Você precisa de um centro de operações de segurança?
Os profissionais de segurança de hoje precisam ter informações precisas acessível a eles a qualquer momento. A acessibilidade é fundamental para que eles respondam aos incidentes de segurança de forma eficiente e eficaz. Colocar todas essas informações em conjunto pode ser algo difícil, pois é preciso que elas sejam coletadas de todos os cantos da empresa. No entanto, difícil ou não, é necessária para que a triagem possa ser realizada rapidamente.
Infelizmente, o relatório de pesquisa de violação de dados da Verizon nos mostra que isso não está acontecendo em uma grande porcentagem de casos. Ao contrário, às vezes demora meses e até anos para uma violação ser notada. Há um punhado de questões fundamentais que torna isso difícil. Elas giram em torno de uma falta de pessoal treinado e qualificado, de ferramentas que forneçam informações precisas e acionáveis e de processos que permitam fazer seu trabalho de forma eficaz.
Para combater esses problemas, algumas organizações têm construído um centro de sistema operacional (SOC, da sigla em inglês) para agilizar o processo de tratamento de incidentes e permitir a facilidade de colaboração entre o pessoal de segurança. Parece ótimo, não? A realidade é que a montagem de um SOC não é tarefa fácil, e pode ser caro, esse é um dos principais motivos das empresas terceirizarem as operações de segurança.
Para tomar a decisão sobre a possibilidade de construir um SOC, terceirizá-lo ou ter uma abordagem híbrida, misturando o pessoal no local de segurança com serviços gerenciados de segurança, olhe para alguns dos principais recursos e decisões na elaboração de um SOC de sucesso.
Em primeiro lugar, um SOC exige profissionais de segurança altamente qualificados para investigar incidentes de segurança, que execute resposta a incidentes e análise forense, além de ajudarem a manter uma organização à tona em meio a uma violação de dados. Estes profissionais de segurança são responsáveis por fornecer informações precisas para a gestão, de forma que a empresa possa tomar decisões sensatas como, por exemplo, na hora de decidir se os sistemas críticos precisam ser desligados para análise ou para parar a exfiltração de dados.
Uma empresa que deseja construir um SOC precisa avaliar se possui expertise in-house, que tipo de treinamento pode ser necessário para obter a equipe atual no nível que eles precisam e se será preciso recrutar pessoal adicional. Recrutar internamente pode ser uma boa escolha desde que os candidatos conheçam bem o negócio e os sistemas. Além disso, os sistemas atuais e administradores de rede são melhores, porque eles têm experiência prática com os sistemas que estarão investigando e já estão propensos a ter habilidades de solução de problemas.
Onde será a caso do SOC é outra decisão que pode ajudar ou atrapalhar o sucesso da equipe. As grandes empresas podem escolher uma instalação autônoma separada dos edifícios principais da empresa, mas que não vai funcionar para o orçamento-amarrado das organizações. Escolher a casa do SOC dentro de uma rede existente do centro de operações ou do datacenter pode ajudar a cortar custos. É importante que o pessoal do SOC seja mantido em conjunto para ajudar a promover a colaboração, cross-training e a moral em geral.
No entando, há mais do que apenas as pessoas e o local. Para ter um SOC bem sucedido é preciso haver processos a seguir e um orçamento de apoio para mantê-lo funcionando. Os processos serão baseados em políticas, como esperado, mas o orçamento precisa ser alocado da gestão. Sem um orçamento grande o suficiente, será difícil manter o pessoal talentoso, comprar as ferramentas necessárias e atender as necessidades do negócio. E isso é um assunto difícil que precisa ser trabalhado antes da construção interna de um SOC.
O SOC terá acesso a logs de sistemas de detecção de intrusões, firewalls, servidores, dispositivos de rede. Para analisar a amplitude e volume de registros de todos esses sistemas de forma eficaz, a segurança da informação e solução de gerenciamento de eventos (SIEM) faz mais sentido, mas não sai barato quando se considera a aquisição de hardware / software, implementação e treinamento. Empresas com falta de orçamento pode ter de viver com ferramentas caseiras por um tempo, ou pode considerar a terceirização de algumas análises a um provedor de serviço de segurança gerenciada (MSSP, da sigla em inglês).
Será que a terceirização faz sentido? Sim, quando não se tem disponível uma expertise interna ou quando o orçamento não permite grandes gastos de capital necessários para contratação de pessoal, casa e treinamento. Graças a muitas ofertas diferentes de MSSPs, como a Dell SecureWorks, Trustwave e Accuvant, as empresas podem optar por terceirizar apenas as atividades de análise de log para complementar o pessoal de segurança existente ou terceirizar todas as atividades relacionadas à segurança.
Terceirização também pode fazer sentido se houver uma necessidade de monitoramento full time. É possível construir um SOC e abrigá-lo em um fuso horário diferente, possivelmente no exterior, mas a escolha de ter 24x7x365 analistas de MSSP disponível pode ser mais econômica.
A decisão de construir um SOC não deve ser tomada de ânimo leve. A construção de um centro self contained bem equipado pode ser um custo proibitivo para muitos. Um compromisso pode ser começar pequeno, reunindo todo o pessoal de segurança em um único local, completando-lhes os serviços de um MSSP e prover o crescimento da equipe e suas responsabilidades ao longo do tempo. Ou, então, os custos de terceirização de todos os aspectos de segurança podem funcionar melhor para sua empresa. Os custos e benefícios devem ser pesados com cuidado para descobrir qual projeto melhor atende as necessidades da sua empresa.