O que é SOC como serviço?

O SOC como um serviço (SOCaaS, na sigla em inglês) é um modelo de segurança em que um provedor terceirizado opera e mantém um SOC totalmente gerenciado baseado em assinatura via nuvem.

O SOCaaS fornece todas as funções de segurança realizadas por um SOC interno tradicional, incluindo: monitoramento de rede, gerenciamento de log, detecção e inteligência de ameaças, investigação e resposta a incidentes, geração de relatórios, e risco e conformidade. O provedor também assume a responsabilidade por todo o pessoal, processos e tecnologias necessários para possibilitar esses serviços e fornecer suporte 24 horas por dia, 7 dias por semana.

Como o SOCaaS se enquadra na stack de segurança?

O SOCaaS é um exemplo de serviço gerenciado. Embora ele possa ser oferecido por um provedor terceirizado como um serviço independente, geralmente ele faz parte de um pacote de segurança mais amplo e deve ser integrado a outras ferramentas e serviços de segurança dentro da arquitetura da empresa.

O SOCaaS é o mesmo que um SIEM gerenciado?

Não. Embora o gerenciamento e correlação de eventos de segurança (SIEM) seja um componente crucial dentro de uma oferta de SOC, ele não oferece as mesmas capacidades de um SOC. Especificamente, o SIEM em si não monitora eventos à medida que eles acontecem em toda a empresa em tempo real. Em vez disso, é uma ferramenta que usa dados de log registrados por outros softwares para determinar a ocorrência de um evento.

O SOCaaS é a mesma coisa que uma MDR?

Há uma sobreposição em termos de capacidades entre o SOCaaS e a Detecção e Resposta Gerenciada (MDR). Ambos são serviços de cibersegurança que combinam tecnologia e conhecimento humano para executar investigação, monitoramento e resposta a ameaças. No entanto, o SOCaaS, por definição, é um serviço terceirizado, o que nem sempre é o caso da MDR. O SOCaaS também fornece uma variedade maior de serviços, além de uma proteção mais forte e abrangente comparada a uma ferramenta de MDR.

Benefícios do SOC como um serviço

O SOCaaS oferece vários benefícios importantes para as organizações em comparação com as soluções tradicionais de SOC no local, incluindo:

Detecção e remediação mais rápidas

Um dos principais benefícios de um SOCaaS é a velocidade. Ao usar uma combinação de tecnologia e automação avançadas, bem como supervisão humana, a equipe do SOC pode identificar, categorizar, priorizar e remediar eventos de segurança de forma adequada. À medida que o número de alertas continua a aumentar, é essencial que as organizações reduzam a quantidade de tempo gasto na investigação de "falso-positivos" e se concentrem nos problemas que representam uma ameaça real e urgente para os negócios.

Risco mais baixo de ataques

Assim como um SOC tradicional, o SOCaaS opera de forma contínua, fornecendo capacidades de monitoramento, detecção e resposta 24 horas por dia, 7 dias por semana. Isso ajuda a garantir que as ameaças sejam contidas e neutralizadas rapidamente, permitindo que as organizações reduzam o "tempo para comprometimento", isto é, a janela de tempo crítica entre o momento em que um invasor compromete a primeira máquina e o momento em que ele consegue se movimentar lateralmente para outras partes da rede.

O SOCaaS também oferece às organizações acesso a profissionais altamente especializados em segurança sem ter que contratar ou reter essa equipe em tempo integral. Esse pessoal pode ser acionado durante eventos de segurança específicos para analisar atividades e ajudar a formular uma estratégia de remediação. Esses conjuntos de habilidades são limitados no mercado e, em geral, não é prático nem possível para as empresas reter tais talentos internamente.

Por fim, uma das causas mais comuns de ataques é o software ou sistema operacional não corrigido ou desatualizado. À medida que as equipes de TI ficam cada vez menores e mais sobrecarregadas, essa é uma área que pode acabar facilmente sendo negligenciada, abrindo caminho para hackers e cibercriminosos. O SOCaaS garante alguém dedicado a essas importantes atividades e limita a possibilidade de risco.

Capacidade de dimensionamento

Assim como outras soluções "como um serviço", o SOCaaS é conhecido por sua flexibilidade e adaptabilidade. As equipes e os serviços podem ser facilmente ampliados ou reduzidos com base nas necessidades da organização ou em resposta a eventos específicos. Em comparação, em um modelo de SOC tradicional, os recursos (em particular, os humanos) são finitos e geralmente não podem ser adicionados rapidamente em momentos de necessidade.

Maturidade aprimorada

De muitas maneiras, o SOCaaS pode ser considerado um "atalho para a maturidade", pois as empresas que mantêm os serviços de um provedor de boa reputação se beneficiarão das soluções mais recentes e avançadas e de uma equipe altamente qualificada. Isso ajuda a promover uma detecção e resposta com mais rapidez e precisão, ao mesmo tempo que reduz o risco geral.

Custo mais baixo do que um SOC no local

Para a maioria das organizações, o SOCaaS é mais econômico do que operar um SOC no local. Isso se deve ao fato de que muitos custos, inclusive os associados a funcionários, equipamentos, licenças, hardware e software, são compartilhados por vários clientes, reduzindo o custo total da operação para cada assinante.

Além disso, muitos modelos de preços de SOCaaS são baseados no consumo, o que significa que as organizações só pagam pelos serviços usados.

Otimização de recursos

O SOCaaS se tornou uma solução particularmente atrativa nos últimos anos devido à escassez de pessoal no setor cibernético. Com uma maior dificuldade em atrair e reter talentos, o SOCaaS não apenas ajuda a solucionar o desafio relacionado à disponibilidade de força de trabalho, como também libera os funcionários para se concentrarem em casos de uso de segurança que são mais adequados às funções internas.

Funções e responsabilidades de SOCaaS

As funções de SOCaaS incluem:

• Gerente do SOC: atua como líder do centro de segurança, supervisiona todos os aspectos do SOC, da sua força de trabalho e das suas operações
• Analista de segurança nível 1 — Triagem: categoriza e prioriza alertas e escala incidentes para os analistas de nível 2
• Analista de segurança nível — Analista de resposta a incidentes: investiga e remedia incidentes escalados, identifica os sistemas afetados e o escopo do ataque e utiliza a inteligência de ameaças para detectar o adversário
• Analista de segurança nível 3 — Threat hunter: busca proativamente comportamentos suspeitos e testa e avalia a segurança da rede a fim de detectar ameaças avançadas e identificar áreas de vulnerabilidade ou ativos insuficientemente protegidos
• Arquiteto de segurança: projeta o sistema de segurança e seus processos e integra vários componentes tecnológicos e humanos
• Auditor de conformidade: supervisiona o cumprimento da organização com as regras e regulamentos internos e externos
• Coordenador do SOC: atua como a ponte entre o provedor de SOCaaS e as equipes internas de TI e segurança da organização

Tipos de organizações que poderiam se beneficiar de SOC como um serviço

Qualquer organização que opere um SOC no local ou esteja considerando construir um pode ser capaz de terceirizar a capacidade para obter maior proteção a um custo mais baixo. Essa pode ser uma decisão sábia dependendo do nível de maturidade da organização e sua postura de segurança atual.

Quando a utilização de SOCaaS faz sentido

Conforme mencionado acima, o SOCaaS oferece muitas vantagens importantes para as organizações, pois está relacionado a uma proteção mais forte, resposta mais rápida e custos mais baixos. Um modelo de assinatura pode ser a melhor opção para sua organização se você:

• Tem uma equipe de TI e InfoSec limitada, especialmente em relação a habilidades altamente especializadas em cibersegurança ou à provisão de uma cobertura 24x7
• Não tem espaço físico protegido e dedicado para operar um SOC
• Não fez nenhum investimento significativo em tecnologia para fornecer as capacidades subjacentes de um SOC no local
• Tem uma maturidade relativamente baixa em cibersegurança e gostaria de fornecer um atalho metafórico utilizando os serviços de backbone de terceiros
• Prevê uma necessidade de segurança variável na empresa

Quando faz sentido manter um SOC interno

Embora o SOCaaS normalmente forneça os mesmos serviços que um SOC tradicional a um custo mais baixo, algumas organizações ainda podem optar por manter um SOC no local. Essa pode ser a melhor opção para organizações que:

• Já fizeram investimentos significativos em tecnologia e capital humano e possuem os recursos para continuar a mantê-los e evoluir nessa área
• Possuem um alto nível de maturidade de segurança e uma postura forte de segurança, combinadas com expertise avançada que permitirá à empresa manter e aprimorar sua arquitetura de segurança existente
• Exigem um nível elevado de granularidade em seus controles de segurança
• Devem aderir a regulamentos consideráveis e complexos que um provedor terceirizado não é capaz de compreender totalmente nem de fornecer suporte

Soluções de SOC como um serviço

As ofertas de SOCaaS são geralmente independentes de uma tecnologia específica e gerenciam todas as partes da stack de segurança de um cliente, não importa quais ferramentas o cliente escolha ou tenha implementado. Ao selecionar um provedor de SOCaaS, é importante entender quais ferramentas ele pode integrar e operar dentro da plataforma e quais componentes de segurança estão incluídos na oferta.