Últimas notícias

Fique informado
Os desafios em operacionalizar uma Central de Operação de Segurança (SOC)

Os desafios em operacionalizar uma Central de Operação de Segurança (SOC)

03/01/2018
 Central de Operação de Segurança (SOC)

Eder Alvares P. Souza | Co-fundador e Diretor da e-Safer e Colunista do Portal Crypto ID

Por Eder Souza

O ano de 2017 foi um ano em que muito se discutiu sobre como seria um SOC destinado a atender às novas mudanças no que diz respeito à Segurança da Informação e ataques como “Wanna Cry”, além dos grandes vazamentos de credenciais de acesso a sites e serviços, trouxeram essas questões ao nível mais estratégico.

Tratamento dos incidentes

O ponto é que, apesar de todos os esforços investidos por empresas de diversos segmentos na construção de Centrais de Operações destinadas ao monitoramento e execução de ações relacionadas à Segurança, o que encontramos na maioria das vezes foram times confusos e ferramentas que não apresentavam o resultado esperado, impactando diretamente na visibilidade e consequentemente nas ações a serem executadas para o tratamento dos incidentes.

Em algumas empresas foi possível encontrar ferramentas que geram centenas ou até milhares de alertas diariamente, o que torna impraticável qualquer análise mais detalhada sobre a origem ou particularidades destes e assim, acabam esquecidos entre as telas de consoles que muitas vezes não refletem a realidade da empresa no que diz respeito a proteção dos dados corporativos.

Além dos itens citados anteriormente, ainda existe a questão dos pacotes cifrados, que muitas vezes devido ao desconhecimento ou falta de investimento em ferramentas adequadas, não são inspecionados e assim a visibilidade sobre os dados trafegados não é completa.

O fato aqui é que, a maioria esmagadora dos códigos desenvolvidos para exfiltrar dados sensíveis e até atacar ativos corporativos enviam e recebem dados de forma protegida, contornando qualquer solução de Segurança que não possuía a visibilidade completa sobre esses pacotes.

O último ponto, mas tão importante quanto os anteriores, está relacionado ao time que atua no SOC, pois para operações críticas como essa é preciso ter um time bem treinado nos processos que devem ser executados a cada novo incidentes, o que na maioria das vezes não acontece. Ao invés disso, é comum encontrar processos confusos e times que não estão habilitados a executar as ações necessárias.

Como construir um SOC

Dito isso, deixo aqui a minha visão sobre como construir um SOC que realmente traga valor para a organização, protegendo que é realmente seja preciso, sem onerar as atividades que são executadas diariamente e consequentemente impactar os negócios.

O primeiro ponto é maximizar o investimento em soluções e para isso a empresa não precisa se tornar uma butique de luxo no quesito Segurança, mas sim fazer as escolhas certas.

Sobre as soluções de Segurança, o importante é ter visibilidade e poder executar ações rápidas e efetivas para conter a proliferação de softwares maliciosos, bem como interromper vazamento de dados sensíveis, e para isso é preciso ter um conjunto de ferramentas que traga visibilidade total sobre o que está trafegando na rede corporativo sem sombras ou distorções, além de monitoramento e possibilidade de contenção diretamente nos endpoints, onde provavelmente o software malicioso se instalou para executar suas ações nocivas.

Ainda sobre essas soluções, é muito importante que exista uma integração entre a ferramenta que proporciona visibilidade sobre o que é trafegado na rede corporativa e a ferramenta que está acompanhando e executando ações nos endpoints, pois ao menor sinal de um software malicioso transitando na rede, é possível descobrir o destino e executar uma ação destinada a remover esse software ou até desconectar o endpoint infectado.

Essa dupla ainda precisa dar condições para um processo investigativo, onde os analistas consigam reconstruir o cenário completo referente ao momento e a forma utilizada pelo software malicioso para explorar e ter acesso aos endpoints e assim entender como se prevenir e conter as próximas tentativas de ataque.

Ainda, a ferramenta também deverá ser utilizada no processo de análise e descoberta de comportamentos estranhos (hunting), que poderá resultar na configuração de alertas e até regras destinadas a disparar ações automatizadas.

Não podemos esquecer que, para essa combinação funcionar da forma esperada, precisamos entregar as informações abertas e para isso, precisamos investir em uma solução destinada a remover a camada de criptografia normalmente aplicada a cada pacote enviado ou recebido.

Essa solução precisa permitir a importação de chaves criptográficas e até a geração de chaves em tempo de acesso aos servidores externos, possibilitando a interceptação dos pacotes, abertura e entrega de uma cópia visível para as ferramentas de monitoramento.

Com essas ferramentas implantadas, um time capacitado para operá-las e os processos de tratamento bem construídos, o investimento provavelmente será maximizado, já que as empresas irão obter um retorno realmente concordante ao investimento efetuado.

Nas próximas postagens vou apresentar algumas soluções que atendem ao publicado aqui e poderão realmente trazer grandes benefícios para as empresas.

Até a próxima!

Eder Alvares P. Souza

  • Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
  • Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
  • Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
  • Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
  • Eder é colunista e membro do conselho editorial do Portal Crypto ID.

Fale com o Eder Souza por meio dos comentários do site ou se preferir escreva diretamente para ele.
e-mail:  esouza@e-safer.com.br / skype: eder_souza

 

  Leia outros artigos do Colunista Eder Souza. Aqui!

 

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<