This post is also available in: Português
Os porquês de se criar um – ou contratar – um Centro de Operações de Segurança (SOC, na sigla em inglês) são os mais variados possíveis, e remontam ao próprio conceito do termo. Sua função é monitorar, detectar, investigar e responder a ameaças cibernéticas 24 horas por dia, sem qualquer intervalo.
Como componente de implementação da estrutura geral de segurança cibernética de uma empresa, as equipes de operações de segurança atuam como ponto central de colaboração em esforços coordenados para monitorar, avaliar e se defender contra invasores que vêm da internet. Assim, o SOC geralmente é liderado por um gerente, e pode incluir respondentes a incidentes, analistas de SOC (níveis 1, 2 e 3), caçadores de ameaças e gerente(s) de resposta a incidentes. Nesse contexto, selecionamos 10 motivos que podem inspirar os gestores a aderir ao SOC, seja terceirizado ou in company.
1. Defesa dos recursos
O SOC é responsável por dois tipos de ativos: os vários dispositivos, processos e aplicativos que estão encarregados de proteger e as ferramentas defensivas à sua disposição para ajudar a garantir essa proteção. Dessa maneira, é importante ressaltar que o SOC não pode proteger dispositivos e dados que eles não podem ver. Sem visibilidade e controle do dispositivo para a nuvem, é provável que haja pontos cegos na postura de segurança da rede que podem ser encontrados e explorados por crackers.
Portanto, SOC obtém uma visão completa do cenário de ameaças dos negócios, incluindo não apenas os vários tipos de endpoints, servidores e softwares locais, mas também serviços de terceiros e o tráfego que flui entre esses ativos.
O SOC também tem um entendimento completo de todas as ferramentas de segurança cibernética disponíveis e de todos os fluxos de trabalho. Isso aumenta a agilidade e permite que o SOC funcione com eficiência máxima.
2. Manutenção Preventiva
Mesmo os processos de resposta mais bem equipados e ágeis não são páreo para evitar que alguns problemas ocorram. Para ajudar a manter os invasores afastados, o SOC implementa medidas preventivas, que podem ser divididas em duas categorias principais.
A primeira delas é a Preparação. Os membros da equipe devem se manter informados sobre as mais recentes inovações de segurança, as últimas tendências em crimes cibernéticos e o desenvolvimento de novas ameaças. Essa pesquisa pode ajudar a criar um roteiro de segurança que vai orientar os esforços de segurança cibernética da empresa no futuro, bem como um plano de recuperação de desastres – que servirá como guia quando um cenário negativo chegar.
Já a etapa de manutenção inclui todas as ações tomadas para dificultar os ataques, incluindo a manutenção e atualização regulares dos sistemas existentes; atualização de políticas de firewall; vulnerabilidades de correção; e listas brancas, listas negras e aplicativos de segurança.
3. Monitoramento pró-ativo constante
As ferramentas usadas pelo SOC verificam a rede 24 horas por dia, 7 dias por semana, para sinalizar quaisquer anormalidades ou atividades suspeitas. Monitorar a rede 24 horas por dia permite que o SOC seja notificado imediatamente sobre ameaças emergentes, trazendo a chance de prevenir ou mitigar danos. As ferramentas de monitoramento podem incluir um SIEM ou um EDR, melhor ainda um SOAR ou um XDR, que pode usar a análise comportamental para “ensinar” aos sistemas a diferença entre as operações normais do cotidiano e o comportamento real de uma ameaça, minimizando a quantidade de triagem e análise que deve ser feita por seres humanos.
4. Classificação e gerenciamento de alertas
Quando as ferramentas de monitoramento emitem alertas, é responsabilidade do SOC examinar cada uma de perto, descartar quaisquer falsos positivos e determinar o quão agressivas são as ameaças reais – e o que elas podem ter como alvo. Isso permite que eles façam a triagem das ameaças emergentes de forma adequada, tratando primeiro os problemas mais urgentes.
5. Respostas a ameaças
Assim que um incidente é confirmado, o SOC é o primeiro a responder, realizando ações como desligar ou isolar endpoints, encerrar processos prejudiciais, excluir arquivos e muito mais. O objetivo é responder na medida do necessário, tendo o menor impacto possível na continuidade dos negócios.
6. Recuperação e Remediação
Após um incidente, o SOC trabalhará para restaurar os sistemas e recuperar quaisquer dados perdidos ou comprometidos. Isso pode incluir a limpeza e reinicialização de endpoints, reconfiguração de sistemas ou, no caso de ataques de ransomware, implantação de backups viáveis para contornar o problema. Se for bem-sucedida, essa tarefa faz com que a rede retorne ao estado em que estava antes do incidente.
7. Gerenciamento de Logs
O SOC é responsável por coletar, manter e revisar regularmente o log de todas as atividades e comunicações da rede para a empresa inteira. Esses dados ajudam a definir uma linha de base para a atividade de rede “normal”, permitindo revelar a existência de ameaças – e podem ainda ser usados para correção e análise após um incidente. Muitos SOCs usam um SIEM para agregar e correlacionar os feeds de dados de aplicativos, firewalls, sistemas operacionais e endpoints, todos os quais produzem seus próprios logs internos.
8. Investigação da causa raiz
Após um incidente, o SOC é responsável por descobrir exatamente o que aconteceu, quando, como e por quê. Durante essa investigação, o SOC usa dados de log e outras informações para rastrear o problema até sua origem, o que ajuda a evitar que problemas semelhantes ocorram no futuro.
9. Refinamento e Melhoria da Segurança
Os cibercriminosos estão constantemente incrementando suas ferramentas e táticas. Para ficar à frente deles, ou pelo menos no mesmo patamar, o SOC precisa implementar melhorias continuamente. Durante essa tarefa, os planos descritos no Roteiro de Segurança ganham vida, mas esse refinamento também pode incluir práticas como Red Team, Blue Team e Purple Team.
This post is also available in: Português