O que é um centro de operações de segurança (SOC)?

Um centro de operações de segurança, ou SOC, ajuda as organizações a evitar ataques através da identificação, investigação e remediação de ameaças.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir "centro de operações de segurança".
  • Saber como um SOC protege as organizações contra ameaças
  • Comparar as funções de um SOC e de um NOC

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é um centro de operações de segurança (SOC)?

Um centro de operações de segurança (SOC), também conhecido como centro de operações de segurança da informação (ISOC), é uma instalação dedicada onde profissionais de segurança monitoram, analisam e mitigam possíveis ameaças cibernéticas. Devido à natureza distribuída das organizações modernas, o "SOC" é frequentemente usado para descrever a equipe de engenheiros e analistas de segurança que desempenham essas funções.

Embora a arquitetura de um SOC varie de organização para organização, ele preenche várias funções-chave:

  • Monitorar atividades através de redes, servidores, bancos de dados e dispositivos
  • Investigar e responder a ameaças
  • Assegurar a conformidade e melhorar as posturas de segurança

Normalmente, uma organização depende de um único SOC interno para gerenciar e corrigir ameaças, mas grandes empresas podem manter vários SOCs em diferentes países (às vezes chamados de centro de operações de segurança global, ou GSOC) ou optar por empregar um grupo terceirizado de analistas e engenheiros de segurança.

Como um SOC protege as organizações contra ameaças?

Um SOC pode ser configurado de muitas maneiras diferentes, e é provável que mude dependendo das necessidades e recursos de uma organização. Em geral, suas responsabilidades se dividem em três buckets:

perda de dados

Inventário de ativos: para proteger uma organização contra ameaças e identificar falhas de segurança, um SOC precisa de visibilidade total sobre seus sistemas, aplicativos e dados, assim como as ferramentas de segurança que os protegem. Uma ferramenta de descoberta de ativos pode ser usada para realizar o processo de inventário.

Avaliação da vulnerabilidades: para avaliar o possível impacto de um ataque, um SOC pode realizar testes regulares no hardware e software de uma organização e usar os resultados para atualizar suas políticas de segurança ou desenvolver um plano de resposta a incidentes.

Manutenção preventiva: uma vez que um SOC tenha detectado vulnerabilidades na infraestrutura de uma organização, ele pode tomar medidas para fortalecer sua postura de segurança.Isso pode incluir a atualização de firewalls, manutenção de listas de permissão e de bloqueio, correção de software e refinamento de protocolos e procedimentos de segurança.

Detecção

Coleta e análise de logs: um SOC coleta dados de logs gerados por eventos em toda a rede de uma organização (como os documentados por firewalls, sistemas de prevenção e detecção de intrusão, etc.), em seguida analisa esses logs para detectar quaisquer anomalias ou atividades suspeitas. Dependendo do tamanho e da complexidade da infraestrutura de uma organização, este pode ser um processo que usa muitos recursos e pode ser feito através de uma ferramenta automatizada.

Monitoramento de ameaças: um SOC usa dados de logs para criar alertas para atividades suspeitas e outros indicadores de comprometimento (IOC).Os IOCs são anomalias nos dados, irregularidades no tráfego de rede, alterações inesperadas nos arquivos do sistema, uso não autorizado de aplicativos, solicitações estranhas de DNS, ou outro comportamento, que indique que pode ocorrer uma violação ou outro evento malicioso.

Gerenciamento de Informações e Eventos de Segurança (SIEM): um SOC frequentemente trabalha com uma solução SIEM para automatizar a proteção e remediação de ameaças.Os recursos comuns de um SIEM incluem:

  • Agregação de dados de logs
  • Monitoramento de alertas
  • Inteligência contra ameaças avançada
  • Análise de incidentes de segurança
  • Relatórios de conformidade

TCP e UDP

Resposta a incidentes e remediação: quando um ataque ocorre, um SOC frequentemente toma várias medidas para mitigar os danos e restaurar os sistemas impactados.Isso pode incluir o isolamento de dispositivos infectados, a eliminação de arquivos comprometidos, a execução de software antimalware e a realização de uma investigação de causa raiz. Os SOCs podem usar essas descobertas para melhorar as políticas de segurança existentes.

Relatório de conformidade: após um ataque, um SOC ajuda as organizações a permanecerem em conformidade com os regulamentos de privacidade de dados (por exemplo, o GDPR), notificando as autoridades apropriadas sobre o volume e o tipo de dados protegidos que foram comprometidos.

Quais são os tipos comuns de SOCs?

Ao criar um SOC, as organizações têm várias opções. As categorias mais comuns de SOCs incluem:

  • O SOC interno, ou um SOC dedicado, que pertence e é operado pela organização que o utiliza. Os benefícios dos SOCs internos podem incluir tempos de resposta a incidentes mais rápidos e recursos de detecção e resposta de segurança personalizados, embora também possam ser mais caros e de manutenção mais intensa em termos de recursos do que outros SOCs.
  • SOC gerenciado, ou SOC como serviço, permite que as organizações terceirizem as responsabilidades do SOC a um fornecedor de segurança.A maioria dos SOCs gerenciados se encaixam em uma de duas categorias: provedores de serviços gerenciados de segurança (MSSP) e detecção e resposta gerenciada (MDR).
  • MSSP é um serviço gerenciado de SOC que monitora sistemas e dados.O principal papel de um MSSP é alertar as organizações quando uma atividade maliciosa é detectada.Ele faz isso catalogando eventos de rede e detectando anomalias.
  • MDR é um serviço gerenciado de SOC que expande os recursos forenses de um MSSP.Além de monitorar as atividades da rede e criar alertas, também investiga possíveis ameaças, remove falsos positivos dos alertas, oferece análises de dados avançadas e inteligência contra ameaças, e ajuda a remediar incidentes de segurança.

O que é um centro de operações de rede (NOC)?

Um centro de operações de rede, ou NOC, supervisiona a atividade e as ameaças da rede. Uma equipe de NOC é responsável por monitorar a saúde da rede de uma organização, antecipar e prevenir interrupções, defender contra ataques e realizar verificações de manutenção de rotina de vários sistemas e softwares.

Ao contrário de um SOC, que rastreia e mitiga a atividade maliciosa em toda a infraestrutura de uma organização, um NOC está especificamente focado na segurança e no desempenho da rede.

A Cloudflare oferece serviços de SOC?

O Centro de operações de segurança como serviço da Cloudflare combina recursos de detecção e monitoramento com as principais tecnologias de segurança, como um firewall de aplicativos web (WAF), solução de gerenciamento de bots e prevenção de ataques DDoS . Ao transferir as responsabilidades do SOC para a Cloudflare, as organizações podem manter a visibilidade sobre sua infraestrutura, rastrear e mitigar as ameaças recebidas e reduzir os custos gerais de segurança.