Configurar uma maneira de gerenciar a segurança da rede é uma tarefa bastante difícil para qualquer nova organização. E não há apenas uma maneira de fazer isso. A tecnologia moderna e os modelos de serviço eficazes possibilitaram que as organizações terceirizassem sua segurança para provedores profissionais de serviços de segurança cibernética.

Embora a terceirização da segurança possa ser uma boa ideia para alguns, muitas empresas desejam explorar uma opção de segurança mais complexa, mas benéfica, que envolve a criação de um centro de operações de segurança (SOC) dedicado à proteção de suas redes. Como a segurança de uma organização deve ser gerenciada se resume ao orçamento disponível, pessoal e ameaças que o setor enfrenta. Este artigo deve ajudá-lo a avaliar suas prioridades de segurança e escolher entre um SOC interno ou MSSP.

Criando um SOC local 

Ter uma equipe de SOC local em sua organização significa reunir pessoal, processos e tecnologia para construir um sistema que detecte ameaças, alerte a equipe e responda a incidentes de segurança.

Equipe: A equipe pode ser uma coisa complicada ao construir um SOC. Você precisa construir uma equipe de funcionários experientes que saibam como gerenciar e responder a incidentes de segurança. Essa equipe de analistas terá que usar a tecnologia de segurança em que você investiu para detectar ameaças, avaliar possíveis danos e executar procedimentos de rotina para verificar se você está em conformidade com os padrões do setor e se seus controles de segurança estão em ordem.

Alguns cargos SOC para organizar sua equipe:

  • Analistas de segurança: um analista de segurança é o principal responsável por proteger a rede de uma empresa por meio da pesquisa de tendências de TI futuras, da formulação de planos de contingência e da investigação e comunicação de atividades suspeitas.

  • Engenheiro líder de segurança de software: O engenheiro líder de software de segurança é responsável por projetar funções de segurança de software, criar padrões de projeto fortes e seguros e planejar a estratégia e o roteiro de segurança de software da organização.

  • Diretor de segurança: Um diretor de segurança (CSO) lida com a segurança dos dados, pessoal e ativos de uma organização. O CSO é o principal responsável por prevenir violações e ataques comuns, como phishing e malware, desenvolvendo protocolos de segurança herméticos e estratégias de gerenciamento de risco.
  • Diretor de segurança da informação: Um diretor de segurança da informação (CISO) é um executivo de nível gerencial responsável por estabelecer e manter uma visão de segurança que seja escalável, orçamentar e criar programas de segurança inovadores para garantir que os ativos e tecnologias de informação sejam protegidos.

Tecnologia: com um trabalho tão complexo quanto a segurança cibernética, você não pode confiar apenas na equipe para realizar o trabalho. As soluções de segurança atuais são avançadas o suficiente para realizar muitas tarefas pesadas e mundanas. Com isso, seu pessoal ganha mais tempo para concentrar seus esforços no planejamento e na elaboração de estratégias.

As soluções SIEM são um ótimo investimento para qualquer empresa que opte por construir sua própria equipe SOC. As soluções SIEM são abrangentes em sua coleta e processamento de logs de seus dispositivos. Eles fornecem análises visuais para ajudá-lo a entender os dados, relatórios intensivos sobre a atividade da rede e até mesmo recursos de automação que ajudam a responder às ameaças mais rapidamente. O Log360 é uma solução SIEM que oferece recursos de registro e relatório para seu AD, servidores de e-mail e ambientes de nuvem, juntamente com recursos interessantes, como correlação em tempo real e análise de comportamento para ajudar a detectar ameaças e melhorar a postura de conformidade.

É claro que construir seu próprio SOC pode consumir um bocado do seu orçamento, e o tamanho do gasto é determinado pelo SOC que você está tentando construir. Seu nível de maturidade SOC depende dos recursos com os quais você deseja equipar sua equipe.

Aqui está um detalhamento dos níveis de SOC em que sua equipe pode se enquadrar com base nos recursos:

Equipe básica de SOC

  • Recursos de detecção decentes sem muitos recursos de investigação — os recursos forenses não são um investimento que uma equipe SOC básica faz.

  • Os recursos básicos do SIEM não oferecem muita flexibilidade para ajustar o número de alertas recebidos.

  • Uma equipe SOC de nível básico com poucos funcionários pode perder alertas importantes devido à fadiga do alerta.

  • As equipes básicas de SOC geralmente têm pessoal inexperiente e ferramentas de segurança não tão avançadas, o que torna um desafio lidar com grandes incidentes de segurança cibernética.

Equipe SOC intermediária

  • Essas equipes investem em soluções SIEM que possuem mecanismos avançados de detecção de ameaças e oferecem visibilidade razoável da rede da organização.

  • Eles podem ter alguns recursos de detecção e resposta de endpoint e recursos decentes para forense cibernética.

Equipe SOC avançada

  • As equipes avançadas de SOC fazem um grande investimento em soluções SIEM que podem detectar, investigar e responder a ameaças com habilidade.

  • Eles podem optar por orquestração de segurança, automação e recursos de resposta para alavancar manuais que podem automatizar respostas a incidentes.

  • Haverá uma equipe de caça a ameaças dentro desses SOCs que trabalha na procura de ameaças que podem ter passado pela tecnologia de segurança.

  • Essas equipes obterão inteligência para criar contexto para ameaças, para que a equipe possa entendê-las e lidar melhor com elas.

Qualquer um preferiria ter uma equipe SOC avançada com tecnologia de ponta que ajudasse a manter todas as atividades de rede sob controle. Mas a questão, contudo, está na sustentabilidade e consistência. As ferramentas de segurança consideradas de última geração podem se tornar rapidamente desatualizadas em alguns anos e começar a sobrecarregar sua equipe de SOC com alertas inúteis.

A construção de seu SOC depende não apenas da experiência do pessoal, mas também do tipo de recursos de segurança que você deseja incorporar ao seu programa. A estrutura NIST é um modelo de cinco funções que pode ajudá-lo a escolher quais recursos priorizar (idealmente, você implementaria todos os cinco, mas seu orçamento pode não permitir isso). Usando a estrutura do NIST, você pode determinar quais funções ou recursos são a prioridade mais alta para sua organização. A partir daí, é possível calcular orçamentos para introduzir esses recursos e procurar o tipo de solução SIEM que pode ajudá-lo a gerenciar facilmente sua segurança.

No entanto, se, ao analisar o orçamento, você descobrir que não poderá financiar uma equipe SOC totalmente funcional, considere optar por provedores de serviços de segurança.

 Optando por terceirizar sua segurança 

Os provedores de serviços de segurança gerenciados (MSSPs) são uma boa alternativa para as equipes SOC. Para uma nova empresa, sua equipe de SOC pode estar com falta de pessoal e pode estar lutando para lidar com o monitoramento e a priorização de alertas. É aqui que um MSSP pode facilitar a vida. As organizações que exigem monitoramento 24 horas por dia, 7 dias por semana, devem considerar a terceirização de seu SOC para um MSSP.

O motivo mais comum para terceirizar é o orçamento, ou melhor, a falta dele. O esforço e as despesas envolvidas na contratação de pessoal capacitado, no investimento em treinamento e na garantia da escalabilidade do seu processo de segurança cibernética podem ser demais para algumas organizações. Optar por terceirizar para um MSSP pode eliminar grande parte dos custos e esforços, uma vez que esses serviços fornecem recursos SOC para vários clientes ao mesmo tempo. Nem todas as organizações exigem segurança de ponta para sua organização e podem precisar apenas de recursos críticos que um SOC 24 horas por dia, 7 dias por semana pode fornecer; para essas organizações, os MSSPs são uma opção muito mais lucrativa.

Seu MSSP pode gerenciar sua infraestrutura de segurança; eles poderão ajustar os controles de segurança do seu ambiente, gerenciar informações de log e configurar firewalls e outros hardwares de segurança.

Cortar custos é o principal benefício que os MSSPs oferecem em relação à construção de seu próprio SOC. Mas se sua organização opera em um domínio sensível, como finanças ou saúde, que são relativamente mais vulneráveis, talvez seja necessário considerar a criação de um SOC. É um investimento que oferece bons retornos a longo prazo.

Embora o custo seja um fator importante, há muitas outras razões para optar por um MSSP. Um MSSP oferece acesso a seus experientes analistas de SOC e inteligência de ameaças. Incorporar esses recursos por conta própria exigiria investimentos significativos em tecnologia e pessoal, o que pode ser bastante caro. A alta demanda por profissionais experientes em segurança cibernética e o fato de que esses indivíduos com experiência em tecnologia geralmente preferem trabalhar em SOCs estabelecidos serão um impedimento para pequenas e médias empresas que tentam estabelecer seus próprios SOCs.

Vamos ver os prós e contras de cada opção:

Sua própria equipe SOC

  • Prós:

    • Você precisa de um investimento inicial significativo em tecnologia, pessoas e processos para obter um retorno sobre o investimento.

    • Armazenar logs localmente em seu próprio repositório oferece mais controle para gerenciá-los, analisá-los e arquivá-los.

    • Você precisará de uma equipe dedicada que ganhe experiência e aprimore seus recursos de segurança cibernética ao longo do tempo.

  • Contras:

    • Analistas de SOC experientes são difíceis de encontrar, especialmente quando há uma escassez global de habilidades cibernéticas.

    • Assinaturas de inteligência de ameaças podem ser caras, especialmente quando você precisa de muitos feeds, sem contar os desafios apresentados na análise.

    • Criar sua própria equipe SOC requer um grande investimento inicial e uma curva de aprendizado íngreme.

Terceirização para um MSSP

  • Prós:

    • Os MSSPs fornecem a seus clientes uma ampla gama de diferentes profissionais de segurança cibernética e analistas de SOC para impulsionar seus negócios.

    • Os serviços de segurança de um MSSP são alimentados por inteligência de ameaças. Eles são precisos sobre quais dados precisam e distribuem os custos em sua base de clientes existente.

    • Optar por um MSSP é muito mais barato do que construir um SOC, não exigindo investimentos de capital.

  • Contra:

    • Um MSSP distribui o custo de execução de seu SOC por todos os seus clientes. Isso é econômico para organizações que desejam uma variedade de serviços de segurança, mas pode ser caro para organizações que assinaram serviços básicos de segurança.

    • Seus logs estão nas mãos de seu MSSP e seu provedor de serviços pode não permitir que você acesse seus logs em seu console.
    • Você não terá tanto controle sobre sua própria segurança. A capacidade de uma organização de gerenciar sua própria segurança não melhorará com um MSSP, porque toda a experiência com segurança e gerenciamento de incidentes é do MSSP.

Quer saber mais sobre as nossas soluções de segurança? Visite nosso site e confira.

Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Tanya Justin.