Central de Operação de Segurança (SOC)
Por Eder Souza
O ano de 2017 foi um ano em que muito se discutiu sobre como seria um SOC destinado a atender às novas mudanças no que diz respeito à Segurança da Informação e ataques como “Wanna Cry”, além dos grandes vazamentos de credenciais de acesso a sites e serviços, trouxeram essas questões ao nível mais estratégico.
Tratamento dos incidentes
O ponto é que, apesar de todos os esforços investidos por empresas de diversos segmentos na construção de Centrais de Operações destinadas ao monitoramento e execução de ações relacionadas à Segurança, o que encontramos na maioria das vezes foram times confusos e ferramentas que não apresentavam o resultado esperado, impactando diretamente na visibilidade e consequentemente nas ações a serem executadas para o tratamento dos incidentes.
Em algumas empresas foi possível encontrar ferramentas que geram centenas ou até milhares de alertas diariamente, o que torna impraticável qualquer análise mais detalhada sobre a origem ou particularidades destes e assim, acabam esquecidos entre as telas de consoles que muitas vezes não refletem a realidade da empresa no que diz respeito a proteção dos dados corporativos.
Além dos itens citados anteriormente, ainda existe a questão dos pacotes cifrados, que muitas vezes devido ao desconhecimento ou falta de investimento em ferramentas adequadas, não são inspecionados e assim a visibilidade sobre os dados trafegados não é completa.
O fato aqui é que, a maioria esmagadora dos códigos desenvolvidos para exfiltrar dados sensíveis e até atacar ativos corporativos enviam e recebem dados de forma protegida, contornando qualquer solução de Segurança que não possuía a visibilidade completa sobre esses pacotes.
O último ponto, mas tão importante quanto os anteriores, está relacionado ao time que atua no SOC, pois para operações críticas como essa é preciso ter um time bem treinado nos processos que devem ser executados a cada novo incidentes, o que na maioria das vezes não acontece. Ao invés disso, é comum encontrar processos confusos e times que não estão habilitados a executar as ações necessárias.
Como construir um SOC
Dito isso, deixo aqui a minha visão sobre como construir um SOC que realmente traga valor para a organização, protegendo que é realmente seja preciso, sem onerar as atividades que são executadas diariamente e consequentemente impactar os negócios.
O primeiro ponto é maximizar o investimento em soluções e para isso a empresa não precisa se tornar uma butique de luxo no quesito Segurança, mas sim fazer as escolhas certas.
Sobre as soluções de Segurança, o importante é ter visibilidade e poder executar ações rápidas e efetivas para conter a proliferação de softwares maliciosos, bem como interromper vazamento de dados sensíveis, e para isso é preciso ter um conjunto de ferramentas que traga visibilidade total sobre o que está trafegando na rede corporativo sem sombras ou distorções, além de monitoramento e possibilidade de contenção diretamente nos endpoints, onde provavelmente o software malicioso se instalou para executar suas ações nocivas.
Ainda sobre essas soluções, é muito importante que exista uma integração entre a ferramenta que proporciona visibilidade sobre o que é trafegado na rede corporativa e a ferramenta que está acompanhando e executando ações nos endpoints, pois ao menor sinal de um software malicioso transitando na rede, é possível descobrir o destino e executar uma ação destinada a remover esse software ou até desconectar o endpoint infectado.
Essa dupla ainda precisa dar condições para um processo investigativo, onde os analistas consigam reconstruir o cenário completo referente ao momento e a forma utilizada pelo software malicioso para explorar e ter acesso aos endpoints e assim entender como se prevenir e conter as próximas tentativas de ataque.
Ainda, a ferramenta também deverá ser utilizada no processo de análise e descoberta de comportamentos estranhos (hunting), que poderá resultar na configuração de alertas e até regras destinadas a disparar ações automatizadas.
Não podemos esquecer que, para essa combinação funcionar da forma esperada, precisamos entregar as informações abertas e para isso, precisamos investir em uma solução destinada a remover a camada de criptografia normalmente aplicada a cada pacote enviado ou recebido.
Essa solução precisa permitir a importação de chaves criptográficas e até a geração de chaves em tempo de acesso aos servidores externos, possibilitando a interceptação dos pacotes, abertura e entrega de uma cópia visível para as ferramentas de monitoramento.
Com essas ferramentas implantadas, um time capacitado para operá-las e os processos de tratamento bem construídos, o investimento provavelmente será maximizado, já que as empresas irão obter um retorno realmente concordante ao investimento efetuado.
Nas próximas postagens vou apresentar algumas soluções que atendem ao publicado aqui e poderão realmente trazer grandes benefícios para as empresas.
Até a próxima!
- Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
- Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
- Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
- Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
- Eder é colunista e membro do conselho editorial do Portal Crypto ID.
Fale com o Eder Souza por meio dos comentários do site ou se preferir escreva diretamente para ele.
e-mail: esouza@e-safer.com.br / skype: eder_souza
[button link=”https://cryptoid.com.br/category/colunistas/eder-souza/” icon=”fa-book” side=”left” target=”” color=”bd4882″ textcolor=”ffffff”]Leia outros artigos do Colunista Eder Souza. Aqui![/button]