O que é engenharia de detecção?
Assim como os atores de ameaças evoluem seus ataques e técnicas, as equipes de segurança também precisam evoluir seu repertório de detecção. Por isso, a engenharia de detecção é um ciclo de vida que requer esforço contínuo. No entanto, quando bem executada, ela é capaz de reduzir o tempo médio de detecção e de resposta a uma ameaça, bem como o tempo médio de recuperação.
A engenharia de detecção é o processo de identificar ameaças antes que elas possam causar um dano significativo. A engenharia de detecção consiste em criar uma cultura e um processo que visa desenvolver, evoluir e ajustar métodos de detecção para proteger as organizações contra as ameaças atuais. Ela alinha desenvolvedores de conteúdo, times de threat hunters, inteligência de ameaças, red teams, gerenciamento de risco etc. no esforço de construir um sistema de defesa informado por ameaças.
O guia completo do SIEM de última geração
Saiba como modernizar seu Centro de Operações de Segurança (SOC, na sigla em inglês) com soluções de SIEM de última geração. Conheça as principais funcionalidades e benefícios do gerenciamento e correlação de eventos de segurança (SIEM) avançado.
Baixe o Guia completo do Next-Gen-SIEMObjetivo da detecção
A engenharia de detecção começa com a modelagem de ameaças, isto é, a identificação das ameaças que são relevantes para a sua organização. Você pode usar o framework MITRE ATT@CK e executar uma análise de lacunas para descobrir o que é relevante, mas o processo de engenharia de detecção começa com as seguintes perguntas:
- O que preciso detectar?
- Quais atores de ameaças, técnicas, ferramentas etc. são relevantes para nós?
- Com demonstrar a relevância para a empresa?
As respostas a essas perguntas ajudam a elaborar a fórmula para as ameaças com as quais sua organização deve se preocupar.
Requisitos de detecção
A partir daí, identifique as fontes de log disponíveis e determine quais logs ou fontes de dados você está deixando passar e que são necessários para detectar as ameaças que identificou. Em seguida, identifique casos de uso, analise relatórios de vulnerabilidades e compreenda os furos em sua defesa. Faça sua devida diligência. Pesquise e elabore hipóteses sobre a ameaça. Nesse ponto, você pode começar a escrever seu conteúdo para detecção.
Nesta fase, responda às seguintes perguntas:
- Como detectar X?
- De quais logs ou fontes de dados preciso para essa detecção?
- Qual lógica de detecção devo usar?
Implementação de detecção
Essas respostas nos levam à implementação real, que abrange o ciclo de vida da detecção e como gerenciar continuamente essa capacidade. Após você escrever esse conteúdo específico para detecção, é necessário ajustá-lo continuamente para evitar falsos positivos e ajustar outras nuances que possam surgir. Ao mesmo tempo que você ajusta e implementa, também está revisando consistentemente as detecções que escreveu previamente. Como parte desse processo, pergunte a si mesmo:
- Como automatizar a detecção?
- Essa detecção ficará mais adequada na forma de painel, pesquisa salva, relatório ou regra?
A natureza cíclica da engenharia de detecção requer que a organização ofereça uma cultura de suporte. Sem essa cultura, a organização vai fracassar. Como retorno sobre o investimento, esse ciclo de vida reduz o tempo médio para detectar e o tempo médio para responder a um incidente. Evidentemente, sempre surgirão incidentes que não necessariamente fazem parte do ciclo de vida de detecção. É neste momento que a investigação de ameaças entra em cena.
Descubra a plataforma nativa de IA líder global para SIEM e gerenciamento de log de última geração
Eleve sua cibersegurança com o CrowdStrike Falcon®, a principal plataforma nativa de IA para SIEM e gerenciamento de log. Experimente registro de log de segurança em uma escala de petabytes, optando por nativo em nuvem ou implementação auto-hospedada. Registre seus dados com uma arquitetura avançada e livre de índices, sem gargalos e que permite investigação de ameaças com mais de 1 PB de ingestão de dados por dia. Assegure capacidades de pesquisa em tempo real para superar os adversários, atingindo latência de menos de um segundo para consultas complexas. Aproveite uma visibilidade completa, consolidando os dados para quebrar silos e possibilitar que as equipes de segurança, TI e DevOps investiguem ameaças, monitorem o desempenho e garantam a conformidade perfeitamente em 3 bilhões de eventos e em menos de um segundo.
Arfan Sharif é líder de marketing de produtos para o portfólio de observabilidade na CrowdStrike. Ele tem mais de 15 anos de experiência em gerenciamento de log, ITOps, observabilidade, segurança e soluções de CX para empresas como Splunk, Genesys e Quest Software. Arfan formou-se em Ciência da Computação na Universidade Bucks and Chilterns e sua carreira abrange as áreas de Marketing de Produtos e Engenharia de Vendas.
