Analisar, monitorar, detectar e combater as ameaças. Esta é a premissa do SOC (Centro de Operações de Segurança), criado ainda nos anos 1990 para proteger as informações empresariais em meio aos ataques hackers que começavam a surgir.
Neste período, a maior preocupação das empresas era com os seus ambientes físicos, que tinham os objetos de valor e, principalmente, os arquivos com todos os dados relevantes em papel. Ou seja, caso acontecesse algo com esses documentos ou com o espaço, o negócio teria prejuízos incalculáveis.
Hoje, três décadas depois, ampliamos esse perímetro para o digital. À época, os dispositivos conectados começavam a surgir e a se popularizar. Em pouco tempo, vimos a ascendente migração do físico para o digital, trazendo mais um pilar de preocupação e responsabilidade aos líderes empresariais. Porque, agora, as informações também eram compartilhadas de forma virtual e os agentes mal-intencionados começavam a agir neste ambiente conectado.
Esta evolução também se integra a minha história e dos profissionais que vêm atuando em conjuntos, pois vivenciamos essa transformação diariamente e é ela que quero compartilhar hoje com você.
Fase 1: Do NOC ao SOC
No passado, um centro de operações de rede (NOC) tradicional se concentrava na detecção e resposta a incidentes, tendo a disponibilidade como objetivo principal. As principais responsabilidades de um NOC eram o gerenciamento de dispositivos de rede e o monitoramento do desempenho.
Os SOCs só eram implementados para organizações governamentais e de defesa. As principais responsabilidades de um SOC inicial incluíam o tratamento de alertas de vírus, a detecção de intrusões e a resposta a incidentes — tudo feito com disquete. Depois dos anos 2000, grandes empresas e bancos começaram a implementar operações de monitoramento semelhantes.
Fase 2: Gerenciamento e Ameaças Avançadas
O Padrão de Gerenciamento de Segurança da Informação foi lançado em 2005, e a conformidade foi adicionada aos objetivos do SOC. Logo depois, firewalls de filtragem dinâmica de pacotes, AntiSpam, gerenciamento de vulnerabilidades e prevenção de intrusões foram adicionados para monitoramento e resposta.
Já o período entre 2007 e 2013 teve um boom de soluções de segurança, as quais são muito importantes para o monitoramento, como a prevenção de vazamento de dados (DLP) e o gerenciamento de eventos e informações de segurança (SIEM). Com um número aumentado de ameaças persistentes avançadas (APTs), os SOCs desempenharam o papel fundamental na detecção e prevenção dessas ameaças para as empresas.
Na sequência, os provedores de serviços gerenciados de segurança (MSSPs) também surgiram para atuar nas operações de TI e segurança. Já as plataformas de inteligência contra ameaças (TIPs) enriqueceram o contexto dos incidentes e criaram visibilidade sobre as táticas, os comportamentos, as ferramentas e os processos dos adversários. A caça a ameaças com base em táticas, técnicas e procedimentos (TTPs) agregou mais valor aos SOCs, permitindo a detecção precoce e a correção de ameaças ocultas.
Fase 3: Adaptação à Nuvem
A jornada das operações de segurança começou com uma abordagem reativa e passou para uma proativa, segundo a explicação da ISACA (Information Systems Audit and Control Association, ou, em português, Associação de Auditoria e Controle de Sistemas de Informação).
Com isso, as operações de segurança impulsionadas por inteligência contra ameaças, engenharia reversa e tecnologias de monitoramento baseadas em Inteligência Artificial e Machine Learning, mudaram os SOCs de próxima geração. Os SOCs híbridos (também conhecidos como remotos) — implantados e operados nas instalações do cliente por um MSSP — surgiram durante esse período.
E, o mais recente e disruptivo, principalmente para as empresas cloud-native, é o SOC na nuvem, para conectar as suas informações e armazenar os dados, ou seja, o bem mais valioso dessas organizações está online. Isto faz com que um sistema integrado em nuvem seja extremamente necessário para a sua segurança.
Assim, compreender a evolução e criar um SOC bem-sucedido e eficaz pode melhorar muito a capacidade de detectar e interromper ataques cibernéticos, protegendo a organização contra danos maiores, como de reputação de marca e financeiros.
Romeu Cavalcante, coordenador de SOC da NetSecurity.
