Articles

O que é um Centro de Operações de Segurança (SOC)?

Optimizar um modelo de operações de segurança

Enquanto que lidar com incidentes monopoliza grande parte dos recursos do SOC, o principal responsável pela segurança da informação (CISO) é responsável por um quadro mais amplo de risco e conformidade. Para fazer a ponte entre os silos operacionais e de dados através destas funções, uma estratégia eficaz requer uma arquitectura de segurança adaptável que permita às organizações decretar operações de segurança optimizadas. Esta abordagem aumenta a eficiência através da integração, automatização e orquestração, e reduz a quantidade de horas de trabalho necessárias enquanto melhora a sua postura de gestão da segurança da informação.

Um modelo optimizado de operações de segurança requer a adopção de uma estrutura de segurança que facilite a integração de soluções de segurança e inteligência de ameaças nos processos do dia-a-dia. Ferramentas SOC como painéis de controlo centralizados e accionáveis ajudam a integrar dados de ameaças em painéis de controlo e relatórios de monitorização de segurança para manter as operações e a gestão a par da evolução de eventos e actividades. Ao ligar a gestão de ameaças a outros sistemas de gestão de risco e conformidade, as equipas SOC podem gerir melhor a postura de risco global. Tais configurações apoiam a visibilidade contínua entre sistemas e domínios e podem utilizar inteligência accionável para conduzir uma melhor precisão e consistência nas operações de segurança. As funções centralizadas reduzem o peso da partilha manual de dados, auditoria e relatórios ao longo de todo o processo.

A operacionalização da gestão de ameaças deve começar com uma avaliação atenta. Para além das defesas, uma organização deve avaliar processos e políticas. Onde é que a organização é forte? Quais são as lacunas? Qual é a postura de risco? Que dados são recolhidos, e quantos desses dados são utilizados?

Embora cada organização seja diferente, certas capacidades essenciais e as melhores práticas de operações de segurança representam hoje em dia o devido cuidado. Um processo razoável de gestão de ameaças começa com um plano, e inclui a descoberta (incluindo cálculo de base para promover a detecção de anomalias, normalização e correlação), triagem (com base no risco e no valor do activo), análise (incluindo contextualização), e delimitação de âmbito (incluindo investigação iterativa). Os processos de gestão de ameaças alimentam casos prioritizados e caracterizados em programas de resposta a incidentes. Um plano de resposta bem definido é absolutamente fundamental para conter uma ameaça ou minimizar os danos de uma violação de dados.

Plano de Gestão de Ameaças para um Centro de Operações de Segurança (SOC)

Figure 1. Os planos de gestão de ameaças integram e estruturam muitos processos através de operações de segurança e TI.

Visibilidade eficaz e gestão de ameaças recorrerão a muitas fontes de dados, mas pode ser difícil ordenar a informação útil e oportuna. Os dados mais valiosos provaram ser dados de eventos produzidos por contramedidas e activos de TI, indicadores de compromisso (IoCs) produzidos internamente (através de análise de malware) e externamente (através de feeds de inteligência de ameaças), e dados de sistema disponíveis a partir de sensores (por exemplo, anfitrião, rede, base de dados, etc.).

Fontes de dados como estas não são apenas um input para a gestão de ameaças. Acrescentam contexto e tornam a informação valiosa e accionável para uma avaliação mais precisa, precisa e rápida durante todo o esforço iterativo e interactivo de gestão de ameaças. O acesso e a utilização eficaz dos dados correctos para apoiar planos e procedimentos é uma medida de maturidade organizacional. Um cenário “maduro” incluiria um fluxo de trabalho que retira a informação certa ou permite uma acção directa dentro de consolas operacionais e entre produtos. Este fluxo integra operações de TI e equipas e ferramentas de segurança em resposta a incidentes quando há um evento crítico.

Todas estas avaliações ajudarão a dar prioridade onde é necessário um aumento do investimento ou redução do atrito para que a implementação da gestão de ameaças corresponda aos objectivos. Consultores e testes de penetração podem ajudar a aferir a estratégia e maturidade organizacional e a verificar a resposta de segurança contra ataques para obter uma medida actual da capacidade de uma organização para detectar e conter eventos maliciosos. Ao comparar com empresas homólogas, esta análise pode ajudar a justificar e explicar a necessidade de redireccionar ou investir em recursos de operações de ciber-segurança.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *