N.World
Estrutura da NIST

Bosonit TechXperience | "NIST Framework, the framework for cybersecurity" de Manuel Montealegre

Em nossa quinta TechXperienceManuel Montealegre, Chefe da CybersecurityA estrutura NIST foi o orador principal, e ele explicou a estrutura de ação a ser seguida em questões de cibersegurança e entrou nos aspectos mais relevantes a serem levados em conta ao executá-la. 

Quem é Manuel Montealegre?

Eu sou Manuel MontealegreEu tenho 49 anos de idade. Enquanto trabalhava como jovem, estudei engenharia informática. Em um de meus empregos, durante minha estada na Inglaterra, tive a possibilidade de estudar um mestrado em gestão de TI no início do ano 2000.  

Tenho mais de 25 anos de experiência na área de TI, ligados à segurança cibernética nos últimos oito ou nove anos. Meu perfil tem sido desenvolvido em empresas relacionadas à gestão de projetos TIC, com serviços e projetos... E a partir daí, cada vez mais, orientado para pré-vendas e desenvolvimento de negócios em empresas. ?jogador puro? de ciber-segurança 

Estrutura NIST: Identificar, Proteger, Detectar, Responder, Recuperar

A estrutura NIST é um padrão norte-americano baseado no estrutura 800 onde estão incluídas as diferentes fases de cibersegurança, serviços e equipamentos para cobrir todo o ciclo. Isto é complicado de ter em sua totalidade, já que as quatro primeiras fases estão normalmente incluídas.  

Identificar: serviços de consultoria. CID e CITAD

Na parte de identificação, devemos identificar quais são nossos ativos e realizar uma análise de risco para conhecer o nível de segurança cibernética que temos. Assim como as estratégias, planos e políticas que vamos seguir. 

Mas como realizamos essa identificação? Por meio das normas ISO 27001, ISO 22301, o Esquema Nacional de Segurança, o Regulamento Geral de Proteção de Dados em nível europeu e, derivado de tudo isso, através da figura do Delegado de Proteção de Dados.  

Nesta área, a educação e a conscientização devem ser levadas em conta. O elo mais fraco é geralmente o usuário, através de quem ocorre a maioria dos ataques. Portanto, se quisermos ter um sistema de segurança da informação maduro, os usuários devem ter uma clara consciência de seu papel. Eles devem estar cientes de que têm um papel fundamental a desempenhar na segurança cibernética.   

2. Proteger: Infra-estrutura de segurança

Hoje, dentro da estrutura do NIST, o perímetro está se tornando mais permeável e mais difuso. O mais importante a entender é que devemos ter políticas muito importantes que mantenham essa segurança. Como?  

Primeiro, temos que considerar o que acontece quando uma pessoa está ausente. Usando uma VPN para acesso remoto e protegendo a rede de uma maneira poderosa com ?firewalls? e IPS/IDS. Garantindo a segurança no ?ponto final? com sistemas anti-spam ou anti-vírus que protegem contra malware por meio de um hash ou de uma assinatura em um banco de dados anti-vírus. 

Outros aspectos de proteção incluem:  

  • Identidade é a capacidade de se conectar de qualquer lugar com credenciais claras para autenticar essa conexão e dar permissões de acesso às informações. 
  • Segurança na aplicação: O firewall da próxima geração camada 7, WAFs... que fazem essa parte da segurança da aplicação.  
  • Segurança dos dados: O conceito de DLP, para fazer exatamente essa proteção, que a prevenção de vazamento de informações que no final produz violações e os responsáveis pela proteção de dados são os que sofrem com isso.  
  • Infra-estrutura industrial: Não apenas no lado da TI, mas também no lado do OT e do IoT, é muito importante. 
  • Confiança Zero: Muito importante. Confiança zero. Precisamos fornecer uma política restritiva de permissões. A autorização de permissão deve evoluir para atualizar progressivamente o acesso à informação.  
  • Nuvem: Nesta parte, os gerentes mais importantes de processamento de serviços na nuvem são Azure, Google e AWS que possuem todos os tipos de ferramentas e infra-estruturas IaaS, SaaS que também complicam o perímetro, e você tem que protegê-lo. Eles não estão mais apenas em On-premise mas agora eles também estão na nuvem e isso significa mais inconveniência para nós CISOSs.  
  • Implantação e configuração seguras (endurecimento): Não podemos deixar tudo em aberto. Devemos ter uma implementação correta e adequada da configuração das políticas de segurança da empresa.Estrutura da NIST

3. Detecção e resposta

Proteger é importante dentro da estrutura de uma estrutura NIST, mas saber como detectar uma ameaça é ainda mais importante. Há uma série de serviços como os serviços SOC, os serviços do Centro de Operações de Segurança no modelo ?como um serviço? ou como no próprio cliente SOC, ou Cliente SOC, que, através de uma ferramenta SIEM (log correlators) nos dará informações de todas as fontes que estamos coletando, para que possamos ver qual é a possível fonte de ameaça e como essa ameaça está sendo produzida.  

O que facilita a parte de inteligência da ameaça (o inteligência de ameaças para detecção)? Pode envolver a inserção de IOC's ou IOA's, que são indicadores de compromisso e ataque que obtemos através de fontes (Intelligence Feeds) para podermos inserir uma série de regras, IP's, domínios maliciosos, etc., de modo que, se inserirmos em nosso SIEM, quando uma dessas regras for acionada, seremos capazes de detectar o que está acontecendo.  

  • Gerenciamento de vulnerabilidades (escaneamento): Uma varredura de vulnerabilidade é realizada e o cliente é informado em uma auditoria do status e do nível de prioridade. Para mitigar e responder.  
  • DFIR: é a resposta a incidentes críticos. A ameaça é confirmada, há um ataque e a informação é perdida. 
  • Caça de Ameaças: A parte que ajuda o pessoal do SOC a estar em contínua evolução de casos de uso relativos a fraquezas que possamos ter em nossas regras de detecção para melhorá-las com base em hipóteses que levantamos de novos ataques.  
  • Engano: Um serviço para capturar os atacantes a fim de proteger nossos dados e desviá-los para outras informações que podem até estar contaminadas. 
  • EDRaaS: Serviço avançado do antivírus tradicional. Há uma equipe dedicada de resposta baseada em inteligência que tem a capacidade de contenção até que uma resposta seja alcançada.  
  • Conformidade: informar as instituições envolvidas quando houver uma quebra de segurança.  

4. Testar, adaptar e prevenir

É aqui que entram em jogo os hackers, os equipe azulo equipe vermelha e o equipe roxa. Esta seção ajuda as empresas a proteger suas informações mais críticas, prevenindo possíveis ataques através dos relatórios feitos pelo pentesting. Por outro lado, a gestão da vulnerabilidade é usada para encontrar fraquezas, explorá-las e ver suas conseqüências; para saber qual é nossa resiliência, e acabar com um relatório de mitigação.  

Bosonit

Bosonit

Técnica e Dados

Você pode estar interessado em

Dê o salto
tecnológico.

Entre em contato conosco.