Renato Batista, CEO da Netglobe Cyber Security
*Por Renato Batista
A evolução dos Security Operation Centers (SOCs) está relacionada à expansão da internet e ao consequente aumento do volume e tipo de ataques digitais. Os SOCs nasceram antes da internet comercial, na década de 1970, para a defesa de instalações militares. Com o passar dos anos e a expansão dos ambientes online, os SOCs começaram a contar com recursos como detecção e prevenção de intrusão e, em seguida, de atividades regulatórias e de conformidade. Por volta do ano 2000, empresas e bancos começaram a investir pesadamente em SOCs. Cerca de cinco anos mais tarde, os SOCs começaram a contar com firewalls de inspeção estável, o anti-spam e gestão de vulnerabilidades.
CONTEÚDO RELACIONADO – Revolução cultural na cibersegurança: o impacto da IA no SOC como serviço
O grande salto, no entanto, aconteceu entre 2007 e 2013. Foi o pico da atividade das APTS (ou Ameaças Persistentes Avançadas, ataques com o objetivo de roubar dados de forma prolongada). Os SOCs ganharam então soluções de segurança importantes como a monitorização da fuga de dados (DLP) e a gestão de informações e eventos de segurança (SIEM), visando a detecção e prevenção contra essas ameaças. No mesmo período, mais especificamente entre 2010 e 2012, o volume de ocorrências de APT aumentou em 81%. Nesse cenário, o SOC foi o principal recurso de defesa para as empresas. Além de atuar em agregação de logs, o sistema foi largamente usado na prevenção de vazamento de dados e análise de malwares. Também foi nesta época que os Managed Security Services (MSS) se tornaram populares. Com eles, uma empresa podia assinar um serviço de segurança, eliminando a necessidade de instalar fisicamente infraestrutura cara e espaçosa.
Com o passar dos anos, avançou a transformação digital de empresas e sociedades. Realidades como Cloud Computing e a popularização da Inteligência Artificial geraram novas necessidades de segurança digital, especialmente após 2015. Mas um dos maiores divisores de águas em termos de digitalização foi a pandemia. A expansão rápida do trabalho remoto trouxe desafios como a necessidade de permitir acesso online seguro. E ao mesmo tempo, aumentaram em grande volume ameaças como ransomware de extorsão dupla, phishing com o uso de técnicas de Inteligência Artificial, ataques de negação de serviço distribuída (DDoS) de resgate e ataques de acesso privilegiado.
Nesse panorama, quais devem ser as bases para a construção de um SOC que seja realmente eficaz nos dias de hoje? Em primeiro lugar, ele deve se adequar às necessidades locais, ou seja, cada empresa deve entender bem seu nível de maturidade digital. Feita essa análise, deve-se levar em conta que o SOC precisa ser assertivo. O número de falsos positivos na investigação de ataques é altíssimo, o que prejudica enormemente o trabalho das equipes de analistas. E o SOC não deve apenas monitorar ameaças, mas ser capaz de mitigar e responder a alertas. Para isso, a Inteligência Artificial e automação levam à priorização de ameaças reais e à consequente redução de falsos positivos, além de gerar alta capacidade preditiva. Essas tecnologias reduzem o tempo de mitigação para minutos, previnem impactos operacionais e detectam comportamentos suspeitos, impedindo que ameaças cheguem à superfície.
Assim, em um mundo que passa por um processo de digitalização cada vez mais abrangente e em um economia globalizada, o SOC tornou-se um recurso crítico para que as empresas operem com sucesso. Suas principais missões são permitir a transformação digital e a resiliência dos negócios. E em um cenário em que as ameaças tendem a crescer em volume e sofisticação, ele terá um papel cada vez mais relevante na manutenção da economia. *Renato Batista é CEO da Netglobe Cyber Security.
Este conteúdo é de total responsabilidade do autor, não representando, necessariamente, a opinião do Portal IPNews.
