SOC – Security Operation Center

6 de dezembro de 2023 • Artigos

As ferramentas que você usa para fazer monitoramento e análise de segurança podem ser um pouco mais variadas do que apenas um monitor de CCTV, mas o conceito é o mesmo.

Infelizmente, ao contrário das câmeras de CCTV, você não pode simplesmente olhar para um monitor e ver imediatamente uma ameaça ativa em andamento, ou usar uma gravação de vídeo para processar um criminoso depois de pegá-lo em flagrante. As “migalhas de pão” de incidentes e exposições de segurança cibernética são muito mais variadas, distribuídas e ocultas do que o que pode ser capturado em um único feed de câmera, e é por isso que é preciso mais do que apenas uma única ferramenta para monitorar seu ambiente com eficácia.

Equipes de Centro de Operações de Segurança (SOC) são responsáveis por monitorar, detectar, conter e remediar ameaças de TI em aplicativos, dispositivos e sistemas críticos em seus ambientes de nuvem pública e privada, bem como em locais físicos.

Usando uma variedade de tecnologias e processos, as equipes SOC contam com a inteligência de ameaças mais recente para determinar se uma ameaça ativa está ocorrendo, o escopo do impacto e a remediação apropriada.

As funções e responsabilidades do SOC continuam a evoluir à medida que a frequência e a gravidade dos incidentes continuam a aumentar.

Construindo um SOC com recursos limitados é uma corrida contra o tempo

Para muitas organizações (a menos que você trabalhe para um grande banco), construir um SOC pode parecer uma tarefa impossível. Com recursos limitados (tempo, pessoal e orçamento), montar um centro de operações suportado por múltiplas tecnologias de monitoramento de segurança e atualizações de ameaças em tempo quase real não parece nada DIY. Na verdade, você pode duvidar que terá membros de equipe em tempo integral e qualificados suficientes para implementar e gerenciar essas diferentes ferramentas de forma contínua. É por isso que é essencial procurar maneiras de simplificar e unificar o monitoramento de segurança para otimizar os processos.

Felizmente, a plataforma Unified Security Management® (USM) da AlienVault®, fornecida pela AT&T Cybersecurity, fornece a base necessária para construir um SOC. Com o AlienVault® USM, alimentado por inteligência de ameaças da AT&T Alien Labs Security Research Team e do AlienVault® Open Threat Exchange® (OTX), você pode obter rapidamente uma combinação bem orquestrada de pessoas, processos, ferramentas e inteligência de ameaças. Praticamente todos os ingredientes principais para construir um SOC.

Detalhes do Ativo:

Todas as informações relevantes à segurança sobre um ativo são exibidas por uma única console. Ao clicar nos detalhes do ativo, você pode revisar todas as vulnerabilidades, alarmes e eventos associados a um ativo específico.

Este recurso é importante para analistas de SOC porque permite que eles rapidamente tenham uma visão completa da postura de segurança de um ativo específico. Isso pode ajudá-los a priorizar as ameaças, investigar incidentes e responder a ataques com mais eficácia.

Aqui estão alguns exemplos de como os analistas de SOC podem usar o recurso de detalhes de ativos do AlienVault USM:

  • Identificar ativos críticos que precisam ser monitorados mais de perto
  • Investigar vulnerabilidades e alarmes específicos
  • Responder a ataques e determinar o escopo do impacto
  • Gerar relatórios de segurança sobre ativos específicos

Avaliação de Vulnerabilidades

Por que isso é importante?

Vulnerabilidades representam as pequenas rachaduras que um invasor usa para se infiltrar em seus sistemas críticos. Isso é comumente referido como a “superfície de ataque”, e essas pequenas rachaduras podem se abrir quando você menos espera. É por isso que é essencial avaliar continuamente todo o seu panorama de TI em busca de vulnerabilidades. Além disso, você pode estar sujeito a uma variedade de mandatos contratuais e regulatórios (por exemplo, PCI DSS, SOX, etc.) que exigem avaliações periódicas de vulnerabilidades para demonstrar conformidade.

Prevenção vs. Detecção

O ponto chave a enfatizar aqui é a importância da detecção (vs. prevenção). É claro que as organizações precisam implementar ferramentas preventivas (por exemplo, firewalls, antivírus, etc.), além de garantir que as vulnerabilidades sejam corrigidas, entre outras atividades de prevenção (por exemplo, segurança de configurações de desktop e gerenciamento de contas e políticas rígidas de senha, etc.).

Mas nos últimos anos, a detecção rapidamente aumentou de importância. Os atacantes evoluíram suas capacidades – considere o aumento de ataques cibernéticos como ransomware e ameaças DDoS – a ponto de executarem esses ataques sem serem notados. No AT&T Marketplace Pulse: Global State of Cybersecurity*, eles descobriram que era comum as vítimas descobrirem que haviam sido violadas por um terceiro, em vez de descobrir essas violações por si mesmas.

Organizações menores, com orçamentos e tempo limitados, precisam de uma nova abordagem – uma que combine as ferramentas essenciais para construir um SOC em um fluxo de trabalho que possa ser facilmente suportado por equipes pequenas. Esses recursos essenciais do SOC incluem descoberta de ativos, avaliação de vulnerabilidades, monitoramento comportamental, detecção de intrusão e SIEM (gerenciamento de informações e eventos de segurança).

SIEM

Por que isso é importante?

Coletar e analisar eventos do sistema de toda a rede fornece uma grande quantidade de material de dados não tratados que você pode usar para minerar atividades suspeitas. As ferramentas de Gerenciamento de Informação e Eventos de Segurança (SIEM) foram desenvolvidas com a suposição de que, procurando certos padrões de atividade e sequências de eventos, você pode ajudar a detectar um ataque cibernético, bem como validar e demonstrar conformidade regulatória. As ferramentas SIEM fornecem uma base fundamental para a construção de um SOC devido à sua capacidade de aplicar regras de correlação dinâmica a uma montanha de dados de log de eventos díspares e variados para encontrar as ameaças mais recentes.

Fonte: How to build a Security Operations Center (on a budget)

AT&T Cybersecurity

Entre em contato com um dos nossos especialistas!

👇👇

📲 WhatsApp

📷 Instagram

🌐 Site

Quer saber mais sobre nossos serviços?

Fale com um dos nossos consultores
de vendas ou envie um e-mail.

[email protected]