O que é um SOC?
Um SOC é uma função ou equipe centralizada responsável por melhorar a postura de segurança cibernética de uma organização e prevenir, detectar e responder a ameaças.
A equipe SOC, que pode ser local ou terceirizada, monitora identidades, endpoints, servidores, bancos de dados, aplicativos de rede, sites e outros sistemas para detectar possíveis ataques cibernéticos enquanto eles acontecem. O SOC também faz um trabalho de segurança proativo usando a inteligência de ameaças mais recente para se manter atualizado sobre os grupos de ameaças e a infraestrutura e identificar e solucionar vulnerabilidades do sistema ou do processo antes que os invasores as explorem.
A maioria dos SOCs opera 24x7 (24 horas por dia, sete dias por semana) e grandes organizações que abrangem vários países também podem depender de um centro de operações de segurança global (ou GSOC) para controlar as ameaças à segurança em todo o mundo e coordenar a detecção e a resposta entre vários SOCs locais.
Funções de um SOC
Os membros da equipe SOC assumem as seguintes funções para ajudar a prevenir, responder e se recuperar de ataques:
- Inventário de ativos e ferramentas - Para eliminar pontos cegos e lacunas na cobertura, o SOC precisa de visibilidade dos ativos que protege e percepção das ferramentas que usa para defender a organização. Isso significa contabilizar todos os bancos de dados, serviços em nuvem, identidades, aplicativos e endpoints no local e em várias nuvens. A equipe também acompanha todas as soluções de segurança utilizadas na organização, como firewalls, antimalware, antiransomware e software de monitoramento.
- Reduzindo a superfície de ataque - Uma responsabilidade fundamental do SOC é reduzir a superfície de ataque da organização. O SOC faz isso mantendo um inventário de todas as cargas de trabalho e ativos, aplicando patches de segurança a software e firewalls, identificando configurações incorretas e adicionando novos ativos à medida que ficam online. Os membros da equipe também são responsáveis por pesquisar ameaças emergentes e analisar a exposição, o que os ajuda a ficar à frente das ameaças mais recentes.
- Monitoramento contínuo - Usando soluções de análise de segurança como uma solução de gerenciamento corporativo de informações de segurança (SIEM) , uma solução de orquestração, automação e resposta de segurança (SOAR) ou uma solução de detecção e resposta estendida (XDR) , as equipes de SOC monitoram todo o ambiente - local, nuvens, aplicativos, redes e dispositivos — o dia todo, todos os dias, para descobrir anormalidades ou comportamentos suspeitos. Essas ferramentas coletam telemetria, agregam os dados e, em alguns casos, automatizam a resposta a incidentes.
- Inteligência de ameaças - O SOC também usa análise de dados, feeds externos e relatórios de ameaças de produtos para obter informações sobre o comportamento, a infraestrutura e os motivos do invasor. Essa inteligência fornece uma visão geral do que está acontecendo na Internet e ajuda as equipes a entender como os grupos operam. Com essas informações, o SOC pode descobrir ameaças rapidamente e fortalecer a organização contra riscos emergentes.
- Detecção de ameaças - As equipes SOC usam os dados gerados pelas soluções SIEM e XDR para identificar ameaças. Isso começa filtrando os falsos positivos dos problemas reais. Em seguida, eles priorizam as ameaças por gravidade e impacto potencial para os negócios.
- Gerenciamento de registros - O SOC também é responsável por coletar, manter e analisar os dados de log produzidos por cada endpoint, sistema operacional, máquina virtual, aplicativo local e evento de rede. A análise ajuda a estabelecer uma linha de base para a atividade normal e revela anomalias que podem indicar malware , ransomware ou vírus.
- Resposta a incidentes - Depois que um ataque cibernético é identificado, o SOC rapidamente toma medidas para limitar os danos à organização com a menor interrupção possível nos negócios. As etapas podem incluir desligar ou isolar endpoints e aplicativos afetados, suspender contas comprometidas, remover arquivos infectados e executar software antivírus e antimalware.
- Recuperação e correção - Após um ataque, o SOC é responsável por restaurar a empresa ao seu estado original. A equipe limpará e reconectará discos, identidades, e-mail e endpoints, reiniciará aplicativos, passará para sistemas de backup e recuperará dados.
- Investigação da causa raiz - Para evitar que um ataque semelhante ocorra novamente, o SOC faz uma investigação completa para identificar vulnerabilidades, processos de segurança deficientes e outros aprendizados que contribuíram para o incidente.
- Refinamento de segurança - O SOC usa qualquer inteligência coletada durante um incidente para abordar vulnerabilidades, melhorar processos e políticas e atualizar o roteiro de segurança.
- Gerenciamento de Conformidade - Uma parte crítica da responsabilidade do SOC é garantir que aplicativos, ferramentas de segurança e processos estejam em conformidade com os regulamentos de privacidade, como o Regulamento Global de Proteção de Dados (GDPR), o California Consumer Privacy Act (CCPA) e o Health Insurance Portability and Accountability Act (HIPPA). As equipes auditam regularmente os sistemas para garantir a conformidade e garantir que os reguladores, as autoridades policiais e os clientes sejam notificados após uma violação de dados.
O importante papel das pessoas em um SOC
Dependendo do tamanho da organização, um SOC típico inclui as seguintes funções:
- Diretor de Resposta a Incidências - Essa função, normalmente vista apenas em organizações muito grandes, é responsável por coordenar a detecção, análise, contenção e recuperação durante um incidente de segurança. Eles também gerenciam a comunicação com as partes interessadas apropriadas.
- Gerente de SOC - A supervisão do SOC é do gerente, que normalmente se reporta ao Chief Information Security Officer (CISO). Os deveres incluem supervisionar o pessoal, executar operações, treinar novos funcionários e administrar as finanças.
- Engenheiros de segurança - Os engenheiros de segurança mantêm os sistemas de segurança da organização funcionando. Isso inclui projetar a arquitetura de segurança e pesquisar, implementar e manter soluções de segurança.
- Analistas de segurança - Os socorristas em um incidente de segurança, analistas de segurança, identificam ameaças, priorizam-nas e, em seguida, tomam medidas para conter os danos. Durante um ataque cibernético, eles podem precisar isolar o host, endpoint ou usuário que foi infectado. Em algumas organizações, os analistas de segurança são classificados com base na gravidade das ameaças pelas quais são responsáveis por lidar.
- Caçadores de Ameaças (Threat Hunting) - Em algumas organizações, os analistas de segurança mais experientes são chamados de caçadores de ameaças. Essas pessoas identificam e respondem a ameaças avançadas que não são detectadas por ferramentas automatizadas. Essa é uma função proativa projetada para aprofundar o entendimento da organização sobre ameaças conhecidas e descobrir ameaças desconhecidas antes que um ataque ocorra.
- Analistas Forenses - Organizações maiores também podem contratar analistas forenses, que coletam informações após uma violação para determinar suas causas principais. Eles estão procurando por vulnerabilidades do sistema, violações de políticas de segurança e padrões de ataque cibernético que podem ser úteis na prevenção de um comprometimento semelhante no futuro.
Existem algumas maneiras diferentes pelas quais as organizações configuram seus SOCs. Alguns optam por construir um SOC dedicado com uma equipe em tempo integral. Esse tipo de SOC pode ser interno com um local físico no local ou pode ser virtual com equipe coordenando remotamente usando ferramentas digitais. Muitos SOCs virtuais usam uma combinação de contrato e equipe em tempo integral. Um SOC terceirizado, que também pode ser chamado de SOC gerenciado ou centro de operações de segurança como serviço, é executado por um provedor de serviços de segurança gerenciado, que assume a responsabilidade de prevenir, detectar, investigar e responder a ameaças. Também é possível usar uma combinação de equipe interna e um provedor de serviços gerenciados de segurança. Essa versão é chamada de SOC cogerenciado ou híbrido. As organizações usam essa abordagem para aumentar sua própria equipe. Por exemplo,