Em conversas recentes alguns amigos da área de Segurança da Informação, peguei-me “correlacionando” as discussões sobre modelos, componentes e estruturas de SOC no país. Um dos pontos levantados (e de forma correta, ao meu ver) era o questionamento que o Brasil possui SOCs ou MSSs frágeis no componente de Inteligência de Segurança, no laboratório que analisa cada nova ameaça e vulnerabilidade (ou mesmo velhas que ainda atuem e/ou possam ser exploradas).
De forma clara e objetiva o sentimento é que os laboratórios de análise de códigos maliciosos são as pessoas que os compõem, enumeradas e conhecidas por todos, quase que desvinculadas de processos e tecnologias que estão agregadas a estas equipes e aos SOCs.
Desde 1999 ouço que os provedores de serviços gerenciados de segurança precisam ter equipes que saibam “ouvir” os logs e saibam como tirar conhecimento destas análises com ferramentas e correlacionamentos de eventos. Uma estrutura de laboratório que tenha especialização, inteligência e foco de pesquisa sobre os códigos maliciosos, com processos estruturados e desenhados (testados) de forma eficiente. Especialistas, Processos e Tecnologia integrados e focados.
É obvio e de ciência de todos, que estes profissionais são únicos e raros, analistas especializados em incidentes e artefatos, “escovadores de bits” (no bom sentido), com foco quase exclusivo em pesquisa e inteligência de segurança da informação, com anos de experiência e vivência na área. Quase literalmente as famosas “Moscas da Cabeça Branca”.
Mas de outro lado, da mesma forma, o desenho destes processos também é raro. É uma missão árdua e dificílima, que necessita anos de experiência de seus projetistas, anos de pesquisa e investimento, alta expertise na preparação, execução e continuidade, principalmente em se construir metodologia eficiente para auditoria e manutenção dos processos, o que limita a qualificação e os players que se diferenciam nesta atividade de alto valor agregado.
Nesta tríade a tecnologia é tão necessária quanto os outros elementos, principalmente pelo fator de atualização e de novas funcionalidades que surgem de tempos em tempos, em congruência com as preferências de nossos especialistas e as opções que o mercado oferece.
O fato comum e unânime está na necessidade fundamental de se ter a integração de especialistas, processos e tecnologia como premissa deste laboratório, que por sua vez deve ser o elemento crucial do SOC, fugindo da vala comum de ofertas, onde o que se vendem são somente operadores de SIEM, que possuem seu valor, mas não são o diferencial deste serviço gerenciado, somente parte importante dele.
O laboratório é uma parte vital na existência do SOC, que deve apresentar comprovada expertise em realizar atividades investigativas estruturadas, que questione em suas análises a natureza e a finalidade de cada incidente e cada código malicioso (independentemente de onde tenha ocorrido (empresa, segmento, região ou país) e sua extensão de comprometimento, conhecendo como código malicioso funciona e como este interage com os sistemas e com a rede.
É nesta hora que passa a ser fundamental o Processo desenhado e estruturado do Laboratório que, integrado aos recursos humanos especializados, poderá garantir a execução, de forma padronizada e controlada, das atividades que culminarão na construção de “antídoto”. Como exemplo destas atividades, podemos citar:
- A identificação das tarefas e ferramentas (análise de binários, debugging, tracing, packing) cabíveis para o estudo em questão
- A estruturação da arquitetura e das atividades de monitoramento do ambiente de teste (similar aos atacados/infectados), com sistemas e componentes de rede que simulem as operações de rotina “da vítima”
- A verificação das portas e conexões de rede que são impactadas quando há a implementação do código malicioso
- A interação dos efeitos diagnosticados com as correlações do SIEM (específico para este laboratório)
- O conhecimento das funcionalidades e características de programação (bit e byte) deste artefato
- A finalização com controle sobre o malware e desenvolvimento de “antídoto” eficaz e eficiente
Desta forma, graças a questionamentos como desses meus amigos, vemos o quanto devemos buscar provas de conceitos sobre cada MSSP, para que se possa comprovar os processos aplicados, o perfil e nível de expertise das equipes e as tecnologias em utilização, assim como a colaboração sinérgica entre estes três componentes, pois sem este cenário somente nos enganamos e aumentamos os riscos em nossas empresas.
