Uma abordagem “baseada em serviço” pode ser muito mais acessível e efetiva para a entrega de soluções de segurança. A Clavis propõe um modelo inovador de Security as a Service onde entrega um pacote de tecnologias e serviços técnicos que atendem aos mais importantes requisitos e controles de segurança previstos nos principais padrões e recomendações.

O Desafio de uma Efetiva Segurança Cibernética 

A segurança cibernética é uma das principais preocupações para empresas de todos os tamanhos e setores. No entanto, muitas vezes, implementar uma estratégia de segurança robusta pode ter um alto custo e exigir recursos especializados que nem todas as organizações possuem. É neste ponto que surge a opção do Security as a Service (SecaaS), uma abordagem acessível e eficiente para proteger as informações e ativos digitais de uma empresa.

Construir um efetivo programa corporativo para segurança cibernética é um desafio para qualquer organização, dada a atual realidade da segurança no Brasil e no mundo.

Do ponto de vista técnico, existe uma assimetria fundamental entre ataque e defesa. Enquanto o adversário precisará, muitas vezes, encontrar uma única brecha de segurança para causar potencialmente grandes danos, o defensor precisará eliminar todas as fragilidades, o que demandará uma equipe técnica ampla e diversificada. 

De fato, a construção de um Programa Corporativo de Segurança Cibernética é uma atividade sofisticada, envolvendo atividades relacionadas à implantação de tecnologias, desenho de processos e treinamento e conscientização de pessoas. Os principais frameworks e guias de boas práticas em segurança apontam para um enorme número de atividades potencialmente aplicáveis a uma organização. O CIS Controls, por exemplo, é um framework de controles de segurança estruturado em 18 controles que desdobram em 153 salvaguardas; já o NIST Cybersecurity Framework possui cinco elementos funcionais que se desdobram em 23 categorias, as quais, por sua vez, se desdobram em 108 subcategorias. E esses números não são peculiaridade dos dois frameworks mencionados, mas uma consequência da complexidade do problema de segurança cibernética, que demanda a implantação de uma grande quantidade de controles – envolvendo tecnologias, processos e pessoas – para alcançar uma efetiva mitigação dos riscos cibernéticos. Grande parte das organizações simplesmente não tem condições práticas de implantar e operar tal volume e variedade de controles.

Do ponto de vista financeiro, a realidade não é diferente. A disponibilidade de ferramentas de ataque cada vez mais baratas, simples e poderosas tornou fácil a constituição de quadrilhas especializadas em crimes cibernéticos com grandes ganhos financeiros. Do lado do defensor, por outro lado, a variedade de ferramentas e profissionais necessários para estabelecer apropriados controles de segurança leva à necessidade de orçamentos de segurança cada vez mais elevados – muitas vezes difíceis de serem cumpridos pelas organizações.

Figura 1. Desafios técnicos e financeiros e assimetria entre ataque e defesa no mundo da segurança cibernética.

A Clavis propõe um modelo inovador denominado Security as a Service e que se baseia na entrega de um “core” tecnológico e de um conjunto de serviços técnicos no modelo “as a service”. Este modelo permite que o cliente tenha acesso a uma grande variedade de tecnologias e serviços que permitirão atender aos principais requisitos e controles previstos nos principais padrões e guias de segurança disponíveis no Brasil e no mundo – tudo isso num modelo baseado em serviço que é financeiramente acessível e garante excelência técnica.

A Abordagem Clavis SOC + SECaaS: SOC com Security as a Service

o longo de quase duas décadas, a Clavis vem desenvolvendo conhecimento e tecnologia naquilo que se pode considerar o “núcleo estratégico” de um efetivo programa de segurança cibernética. A expertise desenvolvida ao longo de todo este período consolidou-se na forma de três ferramentas e de um conjunto de serviços técnicos atualmente oferecidos pela empresa. As três ferramentas mencionadas representam o “core tecnológico” baseado no qual a Clavis presta seus serviços, as ferramentas BART GCV (Gestão Contínua de Vulnerabilidades), OCTOPUS SIEM (Gerenciamento de Eventos e Informações de Segurança) e SOC Clavis (Security Operations Center).

Além das ferramentas tecnológicas acima mencionadas, a Clavis possui expertise para a prestação de serviços técnicos estratégicos, incluindo serviços de Governança, Risco e Conformidade (GRC), Segurança Ofensiva e Testes de Invasão (Red Team), Resposta a Incidentes e Computação Forense (DFIR – Digital Forensics and Incident Response), Desenvolvimento Seguro e serviços de Treinamento e Conscientização.

Essência do modelo: a ideia que sustenta o Security as a Service

Por muitos anos (e até hoje) o mercado de segurança promoveu a ideia de que “balas de prata” – soluções únicas que prometiam resolver os todos problemas de segurança cibernética. Nos dias de hoje, é cada vez mais claro que a efetiva segurança não se alcança por meio de tais “soluções mágicas”, e existem dois principais motivos para isso:

1) Ataques cibernéticos são complexos, demandando a implantação de controles dos mais diversos tipos;

2) A realidade das organizações e os modelos de ataque a que estão sujeitas evoluem dinamicamente, demandando revisão constante da efetividade dos controles existentes.

Essa realidade torna frequentemente inútil o modelo de entrega onde um grande fornecedor de soluções de segurança simplesmente implanta uma ferramenta sem apoiar na sua configuração, parametrização, operação, ajuste de processos e treinamento de usuários. No entanto, é o que ainda se observa em muitos “cases”, onde caríssimas ferramentas, tais como SIEM, se tornam caros e inúteis elefantes brancos na infraestrutura de segurança corporativa.

O modelo de SECaaS proposto pela Clavis vai no sentido totalmente oposto. Embora a Clavis domine o core tecnológico sobre o qual se sustenta o modelo – representado pelas ferramentas BART e OCTOPUS -, essas ferramentas não são apenas entregues ao cliente como um software de prateleira. O serviço oferecido pela Clavis contempla a implantação destas ferramentas considerando todas as características e peculiaridades do ambiente indicado pelo cliente – e o monitoramento constante de sua efetiva operação. O modelo prevê o uso de uma Central de Operações de Segurança constituída por dezenas de analistas, operando 24 horas por dia nos 7 dias da semana e capazes de analisar os eventos e informações gerados pelas tecnologias presentes na infraestrutura do cliente – não apenas as tecnologias Clavis, mas toda e qualquer ferramenta presente no ambiente tecnológico do cliente. 

Por fim, o modelo de SECaaS da Clavis contempla, ainda, o apoio no desenho, ajuste e documentação de processos (realizado por um time de especialistas em Governança, Risco e Conformidade) e no treinamento e conscientização (conduzido por meio do time da Academia Clavis).

Essa combinação de ferramentas tecnológicas próprias, serviços técnicos, monitoramento, apoio a processos e treinamento e conscientização faz com que Clavis seja um parceiro que atua no dia-a-dia das atividades de segurança de sua organização, quase como se fizesse parte do seu time de colaboradores.

Visão em Camadas do modelo SECaaS

O modelo Clavis SECaaS é uma plataforma completa de operação e gerenciamento de segurança, que fornece aos nossos clientes um “pacote” de tecnologias e serviços que atendem aos requisitos e controles de segurança previstos nos principais padrões e guias de boas práticas em segurança. O modelo pode ser entendido a partir de uma organização em três camadas, conforme a figura abaixo.

Figura 2. Visão em camadas do modelo Clavis de Segurança como Serviço baseado em uma Central de Operações de Segurança.

Na camada mais básica, a Clavis disponibiliza um Centro de Operações de Segurança que Agrega e integra as soluções da Clavis, fornecendo ao cliente um “pacote de tecnologias” que permite atender aos principais requisitos e controles de segurança.

Numa outra camada, temos os serviços técnicos prestados pelos times especialistas da Clavis. Aplicamos um modelo baseado em “pacote de horas”, dentro das quais as equipes técnicas da Clavis realizam as mais diversas atividades e serviços de segurança.

Finalmente, uma terceira camada de integração permite que as tecnologias já existentes no ambiente do cliente possam ser integradas às tecnologias fornecidas pela Clavis. Nesta camada, é possível, inclusive, alocar profissionais da Clavis atuando de forma dedicada e respondendo diretamente ao cliente.

Visão Arquitetural do SECaaS com SOC Clavis

Uma outra visão do modelo SECaaS é a visão arquitetural onde um “core” tecnológico se integra a um conjunto de serviços técnicos – e ambos são apoiados por camadas transversais voltadas à Governança, Risco e Conformidade e a Treinamento e Conscientização. A figura abaixo dá uma visão geral da organização dessa organização.

Figura 3. Visão geral da organização dos produtos e serviços oferecidos pela Clavis (as cores são utilizadas para mapear os serviços e atividades técnicas para os elementos funcionais do NIST Cybersecurity Framework).

Como elemento central, temos um núcleo tecnológico constituído pela Central de Operações e as duas ferramentas que a sustentam, conforme descrevemos a seguir:

– O BART – acrônimo para Baselines, Análise de Riscos e Testes de Segurança – é uma sistema de gerenciamento de ativos e vulnerabilidades, dando uma visão concreta da segurança dos diversos ativos de hardware e software existentes no ambiente de TI do cliente. 

– O Octopus é um sistema para gerenciamento de eventos e informações de segurança, dando uma visão dinâmica a respeito da segurança dos ambientes monitorados. 

O BART e o Octopus são a base tecnológica do SOC Clavis – que usa tais tecnologias, mas se baseia em uma série de procedimentos e playbooks para tratamento de alertas, os quais são executados por uma equipe de dezenas de analistas operando 24×7.

Complementando e se integrando ao SOC Clavis está uma série de serviços e atividades técnicas executadas pelos times especialistas da Clavis. São serviços e atividades diversas e que demandam a atuação de profissionais de diferentes perfis, conforme descrevemos a seguir:

Gerenciamento Contínuo de Ativos e Vulnerabilidades. Operação da ferramenta BART para identificar ativos e suas vulnerabilidades, inclusive com a validação de vulnerabilidades com o objetivo de eliminar falsos-positivos.

Configuração Segura. Avaliações técnicas de segurança e aplicação de configurações seguras para equipamentos e aplicações.

Desenvolvimento Seguro. Inclusão de boas práticas de segurança na esteira de desenvolvimento de software, contemplando requisitos, design, implementação, testes e implantação.

Resposta a incidentes. Atividades associadas à contenção de danos e recuperação de operações na eventualidade de um ataque cibernético.

Detecção de ameaças. Análise dos alertas levantados pelo SOC Clavis para identificar e definir a criticidade de potenciais ameaças.

Investigação e Computação Forense. Análise de logs e eventos com objetivo de atribuição de responsabilidades por ações no ambiente digital – tipicamente, realizados após um incidente.

Red Team e Teste de Invasão. Abordagem de segurança onde especialistas reproduzem cenários de ataque típicos com o objetivo de avaliar a suscetibilidade de redes, sistemas e aplicações a tais ataques.

Threat Intelligence. Monitoramento de ameaças realizado em redes abertas (em todas as camadas da Internet, incluindo sua superfície mas também deep web e dark web).

Gerenciamento de Logs e Eventos. Operação da ferramenta Octopus para centralizar logs de eventos.

Complementando essas duas camadas de Tecnologias e Serviços Técnicos, temos duas atividades “não-tecnológicas” mas que são de suma importância para a segurança – inclusive, podendo ser consideradas “transversais” a todas as atividades e tecnologias. De um lado, temos as atividades de Governança, Risco e Compliance, cujo foco são os “processos corporativos”. Tal atividade pode ser considerada transversal porque qualquer controle de segurança, seja ele voltado a tecnologias, processos ou pessoas, deve estar previsto em política e documentado em procedimento. Outra atividade transversal é o treinamento e a conscientização de pessoas – que pode contemplar o treinamento nos controles implantados em parceria com a Clavis, treinamentos técnicos para a equipe de tecnologia, ou mesmo ações de conscientização voltadas para o corpo funcional como um todo.

O mais importante é que o “core tecnológico” da Clavis está totalmente integrado aos serviços oferecidos pela empresa, possibilitando a entrega de uma solução abrangente na forma de um “pacote” que contempla todos os controles de segurança mais estratégicos necessários para a construção de um efetivo Programa Corporativo de Segurança Cibernética.

Controles de Segurança complementares

Isso não significa que as tecnologias e serviços desenvolvidos pela Clavis entreguem todos os possíveis controles de segurança – o foco da Clavis é naqueles considerados estratégicos. Alguns controles de segurança são relevantes, porém, pela facilidade com que podem ser substituídos, são considerados de “menor importância estratégica”. Exemplos de tais controles são antivírus e firewalls. Tais ferramentas são essenciais para a segurança das organizações – no entanto, dada a variedade de soluções e fornecedores, a abordagem da Clavis é a de entregar tais tecnologias via parcerias estratégicas e/ou alocação de profissionais.

Perguntas Frequentes sobre o Modelo SECaaS

Encerramos este documento apresentando perguntas frequentes sobre modelo de negócio da Clavis, especialmente, o modelo SOC com Segurança como Serviço. 

1 – Como o modelo SECaaS proposto pela Clavis se diferencia dos Serviços Gerenciados de Segurança (MSS)?

Resposta. O SECaaS pode ser visto como uma evolução do MSS. Enquanto o tradicional MSS podem ser visto como uma simples “terceirização de serviços de segurança”, o SECaaS propõe uma parceria abrangente e estratégica para Segurança e Privacidade. Além disso, para reforçar o caráter “ágil” da parceria, o modelo SECaaS faz forte uso de soluções em nuvem.

2 – O modelo SECaaS  proposto pela Clavis dispensa intervenções na infraestrutura do cliente? 

Resposta. Não. Ainda que o modelo seja fortemente orientado a serviço e baseado em ferramentas na nuvem, algumas intervenções no ambiente do cliente são necessárias, tais como a instalação de agentes de monitoramento e de coletores de dados. 

3 – As soluções tecnológicas Clavis dispensam o uso de ferramentas de outros fornecedores?

Resposta. Não. O “core tecnológico” SOC+BART+OCTOPUS entrega um pacote de tecnologias consideradas estratégicas, mas outras ferramentas de segurança, tais como antivírus, firewall, VPNs etc são necessárias. 

4 – Quais são os principais elementos considerados pelos analistas da Clavis na construção de uma proposta para minha empresa/organização?

Resposta. Os analistas da Clavis irão considerar, inicialmente, seus objetivos estratégicos e necessidades imediatas (por exemplo, exigência de fornecedores). Essas informações serão complementadas pelas características da organização, tanto aspectos organizacionais (complexidade, número de unidades/filiais, distribuição geográfica) quanto tecnológicos (número de ativos a serem monitorados, estimativas de volumetria de dados). Finalmente, a capacidade da empresa/organização de empreender um projeto de segurança será considerada (tanto a realidade orçamentária quanto a disponibilidade de pessoal para encampar um projeto de segurança).

5 – É possível utilizar o SOC Clavis em nuvem própria ou hospedagem on-premise (em vez de usar a nuvem Clavis)?

Resposta. Tecnicamente, é possível implantar a infraestrutura do SOC Clavis em qualquer ambiente. No entanto, os custos adicionais associados à interação com os administradores do novo ambiente e eventuais ajustes técnicos nas ferramentas tende a tornar desvantajoso, financeiramente, seguir por este caminho. No caso de clientes que estejam obrigados a implantar um SOC em ambiente próprio (por exemplo, por questões regulatórias ou exigência de parceiros), a Clavis poderá desenvolver um planejamento específico.

Contato com a Clavis

  • Site: www.clavis.com.br
  • E-mail:  contato@clavis.com.br
  • Telefone: (21) 2210-6061 | (21) 2561-0867
  • Whatsapp:  (21) 97915-9602 | (21) 96551-2568