O cibercrime é uma ameaça contínua e sempre nova, desafiando a inteligência dos SOCs. Mas, além das ameaças externas, há dificuldades internas que desafiam as organizações, mesmo as que investem pesado.
Não é de hoje a falta de profissionais no mercado, a falta de um monitoramento abrangente em segurança, a falta de visibilidade sobre quais são os riscos de fato, a falta de um programa de resposta a incidentes, a impossibilidade de extrair valor de investimentos e dados, e a incapacidade de estabelecer um diálogo entre cibersegurança, governança e o compliance. Ao mesmo tempo, os SOCs são grandes, e a criticidade do trabalho torna sua operação cara e complexa.
As dificuldades das equipes que estão dentro das organizações neste momento são enormes, com impactos relevantes sobre sua capacidade de se proteger. De acordo com um relatório da Ponemon, apenas 42% das organizações consideram seu SOC ineficiente de alguma maneira.
Se adotar tecnologias é crucial – e o AIOps está aí para mostrar isso –, nem sempre serão a solução de todos esses desafios. Primeiro, porque cada nova ferramenta adquirida significa mais dados para serem monitorados e analisados, mais alertas a serem gerenciados e, consequentemente, mais dificuldade de chegar às reais ameaças. E depois porque não há bala de prata para o enfrentamento dos desafios dos SOCs. As ações precisam ser variadas.
Uma dessas ações possíveis é o SOC as a service. Se à primeira vista é fácil compreender o conceito – que de novo não tem nada –, quando vamos mais a fundo, buscando compreender como ele se materializa em serviço algumas dúvidas podem surgir.
É um serviço como o de MSSPs – provedores de serviços gerenciados de segurança – ou de MDRs – detecção e resposta gerenciadas – ou ambos?
Nosso objetivo neste artigo, portanto, é dar para você uma visão geral da definição de SOC as a service e do que esperar desse serviço.
SOC as a service: definição e funcionamento
SOC as a service é o modelo baseado em serviço que terceiriza parcial ou totalmente as responsabilidades de um SOC para um fornecedor externo.
Esse serviço veio na esteira do aumento do uso da cloud, tornando o acesso a dados de segurança em um desafio: uma vez que estão em diferentes camadas, por meio de diferentes mecanismos, como conciliá-la?
Os SOCs as a service vieram com a automação para monitorar recursos do ambiente, identificar anomalias e gerar alertas a partir delas. Daí o foco primário do SOC as a service nos elementos de monitoramento do SOC interno, o que o diferencia de um MSSP, que inclui a operação e manutenção de ferramentas de segurança on-premise, bem como da própria infraestrutura física exigida para ela.
SOC as a service, portanto, vão usar analytics, machine learning e congêneres, como o MDR, o que pode fazer com o serviço de ambos se sobreponha.
SOC as a service vs. SOC tradicional
Normalmente, pelas suas características, o SOC as a service funciona como uma extensão do SOC interno focada em ações como validação de ciberataques, gestão de SIEM, criação de soluções em analytics, ampliação da cobertura, etc.
A virtude dos fornecedores de serviços de SOC é a experiência acumulada em vários casos e ferramentas de mercado, assim como a posse de uma equipe pronta para trabalhar, que entrega imediatamente para a organização uma expertise que ela não tem ou, se tem, que não consegue aproveitar.
Então, o serviço beneficia organizações que precisam gerar um resultado rapidamente, sem passar por uma grande curva de aprendizado ou destacar e formar uma equipe internamente.
Benefícios como esses têm elevado a expectativa de crescimento do mercado de SOC as a service. De acordo com dados da ReportLinker, a taxa de crescimento deve ser de 10,2% ao ano, de 2022 a 2028, o que levará o mercado a um valor global de $10,9 bilhões.
Que tipo de empresa se beneficia do SOC as a service
SOCs com diferentes níveis de maturidade podem se beneficiar do SOC as a service.
Para um SOC em seus estágios iniciais, que tenha apenas controles de segurança básicos implementados e equipe pequena, pode ser crucial para superar a pressão para provar o seu valor.
Para SOCs intermediários, que precisam evoluir em sua abordagem para melhorar os resultados e qualidade dos serviços, pode ser a chave para abordar problemas de cobertura e ROI.
Em SOCs maduros que precisam se modernizar para dar um salto de nível, pode ser a forma de eliminar falsos positivos, automatizar operações etc.
Pontos de atenção ao iniciar o SOC as a service
Para avaliar o uso de SOC as a service, a empresa precisa analisar o que já está em funcionamento em seu próprio ambiente e o que pretende realizar, para entender com que fim, onde e como um SOC as a service se encaixam de modo a gerar valor.
O objetivo é diminuir os custos de monitoramento? Melhorar a visibilidade nos ambientes cloud? Apoiar ambientes on-premise?
Uma vez definida a lista de necessidades, a organização precisa avaliar itens como: já existem fornecedores MSSP operando que possam apoiar o monitoramento? Há ambientes cloud que podem ser especificamente circunscritos para um SOC as a service?
E depois, chegando numa lista de fornecedores, ela precisa colocá-los à prova.
SOC as a service: já considerou essa opção?
Monitoramento, identificação, priorização e resposta a incidentes sempre novos e constantes lado a lado com melhorias para continuar a evoluir em proteção: os SOCs têm muito trabalho a fazer. E ele continuará a evoluir.
Já é comum contar com fornecedores externos para superar esses desafios e dar mais escala ao trabalho.
O SOC as a service vem como uma terminologia nova para caracterizá-lo, dado o enfoque cloud dos fornecedores.
Você que terceiriza parte da sua operação já considerou um SOC as a service?