Infraestrutura de TI 

Trabalho interno ou terceirizado? O que considerar antes de montar um Centro de Operações de Segurança (SOC).

Existem diferentes maneiras de lançar um Centro de Operações de Segurança (SOC): fazê-lo dentro de casa, com um fornecedor externo ou usando uma combinação dos dois. Qual é a melhor alternativa para a sua empresa?

Compartilhar artigo

Se  está pensando em montar um centro de operações de segurança (SOC) para sua empresa, você tem algumas decisões importantes a tomar. Algumas delas  é possível resolver com antecedência, mas outras exigem uma reflexão maior. Neste texto, explicamos um pouco desse processo e destacamos os possíveis resultados.

Qual é a diferença entre um centro de operações de segurança e uma rede de operações de segurança?

Primeiro é ideal entender bem as diferenças entre um SOC e uma rede de operações de segurança (NOC), sistema mais tradicional. NOCs têm como foco principal manter o fluxo de pacotes pelos canais digitais, encontrando e removendo bloqueios. SOCs estendem essa função de “encanador” e asseguram que os pacotes certos cheguem aos lugares certos, procurando por possíveis erros nesse sistema. Por exemplo, uma NOC se preocuparia com níveis de latência abaixo dos normais, enquanto um SOC observaria um endpoint não-autorizado com níveis de acesso elevados e usando recursos de rede em excesso, causando a baixa latência. Um SOC e uma NOC mostram diferentes respostas ao ver falsos positivos. Dentro de uma NOC, isso geralmente não seria visto como um problema, já que sua função é alertar apenas quando a rede está funcionando ou não. Um SOC, em comparação, mostraria que a  infraestrutura foi invadida.

Construir ou terceirizar seu SOC?

A maior decisão na hora de criar um SOC é decidir entre montar um próprio para a empresa ou terceirizar o serviço. Ambos os cenários têm diversas complexidades que marcam não só a montagem do SOC como seus resultados. É possível montar um SOC físico dentro de uma empresa ou usar um fornecedor para terceirizar esse serviço, o chamado SOC-as-a-service (SOCaaS).

Entre essas duas opções, ainda existe uma terceira alternativa que é usar um sistema de segurança gerenciado por um provedor, chamado MSSP. Alguns MSSPs fornecem equipamentos que mantêm a estrutura física na sede, enquanto outros gerenciam os SOCs remotamente por meio de serviços de nuvem. Esse meio-termo pode ser uma ótima alternativa para dar o primeiro passo nessa área e avaliar a experiência antes de optar por um sistema 100% de SOCaaS, principalmente quando  ainda não se tem uma noção completa sobre o quê exatamente precisa ser terceirizado. Ter um MSSP pode ser uma espécie de “teste de SOC” em versão beta, somente com alguns serviços terceirizados  e feedback reduzido sobre possíveis problemas de segurança sem precisar terceirizar toda a operação do sistema desde o começo. Ou seja, o MSSP é uma boa alternativa para ir aprendendo sobre as questões que precisam ser feitas. 

“Enquanto você assimila o que é realmente importante para o seu negócio, você tem a chance de se perguntar: que serviços de segurança eu preciso? Que equipamentos preciso monitorar e como nossos provedores devem interagir com nossos servidores, nossa rede e nossos colaboradores?” 

As origens dos fornecedores de SOCaaS

Existe um fator que faz a escolha um pouco mais complicada: serviços de SOCaaS não são exatamente consistentes, dependendo do fornecedor. Isso acontece pelas diferentes origens de alguns desses fornecedores: uns começaram como MSSPs, outros com foco voltado apenas para detecção de ameaças ou gerenciamento de eventos e endpoints específicos. Alguns fornecedores de SOC começaram suas operações como fornecedores internos ou subsidiários de grandes companhias de tecnologia ou comunicações, vendendo gerenciamento de NOCs antes mesmo de fazer parte do universo dos SOCs, como HP, IBM e Dell. Em outros casos, consultores de segurança e soluções digitais também acabam desenvolvendo serviços semelhantes aos SOCs.

Essa diferença de origens tem relevância porque cria uma expectativa sobre as fortalezas de cada plataforma e as ferramentas que cada fornecedor usa, o que  também ajuda a diferenciá-los na hora de fazer pesquisa de mercado. E deve-se pesquisar sim, justamente por se tratar de um setor altamente fragmentado. Nos EUA, por exemplo, segundo pesquisa da Gartner, os fornecedores de MSSPs mais populares são IBM, AT&T/AlienVault, Atos, Dell secureworks e DXC Technology. Ainda assim, nenhuma dessas empresas detém uma fatia maior que 5% do mercado.

Como escolher um fornecedor de SOCaaS?

A primeira questão que precisa ser definida é também a mais difícil: quais são as demandas? Depois que isso for definido, é possível finalmente pensar de acordo com o orçamento para escolher qual será a prioridade.

Essa é uma tarefa difícil porque fornecedores com sistemas em nuvem costumam ter uma tabela de preços muito complexa, baseada no volume de uso. E muitos desses fornecedores não revelam os detalhes de seus métodos de cobrança antes de fechar um contrato ou, ao menos, um acordo de confidencialidade. Além disso, alguns dos provedores de menor porte funcionam com um pagamento mensal, baseado no número de serviços que empresa utiliza.

Ao analisar uma série de provedores, é possível notar que as estimativas de preço têm uma variação absurda. Fornecedores devem ser mais transparentes sobre os custos de seus serviços. Ao considerar a construção de um Centro de Operações de Segurança próprio, vale a pena fazer uma pesquisa para saber quanto isso custaria com um fornecedor externo e só então ver se faz sentido para a empresa investir em um SOC físico.

Parte do problema de precificação é não saber exatamente quantos servidores e endpoints (ou qualquer sistema de proteção) serão protegidos pelo SOC. Por isso, é importante começar aos poucos, fazendo alguns testes para ver como o fornecedor trabalha, como são seus relatórios e como funciona a comunicação entre o staff e o fornecedor, caso haja algum problema.

Definindo quais serviços você precisa 

Depois de calcular o valor ideal, a próxima medida é entender quais são os recursos, incluindo as pessoas e as ferramentas  necessárias para para cuidar da segurança da empresa e do próprio sistema SOC. Os funcionários podem não ter a capacitação necessária para dar uma resposta adequada em casos de incidentes, ameaças e problemas de operação, e isso pode interferir diretamente na hora de decidir entre construir seu SOC ou optar por um serviço de SOCaaS.

Outro ponto importante é entender que tipo de cobertura a empresanecessita. Se  o serviço é global online, será necessário um monitoramento 24/7 e de funcionários disponíveis full time. Levando a escolha de um fornecedor que tenha múltiplas estruturas de SOC em diferentes países, para se assegurar de que sempre existirá alguém, em algum lugar do mundo, de olho nas redes internacionais. Esse tipo de abordagem em mais de uma zona também pode ajudar a evidenciar possíveis problemas de latência e acesso ao seu site.

Parte dessa avaliação de recursos inclui entender quem  será o responsável pelo SOC terceirizado. Que capacitação é necessária para trabalhar naquela empresa? Quantas pessoas estarão trabalhando nisso durante a noite? O fornecedor tem um analista-chefe disponível para casos de emergência? A equipe do fornecedor somente gerencia alertas ou também faz o dever de casa, com análises de segurança proativas e recomendações para o futuro?  Além disso, é importante definir qual será o tipo de controle da empresa em relação a segurança.

A empresa espera notificações quase imediatas sobre qualquer ameaça?  Pretende mudar de ideia sobre investir em uma equipe própria ou na compra de novos equipamentos?

Aí vem outro fator importante: a geografia. Onde será a base  dos  equipamentos, da equipe e da própria estrutura de SOC? Se o  escritório fica em uma metrópole, talvez seja bom contar com um fornecedor de SOCaaS que tenha uma sede secundária em outra cidade em caso de alguma catástrofe natural (terremotos, inundações, furacões, tsunamis) que possam derrubar a conexão da região.

E finalmente, deve-se definir todos os componentes do SOC: gerenciamento de segurança, monitoramento e detecção de ameaças, entre outros. Análise de log, gerenciamento de vulnerabilidades e resposta a incidentes podem ser necessários eventualmente, então é importante calcular bem como escalonar todos esse serviços dentro do sistema.

Fique atento para sinais de alerta 

É uma boa ideia passar por um período de testes antes de colocar o  sistema de SOC em funcionamento completo. Antes de escolher o  provedor, atente-se a possíveis sinais de alerta, como descrito neste estudo de 2019 sobre a eficiência dos SOCs.

Nenhum consumidor é igual

Fique de olho se o  fornecedor está alinhado com o seu ramo, ou seja, não tem outros clientes de tamanho similar, com um share de mercado semelhante e produtos semelhantes. 

Incompatibilidade

Verifique se o sistema de gerenciamento e serviços é compatível com o modelo que o provedor de SOC fornece, para não ter que mudar o  próprio sistema da empresa.

Sem visibilidade

Assegure-se da visibilidade e controle sobre as funções e condições mais essenciais para o trabalho da empresa.

Equipe frustrada

Veja se não há uma rotatividade muito alta, satisfação baixa e altos níveis de stress entre os membros da sua equipe de segurança.

Falsos positivos

Fique atento para verificar se o  SOC está detectando muitos casos de falso positivo, sem encerrá-los. 

Como começar

Com ameaças cada vez mais frequentes e severas batendo na porta de empresas de todos os tamanhos, este é o momento para começar a pensar se o  sistema atual de NOC é suficiente ou se é hora de fazer um upgrade para um SOC.

“Estabelecer um SOC interno é um desafio para qualquer empresa, porque requer investimentos significativos em expertise, processos e tecnologia. E justificar tais iniciativas costuma ser uma tarefa difícil para os chefes de segurança das empresas. Ao mesmo tempo, terceirizar algumas funções de um SOC pode ser uma solução eficiente em termos de custos. O mais importante é assegurar que o fornecedor escolhido seja completamente capaz de atender suas necessidades”

Artem Karasev,

Gerente Sênior de Produtos de SOC da Kaspersky.

Então boa sorte!

Crie seu próprio Centro de Operações de Segurança (SOC).

Descubra como dar início a um SOC neste guia de Centros de Operações de Segurança da Kaspersky

Sobre os autores

David Strom is an experienced computer industry journalist with a body of work that includes two computer networking books and running the US editions of Network Computing and Tom’s Hardware magazines. He currently curates the Inside Security newsletter and writes for CSOonline.com