Blog WatchGuard

Modern SOC e MDR série IV: As diferentes funções dentro de um Modern SOC

Os SOCs modernos são centros de operações de segurança altamente especializados, cujo objetivo é detectar invasores que obtiveram acesso ao dispositivo ou rede de uma organização. Construído em torno de ambientes complexos, uma equipe de especialistas em segurança cibernética com diferentes funções coordena as operações nos SOCs. Esses profissionais executam uma sequência de processos específicos apoiados em ferramentas capazes de processar um grande volume de dados em tempo real para detectar, analisar e responder a ataques com a maior agilidade possível.

As principais funções em um SOC moderno

Os cibercriminosos estão sempre ativos todos os dias do ano. Eles espreitam no sistema, prontos para atacar assim que as organizações descuidarem da segurança. Isso significa que os SOCs, e mais especificamente os SOCs modernos, precisam operar 24 horas por dia, 365 dias por ano na mesma intensidade e garantir que a cobertura fornecida por suas equipes e funções seja suficiente para manter as atividades maliciosas sob controle. As principais funções que trabalham em um SOC moderno incluem:

  • Analista de segurança: existem três níveis para analistas de segurança com diferentes responsabilidades atribuídas a cada nível.

Os analistas de segurança de nível 1 têm a tarefa de monitorar e classificar proativamente os alertas, além de detectar anomalias ou indicadores de ataque e, em seguida, identificar a causa raiz e recomendar a correção. Os analistas de nível 1 filtram alertas falsos positivos de incidentes reais, portanto, a eficiência é fundamental. Eles também são responsáveis por configurar as ferramentas de segurança e monitoramento.

Os analistas de nível 2 são conhecidos como investigadores e trabalham em estreita colaboração com a equipe de resposta. Eles são responsáveis por investigar o incidente de segurança e determinar o que aconteceu, quais sistemas foram afetados, quais técnicas foram usadas, quando e por quê. Em seguida, eles precisam trabalhar com a equipe de resposta para desenvolver medidas de resposta e remediação para evitar ataques semelhantes no futuro. Os analistas de nível 2 revisam quaisquer pontos fracos encontrados nas medidas preventivas de uma organização com o objetivo de fortalecer sua resiliência.

Por fim, os analistas de Nível 3 são considerados os analistas especialistas dentro da equipe SOC. Eles auxiliam o Nível 2 sempre que incidentes complexos exigem uma nova análise de dados comportamentais e inteligência de segurança.

  • Threat Hunter:

A abordagem adotada pelos caçadores de ameaças concentra-se no conhecimento profissional das principais técnicas e comportamentos do invasor, mais do que nas tecnologias de detecção. Seu trabalho é localizar ameaças desconhecidas e sofisticadas que conseguiram burlar os controles existentes. Buscando identificar e responder rapidamente às ameaças, avaliam a segurança da organização de um ponto de vista proativo, permitindo reduzir o tempo de permanência de uma ameaça.

  • A equipe de resposta:

Encarregado de desenvolver e implantar estratégias de contenção, mitigação e erradicação. Às vezes, a resposta é realizada por uma terceira equipe, a área interna de TI ou segurança da empresa, guiada pela equipe de resposta que identifica quais ações são necessárias para garantir uma resposta 100% eficaz para erradicar a presença do invasor em todos os sistemas afetados.

  • Gerente SOC:

Responsável por liderar a equipe, realizando tarefas gerenciais e operacionais, em vez de tarefas técnicas específicas. Essa função realiza responsabilidades de gerenciamento, como orçamento, definição de estratégias, gerenciamento de membros do SOC, coordenação de operações, alcance dos objetivos definidos pela administração da empresa, aquisição de soluções e ferramentas para o SOC, revisão de relatórios de incidentes e geração de relatórios sobre as atividades do SOC para apresentar ao a administração da empresa e os Central Information Security Officers (CISO) do cliente.

  • Equipe de arquitetura:

Responsável por criar e manter a arquitetura da infraestrutura e aplicações do SOC através de testes, avaliações e sugestões de ferramentas adequadas para os complexos processos do SOC. Em estreita colaboração com as outras equipes e especialistas, eles sugerem, avaliam, desenvolvem e testam novas ferramentas e processos que melhoram a eficiência na detecção de ameaças sofisticadas, são mais rápidos na triagem e investigação e mais ágeis no fornecimento de uma resposta coordenada e multidomínio. Isso garante que o invasor não tenha onde se esconder e nenhuma chance de atacar novamente quando a equipe de resposta decidir erradicar a ameaça da organização. Às vezes, eles também são encarregados de garantir a conformidade com a segurança, o que envolve documentar, aderir e atualizar constantemente as práticas de segurança em relação às estruturas internas e do setor.

Definindo tarefas para o desempenho ideal

Como mencionamos acima, uma equipe SOC moderna deve ter uma estrutura organizacional que ajude a implantar processos de trabalho otimizados e bem treinados, onde cada membro da equipe saiba qual é o seu papel para que os invasores que espreitam dentro da rede possam ser detectados e tratados como assim que possível.

Na construção de um SOC moderno e eficiente, a equipe, os processos e as ferramentas tecnológicas implantadas são fatores-chave e você encontra todas as informações necessárias para iniciar o processo de modernização de uma equipe de operações de segurança no e-book Modern SOCs and MDR services: what they are and why they matter

Se você quiser saber mais sobre centros de operações de segurança modernos, não perca nossa série de artigos:

 

 

Compartilhe isso: