Um centro de operações de segurança, também conhecido como SOC, é um hub de segurança centralizado em uma organização responsável por monitorar continuamente o ambiente de segurança da organização, como infraestrutura de segurança, rede, apps, dispositivos corporativos e qualquer outra tecnologia ou serviço que interaja com a organização.

Além do monitoramento contínuo, da análise de ameaças e da correção de ameaças de segurança, o centro de operações de segurança também é encarregado de melhorar as iniciativas de segurança existentes para garantir que a postura de segurança da organização seja a mais robusta e eficaz possível.

Para atender a essas iniciativas, o centro de operações de segurança recebe e registra continuamente os dados de diversas fontes de dados, que abrangem toda a organização, fornecendo dados de segurança em tempo real que uma equipe de operações de segurança pode usar para análise de segurança em tempo real. Ao fazer isso, a equipe do SOC observará, analisará e corrigirá possíveis ameaças de segurança ininterruptamente e transmitirá informações essenciais sobre ameaças à segurança para a liderança do grupo de executivos.

Um dos principais componentes de um centro de operações de segurança bem-sucedido é o uso de um sistema de gerenciamento de informações e eventos de segurança, também conhecido como SIEM. Um sistema de gerenciamento de informações e eventos de segurança é projetado para receber dados em tempo real de serviços que pesquisam dados de segurança essenciais de uma série de dispositivos dentro da rede de uma organização.

Os dados coletados de um SIEM podem ser usados de várias maneiras. Por exemplo, os dados suspeitos coletados pelo SIEM podem ser usados para gerar alertas de eventos suspeitos ou anômalos.

Um SIEM é usado para canalizar dados relacionados à segurança em soluções de avaliação de vulnerabilidades, como um sistema de prevenção contra intrusões (IPS, pela sigla em inglês), um sistema de detecção de intrusões (IDS), bancos de dados específicos de segurança, data warehouses e plataformas de inteligência de detecção de ameaças (TIP) usadas para realizar operações de segurança adicionais nos dados.

Um dos principais benefícios de ter um SOC é a postura de segurança aprimorada que uma organização obtém com essa iniciativa de segurança.

As organizações que investem em um centro de operações de segurança se beneficiam com o monitoramento contínuo de toda a organização, coletando dados em tempo real sobre sua rede, dispositivos e aplicativos 24 horas por dia, 7 dias por semana. Isso reduz drasticamente o tempo entre um incidente e a reação da organização, o que reduz substancialmente os danos potenciais de um ataque.

Uma organização que utiliza um modelo forte de SOC tem muito mais probabilidade de detectar um ataque malicioso precocemente e reduzir os danos de um possível ataque de segurança cibernética.

Os centros de operações de segurança enfrentam dois obstáculos principais: escassez de pessoal e escassez de profissionais qualificados.

Escassez de pessoal:

No dinâmico mercado de trabalho atual, as organizações estão com dificuldades para contratar e reter os melhores talentos. Isso aplica-se principalmente ao campo da segurança. Com quase 500.000 vagas em aberto na área de segurança no início deste ano e poucos candidatos qualificados para preenchê-las, as equipes de segurança continuam com déficit de pessoal e sobrecarregadas.

Escassez de profissionais qualificados:

O setor de segurança também é muito afetado pela escassez de profissionais qualificados. Quando o pool de funcionários é limitado, as organizações têm acesso a candidatos menos qualificados. Isso significa que os empregadores têm a tarefa de capacitar seus funcionários internamente ou de contar com a equipe existente (às vezes de um departamento secundário) para assumir responsabilidades de trabalho adicionais.

Um centro de operações de segurança funciona como uma estratégia de identificação e contenção de ameaças para as organizações atuais que dependem de tecnologias modernas. A contenção de ameaças conta com diversos aplicativos, serviços e ferramentas de segurança para reduzir os riscos de um ataque cibernético.

Cada centro de operações de segurança decide quais ferramentas de segurança empregará para fortalecer seu ambiente de segurança. No entanto, existem vários aplicativos, serviços e ferramentas de segurança que são comuns à maioria dos centros de operações de segurança.

Sistema de monitoramento de comportamento
O monitoramento de comportamento, uma prática padrão de qualquer centro de operações de segurança moderno, é o processo de monitoramento de diversas propriedades da organização com a intenção de identificar anomalias que possam indicar uma ameaça à segurança.

Estas são as propriedades comuns que as ferramentas de monitoramento de comportamento analisarão:

• Atividade de rede
• Downloads suspeitos
• Reinicializações de endpoints
• Violações de políticas
• Avaliação da localização geográfica do tráfego de entrada/saída
• Mensagens de erro

Sistema de monitoramento de endpoints
Os endpoints dos usuários são um dos alvos mais vulneráveis atualmente quando se trata de ataques de segurança cibernética. Infelizmente, os usuários estão propensos a abrir e-mails maliciosos ou serem vítimas de ataques de engenharia social. O monitoramento ativo de endpoints é prioridade para os centros de operações de segurança atuais.

SIEM (gerenciamento de informações e eventos de segurança)
Um sistema de gerenciamento de informações e eventos de segurança (SIEM, pela sigla em inglês) tem a tarefa de coletar dados de segurança em tempo real de diversos aplicativos, serviços e ferramentas de segurança e gerar alertas para atividades suspeitas. Um SIEM é uma das ferramentas mais importantes em um centro de operações de segurança, pois atua como o hub central de coleta de dados do qual dependem quase todas as decisões relacionadas à segurança.

Sistema de detecção de intrusões (IDS)
Um sistema de detecção de intrusões (IDS, pela sigla em inglês) é outro componente essencial de um centro de operações de segurança. O IDS tem a tarefa de monitorar os dados que entram e saem da rede. Sua função é identificar e sinalizar possíveis ameaças à segurança que trafegam pela rede de uma organização.

Sistema de proteção contra intrusões (IPS)
Um sistema de proteção contra intrusões (IPS, pela sigla em inglês) é semelhante a um IDS, considerando que sua função é mitigar as ameaças que trafegam pela rede de uma organização. No entanto, diferente de um IDS, em que os pacotes suspeitos são identificados e sinalizados para ação posterior por uma equipe de operações de segurança, o IPS identificará e removerá da rede os pacotes suspeitos em tempo real.

A estrutura das atuais equipes de operações de segurança é fundamental para o sucesso de qualquer organização. Os membros das equipes de operações de segurança não precisam apenas ser treinados adequadamente para a sua função específica, mas a equipe como um todo deve operar em colaboração para garantir a segurança e a integridade da organização.

Diretor de segurança da informação (CISO):

O diretor de informações ou CISO é um cargo de diretor executivo encarregado de tomar decisões de alto nível em relação às iniciativas de segurança que afetam toda a empresa.

Esses indivíduos estabelecerão estratégias e operações relacionadas à segurança que serão transmitidas à liderança do centro de operações de segurança, como o diretor de resposta a incidentes e o gerente do SOC, para garantir a uniformidade no enfoque das operações de segurança e prevenção de ameaças.

Gerente de segurança sênior:

O gerente de segurança sênior tem a tarefa de supervisionar todas as operações da equipe do SOC e fornecer diretrizes de alto nível sobre como a equipe deve operar e responder caso ocorra uma ameaça grave à segurança. O gerente de segurança sênior também é responsável por comunicar as orientações ao diretor de segurança da informação (CISO, pela sigla em inglês) para transmitir informações relacionadas a problemas graves de segurança.

Respondente de incidentes:

O respondente de incidentes é responsável por configurar e gerenciar ferramentas de monitoramento de segurança, bem como por emitir relatórios sobre ameaças cibernéticas identificadas. Essa função supervisiona centenas de ameaças diárias à segurança e consiste em tomar decisões em tempo real sobre como lidar com possíveis ameaças à segurança.

Analista do SOC:

O analista do SOC é encarregado de monitorar eventos de segurança e fazer a triagem de alertas para analistas de segurança L2/L3. Eles investigarão todas as atividades suspeitas e responderão a alertas.

A VMware fornece um conjunto de soluções de segurança para permitir a modernização do seu centro de operações de segurança. Com a VMware, você pode adaptar sua resposta com confiança, velocidade e precisão. A VMware proporciona confiança operacional pronta para uso e menor tempo de resolução com a melhor plataforma da categoria.