Estratégias para criar um Security Operation Center (SOC)

O avanço da tecnologia nos permitiu virtualizar operações coorporativas e torná-las 100% digitais. O lado ruim disso tudo é que temos que enfrentar a escalada do cibercrime na mesma proporção.  Hackers têm demonstrado capacidade organizacional para executar ataques complexos, colocando em risco empresas, ecossistemas e usuários – clientes e consumidores. Então pergunto: a sua organização está pronta para este embate?

Neste artigo, vamos seguir diretrizes de uma das maiores organizações sem fins lucrativos da área de cibersegurança do mundo, a MITRE ATT&CK, para, de forma simples, indicar quando e como você deve montar um time de SOC (Security Operations Center) e estar preparado para este que é o maior desafio da economia digital.

O que é um SOC?

Primeiro é preciso ter clara a definição de SOC. Trata-se de um departamento que reúne profissionais especializados em cibersegurança, define processos e tecnologias para monitorar e melhorar a postura de cibersegurança de uma empresa enquanto previne, detecta, analisa e responde a incidentes.

O SOC é o comando central de monitoramento da rede de computadores, servidores, dados armazenados ou qualquer outro dispositivo IP, servindo como ponto de correlação de eventos, onde para cada evento deve ser tomada a melhor decisão para corrigi-lo.

Tipos de SOC

Há cinco tipos de Security Operation Centers. Os perfis dos SOCs variam de acordo com o número de funcionários de uma organização, a sua área de atuação, a criticidade das informações e a área geográfica de presença da empresa.

1. SOC Virtual

Quantidade de Usuários/Ips: 1.000

Analistas necessários: 5-20

Exemplos de negócios que demandam um SOC Virtual: pequenas e médias empresa, faculdades e prefeituras sem operação 24×7.

2. SOC Pequeno

Quantidade de Usuários/Ips: 10.000

Exemplos de negócios que precisam de um SOC Pequeno: pequenas e médias empresa, faculdades, prefeituras e governos estaduais com operação 24×7.

3. SOC Grande

Quantidade de Usuários/Ips: 50.000

Exemplos de negócios que precisam deste tipo de SOC: Grandes agências governamentais federais e organizações listadas na Bolsa de Valores.

4. SOC em Camadas

Quantidade de Usuários/Ips: 500.000

Exemplos de negócios que precisam deste tipo de solução:

Grandes agências governamentais federais e empresas listadas na Bolsa de Valores.

Este tipo de SOC deve ter outros centros de operação de segurança subordinados (SOC Pequeno) para dividir a carga de triagem e incidentes.

5. SOC Nacional

Quantidade de Usuários/Ips: 50 milhões

Exemplos de negócios que precisam de um SOC Nacional: Proteção a nações ou organizações continentais.

Este tipo de SOC não possui autoridade para responder a incidentes diretamente, pois deve contar com centros de operação de segurança subordinados (SOC Grande) para realizar as operações de segurança.

Responsabilidades dos profissionais 

Definido o tamanho do SOC a ser implementado, identifique corretamente as responsabilidades dos times de analistas.

O primeiro time que você deve preparar é o Time de Análise e Resposta a Incidentes, dividido entre as seguintes responsabilidades:

• Nível 1

Atendimento Telefônico, Triagem, Monitoramento em Tempo Real e coleta de dados;

• Nível 2

Análise de Incidentes, Coordenação de Resposta a Incidentes, Análise Forense e de Ameaças avançadas;

• Time de Tendências

Conectado à DarkWeb para coleta de dados, Alertas de Zero-day, Assessment de segurança, Laboratórios e Apresentação de novas tendências;

Como apoio ao primeiro time, temos outras duas equipes: de Escaneamento e de Ciclo de Vida de Sistemas. Dentro do time de Escaneamento temos as seguintes responsabilidades que serão divididas entre os famosos Blue Team (Defesa) e Red Team (Ataque):

• Escaneamento de Rede;
• Vulnerabilidades;
• Penetration Testing;
• Avaliação de segurança de Produtos;
• Consultoria de Segurança.

Por fim, o Time de Ciclo de Vida deve cuidar da manutenção de todos os sensores, appliances, automação, scripts, auditoria e armazenamento.

Devemos, então, avaliar a criticidade da empresa a ser protegida e selecionar as estratégias, criar as equipes profissionais e definir as ferramentas tecnológicas a serem utilizadas no Centro de Operações de Seguranças. Assim, em caso de algum incidente de cibersegurança, podemos contar com um time de profissionais especializados e prontos para utilizar as ferramentas e os processos adequados para identificar, conter e mitigar o ataque.

Guilherme Queiroz, especialista em Segurança da Informação e atua na Flórida, Estados Unidos, prestando serviços para a Alerta Security. Membro da ISC2, maior organização de Profissionais de Segurança do Mundo, Queiroz atua há mais de 10 anos com segurança da informação e implementa planos de cibersegurança para empresas globais com operações em diversos países como Brasil, Estados Unidos, França e Inglaterra.