A vez dos Security Operations Center

Na verdade a procura por soluções SOCs pode ser traduzida na necessidade de métodos mais eficientes de gerenciamento e monitoração da segurança. A maior parte das empresas carece de respostas para seus problemas de segurança e continuam a sofrer perdas, embora tenham investido milhões em software e soluções de segurança. Para estas empresas um software de gerenciamento (chamados de SEM Security Event Management) parece ser a solução ideal, entretanto adquirir e implementar um software sem desenvolver métodos e processosnão resolve o problema. Não quero dizer que um SOC, ou melhor, que o gerenciamento de segurança não precisa de software. Precisa, e muito, mas reduzir o conceito de SOC a um software é simplificar demais um problema complexo por natureza.

O primeiro pilar de um SOC bem sucedido é formado pelos processos reativos. É comum acreditar que o mais importante em um SOC é a reação, mas reagir a um ataque é apenas um dos processos elementares que formam o conjunto de processos de um SOC. Embora pareça óbvio muitas equipes de segurança não sabem o que fazer quando detectam uma invasão. Se a invasão tiver origem interna, de um funcionário por exemplo, o impasse aumenta e o tempo de resposta acaba sendo longo demais. Os processos reativos devem ser tecnológicos e não tecnológicos. Os processos tecnológicos são bem mais fáceis por serem formados de decisões técnicas como, por exemplo, reconfigurar um firewall, roteador de borda ou outro sistema. O desafio está em desenvolver processos não técnicos como envolver a área de recursos humanos quando um funcionário está envolvido ou a área de negócios e a área jurídica para decidir sobre outras ações. O segundo pilar é a prevenção.

A prevenção começa na informação. A equipe de segurança deverá conhecer a fundo os sistemas da empresa e suas vulnerabilidades. Junto a isso conhecer as ameaças a que esses sistemas estão expostas, criando métodos de priorizar vulnerabilidades e ameaças. O SOC deverá também ter conhecimento do ambiente externo. Isso se torna ainda mais importante quando levamos em conta que um desconhecido qualquer na China pode realizar um ataque desastroso contra qualquer empresa. Há dois caminhos para essa coleta de informações. Um é a utilização de serviços de informação disponíveis na Internet. Há vários hoje disponíveis, alguns pagos, outros gratuitos. O segundo caminho é o intercâmbio de informação entre as empresas. Esse intercâmbio ainda precisa ser melhorado, existindo ainda muito preconceito sobre o assunto. Muitos executivos se recusam a trocar informação com empresas do seu segmento (ou seja, seus concorrentes) sob o pretexto de não expor fraquezas ou simplesmente porque não querem sentar a mesa com concorrentes. Pura bobagem. Os hackers agradecem.

O terceiro pilar do SOC é a detecção, que não significa apenas detectar ataques ou intrusos. O processo de detectar deve ser expandido para um conceito mais amplo de ação proativa, na qual vulnerabilidades, desvios de conduta ou comportamento de usuários e sistemas, ataques, mal uso de recursos e outras não conformidades são rapidamente identificadas e tratadas. A detecção está fortemente baseados nos sensores de segurança. Os sensores são para um SOC o que câmeras e sensores de presença são para as centrais de segurança patrimonial. Em outras palavras, são os olhos e ouvidos do SOC. No caso da segurança digital, os sensores serão sistemas de segurança como firewall, detectores de intrusos, antivírus, sistemas de detecção de vulnerabilidades, dentre outros; além de dispositivos de rede, sistemas operacionais e logs de sistemas aplicativos. Todos esses componentes são fontes de dados que serão centralizados e correlacionados dentro do SOC. Isso significa que sensores mal implementados ou pouco eficientes irão enviar dados pobres para os sistemas de prevenção e detecção do SOC. Dessa forma dados incompletos ou incorretos levam a decisões erradas e, se tratando de segurança, decisões erradas levam quase sempre a prejuízos.