Estratégias para criar um Security Operation Center (SOC)

1

O avanço da tecnologia nos permitiu virtualizar operações coorporativas e torná-las 100% digitais. O lado ruim disso tudo é que temos que enfrentar a escalada do cibercrime na mesma proporção.  Hackers têm demonstrado capacidade organizacional para executar ataques complexos, colocando em risco empresas, ecossistemas e usuários – clientes e consumidores. Então pergunto: a sua organização está pronta para este embate?

Neste artigo, vamos seguir diretrizes de uma das maiores organizações sem fins lucrativos da área de cibersegurança do mundo, a MITRE ATT&CK, para, de forma simples, indicar quando e como você deve montar um time de SOC (Security Operations Center) e estar preparado para este que é o maior desafio da economia digital.

O que é um SOC?

Primeiro é preciso ter clara a definição de SOC. Trata-se de um departamento que reúne profissionais especializados em cibersegurança, define processos e tecnologias para monitorar e melhorar a postura de cibersegurança de uma empresa enquanto previne, detecta, analisa e responde a incidentes.

O SOC é o comando central de monitoramento da rede de computadores, servidores, dados armazenados ou qualquer outro dispositivo IP, servindo como ponto de correlação de eventos, onde para cada evento deve ser tomada a melhor decisão para corrigi-lo.

Tipos de SOC

Há cinco tipos de Security Operation Centers. Os perfis dos SOCs variam de acordo com o número de funcionários de uma organização, a sua área de atuação, a criticidade das informações e a área geográfica de presença da empresa.

  1. SOC Virtual

Quantidade de Usuários/Ips: 1.000

Analistas necessários: 5-20

Exemplos de negócios que demandam um SOC Virtual: pequenas e médias empresa, faculdades e prefeituras sem operação 24×7.

  1. SOC Pequeno

Quantidade de Usuários/Ips: 10.000

Exemplos de negócios que precisam de um SOC Pequeno: pequenas e médias empresa, faculdades, prefeituras e governos estaduais com operação 24×7.

  1. SOC Grande

Quantidade de Usuários/Ips: 50.000

Exemplos de negócios que precisam deste tipo de SOC: Grandes agências governamentais federais e organizações listadas na Bolsa de Valores.

 

  1. SOC em Camadas

Quantidade de Usuários/Ips: 500.000

Exemplos de negócios que precisam deste tipo de solução:

Grandes agências governamentais federais e empresas listadas na Bolsa de Valores.

Este tipo de SOC deve ter outros centros de operação de segurança subordinados (SOC Pequeno) para dividir a carga de triagem e incidentes.

  1. SOC Nacional

Quantidade de Usuários/Ips: 50 milhões

Exemplos de negócios que precisam de um SOC Nacional: Proteção a nações ou organizações continentais.

Este tipo de SOC não possui autoridade para responder a incidentes diretamente, pois deve contar com centros de operação de segurança subordinados (SOC Grande) para realizar as operações de segurança.

Responsabilidades dos profissionais 

Definido o tamanho do SOC a ser implementado, identifique corretamente as responsabilidades dos times de analistas.

 

O primeiro time que você deve preparar é o Time de Análise e Resposta a Incidentes, dividido entre as seguintes responsabilidades:

  • Nível 1

Atendimento Telefônico, Triagem, Monitoramento em Tempo Real e coleta de dados;

  • Nível 2

Análise de Incidentes, Coordenação de Resposta a Incidentes, Análise Forense e de Ameaças avançadas;

  • Time de Tendências

Conectado à DarkWeb para coleta de dados, Alertas de Zero-day, Assessment de segurança, Laboratórios e Apresentação de novas tendências;

Como apoio ao primeiro time, temos outras duas equipes: de Escaneamento e de Ciclo de Vida de Sistemas. Dentro do time de Escaneamento temos as seguintes responsabilidades que serão divididas entre os famosos Blue Team (Defesa) e Red Team (Ataque):

  • Escaneamento de Rede;
  • Vulnerabilidades;
  • Penetration Testing;
  • Avaliação de segurança de Produtos;
  • Consultoria de Segurança.

Por fim, o Time de Ciclo de Vida deve cuidar da manutenção de todos os sensores, appliances, automação, scripts, auditoria e armazenamento.

Devemos, então, avaliar a criticidade da empresa a ser protegida e selecionar as estratégias, criar as equipes profissionais e definir as ferramentas tecnológicas a serem utilizadas no Centro de Operações de Seguranças. Assim, em caso de algum incidente de cibersegurança, podemos contar com um time de profissionais especializados e prontos para utilizar as ferramentas e os processos adequados para identificar, conter e mitigar o ataque.

Guilherme Queiroz, especialista em Segurança da Informação e atua na Flórida, Estados Unidos, prestando serviços para a Alerta Security. Membro da ISC2, maior organização de Profissionais de Segurança do Mundo, Queiroz atua há mais de 10 anos com segurança da informação e implementa planos de cibersegurança para empresas globais com operações em diversos países como Brasil, Estados Unidos, França e Inglaterra.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.