Um Centro de Operações de Segurança (SOC em inglês), é um centro de comando central para operações de cibersegurança em que uma equipa de analistas de segurança utiliza ferramentas avançadas de deteção para identificar, registar e impedir ciberataques.
Os analistas trabalham com um manual de processos que define as etapas que precisam de seguir para manter as organizações seguras. Existem várias grandes empresas que implementaram SOC bem-sucedidos, especialmente aqueles que lidam com dados confidenciais. Mas o que estamos a assistir agora, são as médias empresas a perceberem o valor de um SOC e a seguir o mesmo caminho.
A diferença é que, na maioria das vezes, têm procurado implementar um SOC num modelo de serviço entregue por empresas especializadas, os Parceiros MSSP (Managed Security Service Providers), que lhes permite reduzir custos operacionais e ter acesso às melhores práticas, recursos especializados e tecnologia.
As empresas veem necessidade de criar um SOC quando se apercebem que têm dezenas de produtos de cibersegurança (proteção de endpoint, firewall, análise comportamental da
rede, análise comportamental de utilizadores, etc.) na sua rede e se deparam com uma incapacidade para lidar com o volume de informação e alertas que são gerados, devido à falta de recursos e/ou falta de especialização dos mesmos.
O que deve ser tido em conta na jornada para criar um SOC?
- Porquê um SOC? O objetivo é reduzir as ameaças à cibersegurança, defender os dados da organização e proteger a sua reputação. Definir os principais indicadores de desempenho, incluindo tempos de resposta a incidentes e processos para reportar ameaças críticas.
- Quando entregar? Com mais de 30 serviços possíveis num SOC, uma pressão comum é tentar implementar tudo no primeiro dia. Em vez disso, os serviços devem ser introduzidos em estágios lógicos. Isso significa que cada estágio é totalmente implementado e funcional antes de ir para o próximo.
- Como entregar? Decidir os processos que a organização precisa seguir para tornar o SOC eficiente. Playbooks e diagramas de processo são um ponto de discussão chave.
- Quem é o responsável? Fora da divisão de cibersegurança numa organização, quem mais pode ser envolvido para tornar o SOC eficaz?
- Qual a tecnologia? Uma decisão importante é quais as ferramentas cruciais num SOC que devem ser adotadas. Isso dependerá dos objetivos, orçamentos e preferências dos analistas de segurança e do CISO. Mas a adoção de uma plataforma única, com capacidade de automação e recurso a técnicas de inteligência artificial é uma realidade que tem obrigatoriamente de ser considerada.
As empresas actualmente geram mais dados de segurança do que nunca. O SOC típico opera em silos de dados, tecnologia antiga e actividades manuais que convidam os atacantes a explorar vulnerabilidades. Para além disso, existem muitas organizações que ainda não integraram as suas operações de cloud com o seu SOC.
O que há de tão poderoso num SOC é que ele vai além de simplesmente identificar e lidar com incidentes de segurança. A pesquisa por ameaças é uma parte vital do trabalho de gestão de riscos dos analistas de segurança. O objectivo é reunir dados sobre os chamados indicadores de compromisso – como são conhecidas as ameaças de cibersegurança – de forma a permitir aos analistas poderem comparar as ameaças que recebem com outras empresas do sector.
Construir um SOC eficaz requer um pensamento claro e uma visão forte dos objectivos a atingir. Quando bem planeado, um SOC não é um custo, mas sim um investimento em proteção de dados e reputação corporativa. No entanto, o planeamento da estratégia a adotar é fundamental para o sucesso de um SOC. Aqui ficam algumas dicas importantes:
- As organizações criam um centro de operações de segurança quando têm dezenas de ferramentas de cibersegurança a operar dentro da sua rede e precisam de visibilidade e contexto para identificar ameaças e reduzir riscos.
- Um SOC não identifica e responde a ameaças de segurança apenas, mas também pesquisa e prevê possíveis fontes de ataque.
- As perguntas, o quê, quando, como e quem, só podem ser respondidas quando pudermos articular claramente os objetivos pelos quais vamos construir um SOC.
- Um SOC ajuda as empresas a passarem da gestão de ameaças de forma reativa para o modo proativo.