Um Centro de Operações de Segurança (SOC) é um dos departamentos que permite manter a segurança informática de diversos locais em funcionamento. Com um papel importante na sociedade, estes departamentos passam despercebidos para o público em geral.
De forma a sabermos o que são, em concreto, e como se vão adaptar aos novos tempos e às futuras mudanças que poderão ser necessárias, falámos com a S21sec para nos ajudar a perceber melhor este tópico.
O que é um SOC?
Um Centro de Operações de Segurança parece ser algo bastante explicito pelo nome, no entanto, poderá ser mais complexo do que muitos imaginam. Como nos explica Miguel Romão, SOC Manager na S21sec em Portugal, um SOC “é formado por uma estrutura de pessoas, processos e tecnologias ligados à área da cibersegurança para monitorizar e melhorar continuamente a postura de segurança de uma organização”.
A grandes responsabilidade destas equipas passa por “detetar, analisar, prevenir e responder a incidentes de cibersegurança”, através de diferentes abordagens. O base da abordagem destes centros é, na sua essência, “receber informação de toda a infraestrutura tecnológica de uma organização, incluindo as suas redes, elementos de segurança, servidores, dispositivos, entre outros.”
Com toda a recolha e analise realizada pelo SOC, basta então correlacionar cada evento que aconteça dentro da organização de forma a obter alertas de segurança sempre que algum movimento pareça estranho ou fuja ao normal funcionamento. Esses alertas são depois analisados e notificados (caso seja detetado um potencial incidente) de forma a prevenir qualquer constrangimento possível.
“É comum que as atividades inerentes ao Centro de Operações de Segurança sejam notificadas, recomendadas e aplicadas na atividade diárias das organizações de acordo com o impacto dos possíveis incidentes de cibersegurança”, conclui Miguel Romão em entrevista ao TechBit.
Qual o investimento necessário para desenvolver um SOC ao nível da estrutura de uma equipa?
Como foi explicado, as funções base da equipa passam por monitorizar, detetar, analisar, investigar e responder a ciberameaças 24h por dia, 7 dias por semana. É esta equipa que se encontra responsável por proteger toda e qualquer informação sensível ou privada que uma organização possa ter na sua posse.
“As equipas de operações de segurança são encarregadas de monitorizar e proteger os ativos das organizações, tais como propriedade intelectual, dados pessoais, sistemas empresariais, e integridade da marca”, comenta o SOC Manager na S21sec em Portugal.
Por norma, um SOC é composto por diversos níveis de funcionários: “Operadores (nível 1), por Analistas (nível 2), por Engenheiros (nível 3), Administradores das tecnologias do SOC, Gestor(es) de resposta a incidentes e é conduzido por um gestor de SOC.”
O investimento que deve ser realizado pelas organizações em função de um bom SOC vai no sentido de fornecer uma formação contínua à equipa de forma a que se possam manter a par da evolução das plataformas utilizadas, das técnicas, táticas e procedimentos (TTP) que por norma são realizadas pelos cibercriminosos.
Uma boa preparação torna-se a melhor defesa para qualquer organização e um investimento na formação das equipas poderá fazer a diferença nos níveis de segurança aplicados.
Mas como será a próxima geração dos SOC?
“Teremos novamente que recorrer aos 3 pilares fundamentais para atingir uma evolução do Centro de Operações de Segurança”, começa por nos explicar Miguel Romão”, “por um lado a tecnologia, por outro as equipas necessárias para aplicarem o seu expertise nas tecnologias e por último os processos que irão organizar o serviço de SOC de forma que seja mais eficiente e eficaz.”
O principal foco das futuras gerações de SOC passa por garantir uma capacidade de executar a maior parte do processo de resposta a incidentes, algo que atualmente nem sempre é possível de ser feito. Uma resposta pontual e precisa a determinado incidente “incidente leva tempo e competências, que muitas organizações simplesmente não têm, especialmente quando precisam de enfrentar múltiplas ameaças em simultâneo.”
Na opinião do especialista em segurança informática é necessário alterar o panorama atual que se baseia na deteção para um funcionamento mais de prevenção e com a execução de medidas mitigadoras de forma a reduzir os riscos. Para que esta mudança ocorra serão necessárias “novas tecnologias e funcionalidades que proporcionem uma visibilidade mais abrangente”.
Desta forma será possível analisar um maior número de ciberameaças em qualquer infraestrutura “onprem, clouds publicas ou privadas ou mesmo OT (ambientes industriais).”
Deve existir ainda uma acompanhamento constante das equipas de SOC para que estejam sempre orientadas para a prevenção e de forma a terem um maior contexto sobre os riscos existentes.
O que é necessário, em termos de tecnologia e terminais, para a construção de um SOC?
Miguel Romão explica-nos que, por norma, os Centros de Operações de Segurança são construídos em torno de uma solução tecnológica designada por sistema de gestão de informação e eventos de segurança (SIEM).
Esta solução é constituída por duas grandes funcionalidades: “por um lado permite armazenar massivamente grandes volumes de informação durante longos períodos, por outro permite correlacionar eventos (Logs) em tempo real para obter alertas de segurança.”
No entanto, é também habitual que no SOC exista mais que um tipo de tecnologias de forma a que exista uma maior variedade de sistemas de segurança, como são o caso as soluções de avaliação de vulnerabilidades, scanners de aplicações e bases de dados, sistemas de prevenção de intrusão “IPS), análise do comportamento de utilizadores e entidades (UEBA), deteção e remediação de endpoints (EDR), plataformas de inteligência de ameaças (TIP) e sistemas de governo, risco e conformidade (GRC).
No futuro, as preocupações serão as mesmas que as dos dias de hoje?
Podemos concluir que será uma evolução gradual do que acontece hoje. Ou seja, as preocupações de hoje são um treino para que os SOC se possam ir adaptando para um futuro mais seguro e com respostas mais rápidas aos problemas que vão surgindo.
“Melhorar as deteções face os novos vetores de ataque que os grupos atacantes utilizam e reduzir o tempo de resposta face a um ciberataque são parte dos principais objetivos de um SOC”, explica Romão. Para que tal aconteça, é necessário que existam “tecnologias que permitam aplicar medidas mitigadoras nas fases iniciais de uma intrusão, equipas com conhecimentos e experiência em ajustar as tecnologias para melhorar a eficiência e eficácia das mesmas nos âmbitos em que estão implementadas”.
Para que tudo funcione sem problemas é ainda necessários que todos os intervenientes conheçam, participem e apliquem as boas práticas e atividades nas operações do quotidiano de um Centro de Operações de Segurança.
Quais são os principais cuidados que se devem ter?
Um dos principais cuidados a ter é ver, de facto, a cibersegurança (tanto nas empresas como a nível pessoal) como uma solução que protege o seu negócio na componente digital, pois a presença online de qualquer pessoa ou empresa torna-os um possível alvo.
“Na maioria dos ataques, os atacantes aproveitam-se das vulnerabilidades e lacunas das proteções das suas vítimas: controlos pouco efetivos, falta de visibilidade, monitorização insuficiente, equipas pouco treinadas para reagir em tempo útil, por exemplo”, comenta Miguel Romão ao TechBit.
Na opinião do especialista em cibersegurança, uma formação em condições é, por vezes, mais eficiente que muitos sistemas de segurança. “É importante as pessoas estarem sensibilizadas e atentas, pois basta um descuido ao aceder a determinados sites ou clicar em determinados links, para sermos a porta de entrada de um ciberataque”.
Seguindo esta lógica, a S21sec deixa alguns conselhos que podem ajudar a prevenir desastres maiores:
- É fundamental pensar antes de clicar: nunca se deve abrir um anexo ou clicar em links de remetentes que não se conhece.
- Não se deve confiar em promoções, ofertas ou sorteios: é necessário verificar sempre as páginas oficiais das empresas.
- Verificar a fonte: principalmente se o e-mail solicitar a confirmação de informações pessoais e/ou financeiras.
- Atualizar as suas senhas: e não as reutilizar nas redes sociais ou em sites potencialmente inseguros.
- É extremamente importante instalar soluções de segurança nos dispositivos e mantê-las atualizadas.
- Ter cuidado com as informações que se publica nas redes sociais: não partilhar dados pessoais ou imagens que o possam comprometer o indivíduo ou a sua organização.
