
Brazil, Dez 13, 2022
Cenário
Uma das maiores redes de estacionamentos privados do país se deparou com um grande desafio de cibersegurança quando venceu a licitação para operar a zona azul de uma grande capital brasileira. Para garantir a disponibilidade do serviço 24x7, a empresa precisava de um sistema de segurança que permitisse o monitoramento centralizado de milhares de usuários dispersos geograficamente.
Para isso, a empresa decidiu terceirizar suas operações de segurança, buscando no mercado um fornecedor que implementasse um SOC (Security Operation Center) centralizado e, que ao mesmo tempo, substituísse a ferramenta de monitoramento utilizada até ali, que por suas características não teria a robustez necessária para monitorar a nova operação. Depois de um período de análise dos fornecedores disponíveis no mercado, a empresa fechou um contrato de três anos com a Logicalis, que assumiu o monitoramento dos ativos de segurança através da oferta de SOC e trouxe maior visibilidade dos eventos de segurança à área de segurança da informação no que tange à detecção, inteligência e resposta a ameaças.
Solução
Adotando uma abordagem consultiva, a Logicalis iniciou o projeto implementando um centro de operações de segurança (SOC), baseado em frameworks especializados para identificação e mitigações destes riscos para a operação. A partir daí, iniciou-se um processo de ampliação do escopo, evitando possíveis rupturas. A abordagem foi fruto do processo de assessment realizado ainda durante o período de pré-vendas, quando o time da Logicalis mapeou o ambiente do cliente e identificou quais ativos deveriam ser monitorados na matriz e nas filiais. Este processo também balizou todas as configurações feitas posteriormente para se tornarem aderentes às melhores práticas de segurança nestes dispositivos.
O processo definiu que deveriam ser monitorados switches, servidores de domínios, bancos de dados Microsoft, servidores Web, servidores de DNS, servidores Linux com banco de dados SQL, toda a parte de IPS, firewalls, servidores virtualizados, access points, controladores WiFi (nos escritórios e estacionamentos), além de todas as estações de trabalho utilizadas. A partir desse levantamento, foi o definido o escopo em três partes:
-
Instalação, configuração, treinamento, serviço de suporte especializado e fornecimento de licenciamento, no modelo SaaS (software como serviço) da solução de SIEM (Security Information and Event Management) Azure Sentinel, para atendimento a cerca de 2 mil usuários;
-
Instalação, configuração, treinamento, serviço de suporte especializado e fornecimento de licenciamento, no modelo SaaS, das soluções Microsoft Azure Firewall, Microsoft Azure Web Application Firewall Frontdoor e Microsoft Azure Anti-DDos, Endpoint Protection McAfee;
-
Suporte e atendimento ao cliente em mais de 23 localidades em todo o Brasil.
Na estrutura montada para o cliente, a solução de SIEM recebe os logs dos dispositivos monitorados e faz correlações entre as informações para que seja possível identificar qualquer anomalia de comportamento, invasão ou vulnerabilidade em curso. A solução utiliza algoritmos próprios, desenvolvidos pela Logicalis, com técnicas de inteligência artificial e Machine Learning para fazer essas correlações e, por meio de automações, identificar potenciais problemas, facilitando assim toda a parte de triagem e análise para o time do SOC.
Benefícios
Para atender o cliente, a Logicalis montou um SOC com três etapas: detecção, insight e resposta a ameaças. As duas primeiras são realizadas pelo time Logicalis, que indica ao cliente com fazer a contenção. A solução gera os tickets de incidentes de forma automática (, que são analisados, respondidos e escalados.
Para tratativa das ameaças, o time de segurança da Logicalis está aderente ao framework do ciclo de vida do incidente de segurança da informação ditado pelo NIST; e como parte integral da operação de SOC está contemplado exercícios periódicos do Purple Team, que entram em ação e são formados por dois times distintos: o Blue Team, responsável pelo monitoramento e defesa das ferramentas de segurança; e o Red Team, responsável pela realização de ataques direcionados e segurança ofensiva destas ferramentas. A partir de um catálogo de mais de 119 técnicas e táticas de exploração, os ataques não identificados geram alertas sobre pontos da rede que precisam ser melhorados, gerando até aqui resultados como:
-
Mais de 3 mil alertas críticos foram identificados entre os meses de junho e agosto de 2022;
-
Mais de 2 mil incidentes abertos no período;
-
Cerca de 400 incidentes críticos evitados no mesmo período.