O avanço da tecnologia nos permitiu virtualizar operações coorporativas e torná-las 100% digitais. O lado ruim disso tudo é que temos que enfrentar a escalada do cibercrime na mesma proporção. Hackers têm demonstrado capacidade organizacional para executar ataques complexos, colocando em risco empresas, ecossistemas e usuários – clientes e consumidores. Então pergunto: a sua organização está pronta para este embate?
Neste artigo, vamos seguir diretrizes de uma das maiores organizações sem fins lucrativos da área de cibersegurança do mundo, a MITRE ATT&CK, para, de forma simples, indicar quando e como você deve montar um time de SOC (Security Operations Center) e estar preparado para este que é o maior desafio da economia digital.
O que é um SOC?
Primeiro é preciso ter clara a definição de SOC. Trata-se de um departamento que reúne profissionais especializados em cibersegurança, define processos e tecnologias para monitorar e melhorar a postura de cibersegurança de uma empresa enquanto previne, detecta, analisa e responde a incidentes.
O SOC é o comando central de monitoramento da rede de computadores, servidores, dados armazenados ou qualquer outro dispositivo IP, servindo como ponto de correlação de eventos, onde para cada evento deve ser tomada a melhor decisão para corrigi-lo.
Tipos de SOC
Há cinco tipos de Security Operation Centers. Os perfis dos SOCs variam de acordo com o número de funcionários de uma organização, a sua área de atuação, a criticidade das informações e a área geográfica de presença da empresa.
- SOC Virtual
Quantidade de Usuários/Ips: 1.000
Analistas necessários: 5-20
Exemplos de negócios que demandam um SOC Virtual: pequenas e médias empresa, faculdades e prefeituras sem operação 24×7.
- SOC Pequeno
Quantidade de Usuários/Ips: 10.000
Exemplos de negócios que precisam de um SOC Pequeno: pequenas e médias empresa, faculdades, prefeituras e governos estaduais com operação 24×7.
- SOC Grande
Quantidade de Usuários/Ips: 50.000
Exemplos de negócios que precisam deste tipo de SOC: Grandes agências governamentais federais e organizações listadas na Bolsa de Valores.
- SOC em Camadas
Quantidade de Usuários/Ips: 500.000
Exemplos de negócios que precisam deste tipo de solução:
Grandes agências governamentais federais e empresas listadas na Bolsa de Valores.
Este tipo de SOC deve ter outros centros de operação de segurança subordinados (SOC Pequeno) para dividir a carga de triagem e incidentes.
- SOC Nacional
Quantidade de Usuários/Ips: 50 milhões
Exemplos de negócios que precisam de um SOC Nacional: Proteção a nações ou organizações continentais.
Este tipo de SOC não possui autoridade para responder a incidentes diretamente, pois deve contar com centros de operação de segurança subordinados (SOC Grande) para realizar as operações de segurança.
Responsabilidades dos profissionais
Definido o tamanho do SOC a ser implementado, identifique corretamente as responsabilidades dos times de analistas.
O primeiro time que você deve preparar é o Time de Análise e Resposta a Incidentes, dividido entre as seguintes responsabilidades:
- Nível 1
Atendimento Telefônico, Triagem, Monitoramento em Tempo Real e coleta de dados;
- Nível 2
Análise de Incidentes, Coordenação de Resposta a Incidentes, Análise Forense e de Ameaças avançadas;
- Time de Tendências
Conectado à DarkWeb para coleta de dados, Alertas de Zero-day, Assessment de segurança, Laboratórios e Apresentação de novas tendências;
Como apoio ao primeiro time, temos outras duas equipes: de Escaneamento e de Ciclo de Vida de Sistemas. Dentro do time de Escaneamento temos as seguintes responsabilidades que serão divididas entre os famosos Blue Team (Defesa) e Red Team (Ataque):
- Escaneamento de Rede;
- Vulnerabilidades;
- Penetration Testing;
- Avaliação de segurança de Produtos;
- Consultoria de Segurança.
Por fim, o Time de Ciclo de Vida deve cuidar da manutenção de todos os sensores, appliances, automação, scripts, auditoria e armazenamento.
Devemos, então, avaliar a criticidade da empresa a ser protegida e selecionar as estratégias, criar as equipes profissionais e definir as ferramentas tecnológicas a serem utilizadas no Centro de Operações de Seguranças. Assim, em caso de algum incidente de cibersegurança, podemos contar com um time de profissionais especializados e prontos para utilizar as ferramentas e os processos adequados para identificar, conter e mitigar o ataque.
Guilherme Queiroz, especialista em Segurança da Informação e atua na Flórida, Estados Unidos, prestando serviços para a Alerta Security. Membro da ISC2, maior organização de Profissionais de Segurança do Mundo, Queiroz atua há mais de 10 anos com segurança da informação e implementa planos de cibersegurança para empresas globais com operações em diversos países como Brasil, Estados Unidos, França e Inglaterra.
[…] FONTE: TI INSIDE […]