OS 5 MODELOS DE SOC(Security Operation Center)

Os SOC´s(Security Operation Centers) são preparados para centralizar e consolidar prevenção, detecção e respostas a incidentes com alto grau de capacidade de respostas.

Vou demonstrar os 5 principais modelos de SOC e como os gestores(CISO´s) podem decidir qual atende melhor e faz mais sentido a cada tipo de organização corporativa. Os modelos apresentados são os reconhecidos pelo Gartner, portanto a mescla do que é mais utilizado mundialmente no momento.

IMPORTANTE

• Os SOC estão sendo cada vez mais adotados pelas organizações para detectar,prevenir e responder a ameaças, consolidar e centralizar funções exclusivamente de segurança e ir de encontro a leis e regulamentações para monitoração voltada à segurança. corporativa, ameaças e vulnerabilidades e gesstão de resposta a incidentes.

• Os custos de manter uma operação de SOC 24/7 são proibitivos para muitas empresas

• Uma parceria de uma gestão de SOC com um serviço de MSSP é uma opção viável para empresas de todos os tamanhos.

• SOC´s irão falhar em sua missão se seus entregáveis não estiverem inseridas totalmente no foco e propósito do negócio

RECOMENDAÇÕES

Os gestores planejam viabilizar um SOC quando:

• Pesquisam como ter decisões pragmáticas para o negócio se houver investimento no SOC. Mesmo em grandes empresas esse é um processo complicado de tomada de decisão.

• Focam em alinhar os entregáveis do SOC com os objetivos do negócio, desenvolvendo definições concretas de métricas e objetivos que o SOC precise viabilizar.

• Identificar alto valor agregado ao negócio e funções críticas de segurança e manter isso como meta interna, tanto na governança como no SOC.

• Considerar usar o serviço de um MSSP para minimizar ao máximo os custos de um operação 24/7 e cobrir possíveis lacunas na área de SI

• Pretendem desenvolver uma estratégia corporativa para reter os profissionais do SOC desde seu início, pois estes profissionais são(e devem) ser altamente qualificados.

 

PLANEJAMENTO ESTRATÉGICO

Em 2019, estima-se que 50% de todo trabalho em médias e grandes empresas na área de segurança da informação será conduzida, ou ao menos compartilhada por SOC´s, contra 15% no ano de 2015.

ANÁLISE

Historicamente, SOC´s tem sido adotados por grandes empresas, pois requerem centralização e consolidação de operações de segurança primárias por questões de eficiência e custos. Com o aumento das ameaças em um nível exponencial, e a troca dos termos usados de segurança defensiva para preventiva, os SOC´s além de ter uma abordagem diferenciada, mais rápida(por necessidade), mais qualitativa tecnicamente e consequentemente mais quantitativa, isso vem “espirrando” nas médias e pequenas empresas que aumentam o leque de atuação do SOC(de acordo com as demandas de cada empresa) e permitem soluções customizadas(tecnicamente e financeiramente) para as empresa menores, pois estas hoje também sofrem com ameaças pelas vulnerabilidades apresentadas por elas.

DEFINIÇÃO

O Gartner, com o aval do mercado consumidor corporativo, define o SOC da seguinte maneira: Time multidisciplinar, de alto desempenho e qualidade técnica, que opera em turnos, facilitando para a organização para o qual trabalha e/ou presta serviço: prevenção, detecção, avaliação e resposta a cyber ameaças e incidentes. Hoje o termo “Cybersecurity Operation Center” é normalmente usado como sinônimo para SOC.

Muito importante salientar que um NOC(Network Operation Center) não é um SOC, onde NOC concentra-se no gerenciamento de dispositivos de rede e não em resposta a incidentes e ameaças cibernéticas. A atuação e coordenação entre ambos ou “misturando” objetivos no entanto, é comum. Mas não indicada.

Um serviço gerenciado de segurança não é o mesmo que ter um SOC. embora um prestador de serviços possa também oferecer serviços de SOC. Um serviço gerenciado de segurança é um recurso compartilhado e dedicado não somente a uma única organização ou entidade. Da mesma forma, não há nenhuma tal coisa como um SOC gerenciado exclusivamente para uma empresa.

DESCRIÇÃO

SOCs são criados primariamente para desempenhar as seguintes funções:

• Gerenciamento e manutenção de dispositivos de segurança

• Gerenciamento de ameaças e vulnerabilidades

• Monitoração e auditoria de segurança

• Gestão de resposta a incidentes de segurança

• Gestão e acompanhamento de conformidade em segurança

• Treinamento em segurança

A maioria das tecnologias, processos e melhores práticas que são usados em um SOC, não são especificamente para um SOC. O Gerenciamento de resposta a incidentes ou vulnerabilidades valem igualmente, se entregues ou não pelo SOC.

Torna-se um meta-tópico, envolvendo muitas disciplinas e domínios de segurança e dependendo dos serviços e funções que são entregues pelo SOC. Eis o motivo pelo qual o conceito de SOC passa por profissionais multi disciplinares de alta complexidade técnica e forte experiência em ambientes computacionais.

Serviços comumente entregues pelo SOC:

Monitoração ininterrupta de todo ambiente computacional
Resposta a incidentes de segurança
Análise de malware
Análise forense
Análise inteligente de ameaças
Análise de riscos
Implementação de contramedidas de segurança
Análise e correção de vulnerabilidades
Testes de penetração
Remediação, priorização e coordenação de SI
Inteligência de segurança consultiva
Projetos de arquiteturas de segurança computacional e da informação
Consultoria de segurança
Treinamento de conscientização de segurança
Distribuição e coleta de dados de auditoria de segurança para formar entregáveis para tomadas de decisão.
Os atributos que definem excelência em um SOC provêm da qualidade, não de quantidade. Nem de pessoas ou de maturidade de processos.

Dependendo das funções a serem cumpridas, um SOC deve funcionar 24/7 e exige um mínimo talvez de 8 a 10 pessoas, mantendo assim 2 pessoas por turno, trabalhando três dias, três dias de folga(prática utilizada em USA por diferenças de leis trabalhistas com Brasil e etc). A indicação de pelo menos 2 pessoas por turno é para permitir que um monitore enquanto o outro investiga, assim como as atividades pertinentes do dia a dia. Isso não inclui gestão, rotatividade do pessoal, ou outras funções de especialistas como consultoria, engenharia reversa, perícia e estudo de ameaça de malware.

O SOC ideal deve ter uma localização voltada para segurança operacional, devido à natureza sensível das tratativas de incidentes, bem como o potencial por adulterar provas potenciais . O acesso físico para a instalação é restrito e somente autorizado.

A infraestrutura de controle do SOC deve ser fortemente segmentada, longe da rede de produção para evitar violações internas que afetem as operações do SOC.

Idealmente, a infraestrutura de tecnologia utilizada para acompanhamento e investigação dentro do SOC deve ser isolada e separados da Internet, estamos falando de um link dedicado somente para operações do SOC. Com isso o SOC frequentemente terá sua própria conectividade de Internet independente para que ele pode continuar a operar e realizar investigações, mesmo se a rede corporativa, por exemplo, estiver sob um ataque de DDoS.

Além das tecnologias preventivas típicas tais como firewalls, IPSs e Proxies, um SOC irá utilizar uma ampla gama de tecnologias proporcionando telemetria de segurança, coleta, análise e capacidades de gerenciamento de incidentes. Uma solução de correlação de eventos(SIEM) é o mais comumente encontratado para isso.

Plataformas de gerenciamento de resposta a incidentes cada vez mais estão sendo adicionadas a estas estruturas para fornecer recursos e fluxos de trabalho de gerenciamento de incidentes pré-analisados e já esperados por experiências de mercado.

Vários cenários devem ser analisados em resposta a incidentes variados, com a experiência do time de analistas e estudo de casos de mercado. Isso garante ao SOC uma resposta mais direta, efetiva e correta aos entregáveis correspondentes.

Virtual SOC

Um Virtual SOC não tem instalações dedicadas para uma operação focada. Ele geralmente é composto por um time/membros que detém outras atividades e funções paralelas além de segurança da informação. Possuem estrutura descentralizada e atuam reativamente somente em casos de incidentes. Ou seja, o foco não é a segurança pró-ativa.

Um Virtual SOC é o que possui hoje(análise do Gartner) menor nível de maturidade. Adequado para pequenas empresas que possuem incidentes esporádicos ou que trabalham com um provedor de serviços gerenciados de segurança(MSS).

O Gartner julga esse modo como uma transição para um modelo mais maduro onde o SOC deva ser dedicado em sua atuação.

Este modelo é puramente reativo, como dito antes, embora apesar que uma postura mais pró-ativa possa ser alcançada neste modelo, aproveitando os recursos de monitoramento automatizados como correlação de eventos ou alertas baseados em regras pré-definidas.

SOC Multifuncional(SOC/NOC)

O SOC multi functional é uma integração de processos, diretivas e atuação junto com um NOC. O risco desse modelo é nãop realizar nenhum dos itens de forma satisfatória quando falamos em segurança da informação, criando assim gaps de segurança no ambiente monitorado.

É comum nesse modelo de SOC atuação somente em ativos de redes como firewalls, proxys, anti-spam e ter a sensação de segurança tão somente pela atuação da monitoração, que nos leva a uma falsa sensação de dever cumprido. Para a área de segurança cibernética é uma grande “cortina de fumaça”.

SOC Distribuido ou com Gestão descentralizada

Um SOC distribuido consiste em algumas pessoas do staff assim como infra-estrutura da empresa, com um aumento da equipe ou inserção de provedores de serviços(MSSP) para atuação em conjunto no SOC.

Se uma organização não pode operar em 24/7, o gap causado por essa não operação pode ser suplantado por um managed security service provider(MSSP), resultando assim em um SOC distribuido.

Este modelo de SOC distribuido com gestão descentralizada, reduz os custos de uma operação 24/7 enquanto mantém as funções primárias e principais de segurança de uma organização. Complementando, ainda é possível especializar com práticas forenses e consultorias dos especialistas da organização. Isso ajuda a reduzir os gaps de “expertise” dentro da operação.

A adoção deste modelo de SOC é para cobrir lacunas na disponibilidade de habilidades e conhecimentos da equipe interna da organização, restrição de orçamento, e os custos consideráveis das operações 24/7.

Como consequência, operações 5X8 com MSSPs cobrindo os fins de semana e as noites são um modelo popular que clientes Gartner estão começando a adotar mundo afora..

O modelo torna-se adequado para organizações pequenas e de médio porte, assim como para aqueles que trabalham com terceiros em seu dia a dia de operação, tanto de segurança como infra estrutura interna.

Funções de segurança técnica, tais como gerenciamento de dispositivos podem ir para um MSSP, que pode entregar SLAs atrativos com preço acessível, e fornecem um conjunto adicional de entregáveis para sua equipe. Eles podem fornecer também assistência para eventos incomuns como incidentes de segurança, atuações na madrugada e atuações específicas para cada tipo de empresa.

SOC Dedicado

Um SOC dedicado tem instalações, infra-estrutura e equipe dedicadas. Possue todos os recursos requeridos para uma operação contínua do dia a dia. Este time é composto tipicamente por engenheiros de segurança, analistas de segurança e gestores de SOC. Em casos de uma operação com trocas de turnos, é desejável ter um gestor em menor escala(líder, coordenador ou supervisor) em cada turno de atuação, e no turno de 5X8 um gestor do SOC(Gerente).

Esse tipo de SOC é indicado e utilizado por grandes empresas com criticidade alta de seu negócio, dispersas georgraficamente e que necessitam prover alto nível interno de segurança da informação. Esse modelo é gerido especialmente por MSSP, internos ou externos aos clientes.

Command SOC

Grandes organizações, services providers(MSSP) ou empresas que compartilham serviços(Agências do governo por exemplo), podem(e devem) ter mais de um SOC.

Sempre que for necessários para executar de forma autônoma, eles funcionarão como um SOC centralizado ou distribuido, depende da necessidade de cada empresa e seus objetivos de segurança da informação e resposta a incidentes.

Em alguns casos, os SOCs atuarão em conjunto com especialidades divididas geograficamente ou ainda terão um SOC centralizado com comando central do SOC, ou o chamado, quartel general, onde deve estar a gestão hierárquica de toda equipe prestadora de serviço. Em geral grandes organizações requerem este modelo de SOC que seja responsável por esta atuação e responsabilidade, com requerimentos para atuação em monitoração de segurança, gestão de vulnerabilidades e funções para resposta a incidentes.

BENEFÍCIOS E USOS

Os principais benefícios seguem abaixo.

Melhoria na gestão de ameaças – A gestão de ameaças requer geralmente, além da equipe destinada a tal, participação de terceiros para atuação e controle. Essa gestão e atuação pode(e deve) ser conduzida por especialistas de algum modelo de SOC.

Compliance – SOC pode habilitar auditorias para conformidade e reportar através de toda organização por seus meios pré-acordados.

Centralização e Consolidação de Funções de Segurança – Consolidar funções de segurança com um SOC geram eficiência e compartilhamento de custos, assim comoo aumento na economia em escala, enquanto maximiza expertise, conhecimentos e rescursos disponíveis para atuação direta.

Taxa de Utilização

O Gartner estima que 15% de grandes empresas tem um SOC estabelecido com algum dos modelos citados. Isso é impulsionado pelo pontos abaixo:

Requerimentos regulatórios
Legislações atuais e futuras, assim como frameworks mandatórios para monitoração de segurança da informação, resposta a incidentes e notificações de gaps de segurança
Maturidade de programas de segurança da informação, resultando assim na consolidação e cenrtalização de funções de segurança
Aumento dos riscos por violações e incidentes de segurança da informação
Crescimento de tecnologia utilizada em negócios digitais
Adoção no crescimento da gestão de segurança da informação.

O Gartner estima que até 2018, 50% das operações de segurança serão conduzidas por um SOC. Com algum dos 5 modelos expostos ou ao menos, tendo os 5 como modelo customizado.

Riscos

• Falhas nas respostas a ameaças – Com intuito de mitigar e diminuir as respostas a incidentes, ocasionalmente podem ocorrer erros técnicos e de gestão, formando um gap no ambiente onde deve ser corrigido o quanto antes.

• Retenção de conhecimentos e recursos pessoais – Historicamente o Gartner informa que a “carreira” de um analista de SOC tem baixa evidência, ou seja, não dura mais do que 3 ou 4 anos, apesar de formar o profissional com alto expertise técnica, isso acaba preparando o profissional para postos mais altos no mercado de trabalho.

• Demonstração de retorno sobre investimento(ROI) – Líderes da área de segurança, devem ter certeza que pagam por resultados palpáveis para o negócio, e não por métricas de um SOC pura e simplesmente. Os líderes que pagam pelo SOC não desejam saber quantos chamados um analista atende, mas sim como os chamados atendidos tem mitigado ameaças ao ambiente, tornando assim o negócio mais viável e gerando disponibilidade para atuação sem parar.

SOCs Alternativos

Existem algumas poucas alternativas para construir um SOC se o objetivo é para centralizar e consolidar funções de segurança.

Estrutura Informal – Neste modelo não existe um SOC formal.. Seria um modelo menor em proporções e responsabilidades de um SOC/NOC. Analistas de outras área de TI tomariam para si as atividades de análises de segurança. Esse modelo tem alto grau de falso positivo para o ambiente, dando uma impressão falsa de segurança.

Outsourcing de Segurança – Algumas organizações pode optar por terceirizar operações e pessoal de segurança. Isso pode causar delays nas soluções internas nas ameaças existentes.

**Recomendação: Se um fator determinante for o financeiro, a empresa deve focar no valor do seu negócio, e o qual suscetível seja a ameaça à sua organização. Lembrando que por vezes a contratação de um MSSP em um primeiro momento pode parecer mais custoso, mas no montante final, tem-se um resultado muito satisfatório por um investimento menor, priorizando assim o ROI.

Considerações finais

Um SOC, seja ele em qual modelo de atuação for construído, deve ter foco no negócio principal da empresa, priorizando sua forma de atuação, seus recursos de pessoas e sua infra estrutura envolvida.

Não existe um modelo ideal, mas existe uma forma ideal de atuação de um SOC, que vai depender de premissas e objetivos desejados da empresa contratante.

Pessoas são de extrema importância, e mesmo sendo pessoas com alto grau de complexidade técnica, ainda assim são pessoas, onde devem ter uma liderança prioritariamente com uma mescla de técnico/pessoal.

Monitorar, atuar e resolver são os pilares de um SOC, onde as decisões devem existir para mitigar o máximo possível as possíveis ameaças ao ambiente.

Estruturas físicas específicas para um SOC são importantes(em alguns modelos) como:

• Entradas monitoradas e permitidas com alta tecnologia(Iris e/ou biometria);

• SOC com DRC(Disaster Recovery Plan) geograficamente distantes de forma que possam manter as atividades principais do cliente;

• Modelos onde o SOC faz o papel de fornecedor das tecnologias de segurança como appliances, softwares e afins. Isso traz consigo a necessidade de SLAs agressivos que pedem estrutura otimizada e altos investimos ao SOC.

Atuação de um SOC hoje tem sido indispensável para empresas de vários tamanhos. O que determina a utilização de um SOC é o quão valiosas são as informações que ali circulam. Estruturas direcionadas, planejamento focado e pessoal qualificado otimizam os entregáveis aos clientes contratantes.

IMPORTANTE:

As considerações finais não tem nenhuma ligação com o documento e/ou tradução do documento original do Gartner, sendo apenas uma rápida e breve visão do tradutor que atua com criação, gestão e melhorias de SOCs pelos 4 continentes desse mundo, acumulando experiência para auxiliar sempre na condução de um SOC, seja este de que modelo for através da condução e direção da MOE Cybersecurity, Risk and Compliance.

**Documento original em inglês do Gartner desenvolvido pelos analistas Oliver Rochford e Craig Lawson. Com tradução livre e adaptação para realidade ao mercado brasileiro por Marco Correia.

Categories:

No responses yet

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Reporte um incidente de segurança