Blog post da Gartner questiona a separação entre SOC e o CSIRT

No último dia 27 de Junho, a empresa Gartner divulgou um blog post questionando a separação entre Security Operations Center (SOC) e Computer Security Incident Response Team (CSIRT) dentro das organizações.  No post, são apontados motivos pela existência de SOCs que agregam a função de CSIRT no mesmo grupo, mas, também, motivos para manter os grupos separados.

Confira abaixo o post de Augusto Barros na íntegra, traduzido de Gartner.

À medida que avançamos na atualização da nossa pesquisa de SOCAnton e eu voltamos à discussão sobre a existência de duas entidades separadas nas organizações, o SOC e CSIRT. Este foi o “modelo padrão” no qual baseamos algumas de nossas pesquisas. Parece mais ou menos assim:

  • Security Operations Center: Executa o monitoramento de segurança, possuindo a etapa “detectar”. Quando fazem a triagem inicial dos alertas gerados e enviam os incidentes confirmados para o…
  • Computer Security Incident Response Team: Recebe os incidentes confirmados do SOC e prossegue com a etapa de resposta, avançando nas etapas da investigação (qual é a real extensão e impacto da violação, etc.) e prossegue através do modelo tradicional de RI: Contenção, remediação, retorno ao normal, lições aprendidas, etc).

Nossa impressão foi que organizações de menor e médio porte, bem como de baixa/média maturidade, normalmente operariam com um SOC, fazendo todas as atividades acima. Grandes empresas, assim como aquelas que evoluem para um estado de alta maturidade, eventualmente teriam o modelo de duas entidades separadas. Mas depois de algum tempo coletando dados de chamadas de clientes e revisando algumas outras fontes de dados, minha impressão é que a maioria das organizações, independentemente do tamanho ou maturidade, tem funções de detecção e resposta como parte do mesmo grupo, o SOC. Então, qual é o modelo melhor?

Neste ponto, acredito que uma única entidade, o SOC, é preferível. Por quê? Como a linha entre detecção e resposta está se tornando desfocada, talvez até tenha deixado de existir. As atividades de caça, por exemplo, são principalmente uma maneira de detectar ameaças, mas operando no estilo de resposta” O uso de ferramentas SOAR por ambas as funções também apontam para a necessidade de ter esses grupos juntos, pois seria difícil definir exatamente quem “possui” a ferramenta e é responsável por sua evolução. As atividades relacionadas à inteligência de ameaças são outro motivo para mantê-las juntas. Uma única função de consumo de TI pode fornecer informações para práticas de detecção e resposta.

Outro motivo para manter esses grupos juntos é relacionado ao gerenciamento da força de trabalho. Um dos principais problemas dos SOCs é o desgaste do pessoal. É muito difícil manter motivados os analistas de nível 1, especialmente aqueles que trabalham em turnos noturnos, fins de semana etc. Ter as atividades de RI e caça como parte do mesmo grupo amplia as oportunidades de rotação de empregos, uma maneira eficiente de fornecer informações mais interessantes. empregos e ainda mais perspectivas sobre a evolução da carreira.

No entanto, também há motivos para manter esses grupos separados. Algumas pessoas acreditam que manter essas funções separadas permitiria que elas se concentrassem em seus objetivos principais (detecção versus resposta). Há também casos em que há necessidade de vários SOCs (devido a várias subsidiárias ou escritórios regionais), mas alguma capacidade (ou desejo, devido à maior sensibilidade dos resultados) para manter o IR centralizado. Finalmente, os planos estratégicos de terceirização (principalmente para as atividades de detecção) podem exigir que as funções sejam separadas. Eu não acho que isso seja uma exigência, já que a maioria dos SOC hoje está operando de forma híbrida em termos de terceirização, mas pode ser uma maneira de uma organização manter as responsabilidades de um eventual parceiro mais claramente definidas.

O que você acha? Tudo é parte do SOC ou ainda existe espaço para o modelo SOC / CSIRT?

Para ver o post original, clique aqui.