Security Operations Center, ou SOC, é definido pela consultoria Gartner como sendo uma equipe que atua de forma ininterrupta em uma estrutura dedicada à finalidade de prevenir, detectar, avaliar e responder a diversos tipos de ameaças e incidentes de cibersegurança em uma organização. Muitas vezes o SOC também é responsável por avaliar a empresa e sua estrutura para finalidades de compliance.
Abaixo estão descritos os cinco tipos mais comuns de SOC, que representam modelos de atuação para empresas de tamanhos e realidades distintas:
- Virtual: o tipo mais simples, não conta com uma estrutura física dedicada e seus membros dividem atenção com outras atividades além do SOC; tem perfil reativo e é mais indicado para pequenas empresas.
- Multifunção NOC e SOC: já conta com estrutura e equipes compartilhadas, que divide atenção com outras atividades críticas de TI. Apresenta claramente uma preocupação na redução dos custos mas pode ser um modelo arriscado.
- Distribuído/Co-gerenciado: mescla membros 100% dedicados com outros de dedicação parcial. Pode ser gerenciado em parceria com um MSSP (Managed Security Services Provider) ou outro prestador de serviços para suprir algumas necessidades como, por exemplo, quando a estrutura não comporta atuação 24x7. Indicado para pequenas e médias empresas.
- Dedicado: estrutura própria e equipe 100% focada em segurança, com recursos necessários para as operações do dia a dia e normalmente atua dentro da estrutura da empresa. Adequado para médias e grandes empresas, é o modelo dos próprios prestadores de serviço de segurança.
- Comando central: centro de coordenação de vários SOCs - este modelo é usado por governos e grandes corporações. Neste caso um SOC é designado como de comando, que coordena a coleta de informações de segurança, desenvolve inteligência sobre as ameaças e a distribui para os outros SOCs.
Entendendo seu propósito original o SOC é, certamente, um recurso valioso para uma empresa, uma vez que reúne especialistas, sistemas e processos bem estruturados para garantir a proteção da empresa e antecipar ataques. Construir e manter um SOC, contudo, pode estar fora das possibilidades mesmo de empresas grandes pelo alto custo de manutenção.
No entanto, o mais importante é: ainda que uma empresa resolvesse investir, um importante valor que não pode ser alcançado é a ampla amostragem. Um MSSP atende a diversos clientes e processa diariamente bilhões de logs de segurança, estando, portanto, exposto a uma enorme quantidade de ameaças cibernéticas, em variados mercados e geografias, que são tratadas e se transformam em inteligência de segurança, gerando imediatamente mais valor para seus clientes.