SOCs do futuro: o que se espera dos serviços de monitoramento de segurança
Para serem efetivos, os SOCs precisam se manter em constante evolução. O que o futuro reserva para este importante agente da cibersegurança?
Em um passado não tão distante, segurança cibernética poderia ser resumida a aplicação de firewall e antivírus baseado em assinatura, cobrindo perímetro e ambiente interno de redes e servidores. Não tardou para os muitos agentes maliciosos evoluírem suas técnicas, aprimorando seus ataques tanto do ponto de vista técnico, com malwares mais complexos e persistentes, mas também de execução, com abordagens mais bem planejadas e uso combinado de diversos vetores ao longo de meses contra alvos selecionados.
Logo, o que era um cenário de problemas esporádicos e rasos, passou a um patamar superior de complexidade, exigindo recursos mais avançados em termos de ferramentas e pessoas mais qualificadas para fazer frente aos novos perigos. Sem a devida especialização as equipes internas de TI rapidamente se viram em desvantagem nesta luta. Muitas ferramentas atuando de forma isolada formando silos, excesso de alertas com falta de capacidade de priorização, pouca automação: estes, dentre tantos outros pontos, tornam ineficiente o trabalho de segurança de muitos profissionais de TI. E, neste caso, ineficiência significa riscos elevados.
A solução para este problema surgiu na forma de centros especializados na condução de monitoramento, contenção, remediação e investigação de incidentes de segurança, os chamados SOCs - Security Operations Center . Por se tratar de unidades especializadas, seu índice de sucesso e efetividade é tipicamente muito mais alto do que a de equipes generalistas de TI. Paralelamente, os custos para a manutenção de um SOC dedicado dentro da organização podem ser proibitivos para muitas, razão pela qual este tipo de serviço se popularizou no formato de outsourcing, com especialistas externos zelando pela segurança do cliente.
Um novo SOC para um novo cenário
O perigo é real: segundo levantamento da Accenture, houve um aumento de 11% no número de violações de segurança em média entre 2017 e 2018, com custo médio indo de US$11,7M para US$13M; em 5 anos, o volume cresceu 67%, com prejuízo médio 72% maior no mesmo período. Este crescimento deriva diretamente de um maior grau de sofisticação dos agentes criminosos, que visam alvos específicos e adaptam suas ferramentas a eles para maximizar seus efeitos.
De acordo com pesquisa da Trend Micro, as ameaças atuais são mais persistentes, agressivas e difíceis de serem detectadas. Elementos como ransomware, malwares com vetores e persistência em memória (ataques fileless), ataque ao microcódigo em processadores, exploits que abusam de vulnerabilidades e ataques voltados para IoT são combinados com técnicas clássicas como phishing e ações de engenharia social e BEC. Isso gera um composto de ações que torna difícil a detecção de ameaças e sua contenção, especialmente quando se leva em conta as dificuldades que muitas empresas têm de manter sistemas, redes, servidores e endpoints devidamente atualizados, o que abre espaço para exploração de vulnerabilidades.
Do lado da segurança, os especialistas responderam com aplicação de novas técnicas, como machine learning, inteligência artificial, sandboxing, automação de processos e alertas, entre muitos outros. Estas tecnologias, além de mais eficazes, também trazem um importante salto evolutivo do ponto de vista operacional: priorização. Com volume controlado de alertas e automação de rotinas apoiada por machine learning, a identificação de eventos relevantes e subsequente remediação, alivia o peso das equipes de segurança, que podem dedicar atenção a incidentes realmente preocupantes.
Para o SOC, este tipo de ferramenta é crucial, pois permite otimizar o tempo e a atenção dos profissionais, que se tornam mais efetivos em sua atividade. O uso de sistemas integrados baseados em IA, oferecendo visibilidade da nuvem híbrida ao endpoint, permite que o profissional do SOC atue de forma inteligente, focada e efetiva, solucionando problemas com agilidade e precisão. – Porém, nada disso limita o trabalho dos experts em segurança – e por este motivo, é necessário a qualificação dos profissionais para fazerem uso destas automações e ferramentas – o ser humano ainda a maior máquina para se combater os cibercriminosos.
"- Para que o mal triunfe basta que os bons fiquem de braços cruzados." Edmund Burke
Por um mundo seguro
SOCs, conjuntamente, são elementos importantes na construção de um mundo mais seguro. Suas atividades regularmente coletam enormes quantidades de informações sobre eventos de segurança, que podem alimentar redes de inteligência de ameaças e, com isso, ajudar as organizações a se manterem à frente dos perigos emergentes e dos agentes por trás deles. Analogamente, sua atuação impulsiona e dá subsídios para o desenvolvimento de novas soluções, baseadas nas necessidades constatadas e projetadas dos profissionais da área e das empresas para quem atuam.
Olhando para o futuro, não é difícil constatar que a atuação de centros especializados como os SOCs terá papel fundamental no combate aos novos perigos. A união da alta especialização dos profissionais com o estado da arte em tecnologia de segurança, aplicada por meio de ferramentas proprietárias avançadas no combate ao cibercrime, terá papel decisivo no cenário corporativo. Em um ambiente onde a cibersegurança ganha cada vez mais destaque e os criminosos evoluem constantemente, contar com o apoio de um SOC será mais do que uma boa opção: será uma estratégia decisiva para a boa gestão de uma organização.