempla o número necessário de informações de logs da empresa, não apenas os logs específicos que são usados pelos SOC tradicionais.

Quais os principais entregáveis do AK Protect?

Além das entregas normais de um serviço de identificação, detecção, monitoramento e resposta a incidentes, que inclui também toda a infraestrutura relacionada e projeto para implementação, e também ferramentas adicionais de proteção (como por exemplo, a ferramenta de proteção do AD e a ferramenta de análise de exposição externa), existem outros entregáveis bastante relevantes: histórico detalhado de todos os incidentes, recomendações de melhoria ou proteções pelo menos com frequencia mensal, assessments de parceiros com objetivo de identificar pontos de elevação de maturidade, apoio nos roadmaps, avaliação e orientações sobre privilégios excessivos, reports de inteligência, elaboração de playbooks e ferramentas adicionais de parceiros contratadas de forma adicional, para fornecer informações adicionais sobre métricas, KPIs de segurança, assertividade sobre os volumes controlados pelas ferramentas de TI permitindo identificar lacunas de proteção, entre outras.

Como o AK Protect ajuda se 100% dos workloads estão em Cloud?

Os serviços AK Protect conseguem importar os logs dos ambientes cloud em conjunto com os logs de ferramentas de controle e proteção de endpoints, protegendo não apenas os servidores e serviços em nuvem, mas também os computadores da empresa. E também permitem monitorar as autenticações, podendo identificar ações suspeitas de conexão e autenticação para tratar de forma imediata.

Ainda tenho necessidade de implementar outras ferramentas que estão no roadmap de segurança da informação e são muito importantes para a proteção. Qual o melhor momento para implementar o AK Protect e como o AK Protect ajuda?

O AK Protect ajuda muito nesta etapa também, pois as ferramentas que já estão implementadas começam a ser monitoradas, reduzindo a carga da equipe de TI e permitindo que as equipes dediquem atenção e tempo na implementação das novas ferramentas que estão no roadmap. À medida que novas ferramentas são implementadas, também entram no monitoramento de forma gradual.

Qual o prazo para começar a ter benefícios e resultados com o AK Protect?

Assim que os primeiros logs começarem a ser importados para o MDR, as ações de verificação já começam a ser executadas, mesmo que não exista ainda nenhuma regra específica criada. Isto porque desde a instalação várias regras padrão, de ataques mais comuns, já são disponibilizadas e começam a validar as informações assim que tiverem dados no MDR.

Quais os principais problemas encontrados em um SOC atualmente que podemos resolver como AK Protect?

Os principais problemas encontrados nos serviços SOC atualmente ou até mesmo em SOC interno, principalmente aqueles que são baseados em ferramentas SIEM, são: • Somente monitoramento de eventos: além de apenas identificar e alertar a ocorrência de um evento suspeito, também precisa configurar continuamente o ambiente e ajustar as configurações para melhorar a correlação de informações complementares, e realizar avaliações de lacunas na postura de segurança e falta de proteção, como também sugestões de evoluções no ambiente. • Regras pré-definidas: um SOC com regras pré-definidas só estará preparado para os respectivos tipos de eventos que estão configurados. A identificação de eventos suspeitos ou de comprometimento no ambiente precisa constantemente considerar novas técnicas que os atacantes utilizam. • Escalonamento e comunicação: é fundamental definir a criticidade e impactos corretos do evento ou incidente. Em situações de alto impacto o processo e equipe de crise devem ser acionados imediatamente. • Número alto de falso-positivos: Devido às características globais de atuação das empresas atualmente e também ao número de parceiros, fornecedores e clientes que atuam no ambiente da empresa, o número de falso-positivos também tende a aumentar, sendo necessário o ajuste frequente para garantir que os alertas sejam consistentes. • Novos tipos de ataques: Os atacantes conhecem as ferramentas disponíveis no mercado e também aplicam testes para que os ataques reais sejam mais efetivos. O SOC precisa conhecer de forma proativa as técnicas utilizadas e buscar formas de identificação de eventos suspeitos. • Transformação digital: As empresas estão cada vez mais em ritmo acelerado de implementação de novas soluções, acessos fora da rede corporativa, uso de aplicativos mobile para maior produtividade, uso de metodologias ágeis com aplicação de dezenas de mudanças diárias. Este ambiente em constante mudança traz a necessidade de evolução também no SOC, pois em muitos casos os novos ambientes não são incorporados. • Tempo de detecção: Em ataques automatizados e executados através de scripts, a velocidade de ataque é a mesma do poder de processamento existente no ambiente. Desta forma, o tempo de identificação e de resposta deve ser rápida e tratada de acordo com a criticidade do alerta.

Além de Identificar, Monitorar, Detectar e Responder, com quais outras características e funcionalidades o AK Protect pode ajudar?

Os serviços AK Protect fornecem diversas características adicionais para garantir a melhoria contínua e refinamento das técnicas de proteção, acompanhando as tendências de ataques do mercado, e sempre que possível, antecipando. Também conta com proteções para o AD e módulos de exposição externa. Os serviços podem ser complementados por outras ferramentas adicionais para controle integrado e consolidado dos ativos de TI, transformando estas informações em métricas que podem ser diretamente aplicáveis aos frameworks de segurança da informação em uso, como o NIST. E também pode ser facilmente agregado através de integração de parceiros, que oferecem recursos para exposição de ambiente em nuvem, vulnerabilidades em aplicações, vulnerabilidades e eventos em dispositivos móveis, etc.

Como automatizar a resposta a incidentes para execução imediata de resposta a incidentes?

As ferramentas MDR utilizadas pelos serviços AK Protect integram diretamente com outras ferramentas, enviando informações dos incidentes. Podem integrar com ferramentas ITSM (ex. ServiceNow) para armazenar todo o histórico de um ticket aberto automaticamente pelo AK Protect, como também o próprio software ITSM pode acionar um script ou API para executar uma ação de resposta ou proteção adicional. Assim como a ferramenta de ITSM, também pode ser chamada uma ferramenta de job scheduling, para executar um job em um horário predeterminado, atuando na resposta ao incidente. Todas estas ações são previamente definidas e descritas através de playbooks, que são previamente acordados entre as partes para que possam ser executados rapidamente em casos de necessidade de contenção de um incidente relacionado a um ataque ao ambiente da empresa.

Qual o modelo de escalonamento e alertas para as equipes da empresa? Como fico sabendo dos incidentes e o que é compartilhado com a equipe de TI?

Existem ferramentas para compartilhamento de informações, estabelecimento de salas de crise e para a gestão completa de cada incidente, além das informações completas existentes no MDR. Cada uma das ferramentas é previamente acordada no início do projeto, podendo utilizar inclusive as ferramentas da própria empresa cliente do AK Protect. Esta definição é feita no momento da elaboração do plano de comunicação, onde todos os contatos e sequencia de escalonamento e comunicação são definidos.

Quais as ferramentas funcionam e integram com o AK Protect?

Existem conectores para Firewall, ferramentas de gerenciamento de SSO e autenticação, AD, AWS, EDR, Antivirus, antispam, etc, e a cada mês novas ferramentas são incluídas no portfolio de integrações. Para as ferramentas mais usadas no mercado os conectores certamente já estarão disponíveis, porém o desenvolvimento de um novo conector é muito rápido. Mesmo durante o projeto de deploy os conectores podem ser ajustados, configurados ou mesmo desenvolvidos para que no go-live já estejam funcionando normalmente, enquanto isto as atividades de planejamento de comunicação, colaboração, playbooks, definições de criticidades, entendimento dos ativos e configurações, etc, são realizados.

Como posso elaborar um Business Case para demonstrar os ganhos com o AK Protect em relação a um SOC tradicional?

A forma mais efetiva para elaborar um Business Case é estruturar uma planilha de cálculo com todos os custos envolvidos em uma gestão de tratamento e resposta a eventos e incidentes de segurança da informação. Entre os custos envolvidos, é fundamental considerar: equipe 24x7 com recursos adicionais para cobertura de ausências e férias, gerenciamento da equipe e controle de priorização, acompanhamento das integrações devido às mudanças (updates/upgrades) das ferramentas que originam logs, ajustes mensais nas regras para melhorar as regras existentes e incluir novas regras de acordo com as tendências de ataques, geração de relatórios e dashboards, planejamento e gerenciamento de storage para suportar o armazenamento crescente de informações históricas, aquisição de uma ferramenta MDR ou SIEM, acompanhamento da comunicação segura entre todas as ferramentas, escalonamento em casos de eventos suspeitos, análise detalhada de falso-positivos para poder classificar como um incidente, acompanhamento de todo o incidente e comunicação de toda a sequencia de passos executados, análise de causa raiz e configuração de novas regras para evitar reincidência, análise proativa na base de eventos para identificar situações suspeitas, atualizações das ferramentas de gerenciamento de eventos e consolidação de logs, carga da ferramenta de gerenciamento de eventos com novas táticas de ataque, análise de logs de novas ferramentas ou sistemas para a criação de novas integrações ou aquisição de novos conectores, administração das licenças das ferramentas e modelos de comercialização (ex. EPS), entre outros. Com base nestas atividades, é possível calcular os custos de elaborar um SOC tradicional, sendo que é indicado também incluir conceitos e atividades de um MSOC, contemplando atividades de automações de respostas a incidentes, automação na detecção de ameaças, possibilidade de arquivamento de informações e logs históricos, possibilidade de conexão compartilhada com especialistas para assessments e antecipação de riscos com base nas características de uso e tendências, etc.

Por que preciso de um serviço de resposta a incidentes?

Com o crescimento do número de ferramentas de segurança da informação, as técnicas de proteção em camadas, o volume cada vez mais crescente de ataques em diversos tipos de empresas, o refinamento dos ataques de Phishing, a tendência de trabalho híbrido e o volume alto de vulnerabilidades encontrados nas ferramentas atuais, entre outros, o volume de eventos de segurança da informação gerado a cada segundo passa dos milhares facilmente. A análise correlacionada e ajustada de acordo com as características da empresa (localidades, modelo de trabalho, ferramentas utilizadas, etc), é fundamental para que os eventos sejam analisados, tratados e selecionados apenas os que apresentarem comportamentos suspeitos. E mesmo assim, o número de falso-positivos podem ultrapassar os milhares por dia. Então um serviço de resposta a incidentes tem por objetivo a configuração constante das ferramentas de gerenciamento de eventos, a aplicação de táticas para eliminação de falso-positivo, o refinamento constante das regras de identificação e também a automação das respostas a incidentes, possibilitando que todos os incidentes sejam tratados. A execução manual dos tratamentos de falso-positivos normalmente não chega a 50% dos eventos gerados, justamente pelo volume de incidentes suspeitos e o dimensionamento das equipes disponíveis. Um serviço de resposta a incidentes, eliminando os falso-positivos e sempre buscando automação nas respostas, consegue atender de forma mais eficiente e eficaz o tratamento dos incidentes.

Por que é importante um serviço de identificação, detecção e resposta a incidentes para empresas pequenas e médias também?

Os ataques às empresas atualmente não fazem distinção de tamanho, segmento, tipo ou tecnologias utilizadas, porque normalmente são feitas por robôs ou scripts que buscam explorar praticamente todas as vulnerabilidades conhecidas de forma automatizada. E também explorar as vulnerabilidades ainda não documentadas, conhecidas como zero day. E os ataques que não são executados por robôs ou scripts, são gerados através de phishing quando ocorre vazamento de informações de cadastros de e-mails ou através de cadastros em web sites que oferecem recursos gratuitos e comercializam seus cadastros. Os ataques de phishing são realizados por agrupamento de características similares, com base nos cadastros de e-mails e informações pessoais que os atacantes detém. Desta forma os ataques de phishing estão cada vez mais refinados e direcionados, causando impressão de uma mensagem real, onde o responsável pela credencial fornece sua senha ou até mesmo permite o acesso de um aplicativo malicioso que através de seu computador, acessa a rede da empresa e movimenta-se entre os equipamentos até chegar nos servidores críticos para que os atacantes mais especializados preparem um ataque simultâneo e interrompa as operações da empresa. Com base nestes métodos, os ataques são massificados, não escolhendo o tipo e tamanho da empresa, mas sim a facilidade para preparar um ataque para monetizar os resultados através da criptografia dos servidores e o fornecimento de chave (o que nem sempre acontece) para remover a criptografia mediante o pagamento de um resgate.

AK Protect

Fale Conosco

A AK Protect traz uma solução inovadora para MSOC consolidando ferramentas de MDR, serviços de gestão de incidentes de segurança. Saiba mais!

[wpforms id=”5189″ title=”true” description=”false”]
BOOK_AKPROTECT
Fale com um especialista