Brazil, Fev 1, 2023
Cenário
Uma das maiores cooperativas de assistência médica do país decidiu ampliar e sofisticar sua estratégia de segurança da informação. O objetivo era contar com um serviço que fizesse o monitoramento de todo o seu ambiente de TI, fornecendo informações atualizadas sobre eventuais vulnerabilidades e ameaças.
A instituição já contava com serviços de MSS (Managed Security Services) fornecidos pela Logicalis e pediu-a que desenhasse uma proposta de SOC (Security Operation Center) que abrangesse todo o seu ambiente. A partir daí, o time de consultores da Logicalis desenvolveu uma série de estudos, entendeu as necessidades do cliente e apresentou sua proposta de SOC.
Solução
O primeiro passo do projeto foi a implementação de uma ferramenta de SIEM (Security Information & Event Management), que fornecesse relatórios e alertas por meio de análises de eventos e dados de registros (logs) dos sistemas monitorados em tempo real. Desta forma é possível correlacionar eventos, monitorar ameaças e responder a incidentes. Basicamente, a tecnologia realiza duas funções principais, que são: fornece relatórios sobre incidentes e eventos relacionados à segurança, tais como logins bem-sucedidos e fracassados, atividade malware e outras possíveis atividades maliciosas; e enviar alertas caso a análise indique que há uma atividade contrária a um conjunto de regras pré-determinado e que possa ser um potencial problema de segurança.
A ferramenta foi implementada e conectada à uma plataforma de monitoramento de ameaças, que, no início de seu funcionamento, o SOC monitorava cerca de 5 GB diários de logs capturados. De lá para cá, este volume cresceu seis vezes, chegando a quase 30 GB diários.
Além disso, o time de Cibersegurança da Logicalis efetua um trabalho de prevenção e melhoria continua por meio de exercícios de Purple Team, que é formado por dois times distintos: o Blue Team, responsável pela defesa e monitoramento das ferramentas de segurança com o objetivo de identificar ameaças e vulnerabilidades que possam ser exploradas por um invasor; e o Red Team, responsável pela emulação de ataques a fim de encontrar falhas nas defesas e certificar que as ferramentas de detecção estão funcionamento corretamente. A partir deste trabalho, os ataques não identificados geram insumos sobre pontos da rede que precisam ser reforçados.
Benefícios
Com a entrada em operação deste projeto, a Logicalis agregou os serviços de SOC e MSS dentro do cliente, assumindo o monitoramento do ambiente e atuando em algumas contenções, quando identificadas. Desta forma, se houver um elemento que pareça malicioso, a empresa é informada sobre os riscos inerentes. No dia a dia, são realizadas reuniões semanais para informar o status do ambiente.
Este trabalho, somente nos três primeiros meses, gerou resultados como:
-
Mais de uma dezena de ferramentas integradas monitoradas;
-
Mais de 200 alertas críticos gerados;
-
Mais de 60 incidentes identificados.
Com estes resultados, um dos maiores benefícios percebidos pelo cliente é que, a partir do SOC e dos exercícios realizados pelo Purple Team, cresceu de forma expressiva a sua visibilidade do ambiente e, consequentemente, a sua segurança.