Revisando a Tríade de visibilidade SOC
O modelo se referiu a “visibilidade de segurança” como algo que é mais amplo do que apenas detecção ou investigação (resposta).
Em 2015 , enquanto trabalhava em um artigo do Gartner SOC , criei o conceito de “tríade nuclear do SOC”, que mais tarde se transformou em “tríade de visibilidade do SOC” ou mesmo “ tríade de visibilidade de segurança ”. A coisa então se tornou muito popular com alguns fornecedores de segurança , especialmente com a variedade NDR ( exemplo , exemplo ).
O modelo foi originalmente construído para demonstrar a visibilidade de segurança necessária por meio de três pilares:
O modelo se referiu a “visibilidade de segurança” como algo que é mais amplo do que apenas detecção ou investigação (resposta). Na verdade, pode-se detectar em qualquer um dos canais separadamente, ou rodar o conteúdo de detecção em uma plataforma que possui mais de um tipo de dados. O mesmo para investigações: ter todos os três pilares de visibilidade de segurança significa que você não perderá nada grande durante o processo de resposta a incidentes.
Mais tarde, tornou-se um gráfico sofisticado:
Fonte: Gartner, Applying Network-Centric Approaches for Threat Detection and Response , março de 2019, ID G00373460 (citado em conformidade com a política relevante para canais pessoais de mídia digital; não cite em blogs corporativos sem permissão)
(Aliás, um leitor astuto pode apontar que o SIEM pode coletar o netflow e o EDR pode olhar os logs, então há algum elemento menor de sobreposição. No entanto, ainda acho que os logs / dados de tráfego / dados de endpoint [além de logs, digamos observação de memória ao vivo, etc] são três pilares distintos de visibilidade)
Agora, algum tempo se passou (CINCO anos!) E eu queria explorar as limitações e mudanças do modelo, pois ele continuou a ser popular.
Em primeiro lugar, o modelo de “tríade de visibilidade de segurança” ainda é útil em 2020? Resposta curta: SIM . Se solicitado a fornecer boa visibilidade de segurança, ainda tentarei obter a combinação de dados de logs / tráfego / endpoint para meu programa de detecção e resposta.
Agora, vamos ver os detalhes.
Alguma mudança na ordem de prioridade? – Talvez a ordem tenha mudado um pouco: em 2015, eu sempre pegaria os logs primeiro , agora posso alcançar o EDR primeiro (daí o XDR ). Os dados do endpoint se tornaram mais úteis e mais relevantes. No entanto, definitivamente ainda há casos a serem procurados primeiro para NDR / NTA .
Algum ambiente notável onde o modelo não se aplica? – É certo que as coisas ainda estão se acomodando na nuvem, em IaaS, especificamente. Ainda assim, vejo que as pessoas confiam em logs (logs de sistema / aplicativo tradicionais e logs de plataforma de nuvem), sensores de endpoint e, às vezes, detecção de tráfego, portanto, o modelo se mantém em IaaS, mesmo com alguma alteração na ordem de prioridade e nas tecnologias usadas.
E quanto aos locais que usam muito SaaS e têm pouco data center ou presença de IaaS? – OK, aqui as coisas têm que mudar. Eu diria que o EDR (no ponto de uso, por exemplo, laptop etc.) torna-se mais relevante, os logs permanecem relevantes (vários logs de aplicativos SaaS e / ou logs CASB) enquanto o canal de rede diminui amplamente.
E os ambientes de nuvem com muitos serviços nativos da nuvem modernos, contêineres, sem servidor? – Bem, aqui (na minha opinião) as abordagens de rede e endpoint diminuem e / ou morrem, enquanto os logs se tornam a rota principal, mas com uma diferença …
E quanto à visibilidade da segurança do aplicativo? – Bem, que bom que você perguntou! Essa foi de fato uma das críticas mais eficazes ao meu modelo de tríade . “Mas Anton , e quanto à visibilidade da segurança do aplicativo?” Na verdade, uma das minhas pesquisas favoritas que não escrevi foi um artigo sobre monitoramento de segurança de aplicativos (minha promessa quebrada de escrever um está aqui ). Eu diria que essa crítica é mais forte hoje. E o surgimento de movimentos de observabilidade e projetos como OpenTelemetry indicam que talvez a visibilidade do aplicativo possa se tornar seu próprio 4º pilar … transformando a tríade em um quadrante (portanto, arruinando minha metáfora original da tríade nuclear). E então ainda háRASP que se encaixa aqui também (alguém usa RASP?)
E as coisas que não estão no modelo? – Bem, existem alguns controles auxiliares de detecção / visibilidade úteis, como engano . Eles estão lá, mas para mim o papel deles é auxiliar e não mudam o modelo, a meu ver.
Algo que eu perdi?
Para resumir, a tríade de visibilidade da segurança ainda está pronta , mas observe a evolução da visibilidade da segurança do aplicativo. Talvez em 2-3 anos, possamos falar sobre segurança quad visibilidade em vez disso …
