A primeira linha de defesa cibernética para qualquer empresa moderna é um SOC (Security Operation Center) bem projetado e bem equipado. Mas, o mundo mudou, as ameaças escalaram, e a superfície de ataque expandiu além da visibilidade. Isso vem exigindo mais papeis do SOC. Hoje, ele tem influência direta na tomada de decisões críticas e nos níveis de inovação das empresas. O que precisa se traduzir em atualização de processos e tecnologias. Mas de que maneira? O que exatamente compõe um SOC inteligente e moderno?
Há previsão de que os custos dos danos causados por cibercrimes cresçam em US$ 7,5 trilhões até 2025, ao passo que os investimentos em SOC cheguem a US$ 10,5 bilhões até 2032. Uma clara disparidade, que exige planejamento estratégico na hora de investir no aperfeiçoamento das infraestruturas de defesa. Por outro lado, investimentos altos sem considerar o contexto e a jornada de maturidade em cibersegurança da empresa também podem ser pouco eficientes.
Muitas empresas, ao pensarem em cibersegurança, investem primeiro em soluções caras que não necessariamente elevam o nível de maturidade de segurança do negócio, como, por exemplo, Cloud Access Security Broker (CASB) ou criptografia de dados. Elas fazem isto antes mesmo de ter um sistema efetivo de backup e recuperação de dados.
A mesma lógica se aplica para tecnologias muito comentadas ou consideradas tendência. Ainda que inovadoras, elas não representam garantia de bons resultados. Alguns líderes e gestores às vezes seguem o hype e acabam investindo em soluções de External Attack Surface Management (EASM) ou de Breach and Attack Simulation (BAS), antes de qualquer estruturação interna com ferramentas avançada contra ameaças, como um EDR ou um XDR. Não faz sentido!
Todas as soluções são boas, desde que adotadas no momento certo
Ações de conscientização, políticas e processos efetivos, assessment e gestão dos ativos existentes no ambiente, gestão básica de identidade de acesso (MFA e Single Sign-on) e um profissional com foco em segurança, custam menos recursos e são mais efetivos que a inserção isolada de vários produtos de ponta. Hoje, 90% dos ataques poderiam ser frustrados por higiene básica de segurança. Isto porque as pessoas subestimam o poder do básico bem-feito.
Uma das explicações para estes investimentos errôneos e precipitados é a falta de visibilidade do ambiente e dos riscos, cenário comum em muitas empresas, para o qual o SOC representa uma das soluções mais contratadas e efetivas, desde que estruturadas de forma adequada e com três pilares essenciais alinhados: pessoas preparadas e bem treinadas, processos e tecnologias. Se a empresa usar só um destes pilares, como o de tecnologias, por exemplo, gerará mais alertas, porém menos informação sobre a superfície de ameaças. Ou seja, continuará cega sobre o que precisa de fato ver. Da mesma maneira, utilizar somente pessoas inviabiliza o trabalho de tratar as milhares de ocorrências, que ocorrem no ambiente a cada hora. Os processos também não são suficientes, já que eles dependem de pessoas e de ferramentas para serem medidos e aprimorados.
Para atender às necessidades das empresas, um SOC deve ser formado por profissionais capacitados, e ferramentas consolidadas no mercado integradas com feeds de Threat Intel, capaz de fazer correlações de dados e análises comportamentais. A ideia não é "quero monitorar tudo". Mas, sim, levantar a fundo todos os ativos do ambiente, quais são as "joias da coroa", aplicar pesos de riscos para esses ativos, e não focar no monitoramento de dados considerados apenas 'informativos', mas no risco da continuidade do negócio. Esse sim é o melhor meio para o sucesso.
O próximo passo é gerir as vulnerabilidades, o que significa que gestores e responsáveis pelo ambiente digital precisam se dedicar e identificar fragilidades do ambiente e portas de entrada para possíveis invasores na prática. Isto porque, ao contrário do que se acredita, mesmo tendo um MFA ativo e 100% utilizado, as empresas não estão totalmente protegidas.
O terceiro nível de maturidade é manter programas de treinamento e conscientização contantes dos colaboradores, porque eles são o elo mais forte da corrente, se estiverem atentos aos riscos, tendo ainda como prioridade investir em tecnologias de Managed Detection and Response (MDR), associada com Security Orchestration, Automation and Response (SOAR), pois estas duas soluções ajudam a operação e a redução no tempo de resposta a possíveis incidentes para se ter um SOC realmente eficiente.
Em poucos minutos, com o uso destas tecnologias, é possível responder a um incidente, o que compensa o valor do investimento nestas soluções. O cálculo a ser feito muda quando se pensa nos benefícios oferecidos para proteção cibernética das companhias. O retorno de investimento (ROI) se torna realmente interessante caso se avalie que em uma estrutura tradicional de SOC, com consultores nível 1 e Nível 2, processos bem elaborados e playbooks o tempo gasto pode chegar a ser de mais de uma hora, período no qual os danos causados por um criminoso aos ativos, às finanças e à reputação da empresa podem ser incalculáveis. Dito isto, vamos garantir a excelência do básico para depois ir sofisticando nossas infraestruturas de proteção.
Eduardo Lopes, CEO da Redbelt Security.