Por Eduardo Lopes

/ Em Segurança da Informação /

Postado em

nov 16, 2017

SOC: Importante aliado no combate ao cibercrime

Pelo menos um incidente grave de segurança será causado por falha na TI até 2020. Esta previsão feita pelo Gartner está diretamente relacionada ao crescimento do cibercrime no Brasil. De acordo com a CompTIA, 87% das empresas tiveram pelo menos uma violação de segurança no último ano. Entretanto, 42% dos ataques cibernéticos foram causados por problemas técnicos e 58% por negligência nos quesitos de segurança.

Soluções de segurança evidentemente reduzem estes riscos significativamente. Elas se tornam ainda mais eficientes quando aliadas a soluções de monitoramento, mas de acordo com o Gartner, apenas 15% das grandes possuem um serviço de SOC (Security Operation Center), que monitora tentativas de invasões e realiza ações proativas ou até mesmo ações reativas. Ataques como o ransomware WannaCry poderiam ser evitados com serviços de um SOC eficiente, por exemplo.

O SOC é responsável por monitorar centenas de milhares de endpoints e servidores por meio de múltiplas redes e gerencia semanalmente milhares de eventos. Porém, 29% das empresas levam de dois a sete dias para responder a um incidente de segurança, o que torna o serviço ineficiente.

Isso ocorre porque um SOC interno demanda altos custos e equipe altamente especializada, pois precisa de no mínimo oito pessoas que trabalhem em regime 12x36h, mantendo pelo menos dois integrantes da equipe durante o dia e durante a noite, já que 70% dos ataques ocorrem fora do horário comercial, quando o monitoramento é realizado geralmente em estruturas mais simples. Por isso, o ideal é contratar uma empresa focada em cibersegurança que já possui a infraestrutura necessária e os custos com pessoal estão absorvidos na operação, além da tranquilidade em contar com profissionais que têm total conhecimento para este tipo de serviço sem preocupações com o gerenciamento da equipe.

 

Como o SOC trabalha para manter a proteção 24x7x365

Gerenciamento do Ambiente de Segurança: além de bloquear acessos de forma total ou parcial, permite monitorar acessos e tráfego em tempo real e visualizar se as suas aplicações estão sendo utilizadas por pessoas ou de forma indevida. É possível também controlar links maliciosos e “páginas mascaradas” e assim, evitar o acesso às informações corporativas valiosas que, com apenas um clique, podem passar tranquilamente por qualquer antivírus.

Vazamento de dados e ameaças avançadas (Threat Intelligence): gerencia eventos para obter insights de possíveis incidentes de segurança. Para ser efetivo, inclui acessar e monitorar menções da empresa e de seus colaboradores em fóruns, redes sociais, sites e páginas que são indexadas pelo Google (Surface Web) e na Deep e Dark Web, fóruns privados e protocolos de troca de mensagens (IRC, private channels e outros).

Monitoramento de Instabilidade e Alteração de Conteúdo: monitora as suas aplicações e o funcionamento de softwares corporativos com o intuito de identificar possíveis inatividades como queda de serviços, instabilidades devido a quedas de link ou erros de servidor, serviço e webservices.

Implementação e monitoramento WAF: por meio de uma solução de Web Application Firewall, a equipe de SOC é capaz de analisar todos os acessos de usuários à aplicações e servidores web críticos para os negócios e protege-los de ataques cibernéticos, sejam eles de negação de serviço (DDoS), SQL Injection, entre outros – sem causar instabilidade no ambiente.

Implementação e monitoramento SIEM: agrega inteligência na coleta, correlacionamento, análise e tratamento de eventos gerados. Especialistas do SOC (Centro de Operações de Segurança) monitoram eventos em tempo real, garantindo que quaisquer comportamentos anômalos, ataques, tendências e atividades maliciosas sejam imediatamente identificadas, priorizadas e gerenciadas.

Monitoramento de Firewalls e endpoints: gerencia de maneira proativa e contínua para garantir a transmissão e recepção somente de dados autorizados. Além disso, monitora o ambiente para verificar como ele está reagindo à presença e ação de agentes externos, identificando, notificando ou tomando as ações devidas no caso de ataques à rede, invasões e presença de vírus.

Tratativas de incidentes e riscos: com milhares e milhares de incidentes de segurança detectados, fica cada vez mais difícil separar o que realmente traz risco do que é apenas “barulho”. Uma equipe de SOC fica responsável por distinguir o que deve ser tratado e dar a tratativa adequada para cada novo incidente encontrado.

 

O que esperar de um SOC terceirizado?

A área de TI precisa hoje responder de forma ágil às crescentes demandas do mercado e manter os sistemas legados funcionando, garantindo a segurança dos negócios. Com um monitoramento via SOC, você deve ter acesso à proteção em tempo real com serviços de segurança gerenciados, monitoramento e análise dos incidentes que ajudam a priorizar respostas e correções. Dessa forma é possível detectar e reagir à incidentes em tempo de execução da operação, o tempo de permanência dos ataques é reduzido e o vazamento de dados evitado.

A área de TI passa então a funcionar como consultora das áreas de negócios, ao atender às necessidades empresariais e oferecer confiança, enquanto especialistas cuidam da segurança.

 

SOC na prática

À frente da divisão de negócio de segurança na Redbelt, a minha equipe de SOC consegue avaliar o desempenho de aplicações e sistemas de várias maneiras, a partir da performance ou da usabilidade.

Avaliamos alteração no conteúdo de aplicações, seja páginas web ou retorno de requisições, identificando se ocorreu qualquer falha de comunicação com os componentes das aplicações ou até mesmo uma possível desfiguração de websites. Também habilitamos uma rápida reação e consequentemente o impacto das ameaças. Esse serviço é disponibilizado aos nossos clientes por meio de uma ferramenta que desenvolvemos, o RIS.

A grande questão é, independente do parceiro que você escolha, tenha em mente obter resultados quantitativos e qualitativos a respeito dos softwares monitorados. Os departamentos da sua empresa precisam de informação para manter o bom funcionamento. Só assim é possível garantir a execução de tarefas de rotina, fundamentais para o sucesso dos negócios.

0
Eduardo Lopes

Autor: Eduardo Lopes

Nos últimos 5 anos participou da implantação de projetos de MSS (Management SecurityServices) em grandes empresas do segmento financeiro, construção civil e órgãos públicos.Trabalha na área e Segurança da Informação há 9 anos com formação em Penetration Testing e Pesquisa Forense, já tendo passado por projetos de auditoria em segmentos de segurança do governo federal, de seguradoras e grupos de cartões de crédito. Dentro das certificações é ISO27001 Lead Auditor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *