Blue team
Mais de 20 anos no mercado de segurança construíram a diferenciação da Securnet: uma enorme experiência subjacente ao seus SOC para saber os passos a seguir. Filipe Pinto, diretor técnico, e Miguel Barreiros, Sales & Marketing Director, explicam a visão da empresa
05/06/2023
Que recursos-chave é que o SOC da Securnet oferece?
Filipe Pinto, Diretor Técnico da Securnet: A Securnet tipicamente trabalha com três SIEM: o Splunk, o FortiSIEM e um open source, o Wazuh, sob o qual temos desenvolvido alguns serviços. Dependendo das características do cliente, quer financeiras quer técnicas, escolhemos a solução que melhor se enquadra no perfil. A primeira fase é a instalação do SIEM, ou seja, um agregador de fontes de dados. Depois, há uma certa inteligência através da correlação de dados para pesquisar ameaças. Assim, havendo um comportamento anómalo, é lançado um alerta e nós oferecemos conhecimento. O nosso serviço de SOC trabalha sob SIEM. Aproveitamos todo o conhecimento das análises forenses que fazemos, envolvemos o nosso SOC e procuramos antecipar e evitar os ataques. O SOC é 24/7 com vários tipos de alarmística de investigação para eventos médios ou críticos, estes últimos de forma obviamente imediata. Um SOC deve fazer a deteção e resposta. Nós detetamos e esperamos que os clientes nos deem algum poder de resposta, não gostamos mesmo de não o ter. O nosso serviço é segurança, é deixar o cliente dormir descansado. Miguel Barreiros, Sales & Marketing Director da Securnet: O SIEM é a base do serviço, mas não é suficiente por si só. É uma ferramenta que carece de muita atenção, sob pena de não ter qualquer eficácia. Diria que o segredo de um SIEM está em quem o opera. Que critérios é que a Securnet utiliza para avaliar e selecionar as ferramentas mais adequadas às necessidades específicas dos clientes? Filipe Pinto: Os SIEM com que trabalhamos têm as suas características particulares, mas, na minha opinião, o mais importante é a capacidade dos profissionais do SOC. Um SIEM por si só não é nada mais que um agregador de fontes de registo que dá depois dados ao operador para investigar. Agora já se está a evoluir para SOAR, que é a resposta. Quando há um evento, o SOAR automaticamente despoleta um conjunto de ações de resolução. Sem esquecer os EDR, XDR, MDR e NDR, entre outros, que, cada um de sua forma, contribuem para uma maior e melhor proteção. O que diferencia o SOC da Securnet dos restantes disponíveis no mercado? Filipe Pinto: Para além do conhecimento interno e das fontes de informação a que temos acesso, contamos com profissionais que fazem análise forense, outros pentesting, outros engenharia, etc. Portanto, uma grande abrangência. A equipa de SOC não opera apenas no SOC, vai buscar conhecimento aos clientes e aos colegas. Temos uma equipa de consultoria que procura soluções teóricas para clientes e que forma o nosso SOC por antecipação, sempre que possível. Não é um processo fechado e estamos sempre em “monitorização”. Até os responsáveis são monitorizados. A segurança não pode esperar e o tempo de reação tem de ser o mais baixo possível.
Miguel Barreiros: O nosso SOC não é uma equipa de monitorização que está a monitorizar segurança, é uma equipa de segurança. Implementamos e operamos segurança há mais de 20 anos e não basta detetar e reportar. É preciso atuar, é preciso melhorar continuamente a infraestrutura do próprio cliente e essas são grandes diferenças. O que vai derivar de um SOC que simplesmente avisa o cliente? Fazer as perguntas certas é um aspeto relevante e mais vale não vender um serviço, do que o fazer de forma incompleta ou cujo resultado seja inútil para o cliente. Filipe Pinto: Já aconteceu explicarmos a um cliente que estava vulnerável e ele não perceber. Pedi ao nosso “hacker de serviço” para entrar no sistema do cliente e tirar alguns dados para que percebesse o quão vulnerável estava. Não ficamos confortáveis ao passar simplesmente um relatório ao cliente. A nossa filosofia é que o problema do cliente é o nosso problema. Miguel Barreiros: Se só lançássemos alertas e relatórios cheiros de gráficos, não estaríamos a colmatar nenhuma necessidade. As necessidades de defesa dos clientes são compostas por variadíssimos vetores e compete-nos, enquanto profissionais da área, explicar não resolve o problema apenas cobrindo um desses vetores. É uma questão de foco no cliente. Não basta colocar nas apresentações que não temos clientes, mas parceiros. Ser parceiro é também aquilo que o Filipe já referiu: ir além do que está inicialmente previsto, dentro da razoabilidade, é recusar vender serviços incompletos ou inúteis. Eu não acredito que, ao valor que alguns serviços de SOC estão a ser prestados, o cliente tenha a atenção que lhe é devida, correta e necessária. E um serviço de SOC exclusivamente suportado em automatismos está, pelo menos para já, condenado ao insucesso. Precisamos de conhecer os casos de sucesso, mas também de insucesso para ter a experiência adequada para fazer diferente da próxima vez. E é também isso que nos diferencia: a experiência acumulada!
Conteúdo co-produzido pela MediaNext e pela Securnet |