Implementação rápida e eficaz de um projeto de SOC

Um centro de operações de segurança SOC (pela sigla inglesa Security Operations Center), deve ter tudo o que precisa, para instalar uma defesa eficaz em qualquer organização que utilize sistemas de TI.

Por Rui Almeida, Incident Response & Cyber Intel Manager na Hardsecure

Isto inclui uma série de tecnologias de deteção e prevenção, profissionais treinados e qualificados e vários tipos de relatórios de inteligência. Garantir os três pilares da segurança da informação de uma organização – confidencialidade, integridade e disponibilidade – não é tarefa fácil. É um grande trabalho muitas vezes complexo e sempre em constante evolução. Este trabalho incorpora muitas tarefas, desde a arquitetura e engenharia dos sistemas, gestão de configurações, gestão de vulnerabilidades, políticas de segurança eficazes para garantir coleta de eventos e respetiva monitorização, para além do treino constante dos seus profissionais.

Sobretudo deve incluir operações de resposta a incidentes de cibersegurança, onde um grupo de pessoas ou equipas encarregam-se de monitorizar e defender a organização contra todos os tipos de ataques cibernéticos.

Num projeto de implementação SOC nos clientes, o tempo de implementação é determinante para qualquer organização que pretenda crescer na área da segurança. A implementação envolve tarefas que devem englobar três etapas. Deve-se definir claramente uma estratégia que incorpore objetivos específicos do negócio, implementar sistemas de proteção e monitorização como firewalls, sistemas de deteção e/ou prevenção contra intrusões IDS/IPS, sistema de segurança da informação e gestão de eventos SIEM e definir o plano de resposta a incidentes.

Por existir uma grande demanda nos dias de hoje por profissionais de segurança, muitas organizações necessitam de lidar com necessidades de ‘compliance’ legal e de regulação e necessitam de recrutar para as suas equipas de segurança e TI profissionais qualificados. Os poucos profissionais que existem no mercado muitas vezes não têm a experiência nem as qualificações que a indústria requer, tornando-se difícil encontrar analistas SOC, que possam responder de forma imediata e eficaz a análises e cenários de ataques mais complexos.

Tendo em consideração estes fatores, a implementação de um SOC, deverá recorrer a tecnologias amigas do analista e de fácil e rápida implementação. É neste sentido que a decisão pelos sistemas a implementar devem ser alvo de uma análise criteriosa e completa que responda às necessidades das entidades responsáveis pela gestão do serviço de segurança, e responder aos objetivos do cliente. 

Nesta opção, o USM Anywhere da Alienvault é uma solução cloud da AT&T Cybersecurity que responde facilmente a estes fatores, sintetizando a solução numa terceira dimensão em que junta a facilidade de implementação e configuração com a facilidade da monitorização e gestão de eventos. O USM Anywhere possui numa solução, em que apenas é necessário a instalação de sensores (mínimo 1) para a monitorização da rede (IDS) e recolha de eventos de syslog locais, não sendo necessário grandes conhecimentos de configurações de ‘parsing’, normalização de eventos e criação de regras de alarmística para estruturar a informação das várias origens dos equipamentos do cliente dentro do SIEM. A mesma solução possui várias regras, plugins, AlienApps e ativos que são geridos pelas equipas de engenharia da AT&T, suportando a maioria dos equipamentos e soluções dos principais fabricantes. Apenas será necessário configurar estes equipamentos para envio dos eventos diretamente ao sensor local, ou alternativamente, caso exista uma AlienApp, para integração com outras soluções cloud do cliente como Azure, Office365, Cisco Umbrella, Sophos Central, PaloAlto entre outros, o que acaba por facilitar e acelerar o processo de integração de soluções de monitorização em qualquer ambiente cliente.

Ao nível operacional existem ainda outras vantagens de realçar, como a instalação facilitada de agentes a partir da cloud (script providenciado pela solução) para a monitorização de ativos, com a capacidades de orquestração de regras baseadas nas deteções ou simples recolha de dados para análises e investigações forenses necessárias de forma centralizada.

A grande vantagem de uma solução baseada na tecnologia USM Anywhere da Alienvault, traduz-se na rapidez de implementação de um projeto de SOC, pois ao invés de durar um ou dois meses a sua implementação, acaba por resumir-se a aproximadamente duas semanas, traduzindo-se numa vantagem competitiva pela simplicidade, mesmo quando os requisitos estão dependentes do lado do cliente com menos conhecimentos técnicos, e que muitas vezes constituem imprevistos e atrasos à implementação do projeto.




Deixe um comentário

O seu email não será publicado