This post is also available in: Português
Um SoC (Centro de Operações de Segurança, em inglês) tem uma função bastante clara: monitorar, detectar, investigar e responder a ameaças cibernéticas 24 horas por dia, sem qualquer intervalo. Assim, conta com softwares e analistas de segurança dedicados a responder e prevenir incidentes de segurança digital.
Para realizar essas tarefas, o SoC processa volumes muito grandes de dados, analisados em tempo real. Um SoC, deve fornecer meios para que os membros relatem incidentes suspeitos de segurança, dando assistência no tratamento dos mesmos e atuando na disseminação de informações sobre incidentes para todas as partes interessadas.
Nesse contexto, pode-se perceber que implementar um SoC requer atenção e dedicação a diversos pontos. O projeto de um SoC deve respeitar as características e necessidades de cada empresa. Neste sentido, para algumas organizações, parte dessas necessidades decorre de requisitos regulatórios, como a LGPD, ou ainda, por exigências do mercado no qual a empresa está inserida.
Além das regras impostas pela legislação, a adoção é baseada em diversos estudos, que visam definir as regras de detecção. Elas são projetadas para cobrir riscos com base nos casos de uso mais prováveis, ou cenários mais específicos para cada contexto. Um SoC identifica, então, tudo aquilo que difere dos padrões pré-estabelecidos.
Para coletar os dados necessários para projetar as regras de detecção, é necessário fazer uma análise de risco, identificando em seguida os dados coletáveis e que cobrem os riscos identificados na análise.
Assim, construir um SoC requer uma organização complexa, porque permanece operacional 24 horas por dia, 7 dias por semana. É um contexto que levanta algumas questões em termos de recrutamento e organização do trabalho: sem analistas, não existe SoC.
É o que nos leva à fase de construção. Trata-se de uma etapa bastante técnica, pois lida com a configuração do SIEM. Em resumo, é um sistema que cria relatórios e alertas através de análises de eventos e dados de registros em tempo real. Assim, pode correlacionar eventos, identificar padrões, monitorar ameaças e responder a incidentes.
Para fazer isso, deve coletar muitos dados, levando à pergunta “quais dados devem ser coletados?”. Para responder a esse questionamento, basta lembrar os principais objetivos da fase de construção:
- – Configurar o SIEM.
- – Garantir a coleta de dados.
- – Extrair e normalizar dados.
- – Enriquecer os dados com informações contextuais.
- – Configurar as regras de correlação.
Os dados recolhidos provêm de fontes muito diversas, tais como:
- – Formulários.
- – Estações de trabalho e terminais do usuário (se a empresa usar uma solução de EDR).
- – Infraestrutura ou equipamentos de segurança (firewall, antivírus, etc.).
- – Servidores Windows e Linux, físicos, virtualizados, no local ou na nuvem.
- – Objetos conectados, sistemas industriais, etc.
Regras de detecção
A implementação de cenários de detecção é um processo complexo. Tais cenários são baseados na análise e correlação dos dados coletados.
Para determinar os cenários certos para a empresa, serão estabelecidas regras de infraestrutura e as chamadas regras de negócios. Essas regras devem evoluir de acordo com a realidade da organização e, em particular, o estado da ameaça, o monitoramento permanente dos logs, entre outros.
Assim, o SoC foi projetado para gerar alertas quando forem detectadas anomalias. No entanto, esses alertas podem ser falsos positivos. Para limitar ao máximo esses alertas fakes, é necessária uma definição precisa das ameaças e das ações que devem ser executadas.
Um SIEM mal configurado desperdiça muito tempo do analista. Portanto, é melhor dedicar o tempo que for necessário na configuração do SIEM no contexto da implantação do SoC.
Deve-se notar que a incorporação de inteligência de ameaças – também conhecida como Threat Intelligence – continua sendo uma solução eficaz para a fase de investigação em particular.
Gerenciamento da fase de operações do SOC
A implantação de um SOC em uma empresa precisa garantir que os alertas sejam relatados e as investigações sejam realizadas. É por isso que um SOC deve ser operado continuamente, o que requer recursos humanos.
São necessários analistas, operadores e especialistas para gerenciar e monitorar o SOC. É possível optar por uma equipe interna, ou contratar os serviços de uma equipe terceirizada.
Também existe a possibilidade de hospedar o SIEM dentro da infraestrutura da empresa. Entretanto, muitas organizações optam por fazer isso na nuvem. Seja como for, a gestão do pessoal responsável pelo SoC deve ser alvo de um estudo mais aprofundado, respeitando o quadro regulamentar, sobre os rodízios e plantões.
Além dos custos com recursos humanos, é necessário investir em recrutamento, gestão e manutenção de competências, bem como a aquisição, desenvolvimento ou integração de software e infraestruturas cuja manutenção em condições operacionais ou de segurança deve ser garantida. Também é preciso considerar o tempo necessário para configurar o sistema e deixá-lo operacional.
Assim, nem todas as empresas têm meios para construir seu SoC. Então, elas optam por provedores de serviços de segurança cibernética, terceirizando tal função – uma opção cada vez mais viável e vantajosa.
Gerenciamento de alertas
Automatizar algumas das tarefas morosas envolvidas na execução do SoC é de grande ajuda para operadores e analistas. Existem muitas ferramentas de automação, incluindo aquelas para o gerenciamento de alertas. É importante escolhê-las de acordo com seu real desempenho e maturidade. No entanto, a implementação da automação requer um pré-requisito em termos de eficiência e maturidade nos sistemas de detecção orquestrados.
Seja como for, um SoC bem configurado é o melhor aliado na detecção de ameaças. Além disso, as regras de detecção e correlação devem ser regularmente questionadas e atualizadas por equipes especializadas e experientes, que estejam cientes do contexto de negócios. Afinal, segurança digital é um conjunto de processos, e não um produto.
This post is also available in: Português