Um Security Operations Center é um time interno ou terceirizado de profissionais de segurança de TI que monitoram toda a infraestrutura de TI da organização, 24/7, para detectar eventos de segurança cibernética em tempo real e resolvê-los da maneira mais rápida e eficiente possível.
Um SOC (algumas vezes chamado de Information Security Operations Center, ou ISOC) também seleciona, opera e mantém as tecnologias de segurança cibernética da organização, além de analisar dados sobre ameaças para encontrar maneiras de melhorar a postura de segurança da organização.
O principal benefício de operar ou terceirizar o SOC é a unificação e coordenação das ferramentas de segurança, práticas e resposta a incidentes de segurança da organização. Isso resulta na melhoria das medidas preventivas e políticas de segurança, maior rapidez na detecção de ameaças e em respostas mais eficientes e com menor custo às ameaças de segurança.
Um SOC também pode melhorar a confiança do cliente, além de simplificar e reforçar a conformidade de uma organização com regulamentações de privacidade globais, governamentais e do setor em geral.
As atividades e responsabilidades do SOC se enquadram em três categorias gerais.
Inventário de ativos. Um SOC precisa manter um inventário exaustivo de todos os itens que precisam ser protegidos, dentro ou fora do datacenter (por exemplo, aplicativos, bancos de dados, servidores, serviços em cloud, endpoints, etc.) e todas as ferramentas usadas para protegê-los (firewalls, ferramentas antivírus/anti-malware/anti-ransomware, software de monitoramento, etc.). Muitos SOCs utilizam uma solução de descoberta de ativos para esta tarefa.
Manutenção e preparação de rotina. Para maximizar a eficiência das ferramentas e medidas de segurança implementadas, o SOC realiza a manutenção preventiva, como aplicar correções e fazer upgrade de software, além de realizar a atualização contínua de firewalls, whitelists e blacklists e das políticas e procedimentos de segurança.
O SOC também pode criar backups de sistemas, ou auxiliar na criança de procedimentos ou políticas de backup, para garantir a continuidade dos negócios no caso de uma violação de dados, ataque de ransomware ou outros incidentes de segurança cibernética.
Planejamento de resposta a incidentes. O SOC é responsável pelo desenvolvimento de planos de resposta a incidentes, que define as atividades, funções e responsabilidades no caso de uma ameaça ou incidente, além das métricas pelas quais o sucesso de quaisquer resposta a incidentes será medido.
Teste contínuo. A equipe do SOC realiza avaliações abrangentes de vulnerabilidade que identificam a vulnerabilidade de cada recurso a ameaças em potencial, além dos custos associados. Ela também realiza testes de penetração que simulam ataques específicos em mais um sistemas. A equipe remedia ou aperfeiçoa aplicativos, políticas de segurança, melhores práticas e planos de resposta a incidentes com base nos resultados desses testes.
Manter-se atualizado. O SOC deve manter-se atualizado em relação às últimas soluções e tecnologias de segurança e às novidades em inteligência de ameaças: notícias e informações sobre ataques cibernéticos e os hackers que os executam, obtidas junto a redes sociais, fontes do setor e dark web.
Monitoramento de segurança contínuo, 24 horas por dia. O SOC monitora toda a infraestrutura estendida de TI, 24/7/365: aplicativos, servidores, software do sistema, dispositivos de computação, cargas de trabalho na cloud e a rede, em busca de atividades suspeitas e sinais de invasão.
Para muitos SOCs, a tecnologia central de monitoramento, detecção e resposta tem sido Security Information and Event Management, ou SIEM. O SIEM monitora e agrega alertas e telemetria de software e hardware na rede em tempo real, para em seguida analisar os dados para identificar ameaças em potencial. Mais recentemente, alguns SOCs também adotaram a tecnologia Extended Detection and Response (XDR), que fornece telemetria e monitoramento mais detalhados, além da capacidade de automatizar a detecção e resposta a incidentes.
Gerenciamento de logs. O gerenciamento de logs, ou seja, a coleta e análise de dados de logs gerados por cada evento da rede, é um subconjunto do monitoramento que é importante o suficiente para ter o seu próprio parágrafo. Embora a maioria dos departamentos de TI coletem dados de log, é a análise que estabelece atividade normal ou de referência e revela as anomalias que indicam atividades suspeitas.
De fato, muitos hackers têm certeza que as empresas nem sempre analisam os dados de log, o que possibilita que seus vírus e malware não sejam detectados por semana ou até mesmo meses no sistema das vítimas. A maioria das soluções SIEM incluem recursos de gerenciamento de logs.
Detecção de ameaças. A equipe do SOC separa o joio do trigo, as indicações de ameaças cibernéticas e invasões de hackers dos falsos positivos, para em seguida fazer a triagem das ameaças por gravidade. Soluções modernas de SIEM incluem inteligência artificial (IA) que automatiza esses processos e 'aprende' com os dados para melhorar a detecção de atividades suspeitas com o tempo.
Resposta a incidentes. Em resposta a uma ameaça ou incidente real, o SOC entra em ação para limitar os danos. As ações podem incluir:
• Investigar a causa raiz para determinar as vulnerabilidades técnicas que deram aos hackers acesso ao sistema, além de outros fatores (como más práticas de senha ou baixo cumprimento de políticas) que possam ter contribuído com o incidente
• Encerrar endpoints comprometidos ou desconectá-los da rede
• Isolar as áreas comprometidas da rede ou redirecionar o tráfego da rede
• Pausar ou interromper aplicativos ou processos comprometidos
• Excluir arquivos danificados ou infectados
• Executar software antivírus ou anti-malware
• Desativar senhas para usuários internos e externos.
Muitas soluções permitem que SOCs automatizem e acelerem esses e outros tipos de resposta a incidentes.
Recuperação e remediação. Uma vez que o incidente estiver contido, o SOC erradica a ameaça e, em seguida, trabalha para trazer os ativos afetados para seus estados anteriores ao incidente (por exemplo, limpando, restaurando e reconectando discos, dispositivos de usuários finais e outros endpoints; restaurando tráfego de rede; reiniciando aplicativos e processos). No caso de um ataque de ransomware ou violação de dados, a recuperação também pode envolver a transição de sistemas de backups e reconfiguração de senha e credenciais de autenticação.
Post-mortem e refinamento. Para evitar uma recorrência, o SOC usa qualquer inteligência adquirida com o incidente para melhorar o tratamento das vulnerabilidades, atualizar processos e políticas, escolher novas ferramentas de segurança cibernética e revisar o plano de resposta a incidentes. E mais importante, a equipe de SOC também pode tentar determinar se o incidente revela uma nova tendência, ou uma em evolução, de segurança cibernética, para a qual a equipe precisa estar preparada.
Gerenciamento de conformidade. É função do SOC assegurar que todos os aplicativos, sistemas e ferramentas e processos de segurança estejam em conformidade com regulamentações de privacidade de dados como LGPD (Lei Geral de Proteção de Dados), CCPA (California Consumer Privacy Act), PCI DSS (Padrão de Segurança de Dados do Setor de Cartão de Pagamento) e HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde). Após um incidente, o SOC garante que usuários, reguladores, autoridades policiais e outras partes sejam notificadas de acordo com as regulamentações e que os dados de incidente necessário sejam armazenados para fins de evidência e auditoria.
Em geral, principais funções em uma equipe de SOC incluem:
• O gerente do SOC, que administra a equipe, supervisiona todas as operações de segurança e está subordinado ao CISO (chief information security officer) da organização.
• Engenheiros de segurança, que constroem e gerenciam a arquitetura de segurança da organização. Grande parte deste trabalho envolve avaliar, testar, recomendar, implementar e manter ferramentas e tecnologias. Os engenheiros de segurança também trabalham em conjunto com equipes de desenvolvimento ou DevOps/DevSecOps para assegurar que a arquitetura de segurança da organização esteja incluída nos ciclos de desenvolvimento de aplicativos.
• Analistas de segurança, também chamados de investigadores de segurança ou equipe de resposta a incidentes, que são essencialmente o atendimento de emergência no caso de ameaças e incidentes de segurança cibernética. Os analistas detectam, investigam e e fazem a triagem das (priorizam) ameaças; em seguida, identificam o os hosts, endpoints e usuários afetados e tomam as ações apropriadas para minimizar e conter o impacto, ameaça ou incidente. (Em algumas organizações, os investigadores e a equipe de resposta a incidentes são funções separadas, classificadas como analistas Nível 1 e Nível 2, respectivamente.)
• Os caçadores de ameaças (também chamados de analistas de segurança especialistas) são especializados em detectar e conter ameaças avançadas, novas ameaças ou variantes de ameaças que conseguem passar pelas defesas automatizadas.
A equipe de SOC pode incluir outros especialistas, dependendo do tamanho da organização ou do setor em que opera. Empresas maiores podem incluir um Diretor de Resposta a Incidentes, responsável pela comunicação e coordenação da resposta a incidentes. Além disso, alguns SOCs incluem investigadores forense, especializados em recuperar dados (pistas) de dispositivos danificados ou comprometidos em um incidente de segurança cibernética.
DevOps
DevSecOps
IBM Security QRadar XDR é a primeira solução de XDR abrangente do setor de segurança de TI desenvolvida com padrões abertos e automação, reunindo recursos de endpoint detection and response (EDR), network detection and response (NDR) e SIEM em um único fluxo de trabalho.
Com o QRadar XDR, os SOCs podem economizar tempo considerável e eliminar ameaças mais rapidamente, conectando insights, simplificando fluxos de trabalho e usando IA para automatizar respostas.
O conjunto de soluções IBM Security QRadar XDR inclui:
• QRadar XDR Connect, que integra ferramentas de segurança, simplifica fluxos de trabalho, adapta-se às habilidades e necessidades das equipes de segurança e automatiza o SOC.
• QRadar SIEM, com análise de segurança inteligente que analisa automaticamente dados de logs e de fluxo de milhares de dispositivos, endpoints e aplicativos na rede, fornecendo dados sobre as ameaças mais críticas.
• QRadar Network Insights, que oferece análise em tempo real do tráfego da rede, necessária para que as equipes de visibilidade profunda do SOC detectem ameaças antes que seja tarde demais.
• QRadar SOAR (security orchestration, automation and response), que organiza os processos de resposta a incidentes em playbooks dinâmicos para ajudar as equipes de segurança a responder com confiança automatizar de maneira inteligente e colaborar de forma consistente.
Inscreva-se no IBM Security Framing and Discovery Workshop
A Gartner nomeou a IBM como líder no Magic Quadrant de 2021 para SIEM
Introdução ao IBM Security