Se\u00a0 est\u00e1 pensando em montar um centro de opera\u00e7\u00f5es de seguran\u00e7a (SOC) para sua empresa, voc\u00ea tem algumas decis\u00f5es importantes a tomar. Algumas delas \u00a0\u00e9 poss\u00edvel resolver com anteced\u00eancia, mas outras exigem uma reflex\u00e3o maior. Neste texto, explicamos um pouco desse processo e destacamos os poss\u00edveis resultados.<\/p>\n
Primeiro \u00e9 ideal entender bem as diferen\u00e7as entre um SOC e uma rede de opera\u00e7\u00f5es de seguran\u00e7a (NOC), sistema mais tradicional. NOCs t\u00eam como foco principal manter o fluxo de pacotes pelos canais digitais, encontrando e removendo bloqueios. SOCs estendem essa fun\u00e7\u00e3o de \u201cencanador\u201d e asseguram que os pacotes certos cheguem aos lugares certos, procurando por poss\u00edveis erros nesse sistema. Por exemplo, uma NOC se preocuparia com n\u00edveis de lat\u00eancia abaixo dos normais, enquanto um SOC observaria um endpoint n\u00e3o-autorizado com n\u00edveis de acesso elevados e usando recursos de rede em excesso, causando a baixa lat\u00eancia. Um SOC e uma NOC mostram diferentes respostas ao ver falsos positivos. Dentro de uma NOC, isso geralmente n\u00e3o seria visto como um problema, j\u00e1 que sua fun\u00e7\u00e3o \u00e9 alertar apenas quando a rede est\u00e1 funcionando ou n\u00e3o. Um SOC, em compara\u00e7\u00e3o, mostraria que a \u00a0infraestrutura foi invadida.<\/p>\n
A maior decis\u00e3o na hora de criar um SOC \u00e9 decidir entre montar um pr\u00f3prio para a empresa ou terceirizar o servi\u00e7o. Ambos os cen\u00e1rios t\u00eam diversas complexidades que marcam n\u00e3o s\u00f3 a montagem do SOC como seus resultados. \u00c9 poss\u00edvel montar um SOC f\u00edsico dentro de uma empresa ou usar um fornecedor para terceirizar esse servi\u00e7o, o chamado SOC-as-a-service (SOCaaS).<\/p>\n
Entre essas duas op\u00e7\u00f5es, ainda existe uma terceira alternativa que \u00e9 usar um sistema de seguran\u00e7a gerenciado por um provedor, chamado MSSP. Alguns MSSPs fornecem equipamentos que mant\u00eam a estrutura f\u00edsica na sede, enquanto outros gerenciam os SOCs remotamente por meio de servi\u00e7os de nuvem. Esse meio-termo pode ser uma \u00f3tima alternativa para dar o primeiro passo nessa \u00e1rea e avaliar a experi\u00eancia antes de optar por um sistema 100% de SOCaaS, principalmente quando \u00a0ainda n\u00e3o se tem uma no\u00e7\u00e3o completa sobre o qu\u00ea exatamente precisa ser terceirizado. Ter um MSSP pode ser uma esp\u00e9cie de \u201cteste de SOC\u201d em vers\u00e3o beta, somente com alguns servi\u00e7os terceirizados\u00a0 e feedback reduzido sobre poss\u00edveis problemas de seguran\u00e7a sem precisar terceirizar toda a opera\u00e7\u00e3o do sistema desde o come\u00e7o. Ou seja, o MSSP \u00e9 uma boa alternativa para ir aprendendo sobre as quest\u00f5es que precisam ser feitas.\u00a0<\/strong><\/p>\n \u201cEnquanto voc\u00ea assimila o que \u00e9 realmente importante para o seu neg\u00f3cio, voc\u00ea tem a chance de se perguntar: que servi\u00e7os de seguran\u00e7a eu preciso? Que equipamentos preciso monitorar e como nossos provedores devem interagir com nossos servidores, nossa rede e nossos colaboradores?\u201d<\/em>\u00a0<\/em><\/strong><\/p><\/blockquote>\n Existe um fator que faz a escolha um pouco mais complicada: servi\u00e7os de SOCaaS n\u00e3o s\u00e3o exatamente consistentes, dependendo do fornecedor. Isso acontece pelas diferentes origens de alguns desses fornecedores: uns come\u00e7aram como MSSPs, outros com foco voltado apenas para detec\u00e7\u00e3o de amea\u00e7as ou gerenciamento de eventos e endpoints espec\u00edficos. Alguns fornecedores de SOC come\u00e7aram suas opera\u00e7\u00f5es como fornecedores internos ou subsidi\u00e1rios de grandes companhias de tecnologia ou comunica\u00e7\u00f5es, vendendo gerenciamento de NOCs antes mesmo de fazer parte do universo dos SOCs, como HP, IBM e Dell. Em outros casos, consultores de seguran\u00e7a e solu\u00e7\u00f5es digitais tamb\u00e9m acabam desenvolvendo servi\u00e7os semelhantes aos SOCs.<\/p>\n Essa diferen\u00e7a de origens tem relev\u00e2ncia porque cria uma expectativa sobre as fortalezas de cada plataforma e as ferramentas que cada fornecedor usa, o que\u00a0 tamb\u00e9m ajuda a diferenci\u00e1-los na hora de fazer pesquisa de mercado. E deve-se pesquisar sim, justamente por se tratar de um setor altamente fragmentado. Nos EUA, por exemplo, segundo pesquisa da Gartner, os fornecedores de MSSPs mais populares s\u00e3o IBM, AT&T\/AlienVault, Atos, Dell secureworks e DXC Technology. Ainda assim, nenhuma dessas empresas det\u00e9m uma fatia maior que 5% do mercado.<\/p>\n A primeira quest\u00e3o que precisa ser definida \u00e9 tamb\u00e9m a mais dif\u00edcil: quais s\u00e3o as demandas? Depois que isso for definido, \u00e9 poss\u00edvel finalmente pensar de acordo com o or\u00e7amento para escolher qual ser\u00e1 a prioridade.<\/p>\n Essa \u00e9 uma tarefa dif\u00edcil porque fornecedores com sistemas em nuvem costumam ter uma tabela de pre\u00e7os muito complexa, baseada no volume de uso. E muitos desses fornecedores n\u00e3o revelam os detalhes de seus m\u00e9todos de cobran\u00e7a antes de fechar um contrato ou, ao menos, um acordo de confidencialidade. Al\u00e9m disso, alguns dos provedores de menor porte funcionam com um pagamento mensal, baseado no n\u00famero de servi\u00e7os que empresa utiliza.<\/p>\n Ao analisar uma s\u00e9rie de provedores, \u00e9 poss\u00edvel notar que as estimativas de pre\u00e7o t\u00eam uma varia\u00e7\u00e3o absurda. Fornecedores devem ser mais transparentes sobre os custos de seus servi\u00e7os. Ao considerar a constru\u00e7\u00e3o de um Centro de Opera\u00e7\u00f5es de Seguran\u00e7a pr\u00f3prio, vale a pena fazer uma pesquisa para saber quanto isso custaria com um fornecedor externo e s\u00f3 ent\u00e3o ver se faz sentido para a empresa investir em um SOC f\u00edsico.<\/p>\n Parte do problema de precifica\u00e7\u00e3o \u00e9 n\u00e3o saber exatamente quantos servidores e endpoints (ou qualquer sistema de prote\u00e7\u00e3o) ser\u00e3o protegidos pelo SOC. Por isso, \u00e9 importante come\u00e7ar aos poucos, fazendo alguns testes para ver como o fornecedor trabalha, como s\u00e3o seus relat\u00f3rios e como funciona a comunica\u00e7\u00e3o entre o staff e o fornecedor, caso haja algum problema.<\/p>\n Depois de calcular o valor ideal, a pr\u00f3xima medida \u00e9 entender quais s\u00e3o os recursos, incluindo as pessoas e as ferramentas \u00a0necess\u00e1rias para para cuidar da seguran\u00e7a da empresa e do pr\u00f3prio sistema SOC. Os funcion\u00e1rios podem n\u00e3o ter a capacita\u00e7\u00e3o necess\u00e1ria para dar uma resposta adequada em casos de incidentes, amea\u00e7as e problemas de opera\u00e7\u00e3o, e isso pode interferir diretamente na hora de decidir entre construir seu SOC ou optar por um servi\u00e7o de SOCaaS.<\/p>\n Outro ponto importante \u00e9 entender que tipo de cobertura a empresanecessita. Se \u00a0o servi\u00e7o \u00e9 global online, ser\u00e1 necess\u00e1rio um monitoramento 24\/7 e de funcion\u00e1rios dispon\u00edveis full time. Levando a escolha de um fornecedor que tenha m\u00faltiplas estruturas de SOC em diferentes pa\u00edses, para se assegurar de que sempre existir\u00e1 algu\u00e9m, em algum lugar do mundo, de olho nas redes internacionais. Esse tipo de abordagem em mais de uma zona tamb\u00e9m pode ajudar a evidenciar poss\u00edveis problemas de lat\u00eancia e acesso ao seu site.<\/p>\n Parte dessa avalia\u00e7\u00e3o de recursos inclui entender quem \u00a0ser\u00e1 o respons\u00e1vel pelo SOC terceirizado. Que capacita\u00e7\u00e3o \u00e9 necess\u00e1ria para trabalhar naquela empresa? Quantas pessoas estar\u00e3o trabalhando nisso durante a noite? O fornecedor tem um analista-chefe dispon\u00edvel para casos de emerg\u00eancia? A equipe do fornecedor somente gerencia alertas ou tamb\u00e9m faz o dever de casa, com an\u00e1lises de seguran\u00e7a proativas e recomenda\u00e7\u00f5es para o futuro? \u00a0Al\u00e9m disso, \u00e9 importante definir qual ser\u00e1 o tipo de controle da empresa em rela\u00e7\u00e3o a seguran\u00e7a.<\/p>\n A empresa espera notifica\u00e7\u00f5es quase imediatas sobre qualquer amea\u00e7a? \u00a0Pretende mudar de ideia sobre investir em uma equipe pr\u00f3pria ou na compra de novos equipamentos?<\/p>\n A\u00ed vem outro fator importante: a geografia. Onde ser\u00e1 a base \u00a0dos \u00a0equipamentos, da equipe e da pr\u00f3pria estrutura de SOC? Se o \u00a0escrit\u00f3rio fica em uma metr\u00f3pole, talvez seja bom contar com um fornecedor de SOCaaS que tenha uma sede secund\u00e1ria em outra cidade em caso de alguma cat\u00e1strofe natural (terremotos, inunda\u00e7\u00f5es, furac\u00f5es, tsunamis) que possam derrubar a conex\u00e3o da regi\u00e3o.<\/p>\n E finalmente, deve-se definir todos os componentes do SOC: gerenciamento de seguran\u00e7a, monitoramento e detec\u00e7\u00e3o de amea\u00e7as, entre outros. An\u00e1lise de log, gerenciamento de vulnerabilidades e resposta a incidentes podem ser necess\u00e1rios eventualmente, ent\u00e3o \u00e9 importante calcular bem como escalonar todos esse servi\u00e7os dentro do sistema.<\/p>\nAs origens dos fornecedores de SOCaaS<\/h3>\n
Como escolher um fornecedor de SOCaaS?<\/h2>\n
Definindo quais servi\u00e7os voc\u00ea precisa\u00a0<\/strong><\/h3>\n
Fique atento para sinais de alerta\u00a0<\/strong><\/h2>\n