A primeira linha de defesa cibernética para qualquer organização moderna tem sido um SOC bem projetado e bem equipado. Mas, o mundo mudou, as ameaças escalaram, e a superfície de ataque expandiu além da visibilidade. Isso exigiu mais papeis do SOC. Hoje, ele tem influência direta na tomada de decisões críticas e nos níveis de inovação das empresas. O que precisa se traduzir em atualização de processos e tecnologias. Mas de que maneira? O que exatamente compõe um SOC inteligente e moderno?
Há previsão que os custos dos danos causados por cibercrimes devem crescer em USD 7,5 trilhões até 2025, ao passo que os investimentos em SOC devem chegar a US$ 10,5 bilhões até 2032. Uma clara disparidade, que exige planejamento estratégico das empresas na hora de investir no aperfeiçoamento de suas infraestruturas de defesa. Por outro lado, investimentos altos sem considerar o contexto e a jornada de maturidade em cibersegurança da empresa também podem ser pouco eficientes.
Soluções caras nem sempre são sinônimo de maturidade
Muitas empresas, ao pensarem em cibersegurança, investem primeiro em soluções caras que não necessariamente irão elevar o nível de maturidade de segurança do negócio, como, por exemplo, Cloud Access Security Broker (CASB) ou criptografia de dados. E o fazem antes mesmo de ter um sistema efetivo de backup e recuperação de dados.
A mesma lógica se aplica para tecnologias muito comentadas ou consideradas tendência. Ainda que inovadoras, não representam garantia de resultado para todos os tipos de empresa. Alguns líderes e gestores às vezes seguem o hype e acabam investindo em soluções de External Attack Surface Management (EASM) ou de Breach and Attack Simulation (BAS), antes mesmo de terem estruturado internamente uma ferramenta avançada contra ameaças, como um EDR ou um XDR.
Todas as soluções são boas, desde que adotadas no momento certo.
Ações de conscientização, políticas e processos efetivos, assessment e gestão dos ativos existentes no ambiente, gestão básica de identidade de acesso (MFA e Single Sign-on) e um profissional com foco em segurança, custam menos recursos da empresa e são mais efetivos que a inserção isolada de vários produtos de ponta.
Sabemos que hoje, 90% dos ataques cibernéticos poderiam ser frustrados por higiene básica de segurança. As pessoas ainda subestimam o poder do básico bem-feito.
Uma das explicações para investimentos feitos de forma precipitada é a falta de visibilidade do ambiente e dos riscos, cenário comum em muitas empresas. Nesse contexto, um SOC representa uma das soluções mais contratadas para resolver o problema.
Os serviços do SOC são um conjunto de pessoas, processos e tecnologias
Esses 3 pilares precisam estar muito bem alinhados.
Se a empresa utilizar apenas um desses pilares, como o de tecnologias, por exemplo, estará gerando mais alertas, porém menos informação sobre a superfície de ameaças. Em outras palavras, continuará cega sobre o que precisa de fato ver. Da mesma maneira, utilizar somente pessoas inviabiliza o trabalho de tratar os milhares de eventos que acontecem no ambiente a cada hora. Processos também não são suficientes, já que eles dependem de pessoas e de ferramentas para serem medidos e aprimorados.
E mesmo a cibersegurança sendo algo tão dinâmico, ainda vemos muitas empresas ofertarem a “bala de prata’” que sabemos não existir em nosso segmento.
Um SOC hoje, para atender às necessidades de empresas, deve ser formado por profissionais capacitados, e ferramentas consolidadas no mercado integradas com feeds de Threat Intel, capaz de fazer correlacionamento de dados e análises comportamentais. A ideia não é “quero monitorar tudo”. Mas, sim, levantar a fundo todos os ativos do ambiente, quais são as “joias da coroa”, aplicar pesos de riscos para esses ativos, e não focar no monitoramento de dados considerados apenas ‘informativos’, mas no risco da continuidade do negócio. Esse sim é o melhor meio para o sucesso.
A evolução
O próximo passo seria a gestão das vulnerabilidades. Na prática, gestores e responsáveis pelo ambiente digital da empresa identificando fragilidades do ambiente e portas de entrada para possíveis invasores. Pessoas às vezes acreditam que, porque estão com MFA ativo e 100% utilizado, estão protegidas. Mas, alguém está monitorando quantos usuários erraram o MFA de forma repetitiva nas últimas horas, por exemplo? Isso pode ser sinal de um ataque.
O terceiro nível de maturidade seria o treinamento e a conscientização dos colaboradores. Eles são o elo mais forte da corrente, se estiverem atentos aos riscos.
Outra prioridade para garantir um SOC altamente eficiente é investir em tecnologias de Managed Detection and Response (MDR), associada com Security Orchestration, Automation and Response (SOAR), pois estas duas soluções ajudam a operação e a redução no tempo de resposta a possíveis incidentes.
São soluções essenciais.
Em poucos minutos, com o uso destas tecnologias, é possível responder a um incidente, o que compensa o valor do investimento nestas soluções. Elas eram consideradas caras alguns anos atrás, mas o cálculo a ser feito muda quando pensamos nos benefícios oferecidos para proteção cibernética das companhias. O retorno de investimento (ROI) pode ser considerado realmente interessante se avaliarmos que em uma estrutura tradicional de SOC, com consultores nível 1 e Nível 2, processos bem elaborados e playbooks o tempo gasto pode chegar a ser de mais de uma hora, período no qual os danos causados por um criminoso aos ativos, às finanças e à reputação da empresa podem ser incalculáveis.