Implantação de infraestrutura e tecnologias para um SOC as a Service (SOCasS)

Nos últimos dois anos, o número de ataques cibernéticos disparou. Esses ataques não visam apenas indivíduos individuais, mas também empresas, governos, infraestrutura crítica, etc. Soluções tradicionais como antivírus, firewall, NIDS e NIPS não são mais suficientes devido à sofisticação dos ataques e sua quantidade avassaladora.

Grandes organizações geralmente integram soluções SIEM (Security Information and Event Management) em seu ambiente para ingerir e correlacionar alertas e logs gerados por dispositivos de rede, dispositivos de segurança e endpoints. No entanto, esta solução consome tempo/dinheiro e requer equipes de segurança dedicadas à triagem de falsos positivos e investigação de casos complexos.

Isso leva à abordagem do Centro de Operações de Segurança, também conhecido como SOC, que é considerado a nova abordagem no mundo da segurança cibernética para mitigar o número crescente de ataques em quantidade e nível de complexidade e sofisticação. Um SOC é uma unidade centralizada composta por pessoas qualificadas, processos e tecnologias trabalhando juntos para fornecer recursos de segurança de ponta a ponta. Isso inclui prevenção, detecção, investigação e resposta a ameaças e incidentes de segurança cibernética. Mas esta solução é privilégio apenas de grandes empresas devido ao alto custo da equipe SOC.

É aqui que entra a abordagem do Security Operation Center as a Service. A SOCaaS está terceirizando o centro de operações de segurança para terceiros. Isso permitirá que as organizações com recursos limitados melhorem sua postura de segurança e forneçam controle aprimorado sobre sua superfície de ataque a um preço mais barato, mais eficiência e um tempo de implantação mais rápido.

Esta solução permite retenção de log, análise, monitoramento, geração de alertas, geração de relatórios, enriquecimento de IoC e gerenciamento de resposta a incidentes.

Na figura acima, coletamos todos os diferentes tipos de logs e eventos de hosts, componentes de rede. Em seguida, esses logs são ingeridos no Logstash por meio de um canal seguro (túnel VPN). Usamos ELK beats e Wazuh-agent para a coleta de dados e logs e os enviamos para o ELK SIEM.

Após a agregação e processamento de dados pelo Logstash. O Elasticsearch cuidará da indexação de dados para otimizar o processo de armazenamento e a pesquisa de dados. Os dados são então encaminhados para o Kibana, que cuidará da análise e visualização dos dados armazenados.

Ao mesmo tempo, o agente Wazuh HIDS envia os dados de volta ao Wazuh Manager e ao Elasticsearch.

A partir daí, o ElastAlert observará novos eventos de interesse e gerará alertas dentro do TheHive.

Um fluxo de trabalho enriquecerá o caso com consultas adicionais dos analisadores Cortex e MISP, resultando em um fechamento automático do caso ou em uma escalação para um analista. Os alertas estão disponíveis para os analistas reivindicarem e acionarem o enriquecimento por meio do Cortex e do MISP.

Componentes de hardware e software usados nesta implantação:

Componentes de hardware:

Esta tabela representa a infraestrutura geral, requisitos e serviços implantados em nosso projeto.

Além disso, pode ser implantado em ambientes maiores com as configurações corretas e infraestrutura escalável.

Para endpoints, é possível conectar qualquer dispositivo gerador de logs com a máquina servidora (ex: roteadores, switches, etc..)

Isenção de responsabilidade :

-Os dispositivos de endpoint mostrados no diagrama não foram todos implementados neste projeto devido ao contexto do POC e aos recursos limitados. Portanto, firewalls e roteadores não serão abordados neste POC.

- O hardware que escolhemos para este projeto não é adequado para produção. Recomenda-se dedicar mais recursos de hardwares. Recomendamos 8 Vcpu para cada servidor, 32 GB de RAM para o primeiro servidor e 8 GB para o segundo.

Componentes de software:

- Pilha ELK: A pilha ELK é um acrônimo usado para descrever uma pilha composta por três projetos populares de código aberto: Elasticsearch, Logstash e Kibana. Muitas vezes chamada de Elasticsearch, a pilha ELK oferece a capacidade de agregar logs de todos os seus sistemas e aplicativos, analisar esses logs e criar visualizações para monitoramento de aplicativos e infraestrutura, solução de problemas mais rápida, análise de segurança e muito mais.

- Beats : são carregadores de dados leves, que você instala em seus servidores para capturar todos os tipos de dados operacionais (pense em logs, métricas ou dados de pacotes de rede). Os Beats enviam os dados operacionais para o Elasticsearch, diretamente ou via Logstash, para que possam ser visualizados com o Kibana.

- Elastalert : é uma estrutura simples para alertar sobre anomalias, picos ou outros padrões de interesse de dados no Elasticsearch. Ele funciona combinando o Elasticsearch com dois tipos de componentes, tipos de regras e alertas. O Elasticsearch é consultado periodicamente e os dados são passados para o tipo de regra, que determina quando uma correspondência é encontrada. Quando ocorre uma correspondência, ela é fornecida a um ou mais alertas, que agem com base na correspondência.

- Suricata : é um mecanismo de detecção de ameaças de código aberto desenvolvido pela Open Information Security Foundation (OISF). O Suricata pode atuar como um sistema de detecção de intrusão (IDS) e sistema de prevenção de intrusão (IPS) ou ser usado para monitoramento de segurança de rede.

- Distribuição aberta para Elasticsearch:

• Recurso de alerta : fornece um sistema de monitoramento e alerta de eventos poderoso e fácil de usar, permitindo que você monitore seus dados e envie notificações automaticamente para seus stakeholders. Com uma interface Kibana intuitiva e uma API poderosa, é fácil configurar e gerenciar alertas.
• Recurso de segurança : inclui várias opções de autenticação (como Active Directory e OpenID), criptografia em andamento, controle de acesso refinado, registro de auditoria detalhado, recursos avançados de conformidade e muito mais.

- Praeco: é uma ferramenta de alerta para Elasticsearch — uma GUI para ElastAlert , usando a API ElastAlert . Com o Praeco você pode criar alertas de forma interativa para seus dados do Elasticsearch usando um construtor de consultas, enviar notificações para Slack, Email, Telegram ou um endpoint HTTP POST, além de muitos outros recursos fornecidos por esta ferramenta.

- Wazuh: é uma plataforma gratuita e de código aberto para detecção de ameaças, monitoramento de segurança, resposta a incidentes e conformidade regulatória. Ele pode ser usado para monitorar terminais, serviços em nuvem e contêineres e para agregar e analisar dados de fontes externas. Os agentes do Wazuh verificam os sistemas monitorados em busca de malware, rootkits e anomalias suspeitas. Eles podem detectar arquivos ocultos, processos ocultos ou ouvintes de rede não registrados, bem como inconsistências nas respostas de chamadas do sistema.

- Nessus Essentials : é um scanner de vulnerabilidade gratuito que fornece um ponto de entrada para avaliação de vulnerabilidade. Ele permite que você verifique seu ambiente com as mesmas avaliações detalhadas e de alta velocidade e conveniência de verificação sem agente.

- TheHive: TheHive se descreve como “uma plataforma de resposta a incidentes de segurança escalável, de código aberto e gratuita, projetada para facilitar a vida de qualquer profissional de segurança da informação que lida com incidentes de segurança que precisam ser investigados e resolvidos rapidamente”. Em essência, é um gerenciamento de alertas plataforma para gerenciar um alerta de incidente desde a criação até o encerramento.

-Cortex: Cortex é outro produto de software da mesma equipe do TheHive e complementa esse produto com enriquecimento de dados. O Cortex permite o uso de “analisadores” para obter informações adicionais sobre os indicadores já presentes em seus logs. Ele permite a consulta de serviços de terceiros em indicadores como IP, URL e hash de arquivo e marcará o alerta com essas informações adicionais. Não há necessidade de enviar um hash de arquivo manualmente para o VirusTotal quando um analisador fará isso automaticamente para você e marcará o alerta com os resultados.

-MISP: A plataforma de compartilhamento e informações de malware (MISP) é uma plataforma de inteligência de ameaças para compartilhar, armazenar e correlacionar indicadores de comprometimento de ataques direcionados, inteligência de ameaças, informações sobre fraudes financeiras, etc. MISP é usado hoje em várias organizações para armazenar, compartilhar conhecimento, colaborar em indicadores de segurança cibernética, análise de malware para garantir uma melhor proteção de segurança.