Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
O que é um centro de operações de segurança (SOC)?
Publicado: 15 de março de 2024
Colaboradores: Mark Scapicchio, Amanda Downie, Matthew Finio
Um centro de operações de segurança (SOC) melhora os recursos de detecção, resposta e prevenção de ameaças de uma organização ao unificar e coordenar todas as tecnologias e operações de cibersegurança.
Um SOC — geralmente pronunciado "sock" e às vezes chamado de centro de operações de segurança da informação, ou ISOC — é uma equipe interna ou terceirizada de profissionais de segurança de TI dedicada a monitorar toda a infraestrutura de TI de uma organização 24 horas por dia, 7 dias por semana. Sua missão é detectar, analisar e responder a incidentes de segurança em tempo real. Essa orquestração das funções de cibersegurança permite que a equipe do SOC mantenha a vigilância sobre as redes, sistemas e aplicações da organização e garanta uma postura de defesa proativa contra ciberameaças.
O SOC também seleciona, opera e mantém as tecnologias de cibersegurança da organização e analisa continuamente os dados de ameaças para encontrar maneiras de melhorar a postura de segurança da organização.
Quando não está no local, um SOC geralmente faz parte de serviços de segurança gerenciados (MSS) terceirizados oferecidos por um provedor de serviços de segurança gerenciados (MSSP). O principal benefício de operar ou terceirizar um SOC é que ele unifica e coordena o sistema de segurança de uma organização, incluindo suas ferramentas de segurança, práticas e resposta a incidentes de segurança. Isso geralmente resulta em medidas preventivas e políticas de segurança aprimoradas, detecção mais rápida de ameaças e resposta mais rápida, eficaz e econômica às ameaças à segurança. Um SOC também pode melhorar a confiança do cliente e simplificar e fortalecer a conformidade de uma organização com os regulamentos de privacidade do setor, nacionais e globais.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
O que um centro de operações de segurança (SOC) faz
As atividades e responsabilidades do SOC se enquadram em três categorias gerais.
Preparação, planejamento e prevenção
Inventário de ativos. Um SOC precisa manter um inventário exaustivo de todos os itens que precisam ser protegidos, dentro ou fora do datacenter (por exemplo, aplicativos, bancos de dados, servidores, serviços em cloud, endpoints, etc.) e todas as ferramentas usadas para protegê-los (firewalls, ferramentas antivírus/anti-malware/anti-ransomware, software de monitoramento, etc.). Muitos SOCs utilizam uma solução de descoberta de ativos para esta tarefa.
Manutenção e preparação de rotina. Para maximizar a eficiência das ferramentas e medidas de segurança implementadas, o SOC realiza a manutenção preventiva, como aplicar correções e fazer upgrade de software, além de realizar a atualização contínua de firewalls, whitelists e blacklists e das políticas e procedimentos de segurança.
O SOC também pode criar backups de sistemas, ou auxiliar na criança de procedimentos ou políticas de backup, para garantir a continuidade dos negócios no caso de uma violação de dados, ataque de ransomware ou outros incidentes de segurança cibernética.
Planejamento de resposta a incidentes. O SOC é responsável pelo desenvolvimento de planos de resposta a incidentes, que define as atividades, funções e responsabilidades no caso de uma ameaça ou incidente, além das métricas pelas quais o sucesso de quaisquer resposta a incidentes será medido.
Teste contínuo. A equipe do SOC realiza avaliações abrangentes de vulnerabilidade que identificam a vulnerabilidade de cada recurso a ameaças em potencial, além dos custos associados. Ela também realiza testes de penetração que simulam ataques específicos em mais um sistemas. A equipe remedia ou aperfeiçoa aplicativos, políticas de segurança, melhores práticas e planos de resposta a incidentes com base nos resultados desses testes.
Manter-se atualizado. O SOC deve manter-se atualizado em relação às últimas soluções e tecnologias de segurança e às novidades em inteligência de ameaças: notícias e informações sobre ataques cibernéticos e os hackers que os executam, obtidas junto a redes sociais, fontes do setor e dark web.
Monitoramento, detecção e resposta
Monitoramento de segurança contínuo, 24 horas por dia. O SOC monitora toda a infraestrutura estendida de TI, 24/7/365: aplicativos, servidores, software do sistema, dispositivos de computação, cargas de trabalho na cloud e a rede, em busca de atividades suspeitas e sinais de invasão.
Para muitos SOCs, a tecnologia central de monitoramento, detecção e resposta tem sido Security Information and Event Management, ou SIEM. O SIEM monitora e agrega alertas e telemetria de software e hardware na rede em tempo real, para em seguida analisar os dados para identificar ameaças em potencial. Mais recentemente, alguns SOCs também adotaram a tecnologia Extended Detection and Response (XDR), que fornece telemetria e monitoramento mais detalhados, além da capacidade de automatizar a detecção e resposta a incidentes.
Gerenciamento de logs. O gerenciamento de logs, ou seja, a coleta e análise de dados de logs gerados por cada evento da rede, é um subconjunto do monitoramento que é importante o suficiente para ter o seu próprio parágrafo. Embora a maioria dos departamentos de TI coletem dados de log, é a análise que estabelece atividade normal ou de referência e revela as anomalias que indicam atividades suspeitas.
De fato, muitos hackers têm certeza que as empresas nem sempre analisam os dados de log, o que possibilita que seus vírus e malware não sejam detectados por semana ou até mesmo meses no sistema das vítimas. A maioria das soluções SIEM incluem recursos de gerenciamento de logs.
Detecção de ameaças. A equipe do SOC separa o joio do trigo, as indicações de ameaças cibernéticas e invasões de hackers dos falsos positivos, para em seguida fazer a triagem das ameaças por gravidade. Soluções modernas de SIEM incluem inteligência artificial (IA) que automatiza esses processos e 'aprende' com os dados para melhorar a detecção de atividades suspeitas com o tempo.
Resposta a incidentes. Em resposta a uma ameaça ou incidente real, o SOC entra em ação para limitar os danos. As ações podem incluir:
• Investigar a causa raiz para determinar as vulnerabilidades técnicas que deram aos hackers acesso ao sistema, além de outros fatores (como más práticas de senha ou baixo cumprimento de políticas) que possam ter contribuído com o incidente
• Encerrar endpoints comprometidos ou desconectá-los da rede
• Isolar as áreas comprometidas da rede ou redirecionar o tráfego da rede
• Pausar ou interromper aplicativos ou processos comprometidos
• Excluir arquivos danificados ou infectados
• Executar software antivírus ou anti-malware
• Desativar senhas para usuários internos e externos.
Muitas soluções permitem que SOCs automatizem e acelerem esses e outros tipos de resposta a incidentes.
Recuperação, refinamento e conformidade
Recuperação e remediação: depois que um incidente é contido, o SOC erradica a ameaça e trabalha para recuperar os ativos afetados ao seu estado anterior ao incidente (por exemplo, limpar, restaurar e reconectar discos, dispositivos de usuário e outros endpoints; restaurar o tráfego de rede; reiniciar aplicações e processos). No caso de uma violação de dados ou ataque de ransomware, a recuperação também pode envolver a transição para sistemas de backup e a redefinição de senhas e credenciais de autenticação.
Post-mortem e refinamento: para evitar uma recorrência, o SOC usa qualquer nova inteligência obtida com o incidente para lidar melhor com vulnerabilidades, atualizar processos e políticas, escolher novas ferramentas de cibersegurança ou revisar o plano de resposta a incidentes. Em um nível mais alto, a equipe do SOC também pode tentar determinar se o incidente revela uma tendência de cibersegurança nova ou em mudança para a qual a equipe precisa se preparar.
Gerenciamento de conformidade: é trabalho do SOC garantir que todas as aplicações, sistemas, ferramentas e processos de segurança estejam em conformidade com os regulamentos de privacidade de dados, como GDPR (Global Data Protection Regulation), CCPA (California Consumer Privacy Act), PCI DSS (Payment Card Industry Data Security Standard e HIPAA (Lei de portabilidade e responsabilidade de planos de saúde). Após um incidente, o SOC garante que usuários, reguladores, agentes de segurança pública e outras partes sejam notificados de acordo com os regulamentos e que os dados necessários do incidente sejam retidos para evidências e auditoria.
Benefícios do centro de operações de segurança (SOC)
Um Security Operations Center é um time interno ou terceirizado de profissionais de segurança de TI que monitoram toda a infraestrutura de TI da organização, 24/7, para detectar eventos de segurança cibernética em tempo real e resolvê-los da maneira mais rápida e eficiente possível.
Um SOC (algumas vezes chamado de Information Security Operations Center, ou ISOC) também seleciona, opera e mantém as tecnologias de segurança cibernética da organização, além de analisar dados sobre ameaças para encontrar maneiras de melhorar a postura de segurança da organização.
O principal benefício de operar ou terceirizar o SOC é a unificação e coordenação das ferramentas de segurança, práticas e resposta a incidentes de segurança da organização. Isso resulta na melhoria das medidas preventivas e políticas de segurança, maior rapidez na detecção de ameaças e em respostas mais eficientes e com menor custo às ameaças de segurança.
Um SOC também pode melhorar a confiança do cliente, além de simplificar e reforçar a conformidade de uma organização com regulamentações de privacidade globais, governamentais e do setor em geral.
Principais membros da equipe do centro de operações de segurança (SOC)
Em geral, as principais funções em uma equipe de SOC incluem:
Gerente de SOC: o gerente de SOC administra a equipe, supervisiona todas as operações de segurança e se reporta ao CISO (Diretor de Segurança da Informação) da organização.
Engenheiros de segurança: esses indivíduos constroem e gerenciam a arquitetura de segurança da organização. Grande parte desse trabalho envolve avaliação, testes, recomendação, implementação e manutenção de ferramentas e tecnologias de segurança. Os engenheiros de segurança também trabalham com equipes de desenvolvimento ou DevOps/DevSecOps para garantir que a arquitetura de segurança da organização seja incluída nos ciclos de desenvolvimento de aplicações.
Analistas de segurança: também chamados de investigadores de segurança ou respondentes a incidentes, os analistas de segurança são essencialmente os primeiros a responder às ameaças ou incidentes de cibersegurança. Os analistas detectam, investigam e fazem a triagem (priorizam) as ameaças; em seguida, identificam os hosts, endpoints e usuários afetados. Em seguida, eles tomam as medidas apropriadas para mitigar e conter o impacto, a ameaça ou o incidente. ) Em algumas organizações, os investigadores e os respondentes a incidentes têm funções distintas, classificadas como analistas de nível 1 e nível 2, respectivamente.)
Caçadores de ameaças: também chamados de analistas de segurança especializados ou analistas SOC, os caçadores de ameaças se especializam em detectar e conter ameaças avançadas—caçando novas ameaças ou variantes de ameaças que conseguem passar por defesas automatizadas.
A equipe de SOC pode incluir outros especialistas, dependendo do tamanho da organização ou do tipo de setor. Empresas maiores podem incluir um Diretor de Resposta a Incidentes, responsável por comunicar e coordenar a resposta a incidentes. E alguns SOCs incluem investigadores forenses, que se especializam em recuperar dados (pistas) de dispositivos danificados ou comprometidos em um incidente de cibersegurança.
Recursos
Aprenda com os desafios e sucessos enfrentados pelas equipes de segurança em todo o mundo.
Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.
Protege contra ciberameaças com prevenção 24 horas por dia, 7 dias por semana, e detecção e resposta mais rápidas, impulsionadas por IA.
Os IBM Security X-Force Cyber Ranges colocam suas equipes à prova e mostram como se preparar para o pior dia de sua organização.
Saiba mais sobre essas equipes internas de segurança de TI que se defendem contra ciberataques e fortalecem sua postura de segurança.
Leia os resultados de uma pesquisa com mais de 1.000 membros de equipes SOC em todo o mundo sobre velocidade, tempos de resposta, detecção e automação.