No cenário em constante evolução da segurança cibernética, as organizações enfrentam inúmeras ameaças que podem comprometer a infraestrutura em nuvem, os endpoints dos usuários, os dados confidenciais e as operações diárias. Para combater esses riscos de forma eficaz, as equipes de segurança devem se antecipar aos agentes mal-intencionados, refinando e implementando continuamente as detecções de ameaças. Um aspecto crucial desse processo é o controle da origem da detecção de ameaças, pois isso garante a integridade, a transparência e a colaboração das equipes de operações de segurança.
Anteriormente, dependíamos muito e depositávamos nossa fé em nosso conjunto corporativo de tecnologias de segurança, incorporando manualmente técnicas recentemente descobertas. No entanto, com a contínua descoberta de novas técnicas e a expansão do Estrutura MITRE ATT&CK, tornou-se evidente que uma abordagem mais sistemática e automatizada era necessária para nossa estratégia de detecção de ameaças. Foi então que mudamos nosso foco para o desenvolvimento de uma Estrutura baseada em CICD para o desenvolvimento de nossa detecção de ameaças e integração perfeita em nossas operações diárias.
Estabelecer um controle de origem, também conhecido como controle de versão, é um sistema que rastreia alterações em arquivos e permite a colaboração entre múltiplos colaboradores. Embora frequentemente associado ao desenvolvimento de software, seu valor vai além dos repositórios de código e desempenha um papel vital em operações de segurança.
Obtendo controle de origem para detecção de ameaças
A implementação do controle de origem para detecção de ameaças envolve um fluxo de alto nível e tempo dedicado ao desenvolvimento de integrações para sincronizar nossas tecnologias com sucesso e harmonia. Esse processo abrange várias etapas essenciais para um pipeline de detecção de controle de origem bem-sucedido.
Antes de mais nada, tudo começa com um Sistema de Controle de Origem (SCS). Escolha de um SCS adequado, como BitBucket ou GitLab, com base no que está em vigor na sua organização atualmente. Fatores adicionais precisarão ser considerados, como escalabilidade, fluxos de trabalho distribuídos e recursos de integração com as ferramentas de segurança existentes. Uma vez finalizado isso, é aqui que entra a criação de um repositório dedicado para armazenar as detecções de ameaças. Iniciativas adicionais de desenvolvimento de segurança podem surgir disso, como scripts de automação forense, políticas de nuvem ou manutenção de arquivos de configuração para o seu SIEM. Uma vez que as tecnologias estejam implementadas, o processo e o fluxo de trabalho precisam ser considerados para garantir que você e sua equipe estejam seguindo o padrão acordado por todos.
Uma convenção de nomenclatura estratégica para nomes de ramificações contribui significativamente para padronizar suas detecções de ameaças e reduzir a ambiguidade de uma detecção específica. Algumas detecções podem ser um sinal ou uma cadeia de eventos de alta fidelidade que ocorreu, justificando uma severidade maior. Ter padrões desde a criação, fusão e implantação de ramificações ajuda a minimizar erros e a manter o processo estabelecido que deve ser obtido no procedimento operacional padrão (POP). Isso, em última análise, estabelecerá uma base de rastreamento de alterações para verificar quem fez alterações em uma regra de detecção específica. Onde os membros da equipe podem colaborar para revisar, comentar e sugerir melhorias para fornecer melhores resultados ou aprimorar o desempenho da pesquisa. No entanto, nenhuma detecção pode ser implantada ou mesclada sem as devidas aprovações. É aqui que empregamos um processo de aprovação multipessoal. Esse processo estabelecido permite que engenheiros seniores deem a palavra final sobre se uma detecção é boa ou não. Isso garante que a linguagem adequada esteja sendo usada, reduz a probabilidade de regras redundantes que outros possam capturar e garante que ela tenha sido revisada por dois ou mais funcionários seniores para garantir que seja uma boa regra de detecção. Depois que o trabalho pesado for concluído, é hora de automatizar o processo de implantação para que não haja mais entradas manuais e reduza a quantidade de erros humanos.
A maioria dos SCS possui integrações internas para alcançar um fluxo de trabalho CICD. Esses fluxos de trabalho podem permitir que o processo de automação teste o formato e empacote o código a ser implantado de forma sistemática, garantindo que as alterações sejam validadas e sincronizadas harmoniosamente com as ferramentas de segurança. Após a aprovação das alterações na fase de teste e validação, utilizando pipelines CICD, podemos implantar ou atualizar regras automaticamente quando alterações forem identificadas no repositório.
Fluxo de Tecnologia
O caminho BigID implantou um pipeline de detecção de ameaças pode ser mostrado no diagrama abaixo.
Temos um acúmulo de ideias e hipóteses de detecção que queremos desenvolver com base em novidades do setor e outras tecnologias de código aberto, como Sigma. A partir daí, incorporamos essas ideias em nossos sprints para desenvolver, testar e implementar em nosso pipeline de detecção em constante crescimento, utilizando nossas ferramentas gerenciadas com controle de origem e os processos correspondentes. Isso garantirá que estejamos implementando nossas detecções confiáveis e validadas, que abrangem diversas técnicas adversárias. Uma vez implementadas em nosso sistema EDR, verificamos e garantimos constantemente que as detecções estejam a) funcionando e detectando para o que foram projetadas ou b) não disparando. Qualquer uma das opções oferece uma oportunidade de garantir que estamos implementando assinaturas eficazes para impedir a entrada de malware em nosso ambiente.

Lições Aprendidas
Da concepção à implementação, a maior dificuldade foi desenvolver o componente CICD do nosso pipeline de detecção de ameaças. Isso nos proporcionou uma oportunidade de aprendizado para nossa equipe sobre como desenvolver, conectar e sincronizar tecnologias de segurança utilizando as tecnologias CICD e, por fim, nos preparar para nossas iniciativas futuras.
Isso também abriu novas oportunidades e ideias para criar uma abordagem mais eficaz à nossa estratégia de detecção de ameaças. Estudaremos a criação de um laboratório de detecção de ameaças para abranger sistemas operacionais tradicionais, mas também contêineres e sistemas Kubernetes.
Estas são as medidas que a BigID tomou para melhorar o desempenho geral postura de segurança da organização e aumentar a quantidade de regras de detecção que podemos implementar em nossas tecnologias de segurança. Com isso, podemos operar e colaborar de forma mais eficaz e eficiente para garantir que os sistemas e redes BigID estejam seguros, do endpoint à nuvem.
Leia mais sobre este tópico em nossa postagem do blog em ddetecção e resposta de ata.