Zerum | Zerum MDR: Serviço Gerenciado de Detecção e Resposta a Incidentes

By Zerum Team

Criado:
07 abr, 2022
2 anos atrás
Data da última atualização: 07/12/2022

TAGS: Cibersegurança, Cybersecurity, Data Science, Inteligência Artificial, Managed Detection and Response, MDR, Segurança Cibernética, Serviço, Threat Detection, Threat Intelligence, Wire Data Analytics,

< Voltar para o blog

“Os serviços de MDR estão atendendo à necessidade de organizações que carecem de expertise e recursos internos em segurança cibernética e desejam expandir seus investimentos além das tecnologias de segurança preventivas para lidar com suas lacunas de detecção, resposta a incidentes e monitoramento 24/7”
Fonte: Gartner – Market Guide for Managed Detection and Response Services (junho de 2018)

Estruturar e manter um time dedicado a detecção e resposta a incidentes para combater a crescente evolução das ameaças e a rápida expansão da superfície de ataque, tem sido um desafio cada vez maior para diversas organizações. Estes desafios, juntamente com as predições e expectativas de crescimento do crime cibernético, criam um risco ainda maior para os negócios.

Na maioria dos casos, a aquisição de ferramentas específicas e a contratação de profissionais especializados em Detecção e Respostas a Incidentes + Análise Forense torna esse tipo de operação custosa para algumas empresas, que é um dos maiores desafios e gaps de cibersegurança.

A solução ideal para estes problemas é o Zerum MDR (Managed Detection and Response): um serviço avançado que combina a expertise humana, tecnologia de ponta e processos bem definidos de cibersegurança para detectar rapidamente as ameaças e ataques cibernéticos, desde as etapas iniciais. Com o foco em fornecer monitoramento contínuo 24×7, Threat Hunting proativo, suporte eficaz na resposta a incidentes, orientação e recomendações de segurança personalizadas para prevenir, mitigar e interromper atividades maliciosas. Através do serviço é possível reduzir consideravelmente o tempo de indisponibilidade e permanência do agente malicioso de meses para horas.

Em complemento às operações de sustentação de cibersegurança – também conhecidos como Managed Security Services (MSS) -, o Zerum MDR se destaca por ser um serviço específico de detecção e resposta a incidentes contínuo e proativo, que oferece diversos recursos contemplados nas fases de Coleta de Dados, Monitoração, Detecção, Análise, Resposta e Forense, tal como representado a seguir.

**Zerum MDR**: sua organização um passo a frente para identificar, neutralizar e remediar ataques de forma rápida, consistente e confiável.

Detalhamento das etapas do Zerum MDR

Coleta de dados

A Coleta de Dados é fundamental para as demais etapas do Zerum MDR, pois é onde se coloca efetivamente a ciência de dados à serviço da segurança cibernética. Muitas soluções de cibersegurança coletam e centralizam dados apenas parcialmente, não possuindo informações suficientes para realizar análises e investigações mais aprofundadas.

“A crescente sofisticação das ameaças exige que as organizações usem várias fontes de dados para detecção e resposta a ameaças. As tecnologias baseadas em rede permitem que os profissionais técnicos obtenham visibilidade rápida das ameaças em todo o ambiente sem o uso de agentes.”
(Fonte: Gartner – Technical Professional Advice: Applying Network – Centric Approaches for Threat Detection and Response, p. 1)

Um diferencial do serviço nesta etapa é contar também com o Zerum Lynx, uma ferramenta de NDR (Network Detection and Response) com recursos avançados de Inteligência Artificial (IA) e Threat Intelligence, que proporciona visibilidade total sobre o ambiente, coletando indícios de ataques e evidências de crimes cibernéticos. Através desta etapa é possível capturar dados em tempo real e armazenar – em data lake de cibersegurança – informações completas das comunicações, fluxos, sessões de navegação, eventos de rede e pacotes completos, de forma efetiva e não intrusiva.

Os principais BENEFÍCIOS da etapa de COLETA DE DADOS:
– Coleta e armazenamento seguro de dados e evidências
– Visibilidade inteligente de todos os dispositivos e usuários da rede
– Fonte de dados para insights de segurança e investigações profundas

A etapa de COLETA DE DADOS contempla diversos RECURSOS, como:
– Coleta do tráfego de rede em tempo real
– Fonte de dados externas
– Parse de protocolos em camada de aplicação (L7)
– Armazenamento de PCAP
– Appliances físicos de alta capacidade
– Appliances virtuais para VMWare, AWS, Azure e Google Cloud

Monitoração

Os ciberataques estão se tornando cada vez mais complexos, com técnicas e recursos sofisticados. Assim, para combate-los, deve-se considerar não apenas o investimento em medidas preventivas, mas também a adoção de recursos de monitoramento avançados para obter conhecimento situacional, com telemetria do ambiente de forma contínua.

A etapa de Monitoração do Zerum MDR adiciona uma camada extra de inteligência ao serviço. No mesmo instante em que os dados são coletados das diferentes fontes – conforme descrito na etapa anterior -, este processo é aplicado em tempo real a fim de identificar os indícios de ataque e possíveis ameaças, gerando alertas para análise e investigação.

Um diferencial do serviço nesta etapa é a identificação automática de anomalias com Inteligência Artificial (IA) somada à expertise humana de nossos analistas, visando analisar todos os alertas e eventos. Com profissionais altamente capacitados e processos bem definidos, realizamos análises aprofundadas para detectar e responder a ataques avançados. A monitoração proativa garante tranquilidade e evita que incidentes triviais se tornem grandes crises.

Os principais BENEFÍCIOS da etapa de MONITORAÇÃO:
– Ampla visibilidade da infraestrutura (híbrida e/ou multi-cloud)
– Aprendizado do comportamento de dispositivos e usuários aplicando Inteligência Artificial (IA)
– Monitoração contínua do ambiente para detectar ameaças rapidamente e fortalecer a resposta

A etapa de MONITORAÇÃO contempla diversos RECURSOS, como:
– Monitoração 24×7 contínua e inteligente
– Alertas e Dashboards automatizados e customizáveis
– Triagem/Classificação de alertas
– Análises periódicas de vulnerabilidades
– Visibilidade sobre todo o tráfego de rede
– Descoberta automática de endpoints, servidores, IoT, IloT, IoMT e outros dispositivos de rede sem a instalação de agentes

Detecção

As etapas anteriores do Zerum MDR – Coleta de dados e Monitoração -, deixam claro que sem visibilidade é impossível detectar ameaças ou manter ambientes seguros de forma eficaz. Estas etapas são fundamentais para que a Detecção seja eficiente e bem sucedida dentro do processo. Afinal, não é possível detectar aquilo que não se vê.

Na etapa de Detecção, o Zerum MDR alia especialistas em Threat Hunting com Inteligência Artificial (IA), automação e Threat Intelligence que proporcionam melhor compreensão do cenário, reduzindo consideravelmente ruídos e falsos positivos.

Atuamos de forma inteligente e automatizada utilizando ampla variedade de playbooks de detecção pré-estabelecidos e customizados de acordo com as regras específicas, relacionadas ao ambiente da organização. Aplicamos recursos de detecção de ameaças e atividades maliciosas utilizando fontes globais de Threat Intelligence, UEBA, modelos de Machine Learning e outras tecnologias de IA que aprendem e validam os comportamentos de máquinas, sistemas e usuários

Além dos recursos tecnológicos automatizados e inteligentes de detecção, um grande destaque nesta etapa é contar com especialistas em segurança cibernética que conduzem buscas proativas e contínuas por ameaças no ambiente que não causaram alertas de segurança, os chamados Threat Hunters. Estes profissionais adquirem grande conhecimento situacional sobre o ambiente que monitoram. É a inteligência humana em conjunto com IA que garantirão a melhoria da postura de cibersegurança da organização.

Os principais BENEFÍCIOS da etapa de DETECÇÃO:
– Redução de ruídos gerados pelo grande volume de alertas e ineficiências operacionais
– Detecção de malwares avançados, comportamento suspeito e comunicações invisíveis às defesas padrão
– Utilização de ferramentas avançadas para detecção de ameaças e ataques em tempo real

A etapa de DETECÇÃO contempla diversos RECURSOS, como:
– Playbooks pré-estabelecidos e customizados para o ambiente
– Threat Hunting proativo
– Fonte global de Threat Intelligence
– Network Detection & Response (NDR) – Zerum Lynx
– Cyber IA e Modelos de ML
– Detecções por UEBA e DBBA
– Priorização e Triagem de riscos
– Relatórios de Detecção

Análise

Quando se identifica algo suspeito, é necessário certificar que realmente se trata de uma ameaça ou incidente. A maior característica do Zerum MDR na fase de Análise é a utilização de tecnologias avançadas, profissionais capacitados e processos bem definidos, que permitem análises e investigações apuradas em relação às detecções. Aqui é possível responder perguntas como:
– O que aconteceu?
– Quando aconteceu?
– Como aconteceu?
– Qual a causa raiz e os impactos do ocorrido?

O amplo volume de informações, as distintas fontes de dados e o conhecimento situacional, são cruciais para garantir eficiência e prontidão cibernética. Nesta etapa, o papel do analista é “colar as peças”, e para isso é fundamental contar com todos os recursos necessários, tais como: plataforma robusta de security analytics (Zerum Lynx), correlação de múltiplas fontes de dados, aplicação de contexto, utilização de dados dados históricos para realizar análises retrospectivas e forense.

Em busca de agregar previsibilidade, os especialistas de segurança não se limitam apenas em analisar os alertas e as detecções. Atuando de forma proativa, realizamos análises periódicas a fim de ampliar o conhecimento situacional do ambiente e gerar relatórios contendo as vulnerabilidades e ameaças encontradas.

Os principais BENEFÍCIOS da etapa de ANÁLISE:
– Correlação de diversas fontes de dados e aplicação de contexto nas análises
– Análise periódica de vulnerabilidades e conhecimento situacional dos ambientes
– Uso de tecnologias e ferramentas avançadas que permitem realizar análises e investigações mais ricas e aprofundadas

A etapa de ANÁLISE contempla diversos RECURSOS, como:
– Plataforma de Security Analytics
– Análises de risco e impacto
– Redução do Dwell Time (tempo de permanência do agente malicioso)
– Correlação de dados e contexto
– Análise retrospectiva e da causa raiz
– Relatórios de análises periódicas de vulnerabilidades e ameaças

Resposta

Saber o que fazer e implementar medidas em curto prazo, são componentes fundamentais para uma boa resposta a incidentes.

Uma vez que se tem conhecimento apurado de incidentes ou potenciais ameaças, é possível tomar medidas pontuais e direcionadas para neutralizá-las. Nesta etapa, o Zerum MDR dispõe de recursos que permitem automatizar ações de resposta para conter e reduzir os impactos de forma rápida, tais como: execução de playbooks e orquestração integrada com ativos de terceiros.

Quando se trata de cenários mais complexos, o contato direto com os especialistas de segurança é primordial. Nestas situações, contamos com a expertise humana de nossos especialistas para conduzir investigações metódicas e precisas, visando documentar – reports detalhados – as ações de respostas e as recomendações adicionais para melhorar a postura geral de segurança da organização.

O valioso conhecimento e experiência acumulada em cibersegurança são extremamente úteis para prevenir e mitigar futuros incidentes, agregando proatividade ao serviço. Através das “lições aprendidas” é importante refletir sobre recursos, processos e controles de segurança, buscando o aprimoramento dos mesmos. A compreensão situacional agregada ao Threat Intelligence levarão às respostas rápidas e precisas que sua organização necessita em caso de ataques.

Os principais BENEFÍCIOS da etapa de RESPOSTA:
– Plataforma centralizada que permite orquestrar ações de respostas pontuais de forma automatizada
– Abordagem colaborativa entre sua equipe de cibersegurança e os analistas especializados da Zerum
– Orientação de ações de mitigação e prevenção através das recomendações descritas nos relatórios de análise dos incidentes

A etapa de RESPOSTA contempla diversos RECURSOS, como:
– Execução de Playbooks de remediação
– Customização de Playbooks específicos
– Security Orchestration Automation and Response (SOAR)
– Ações de contenção integradas com ativos de terceiros
– Recomendações de especialistas para interromper, mitigar e prevenir ataques

Forense

“Os serviços de forense digital e resposta a incidentes referem-se a um conjunto de serviços consultivos que ajudam os clientes a lidar com um evento de crise (como uma violação de segurança, investigação de incidente de segurança ou de TI, e resposta forense e triagem)”
(Fonte: Gartner – Market Guide for Digital Forensics and Incident Response Services, p. 2)

Como apresentado nas etapas anteriores, o serviço Zerum MDR tem como objetivo principal detectar e responder a ameaças e incidentes cibernéticos de forma inteligente e proativa. Dentre as seis etapas que compõem o serviço, vamos destacar agora a etapa de análise forense do tráfego de rede.

Uma etapa que vai além dos MDR’s tracionais, o ponto chave nesta fase é que tem-se à disposição informações cruciais para investigar o passo-a-passo do incidente e compilar relatórios detalhados, compreendendo:
– Autoria: através da identificação do agente malicioso
– Dinâmica: apresentando o detalhamento completo das ações executadas e todos os fatos relacionados
– Materialidade: preservar as evidências, com manutenção da cadeia de custódia, a fim de garantir a materialidade dos fatos

Além de serem extremamente úteis para as equipes de segurança da informação, essa prática é exigida pelas entidades nacionais de proteção de dados e segurança pública para fins administrativos e criminais. Outra vantagem de se ter o laudo forense é a redução de custos com perícia, seguros cibernéticos, multas e penalidades que podem ser aplicadas às organizações que não dispõem deste artifício.

Os principais BENEFÍCIOS da etapa de FORENSE:
– Coleta e armazenamento de evidências e artefatos que enriquecem a rastreabilidade do incidente
– Especialistas em forense de rede para realizar investigações minuciosas
– Elaboração de relatórios forense contendo toda a cadeia de custódia

A etapa de FORENSE contempla diversos RECURSOS, como:
– Análise passo-a-passo do incidente ou ataque
– Coleta e armazenamento seguro das evidências e artefatos
– Manutenção da cadeia de custódia
– Identificação do agente malicioso
– Compilação de relatórios forenses detalhados

Adotar serviços gerenciados de detecção e resposta a incidentes, possibilita que as organizações fortaleçam as camadas de proteção e garantam que as equipes de operações se concentrem nas tarefas que correspondem ao devido conjunto de atividades, mantendo o equilíbrio de funções e habilidades entre as equipes. Além disso, agregam um segundo conjunto de olhos monitorando seu ambiente para assegurar que nada passe despercebido, o que tem sido considerado uma boa prática até mesmo para os centros de operações de segurança mais maduros.

Este conteúdo foi útil para você? Compartilhe em suas redes sociais:

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

📝 Para saber mais, entre em contato através do formulário abaixo.

Zerum MDR: Serviço Gerenciado de Detecção e Resposta a Incidentes

Zerum MDR: Serviço Gerenciado de Detecção e Resposta a Incidentes

Detalhamento das etapas do Zerum MDR

Sobre a Zerum

Related articles

Apagão cibernético: a importância do NDR sem uso de agentes.

Guia Rápido: O que é CDR – Cloud Detection and Response?

SOC e NOC: Entenda as diferenças e como se complementam