Automatizei meu SOC, agora estou seguro?

Automatizar as operações de segurança é um passo crucial para enfrentar as ameaças cibernéticas atuais. No entanto, automatização por si só não é garantia de proteção. É essencial ter uma estratégia bem definida, alinhada com os objetivos da organização e apoiada por profissionais qualificados e tecnologias avançadas.

Voltamos a falar do tão conhecido pessoas, processos e tecnologia, mas agora dizendo que somente automatizar não nos garante a segurança, qual o segredo?

Para qual etapa do processo do SOC devemos olhar com carinho e, assim, ganhar tempo na estruturação da estratégia?

Primeiro nível de monitoração - excesso de logs

No primeiro nível de monitoração, assumimos que muitos ativos corretamente configurados estão enviando logs para o centralizador de logs da sua preferência, ou seja, uma enxurrada de informações. Então, aqui podemos ter uma automação.

Esse excesso de logs que o primeiro nível recebe pode camuflar alertas que precisam de uma celeridade na análise, por isso deixo alguns pontos que podem ajudar no momento de uma automação do processo SOC:

1. Entenda os logs de cada ativo: uma boa prática é conhecer o que devemos mandar para o SIEM, como um exemplo, se ativarmos auditoria de um servidor teremos muitos EPS sendo enviados para o SIEM, é de extrema importância entende se o que está sendo enviado é realmente o que o negócio precisa. Pois lembre-se EPS custa.
2. Entenda os logs das suas ferramentas: cada ferramenta tem seus tipos de logs, será que todos eles precisam ser enviados? Claro que conforme a evolução da maturidade você pode atuar até mesmo em logs de informativos, mas que tal começar a olhar o que pode trazer preocupações. Qual mensagem quero passar aqui, crie um caminho evolutivo e não ative todos os logs de uma vez, isso causa uma visão errônea e o foco pode ser prejudicado.
3. Crie associações aos seus processos: dentro de cada empresa existem processos com suas particularidades a tal qual pode ser um alerta para um SIEM, mas que para o negócio será uma ação rotineira (momento importante para entender se é um processo saldável e revisar).
4. Ter capacidade: e aqui estamos falando de capacidade técnica de armazenamento e retenção de logs robusta para análise em tempo real (até mesmo pensar em um “lago” para um filtro em uma arquitetura de segurança). E de capacidade de pessoal, com profissionais especializados para atuar com a visão de automatização, priorização, absorção de novas tecnologias e olhar crítico com os eventos.

Automatizar o SOC é um passo significativo na jornada de cibersegurança, mas é apenas uma peça do quebra-cabeça. A verdadeira segurança vem da combinação de uma estratégia bem definida, processos robustos, tecnologia avançada e, mais importante, pessoas qualificadas.

A automação deve ser vista como um facilitador que, quando bem implementada, pode aumentar a eficiência e a capacidade de resposta do SOC. No entanto, sem uma compreensão clara dos logs, das ferramentas e dos processos internos, e sem a capacidade técnica e humana adequada, a automação pode se tornar mais um desafio do que uma solução.

Portanto, ao pensar em automatização, não se esqueça de olhar para o quadro geral: integre seus esforços de automação com uma abordagem holística que considera todas as relações da cibersegurança. Só assim você poderá garantir que sua organização esteja verdadeiramente segura e preparada para enfrentar as ameaças cibernéticas cada vez mais complexas.