Fonte: David Strom – CSO online.
Nem todas as organizações que precisam de um centro de operações de segurança podem equipar-se e equipá-las. Diversos provedores fornecem SOC como um serviço. Aqui está o que você precisa saber sobre eles.
Se você não possui seu próprio centro de operações de segurança (SOC), provavelmente está pensando em maneiras de obter um sem construí-lo do zero. A versão no local pode ser mais cara, uma vez que você considera os custos de pessoal 24 horas por dia, sete dias por semana. Nos últimos anos, os provedores de serviços de segurança gerenciados (MSSPs) criaram SOCs baseados em nuvem que eles usam para monitorar suas redes e infra-estrutura de computação e fornecer uma ampla gama de serviços, como correção de patches e correção de malware. Vejamos como esse setor SOC-as-a-service (SOCaaS) cresceu, o que eles oferecem e como escolher o fornecedor certo para suas necessidades específicas.
O que é SOC como um serviço?
A definição de SOCaaS é fluida e pode variar de provedores de serviços que oferecem monitoramento de rede básico 24 horas por dia, 7 dias por semana, até detecção e mitigação de ameaças completas. Isso significa que cada fornecedor tem sua própria coleção de serviços que eles podem rotular como um SOCaaS ou como um MSSP tradicional. Chegar ao fundo disto irá consumir muito tempo, infelizmente. Algumas dessas são apenas definições inconsistentes de cada acrônimo, algumas são uma questão de percepção, outras resumem-se a ofertas de produtos e serviços, e algumas têm a ver com a origem do fornecedor.
Parte do problema é que cada fornecedor SOCaaS vem de empresas que foram criadas para se concentrar em diferentes especializações de segurança. Alguns começam como fornecedores gerenciados de eventos de segurança (AlertLogic), outros como fornecedores de detecção gerenciada (Network Technology Partners) ou fornecedores de segurança de endpoints gerenciados (Symantec e Trustwave). Alguns desenvolveram seus próprios consoles do tipo SOC para gerenciar seus próprios produtos e, em seguida, os tornaram utilitários mais gerais que podem se conectar a uma ampla variedade de ferramentas. Alguns vieram das divisões de serviços dos grandes fabricantes de computadores (IBM, Dell e HP).
Outros começam a executar seus próprios centros de operações de redes gerenciadas (NOCs) e, em seguida, ramificam-se em segurança (AccountabilIT). Qual é a diferença entre um NOC gerenciado e um SOC gerenciado? O primeiro está preocupado principalmente em manter os pacotes fluindo pelos canos. O último é principalmente sobre certificar-se de que você está usando os pacotes certos e os tubos corretos. Os conjuntos de ferramentas também são completamente diferentes: latência de rede versus processos que sugam CPUs. O ponto chave é quais serviços reais eles fornecem, o que eles monitoram e como suas coisas irão interagir com seus servidores e infraestrutura de rede existentes.
O objetivo aqui é ter equipamentos que o alertem quando você tiver sofrido uma violação ou vazamento de dados ou algum outro incidente de segurança, para que você não tenha que construir seu próprio SOC ou contratar pessoal experiente para executar qualquer proteção equipamento de segurança. Idealmente, o fornecedor deve ser capaz de identificar um incidente em tempo hábil (sujeito a seus contratos de nível de serviço) e fazer as correções necessárias para neutralizar a ameaça.
O relatório de fevereiro de 2018 do Gartner sobre serviços de segurança gerenciados inclui informações sobre o SOCaaS, como monitoramento de eventos de segurança, detecção e detecção de ameaças na camada de rede, análise de logs, varredura de vulnerabilidades e resposta a incidentes – todos fornecidos como serviços gerenciados de uma entidade central do tipo SOC. Esse é o mínimo, que já é uma grande coleção de ferramentas para manipular. Esse relatório listou 17 fornecedores globais, incluindo os da AT & T / AlienVault, da BT, da Century Link e da NTT. Tudo isso começou como telecomunicações, o que indica que essas são as pessoas que entendem melhor como manter as maiores infraestruturas de rede do mundo funcionando 24x7x365.
Se você opera uma empresa global com funcionários e servidores em vários continentes, essas pessoas provavelmente já conhecem. Se você tem um pequeno negócio que não é tão difundido, você pode querer considerar um dos cerca de uma dúzia de fornecedores especializados em SOCaaS, como ArcticWolf, RadarServices ou DigitalHands.
Como avaliar o SOC como um serviço
Talvez a parte mais frustrante de uma avaliação do SOCaaS seja descobrir em que (e quanto) você acabará pagando. Dada a natureza dos serviços em nuvem, os modelos de precificação são complexos para começar, mas ficam bem obscuros nesse setor de mercado.
A AlertLogic é um dos poucos fornecedores que realmente tem uma página de preços pública significativa , mostrando três diferentes níveis de preços que variam de US $ 550 a US $ 4.500 por mês. Infelizmente, quase ninguém mais é tão próximo, e eu tive que extrair essa informação de muitos de seus concorrentes.
Os parceiros de tecnologia de rede e AccountabilIT iniciam no mínimo (respectivamente, US$1.500 por mês e US$1.600 por mês para os serviços mais básicos) e aumentam quando um cliente adiciona mais ativos monitorados e aumenta o volume de tráfego da rede. Na maior parte, os outros fornecedores estão em algum lugar entre paranóicos e francamente paranóicos sobre revelar seus preços. Um deles me disse que “nosso preço é um assunto muito delicado”. Muitos só fornecem preços a clientes em potencial dispostos a assinar contratos para não os divulgar. Claramente, há uma necessidade de mais transparência aqui.
Parte do problema é que você pode não saber quantos servidores, terminais ou aplicativos você estará protegendo, monitorando ou colocando sob a alçada do fornecedor do SOCaaS. Muitas empresas começam pequenas com a prova de conceitos com alguns terminais para ver como o programa funciona e qual tráfego é capturado pelo SOC antes de expandir para uma implantação mais ampla.
Em seguida, qual é a importância da distribuição geográfica para sua localização SOC real? Alguns fornecedores se concentram em um único SOC. Outros os colocam em continentes diferentes para seguir o sol ou aproveitar melhor a conectividade com a Internet. A Network Technology Partners tem um segundo SOC que está localizado a poucas horas de distância de seu escritório principal em St. Louis, porque eles poderiam adquirir pessoal com as habilidades necessárias mais prontamente naquele local. O Bolton Labs se concentra no mercado asiático, e é por isso que dois de seus três SOCs estão localizados lá.
Qual é o molho secreto do fornecedor? Dadas as várias histórias de origem de cada fornecedor, é útil entender que tecnologia proprietária eles usam para monitorar, remediar e alertar quando você sofreu uma interrupção ou uma violação. Alguns uniram uma série de ferramentas de código aberto, mas escreveram um painel proprietário que você pode usar para ver sua postura de desempenho e segurança. Outros escreveram seus próprios pacotes para caçar ameaças ou outras tarefas. AccountabillIT é um revendedor da tecnologia AlienVault, que é outro modelo.
Perguntas para solicitar um provedor do SOC-as-a-service
Ao elaborar sua RFP ou questionários, aqui estão algumas perguntas pertinentes a serem feitas.
- Como o que é oferecido difere de uma abordagem puramente monitorada de serviços? A resposta deve ajudá-lo a entender as nuances do fornecedor e como ele se diferencia. A AlertLogic começou com um SIEM e, em seguida, adicionou outras tecnologias de proteção baseadas em seus próprios programas globais de telemetria e monitoramento de ameaças. Você pode começar com um MSSP puro e ver o que você experimenta antes de decidir se vai ou não para um SOCaaS.
- Quantos SIEMs legados e sistemas de central de atendimento são suportados? Alguns fornecedores querem que você mude para sua própria solução interna. Outros (como DigitalHands.com) oferecem suporte mais amplo para seus sistemas legados em ambas as tecnologias, enquanto alguns (como Network Technology Partners) têm seu próprio conjunto de APIs que você ou eles têm que escrever programas para aproveitar.
- Quais agentes e servidores os clientes precisam instalar em suas instalações? A maioria dos fornecedores tem dois itens necessários para monitorar sua infraestrutura: agentes e um servidor personalizado que coleta tráfego e executa os aplicativos proprietários do fornecedor. Alguns requerem vários agentes para tarefas específicas, como um para monitoramento puro e outro para correção.
- Com que frequência um fornecedor reavalia a sua infraestrutura? O monitoramento varia entre as varreduras contínuas e trimestrais, e pode ser diferente para o seu equipamento em nuvem e no local.
- Como você produzirá auditorias de conformidade? Alguns fornecedores incluem auditorias como parte de seu preço, alguns cobram extra e alguns o encaminham a terceiros para que você possa ter uma visão totalmente independente do que está fazendo. Outros, como o Bolton Labs, não oferecem nenhum serviço de conformidade. Há boas razões para cada abordagem, apenas certifique-se de saber o que você está pagando.
- O fornecedor tem um revendedor ou modelo de vendas diretas? Alguns possuem redes de parceiros bem desenvolvidas. Outros usam grandes distribuidores como a Ingram Micro para seu alcance, enquanto alguns querem lidar diretamente com você. Alguns provedores do SOCaaS também revendem seus serviços para outros MSSPs, o que é um modelo de negócios interessante. Certifique-se de estar confortável com a abordagem que você usa.
- Qual é o tamanho alvo de seus clientes? Alguns fornecedores estão mais focados em empresas de médio porte ou até mesmo menores. Outros podem crescer e expandir para redes muito grandes em vários continentes. Mais uma vez, descobrir qual é o seu ponto doce e saber quando você pode superá-lo.
- Quem está alocando seu SOC? Você vai querer saber que tipo de treinamento, certificações e outros níveis de habilidade as pessoas que estão assistindo sua rede têm. As pessoas muitas vezes importam mais do que o equipamento real. Afinal, é por isso que você está contratando um SOCaaS de qualquer maneira: para que você não tenha sua própria equipe.
Conheça nosso SOC em 1 minuto!
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
