CENTRO DE OPERAÇÕES DE SEGURANÇA: Definição, Tipos, Analista, Salário e Estrutura

Os dados da infraestrutura, redes, serviços em nuvem e dispositivos de uma organização são correlacionados por um centro de operações de segurança (SOC). Gerenciar a postura geral de segurança de uma empresa e fornecer consciência situacional é responsabilidade de um SOC, que é um grupo cooperativo de especialistas em segurança da informação. Saiba mais sobre o trabalho de analista em um centro de operações de segurança. As abordagens estratégicas de defesa dos centros de operações de segurança (SOCs) são padronizadas pelas estruturas SOC. Ele ajuda a minimizar os riscos de segurança cibernética e a melhorar constantemente as operações. 

Centro de Operações de Segurança

Os objetivos das atividades do SOC são reconhecer, monitorar, rastrear, analisar, apresentar e responder a ameaças reais e potenciais à empresa. O gerenciamento diário da segurança de uma rede e infraestrutura dentro de uma organização é responsabilidade de uma equipe do centro de operações de segurança (SOC). Encontrar incidentes e ameaças de segurança, analisá-los e, em seguida, tomar as medidas adequadas são os principais objetivos da equipe de SOC. 

As práticas de segurança de uma organização, procedimentos e resposta a incidentes de segurança são unificados e coordenados por um SOC, que é a principal vantagem de executar um internamente ou terceirizar. Políticas de segurança e medidas preventivas aprimoradas, detecção mais rápida de ameaças e respostas mais rápidas, eficazes e acessíveis a ameaças de segurança são os resultados típicos disso. Além disso, um SOC pode aumentar a confiança do cliente e agilizar e fortalecer a adesão de uma organização aos regulamentos de privacidade regionais, nacionais e internacionais.

Leia também: SISTEMA DE SEGURANÇA DE NEGÓCIOS: O que é, tipos e custo

Empregos no Centro de Operações de Segurança (SOC)

#1. Planejamento de Resposta a Incidentes

O SOC é responsável por criar o plano de resposta a incidentes da organização, que descreve atividades, papéis e responsabilidades no caso de uma ameaça ou incidente, bem como as métricas pelas quais a eficácia de qualquer resposta a incidentes será avaliada. 

#2. Mantendo-se atualizado

O SOC acompanha as inovações e ferramentas de segurança mais recentes, bem como a inteligência de ameaças mais recente, que são notícias e detalhes sobre ataques cibernéticos e os hackers que os realizam, coletados em mídias sociais, fontes comerciais e na dark web .

#3. Teste Regular

A equipe SOC realiza avaliações de vulnerabilidade, avaliações aprofundadas que identificam a suscetibilidade de cada recurso a perigos potenciais e os custos correspondentes. Além disso, realiza testes de penetração que imitam ataques específicos em sistemas adicionais. Com base nas descobertas desses testes, a equipe corrige ou aprimora aplicativos, diretrizes de segurança, práticas recomendadas e planos de resposta a incidentes.

#4. Manutenção e preparação de rotina

 O SOC realiza manutenção preventiva, como aplicação de patches e atualizações de software e atualização rotineira de firewalls, listas brancas e listas negras, políticas de segurança e procedimentos para maximizar a eficiência das ferramentas e medidas de segurança em vigor. O SOC também pode criar backups do sistema ou auxiliar no desenvolvimento de políticas ou procedimentos de backup para garantir a continuidade dos negócios em caso de violação de dados, ataque de ransomware ou outros incidentes de segurança cibernética.

#5. Detecção de ameaças

A equipe SOC separa os sinais do ruído, separando as indicações de ameaças cibernéticas reais e explorações de hackers dos falsos positivos, antes de classificar as ameaças de acordo com sua gravidade. A inteligência artificial (IA) é um componente das soluções SIEM contemporâneas que automatiza esses procedimentos e melhora gradualmente a identificação de atividades suspeitas “aprendendo” com os dados.

Funções de um centro de operações de segurança

• Gerenciamento e Manutenção: Atualizações e patches para ferramentas de segurança são rastreados e gerenciados.
• Monitoramento de logs de eventos para infraestrutura, sistemas, dispositivos e redes para procurar atividades incomuns ou suspeitas.
• Coleta de inteligência, bem como a detecção e prevenção de possíveis ameaças e ataques.
• Análise e investigação de incidentes: Encontrar a causa de um evento ou ameaça e determinar o quão profundamente ele se infiltrou e danificou os sistemas da empresa.
• Ameaça ou resposta ao ataque: Coordenar uma abordagem para efetivamente lidar e conter a ameaça ou incidente.
• Recuperar dados perdidos ou roubados, lidar com vulnerabilidades, atualizar ferramentas de alerta e reavaliar procedimentos são partes da recuperação e correção. 

Um estabelecimento usado para monitorar, detectar, examinar e reagir centralmente a ataques cibernéticos e outros incidentes de segurança é conhecido como Centro de Operações de Segurança (SOC). Um centro de operações de segurança (SOC) pode ser um espaço físico ou virtual executado por uma equipe de segurança interna ou por um provedor de serviços de segurança gerenciada (MSSP).

Tipos de um centro de operações de segurança

A maioria das empresas descobre que o gerenciamento eficaz da segurança cibernética requer muito mais do que sua equipe de TI tradicional é capaz. As organizações podem escolher entre criar um SOC internamente ou contratar um provedor de SOC gerenciado para atender a essa necessidade crescente.

#1. Dedicado ou Autogerenciado

Essa estratégia faz uso de uma instalação no local e equipe interna. Um SOC dedicado, que é um SOC centralizado, é formado por uma equipe focada exclusivamente em segurança, infraestrutura e procedimentos. De acordo com o tamanho da organização, a tolerância a riscos e as necessidades de segurança, o tamanho de um SOC dedicado varia. 

#2. SOC distribuído

Um centro de operações de segurança cogerenciado, também conhecido como MSSP, é administrado por um membro da equipe interna contratado em período parcial ou integral para trabalhar junto com um provedor de serviços de segurança gerenciados.

#3. SOC gerenciado

Esse método envolve MSSPs fornecendo a uma empresa todos os serviços SOC. Os parceiros de detecção e resposta gerenciada (MDR) são uma categoria adicional.

#4. Comando SOC

Com a ajuda dessa estratégia, outros centros de operações de segurança, normalmente dedicados, podem acessar informações sobre ameaças e conhecimento de segurança. Apenas participa de atividades relacionadas à inteligência e procedimentos relacionados à segurança. 

#5. SOC virtual

Esta é uma equipe de segurança comprometida que não se baseia na propriedade de uma empresa. Ele tem a mesma finalidade de um SOC físico, mas com pessoal remoto. Não há infraestrutura dedicada ou local físico para um SOC virtual (VSOC). É um portal baseado na web construído usando tecnologias de segurança descentralizadas, que permite que as equipes que trabalham remotamente monitorem eventos e tratem de ameaças. 

#6. SOC cogerenciado

O modelo SOC cogerenciado emprega equipe externa e ferramentas de monitoramento no local. Uma vez que combina componentes no local e fora do local, essa estratégia também é, às vezes, chamada de estratégia híbrida. A cogestão é uma opção flexível porque esses componentes podem diferir significativamente entre várias organizações.

Benefícios de um Centro de Operações de Segurança

A seguir estão os benefícios do centro de operações de segurança

• Procedimentos aprimorados e tempos de resposta para incidentes.
• Reduções nos intervalos MTTD (tempo médio de detecção) entre o tempo de comprometimento e a detecção.
• Analisando e monitorando atividades suspeitas continuamente colaboração e comunicação eficaz.
• Combinando recursos de hardware e software para criar uma estratégia de segurança mais abrangente.
• Informações confidenciais são compartilhadas mais livremente por clientes e funcionários.
• Maior responsabilidade e comando sobre as operações de segurança.
• Uma cadeia de controle de dados é necessária se uma empresa pretende prosseguir com uma ação legal contra os acusados ​​de cometer um crime cibernético.

Analista de Centro de Operações de Segurança

Uma parte essencial da resposta a ataques de segurança cibernética é desempenhada por um analista do centro de operações de segurança ou analista SOC. Um analista do centro de operações de segurança é um membro crucial da equipe de segurança moderna que garante a continuidade dos negócios para organizações que reconhecem a importância de prevenir e responder a ataques cibernéticos. 

Um analista do centro de operações de segurança é um especialista em tecnologia encarregado de detectar e impedir ataques cibernéticos em servidores corporativos e sistemas de computador. Eles desenvolvem e executam protocolos para lidar com ameaças e devem implementar as mudanças necessárias para impedir tais ocorrências.

• Analisar a suscetibilidade da infraestrutura de uma empresa a ameaças e outras tarefas faz parte desse trabalho.
• Acompanhando os novos desenvolvimentos em segurança cibernética
• Examinar e registrar possíveis ameaças e problemas com a segurança da informação
• Avaliar novos hardwares e softwares para segurança a fim de reduzir riscos desnecessários
• Idealmente, criar planos de recuperação formais para desastres antes que surjam preocupações. 

Como me qualifico para me tornar um analista do Security Operations Center?

A maioria dos empregadores espera que os analistas de SOC possuam um diploma de bacharel ou associado em ciência da computação ou engenharia da computação, bem como habilidades adicionais de experiência no mundo real em funções de rede ou tecnologia da informação. 

Essas habilidades incluem:

•  Excelentes habilidades de comunicação 
• Ter um bom domínio de Linux, Windows, IDS, SIEM, CISSP e Splunk
• Conhecimento profundo em segurança da informação
• Possibilidade de defender redes protegendo o tráfego e detectando atividades suspeitas
• Compreensão do teste de perpetração para identificar a vulnerabilidade de sistemas, redes e aplicativos
• Interrompa e diminua os efeitos das violações de segurança
• Reúna, examine e apresente informações de segurança para computação forense
• O malware de engenharia reversa inclui a leitura e identificação dos parâmetros do programa de software.

Os analistas do SOC frequentemente trabalham em equipe com outro pessoal de segurança. Uma organização deve considerar as opiniões do analista do centro de operações de segurança. Suas sugestões podem melhorar a segurança cibernética e reduzir o risco de perda por violações de segurança e outras ocorrências.  

Certificação Security Operations Center Analyst

Os analistas de SOC frequentemente passam por treinamento adicional e obtêm uma licença de Analista certificado de centro de operações de segurança (CSA) para aprimorar suas habilidades, além de ter um diploma de bacharel em engenharia da computação, ciência da computação ou áreas afins.

Outras certificações pertinentes incluem:

• Hacker Ético Certificado (CEH)
• Investigador Forense de Hacking de Computadores (CHFI)
• Analista de segurança certificado pelo EC-Council (ECSA)
• Testador de penetração licenciado (LPT)
• CompTIA Security +
• Analista de segurança cibernética CompTIA (CySA +)

Responsabilidade de um analista de operações de segurança

Vigilância de redes e sistemas dentro de uma organização. O trabalho de um analista de centro de operações de segurança é manter o sistema de TI de uma organização sob observação. Isso envolve ficar atento a quaisquer anomalias que possam apontar para uma violação ou ataque usando sistemas de segurança, aplicativos e redes.

#1. Avaliação, identificação e mitigação de ameaças em tempo real

O analista do SOC trabalha em estreita colaboração com sua equipe para determinar o que deu errado com o sistema e como corrigi-lo após a detecção de uma ameaça.

#2. Resposta e Investigação de Incidentes

Antes de informar as autoridades policiais, se necessário, o analista do SOC colaborará com o restante da equipe para realizar pesquisas adicionais sobre o incidente.

Depois de examinar minuciosamente cada incidente, eles também relatarão qualquer nova informação obtida sobre ameaças cibernéticas atuais ou vulnerabilidades de rede para, se possível, evitar futuros incidentes implementando atualizações imediatamente. 

#3. Trabalha em colaboração com outros membros da equipe para colocar em prática procedimentos, soluções e melhores práticas de segurança

Para que a empresa continue operando com segurança, os analistas do SOC trabalham em conjunto com outros membros da equipe para garantir que os protocolos adequados sejam implementados. Isso inclui a implantação de novos sistemas e, conforme necessário, a atualização dos já existentes.

#4. Mantenha-se atualizado com as ameaças de segurança mais recentes

Os analistas de SOC devem se manter atualizados sobre as ameaças cibernéticas mais recentes à segurança de sua organização, seja aprendendo sobre novos golpes de phishing ou acompanhando quais atores mal-intencionados estão usando ferramentas de hacking. Essas informações permitem que eles tomem medidas rápidas sobre quaisquer possíveis problemas antes que eles causem problemas para o seu negócio.

Salário do Analista do Centro de Operações de Segurança

Especialistas em segurança garantem que os funcionários recebam o treinamento necessário e sigam todas as regras e regulamentos da empresa.

Esses analistas de segurança trabalham em conjunto com a equipe interna de TI da organização e os administradores de negócios para discutir e documentar problemas de segurança como parte de suas funções. Os analistas de segurança nos Estados Unidos ganham em média $ 88,570 anualmente. (Recurso: Glassdoor).

Localização, empresa, experiência, educação e cargo são apenas algumas das variáveis ​​que podem afetar o potencial de ganhos.

Habilidades de Analistas de SOC 

Embora possa haver mudanças nas tendências cibernéticas, um analista de SOC ainda precisa ter muitas das mesmas habilidades. Certifique-se de que os analistas de SOC tenham essas habilidades se quiser aproveitar ao máximo o que eles podem oferecer à sua empresa.

• Habilidades de programação
• Computação forense
• Hacking ético
• Engenharia reversa
• Gestão de riscos
• Resolução de problemas
• Pensamento crítico 
• Comunicação eficaz 

Estrutura do centro de operações de segurança

A estrutura SOC, que é delineada pela arquitetura abrangente, detalha os componentes do SOC e suas interações. É essencial estabelecer uma estrutura de Centro de Operações de Segurança construída sobre um sistema de monitoramento e registro de incidentes.

Uma estrutura SOC é a arquitetura geral que detalha os componentes que fornecem a funcionalidade SOC e como eles interagem entre si. Em outras palavras, uma estrutura SOC deve ser construída sobre um sistema de monitoramento que rastreie e registre eventos de segurança.

Princípios fundamentais de uma estrutura SOC

#1. Monitoramento

 A atividade de monitoramento é o serviço mais fundamental que uma estrutura de centro de operações de segurança funcional pode oferecer. Naturalmente, o objetivo desse monitoramento é verificar se uma violação ocorreu ou está em andamento. No entanto, os especialistas em segurança cibernética devem estar cientes da situação para fazer esse julgamento. Ferramentas SIEM, análise de ameaças comportamentais e corretores de segurança de acesso à nuvem são alguns exemplos de ferramentas e tecnologias automatizadas que podem ajudar no monitoramento. Embora nem sempre, essas ferramentas podem fazer uso de tecnologias de IA e aprendizado de máquina.

#2. Análise

A análise deve ser o próximo serviço que um SOC oferece. O objetivo da análise é determinar se ocorreu uma vulnerabilidade ou violação baseada em atividade corporativa. Os analistas do SOC examinam os alarmes e alertas enviados pelo sistema de monitoramento como parte da função de exame para ver se eles correspondem aos padrões de ataque vistos anteriormente ou explorações de vulnerabilidade.

#3. Resposta a Incidentes e Contenção

O próximo serviço fornecido pela estrutura do centro de operações de segurança é uma resposta a incidentes; como isso é feito depende do tipo, escopo e gravidade do incidente, bem como se o SOC é interno ou se a empresa tem um contrato com um provedor de SOC terceirizado que requer assistência além da notificação de alerta.

#4. Auditoria e registro

Conforme mencionado, o SOC tem um papel essencial, mas frequentemente desconsiderado, a desempenhar no registro e na auditoria: confirmar a conformidade e registrar a resposta a incidentes de segurança que podem ser usados ​​como parte de uma análise post-mortem. Muitas ferramentas SOC contêm uma quantidade impressionante de documentação com registro de data e hora que especialistas em conformidade e analistas de segurança cibernética podem achar úteis.

#5. Caça Ameaças

Os analistas de SOC ainda têm outras funções a cumprir mesmo quando os sistemas estão funcionando normalmente, o que significa que não há incidentes graves no ambiente. Eles revisam os serviços de inteligência de ameaças para monitorar e avaliar ameaças externas e, se forem terceiros com vários clientes, verificam e analisam os dados entre clientes para identificar padrões de ataque e vulnerabilidade. Os provedores de SOC, sejam internos ou externos, podem ficar um passo à frente dos invasores, procurando ativamente por ameaças. Eles também podem tomar medidas preventivas se ocorrer um ataque.

Por fim, uma estrutura de centro de operações de segurança bem projetada deve ser capaz de lidar com muito mais do que apenas monitorar alarmes e alertas. O SOC pode ajudar a conter incidentes se for configurado e gerenciado corretamente. Além disso, pode oferecer informações inestimáveis ​​sobre autópsias de incidentes e oferecer segurança preventiva. 

Estruturas SOC Comuns

#1. NIST

O Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos publica a estrutura de segurança cibernética NIST, que oferece padrões e diretrizes para o gerenciamento do ciclo de vida de ameaças para auxiliar as organizações no desenvolvimento de planos de segurança e na otimização dos principais indicadores de desempenho. A seguir estão as cinco melhores práticas recomendadas pelo NIST:

• Identifique
• Proteja
• Detectar
• Responder
• Recuperar

#2. MITRE ATT&CK

Adversarial Tactics, Techniques, and Common Knowledge é a abreviação dessa frase. Essa estrutura, desenvolvida pela Mitre Corporation e publicada em 2013, é centrada na análise do comportamento adversário para desenvolver respostas e novas estratégias defensivas. Ele ajuda com inteligência de ameaças, detecção e análise de ameaças, equipe vermelha e emulação de adversários, bem como engenharia e avaliação.   

#3. Cadeia Cyber ​​Kill

Essa estrutura, criada pela Lockheed Martin, é baseada na ideia militar de organizar um ataque em resposta às táticas e pontos fracos de seu adversário. A cadeia de morte serve como um arquétipo básico, baseando suas ações nas de um ator de ameaça típico. Cyber ​​Kill Chain é uma estratégia em etapas que inclui as seguintes etapas:

• Reconhecimento
• Intrusão
• Exploração
• Escalonamento de Privilégios
• Movimento lateral
• Ofuscação
• Denial of Service
• exfiltration

#4. Cadeia de mortes unificada

Para oferecer um método mais completo de compreender o adversário e classificar os riscos, esta estrutura combina as estruturas MITRE ATT&CK e Cyber ​​Kill Chain. Ele faz uso dos pontos fortes de cada estrutura para ajudar a fechar lacunas comuns. Ao adicionar 18 fases adicionais, essa estrutura estende a cadeia de ataque.

O que faz um centro de operações de segurança?

A capacidade de uma organização de identificar ameaças, responder a elas e evitar mais danos é aprimorada por um centro de operações de segurança, que unifica e coordena todas as tecnologias e operações de segurança cibernética.

O que são NOC e SOC? 

Enquanto os Centros de Operações de Segurança (SOCs) são responsáveis ​​por proteger a empresa contra ameaças online, os Centros de Operações de Rede (NOCs) são responsáveis ​​pela manutenção da infraestrutura técnica do sistema de computadores de uma empresa.

O desempenho eficaz da rede é mantido por um centro de operações de rede (NOC), e ameaças e ataques cibernéticos são identificados, investigados e tratados por um centro de operações de segurança (SOC).

Qual é a diferença entre um SOC e um SIEM? 

A principal distinção entre SIEM e SOC é que o primeiro reúne dados de várias fontes e os correlaciona, enquanto o último reúne dados de várias fontes e os envia para um SIEM. 

O que significa NOC em segurança?

Centros de operações de rede (NOCs) são locais centralizados onde computadores, telecomunicações ou sistemas de rede de satélite são monitorados e gerenciados XNUMX horas por dia, todos os dias da semana. No caso de falhas de rede, ele atua como a primeira linha de defesa.

Quais são os três tipos de SOC? 

• SOC cogerenciado
• SOC virtual
• SOC Dedicado

O que são os TopSOC? 

• Redes do Lobo do Ártico
• Palo alto rede
• Netsurion
• IBM
• CISCO

Conclusão 

Um centro de operações de segurança, ou SOC, é importante porque as empresas estão colocando mais ênfase na segurança cibernética. A principal entidade responsável pela defesa contra ameaças cibernéticas ao seu negócio é o seu SOC. Ao reunir todas as operações e tecnologias de segurança cibernética sob o mesmo teto, um centro de operações de segurança aprimora a capacidade de uma organização para detecção, resposta e prevenção de ameaças.

Artigos Relacionados

1. GERENCIAMENTO DE INCIDENTES: Guia para o processo e melhores práticas
2. INTELIGÊNCIA DE AMEAÇAS CIBERNÉTICAS: Significado, Ferramentas, Analista e Salário
3. GESTÃO DE RISCOS DE CIBERSEGURANÇA: Estrutura, Plano e Serviços
4. Descrição do Trabalho do Call Center: Guia Completo(
5. CENTRAL DE ATENDIMENTO: Significado, Serviços, Software & Treinamento

Referências 

• cybersecurityforme.com
• IBM
• CompTIA