Aprendizado e descoberta 5min de Leitura - 23 de maio de 2022

O que é um Centro de operações de segurança SOC?

SOC

This post is also available in: Português Español

Já está mais do que claro que uma empresa não pode ficar sem um planejamento de segurança digital, algo que envolve pessoas, processos e tecnologias. No entanto, nem sempre é viável montar uma equipe interna de segurança digital, dedicada ao monitoramento da estrutura, tanto por questões orçamentárias quanto por prioridades de demanda. Uma solução viável nesse caso é procurar uma parceria com um SOC, sigla inglesa para Centro de Operações de Segurança. Em suma, um SOC é um time – que pode ser terceirizado ou não – totalmente dedicado a analisar o fluxo de tráfego e monitorar ameaças e ataques.

Assim, é responsável por monitorar a postura de segurança da empresa e quaisquer ameaças de segurança cibernética. O SOC ajuda a proteger todas as áreas da infraestrutura de TI da organização, incluindo redes, softwares e dados armazenados.

Para isso, funciona sem interrupções, em um esquema 24 x 7, para rastrear eventos registrados no sistema da empresa e decidir como tais ocorrências serão tratadas. São geralmente apoiados por uma equipe de analistas de segurança, engenheiros e gestores que trabalham para responder imediatamente às ameaças de segurança.

O centro de operações de segurança também busca continuamente maneiras de melhorar a postura de defesa da organização, bem como prevenir futuros ataques cibernéticos.

Vantagens do SOC

A primeira delas é o custo-benefício. Para muitas empresas, o salário dos funcionários é o maior custo em seu orçamento. Empregar uma equipe inteira de profissionais de segurança cibernética exige um enorme investimento inicial e contínuo. Ao adotar o modelo SOC terceirizado, os gestores estão pagando por um serviço com termos claros e responsabilidades bem definidas.

Isso leva a um menor tempo de inatividade. Quando uma estrutura tecnológica crítica fica indisponível, geralmente significa perda de faturamento ou um impacto negativo na reputação de uma empresa. O uso de um SOC pode minimizar esses efeitos e diminuir o tempo de resolução de incidentes.

Até mesmo as ferramentas de monitoramento de tempo de atividade mais confiáveis não são perfeitas. Portanto, ter um centro de operações de segurança cria uma camada adicional de segurança. As equipes internas já possuem tantas prioridades, que pode ser benéfico terceirizar as atividades de segurança cibernética para um SOC.

Nesse contexto, há o benefício de manter intacta a confiança que os clientes já possuem na empresa. Afinal, uma única violação de dados pode fazer com que um cliente pense duas vezes antes de continuar com uma empresa. Com tão pouco espaço para erros, colocar um centro de operações de segurança para trabalhar sistemas de monitoramento 24 horas por dia proporciona uma sensação de confiança a todos aqueles que dependem da rede e dos dados.

Responsabilidades

Um SOC opera como um setor centralizado em uma empresa, com pessoas utilizando ferramentas para monitorar continuamente a postura de segurança. A meta é detectar e prevenir malwares suspeitos e incidentes de segurança cibernética. Se uma vulnerabilidade for encontrada ou um incidente for descoberto, o SOC entrará em contato com a equipe local para responder ao problema e investigar a causa raiz.

Assim, existe um conjunto central de funções operacionais que um SOC deve executar para agregar valor a uma organização. Os SOCs individuais realizam várias atividades e funções internamente, independente do modelo sob o qual escolhem operar.

A primeira delas é a pesquisa de ativos. Para que um SOC ajude uma empresa a se manter segura, eles devem ter um inventário completo de quais recursos precisam proteger. Caso contrário, podem não ser capazes de defender todo o escopo da rede.

Uma pesquisa de ativos deve identificar todos os servidores, roteadores, firewalls sob controle da empresa, bem como quaisquer outras ferramentas de segurança cibernética em uso ativo.

O SOC deve focar-se também na coleta de logs. Os dados são o item mais importante para um SOC operar corretamente, e os logs servem como a principal fonte de informações sobre a atividade da rede. Deve-se então configurar feeds diretos de sistemas corporativos para que os dados sejam coletados em tempo real.

Por mais apurado que seja o olhar humano, não é possível lidar com uma quantidade tão grande de informações. É por isso que as ferramentas de varredura de logs alimentadas por algoritmos de inteligência artificial são tão valiosas para os SOCs.

Outro ponto de atenção para o SOC é a manutenção preventiva. Na melhor das hipóteses, o SOC pode impedir a ocorrência de ataques cibernéticos sendo pró-ativo em seus processos. Isso inclui instalar patches de segurança e ajustar as políticas de firewall regularmente. Como alguns ataques cibernéticos começam como ameaças internas, um SOC também deve procurar riscos dentro da empresa.

Nesse contexto, para estar apto a responder a um incidente de segurança cibernética, o SOC deve estar atento às suas práticas de monitoramento. Alguns minutos podem ser a diferença entre bloquear um ataque e deixá-lo derrubar um sistema ou site inteiro. As ferramentas SOC executam varreduras em toda a rede da empresa para identificar ameaças potenciais e outras atividades suspeitas.

É aí que entra o gerenciamento de alertas. Sistemas automatizados são ótimos para encontrar padrões e seguir scripts. Mas o elemento humano de um SOC prova seu valor quando se trata de analisar alertas automatizados e classificá-los com base em sua gravidade e prioridade. A equipe do SOC deve saber quais respostas tomar e como verificar se um alerta é legítimo ou não.

Assim, depois que um incidente ocorre e é resolvido, o trabalho do SOC está apenas começando. Especialistas em segurança cibernética analisarão a causa raiz do problema e diagnosticarão por que ele ocorreu. Isso alimenta um processo de melhoria contínua, com ferramentas e regras de segurança sendo atualizadas para evitar ocorrências futuras do mesmo incidente.

Quem é quem no SOC

  • Gerentes:

são os líderes na empresa. Suas responsabilidades incluem contratação/demissão, orçamento e definição de prioridades. Eles normalmente se reportam diretamente ao nível executivo, especialmente o diretor de segurança da informação – ou ao proprietário da empresa, em caso de terceirização.

  • Auditor de Conformidade:

desempenha um papel fundamental na padronização de processos dentro de um SOC. Eles funcionam essencialmente como o departamento de controle de qualidade, garantindo que os membros do SOC estejam seguindo os protocolos e aderindo aos regulamentos do governo ou do setor.

  • Atendentes de Incidentes

: são as pessoas que vão reagir aos alertas o mais rápido possível. Eles usam uma ampla variedade de serviços de monitoramento para classificar a gravidade dos alertas e, quando um deles é considerado um problema de grande escala, envolvem-se com a empresa afetada para iniciar os esforços de recuperação.

  • Analistas:

são responsáveis por revisar incidentes passados e determinar a causa raiz por trás deles. Eles normalmente têm muitos anos de experiência em segurança cibernética, e são essenciais para entender os aspectos técnicos por trás das violações e como evitá-las.

  • “Caçadores de ameaças”:

são os membros da equipe que executam testes em uma rede para identificar áreas de fraqueza. O objetivo é encontrar vulnerabilidades antes que um cibercriminoso possa explorá-las com um ataque, possibilitando a melhoria da segurança geral dos dados como um todo.

Modelos de SOC

  • SOC dedicado ou interno:

nessa modalidade, a empresa configura sua própria equipe de segurança cibernética. Quem decidir ter seu próprio SOC dedicado, precisará de pessoal e experiência para cumprir todas as funções, desde o gerente até o analista. É mais comum em empresas de grande porte, com uma maior quantidade de demandas de segurança.

  • SOC virtual:

a equipe de segurança não possui uma instalação dedicada e geralmente trabalha remotamente. Sob um modelo de SOC virtual, a função de gerente de SOC se torna ainda mais crítica em termos de coordenação de indivíduos em vários locais.

  • SOC global ou de comando:

trata-se de um grupo de alto nível que supervisiona SOCs menores em uma grande região. Multinacionais distribuídas globalmente costumam utilizar o modelo SOC global, pois permite implementar iniciativas estratégicas e padronizar procedimentos até os níveis de caçadores de ameaças e analistas.

  • SOC cogerenciado:

aqui, a TI interna da empresa está intimamente ligada a um fornecedor terceirizado para gerenciar as necessidades de segurança cibernética em conjunto. É um dos modelos mais econômicos, pois não é necessário empregar todas as funções e poderá trabalhar com o auditor de conformidade do seu fornecedor para garantir os procedimentos adequados.

This post is also available in: Português Español