O que é Security Operations Center (SOC)?

Um centro de operações de segurança (SOC) atua como o centro das operações de segurança de uma organização. Também chamado de centro de operações de segurança da informação (ISOC), um SOC é um local centralizado onde os profissionais de segurança da informação usam tecnologias para criar e manter a arquitetura de segurança que monitora, detecta, analisa e responde a incidentes de segurança cibernética, geralmente 24 horas por dia.

A equipe de segurança, que consiste em analistas e engenheiros de segurança, supervisiona todas as atividades em servidores, bancos de dados, redes, aplicativos, dispositivos de endpoint, sites e outros sistemas para identificar possíveis ameaças à segurança e frustrá-las o mais rápido possível. Eles também monitoram fontes externas relevantes (como listas de ameaças) que podem afetar a postura de segurança da organização.

Um SOC deve não apenas identificar ameaças, mas também analisá-las, investigar a fonte, relatar as vulnerabilidades descobertas e planejar como evitar ocorrências semelhantes no futuro. Em outras palavras, eles lidam com problemas de segurança em tempo real e, ao mesmo tempo, buscam continuamente maneiras de melhorar a postura de segurança da organização.

Em uma escala maior, há também os Centros Globais de Operações de Segurança (GSOC), que coordenam escritórios de segurança que literalmente abrangem o mundo todo.
Se você tiver escritórios em todo o mundo, um GSOC (em vez de estabelecer um SOC para cada local internacional) pode:

Evitar que cada local repita tarefas e funções
Reduzir a sobrecarga
Garantir que a equipe de segurança tenha uma visão geral do que está acontecendo em toda a organização

Quais são os benefícios de um SOC?

Ao contar com a inteligência contra ameaças, os SOCs oferecem a garantia de que as ameaças serão detectadas e evitadas em tempo real. Em uma perspectiva geral, os SOCs podem:

Responder mais rapidamente: O SOC oferece uma visão centralizada, completa e em tempo real do desempenho de toda a infraestrutura do ponto de vista da segurança, mesmo que você tenha vários locais e milhares de terminais. Você pode detectar, identificar, prevenir e resolver problemas antes que eles causem muitos problemas para a empresa
Proteger a confiança do consumidor e do cliente: Os consumidores, que já são céticos em relação à maioria das empresas, estão preocupados com sua privacidade. A criação de um SOC para proteger os dados dos consumidores e dos clientes pode ajudar a aumentar a confiança em sua organização, o que também inclui a prevenção de violações.
Minimizar os custos: Embora muitas organizações pensem que a criação de um SOC tenha um custo proibitivo, o custo associado a uma violação – incluindo a perda e a corrupção de dados ou a deserção de clientes – é muito maior. Além disso, o pessoal do SOC garantirá que você esteja usando as ferramentas certas para o seu negócio em todo o seu potencial, para que você não desperdice dinheiro com ferramentas ineficazes.

É difícil estabelecer um preço para esses benefícios, pois eles literalmente mantêm sua empresa funcionando. Mas será que você precisa mesmo de um SOC? Se você estiver sujeito a regulamentações governamentais ou do setor, tiver sofrido uma violação de segurança ou estiver no negócio de armazenamento de dados confidenciais, como informações de clientes, a resposta é sim.

O que realmente faz um SOC?

O SOC lidera a resposta a incidentes em tempo real e promove melhorias contínuas na segurança para proteger a organização contra ameaças cibernéticas. Ao usar uma combinação complexa das ferramentas certas e das pessoas certas para monitorar e gerenciar toda a rede, um SOC de alto desempenho irá:

Fornecer vigilância proativa e ininterrupta de redes, hardware e software para detecção de ameaças e violações e resposta a incidentes.
Oferecer conhecimento especializado em todas as ferramentas que a sua organização utiliza, incluindo fornecedores terceirizados, para garantir que eles possam resolver facilmente os problemas de segurança.
Instalar, atualizar e solucionar problemas de software de aplicativos.
Monitorar e gerenciar sistemas de prevenção de intrusão e firewall.
Verificar e corrigir soluções de antivírus, malware e ransomware.
Gerencie o tráfego de e-mail, voz e vídeo.
Ajudar no gerenciamento de patches e na lista de permissões.
Fornecer análise profunda dos dados de registro de segurança de várias fontes.
Analisar, investigar e documentar tendências de segurança.
Investigar violações de segurança para entender a causa raiz dos ataques e evitar futuras violações.
Aplicar políticas e procedimentos de segurança.
Fornecer backup, armazenamento e recuperação.

No entanto, o SOC faz mais do que apenas lidar com os problemas quando eles surgem. O que um SOC faz quando não está detectando ameaças?

O SOC tem a tarefa de encontrar pontos fracos, tanto fora quanto dentro da organização, por meio da análise contínua de vulnerabilidades de software e hardware, além de coletar ativamente informações sobre ameaças e riscos conhecidos.

Portanto, mesmo quando aparentemente não há ameaças ativas, a equipe do SOC está procurando proativamente maneiras de melhorar a segurança. A avaliação de vulnerabilidade inclui a tentativa ativa de invadir seu próprio sistema para encontrar pontos fracos, o que é conhecido como teste de penetração. Além disso, uma das principais funções da equipe do SOC é a análise de segurança: garantir que a organização esteja usando as ferramentas de segurança corretas de forma otimizada e avaliar o que está e o que não está funcionando.

SOC as a Service (SOCaaS)

O SOCaaS é um modelo de segurança que permite que um fornecedor terceirizado opere e mantenha um SOC totalmente gerenciado com base em uma assinatura. Esse serviço inclui todas as funções de segurança executadas por um SOC tradicional interno, inclusive monitoramento de rede, gerenciamento de registros, detecção e inteligência de ameaças, investigação e resposta a incidentes, geração de relatórios, riscos e conformidade. O fornecedor também assume a responsabilidade por todas as pessoas, processos e tecnologias necessários para habilitar esses serviços e fornecer suporte 24 horas por dia, 7 dias por semana.

Soluções SIEM em um SOC

As soluções de gerenciamento de eventos e informações de segurança (SIEM) são um tipo de solução de segurança que ajuda as empresas a monitorar e analisar seus dados de segurança em tempo real. As soluções SIEM coletam dados de várias fontes, incluindo dispositivos de rede, aplicativos e atividades do usuário, e usam a análise para detectar possíveis ameaças.

As soluções SIEM permitem que as empresas respondam rapidamente a incidentes de segurança e tomem medidas corretivas. Para muitos SOCs, essa é a principal tecnologia de monitoramento, detecção e resposta utilizada para monitorar e agregar alertas e telemetria de software e hardware na rede e analisar os dados em busca de possíveis ameaças.

Como funciona um SOC?

A maioria dos SOCs adota uma abordagem hierárquica para gerenciar problemas de segurança, em que os analistas e engenheiros são categorizados com base em seu conjunto de habilidades e experiência. Uma equipe típica pode ser estruturada da seguinte forma:

Nível 1: a primeira linha de resposta a incidentes. Esses profissionais de segurança ficam atentos aos alertas e determinam a urgência de cada um deles, bem como o momento de passá-los para o Nível 2. A equipe do Nível 1 também pode gerenciar ferramentas de segurança e executar relatórios regulares.
Nível 2: esse pessoal geralmente tem mais experiência, portanto, pode chegar rapidamente à raiz do problema e avaliar qual parte da infraestrutura está sendo atacada. Eles seguirão os procedimentos para remediar o problema e reparar quaisquer consequências, além de sinalizar os problemas para investigação adicional.

Nível 3: nesse nível, a equipe é composta por analistas de segurança especializados de alto nível que estão procurando ativamente por vulnerabilidades na rede. Eles usarão ferramentas avançadas de detecção de ameaças para diagnosticar os pontos fracos e fazer recomendações para melhorar a segurança geral da organização. Nesse grupo, também é possível encontrar especialistas, como investigadores forenses, auditores de conformidade ou analistas de segurança cibernética.
Nível 4: esse nível é composto por gerentes de alto nível e diretores com mais anos de experiência. Esse grupo supervisiona todas as atividades da equipe do SOC e é responsável pela contratação e treinamento, além de avaliar o desempenho individual e geral. Os níveis 4 entram em cena durante as crises e, especificamente, servem de ligação entre a equipe do SOC e o restante da organização. Eles também são responsáveis por garantir a conformidade com as normas da organização, do setor e do governo.

Qual é a diferença entre um SOC e um NOC?

Enquanto o SOC se concentra no monitoramento, na detecção e na análise da integridade da segurança de uma organização 24 horas por dia, 7 dias por semana, 365 dias por ano, o principal objetivo do NOC, ou centro de operações de rede, é garantir que o desempenho e a velocidade da rede estejam à altura e que o tempo de inatividade seja limitado.
Os engenheiros e analistas do SOC procuram ameaças cibernéticas e tentativas de ataques e respondem antes que os dados ou sistemas de uma organização sejam comprometidos. A equipe do NOC procura por problemas que possam reduzir a velocidade da rede ou causar tempo de inatividade. Ambos monitoram proativamente em tempo real, com o objetivo de evitar problemas antes que os clientes ou funcionários sejam afetados, e buscam maneiras de fazer melhorias contínuas para que problemas semelhantes não voltem a ocorrer.

Os SOCs e os NOCs devem colaborar para trabalhar em incidentes importantes e resolver situações de crise e, em alguns casos, as funções do SOC serão alojadas no NOC. Os NOCs podem detectar e responder a algumas ameaças à segurança, especificamente no que se refere ao desempenho da rede, se a equipe for treinada adequadamente e estiver à procura dessas ameaças. Um SOC típico não teria a capacidade de detectar e responder a problemas de desempenho da rede sem investir em diferentes ferramentas e conjuntos de habilidades.

Fontes:

https://www.splunk.com

https://www.paloaltonetwork

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.