O objetivo de um Security Operations Center (SOC) é, de forma contínua, monitorizar, prevenir, detetar, responder e investigar as ameaças (internas e externas) ao sistema de informação da organização.
Para desempenhar a função, o SOC é constituído por recursos humanos, tecnologia, processos e procedimentos, que têm como objetivo desenvolver e garantir uma metodologia de Resposta a Incidentes de Segurança. É utilizando esta metodologia que vão ser geridos, mitigados ou eliminados e analisados os Incidentes de Segurança que uma organização possa ter.
Os modelos de implementação de um SOC vão ser determinados por vários fatores, como por exemplo a obrigatoriedade de os dados recolhidos ficarem, ou não, nas instalações da organização, a ferramenta de Security Information and Event Management (SIEM) ser ou não licenciada à organização ou ter de “residir”, ou não, nas instalações da organização, a existência de capacidade interna de afetar recursos à operacionalização parcial ou integral do SOC.
Os modelos de implementação mais frequentes, são:
implementação como projeto, em que após projeto a equipa interna operacionalizará o SOC;
implementação como projeto, e a externalização total ou parcial da operacionalização do SOC;
externalização completa do SOC sendo este dado como um serviço (SOCaaS).
Independentemente do modelo de SOC que melhor se adeque à organização, importante é que exista essa valência e, mais do que isso, que exista uma capacidade estruturada de prevenção, deteção, análise e resposta a Incidentes de Segurança.
Dado o volume, frequência e diversidade de ataques a que os Sistemas de Informação estão sujeitos a necessidade de um SOC é real. Vamos, de uma forma macro, perceber porquê :
A monitorização contínua e permanente que um SOC proporciona é uma defesa fundamental nestas situações.
Os variados tipos e frequência de acessos externos e internos às aplicações e sistemas, todos os componentes de proteção das redes e sistemas de informação e os mecanismos de interação com parceiros de negócio geram um elevado volume de informação a circular na rede, volumetria de Logs elevada e um número considerável de alertas. É uma sobrecarga de informação, dificilmente analisável e gerível, que é obtida de várias consolas de gestão, que consome tempo de análise e normalmente sem informação de contexto ou de correlacionamento de eventos e informação.
A falsa sensação de segurança por ter implementados vários mecanismos isolados que não contribuem para uma imagem global integrada é,por si só, um risco de segurança.
É fundamental para as organizações terem uma solução integrada que permita a visibilidade do estado de segurança da organização como um todo, permita monitorizar esse estado a partir de um ponto único, ter a possibilidade de entender situações que por si só nada representam, mas conjugadas com outras podem representar ameaças.
Pelo conjunto das ferramentas que integra e pelo nível de especialização de quem o opera, o SOC é um elemento fundamental no acompanhamento do estado de segurança da organização e um recurso decisivo na ajuda à deteção precoce e na resposta aos incidentes de segurança.
Além disso, um SOC pode promover a poupança a longo prazo, por poder ajudar a prevenir ataques que podem prejudicar a saúde financeira ou a reputação da organização - um ataque bem sucedido pode gerar custos elevados caso cause indisponibilidade total ou parcial dos Sistemas de Informação e com isso afetar o normal funcionamento dos processos de negócio (faturação, logística, produção, …).
Se for possível evitar uma multa, por exemplo, por falha na proteção a informação que esteja ao abrigo de regulamentações específicas (RGPD, PCI-DSS, …) por si só já é uma poupança considerável.
A própria reputação da organização pode ser afetada e os parceiros de negócio podem vir a manifestar relutância em manter a relação existente. Os custos intangíveis daqui decorrentes podem ser difíceis de calcular.
O levantamento de informação necessário ao Plano de Resposta a Incidentes de Segurança vai promover a colaboração entre vários departamentos, incluindo entre outros as Unidades de Negócio, Recursos Humanos e Comunicação, levará à identificação dos interlocutores apropriados à resposta a determinados tipos de incidentes e ao levantamento dos riscos mais prováveis bem como à listagem de respostas tanto tecnológicas como de Negócio para as minimizar e ultrapassar. A organização obterá um maior grau de consciencialização e maturidade em cibersegurança.
A equipa de primeira intervenção alicerçará a sua resposta em trabalho previamente realizado, contactará os interlocutores (externos e internos) apropriados, atuará do ponto de vista técnico como, eventualmente, já tenha sido previsto, a comunicação dentro da organização fluirá para os elementos apropriados e as decisões técnicas e de negócio serão tomadas com base em elementos tanto quanto possível tangíveis e em contexto, de forma a diminuir o impacto do incidente no normal funcionamento da organização. É através da intervenção coordenada e colaborativa de vários constituintes da equipa de primeira intervenção que se pretende minimizar o tempo que decorre entre a deteção e a mitigação ou eliminação da ameaça.
Em 2016, a Hardsecure criou uma estrutura dedicada a prestar um serviço que disponibiliza uma Metodologia de Resposta a Incidentes de Segurança para monitorizar, gerir, controlar e reportar Incidentes de Segurança nos Sistemas de Informação.
Além de recursos Humanos qualificados, políticas e procedimentos, o serviço h-SOC da Hardsecure possui recursos tecnológicos contra as últimas ameaças com atualização contínua de inteligência face a novos vetores de ataque, num formato 24x7x365.