SOC

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

Um Security Operations Center (SOC) em português Centro de Operações de Segurança, é um termo genérico que descreve parte ou a totalidade de uma plataforma cujo objetivo é prestar serviços de detecção e reação a incidentes de segurança. Podemos distinguir cinco operações a serem executadas por um SOC[1] :

  1. Geração de eventos de segurança;
  2. Coleta;
  3. Armazenamento;
  4. Análise;
  5. Reação.

Assim, um Security Operations Center (SOC) é composto por cinco módulos distintos:

  • Geradores de eventos;
  • Coletores de eventos;
  • Banco de dados de mensagens;
  • Mecanismos de análise;
  • Software de gerenciamento de reação.

O principal problema encontrado na construção de um SOC é a integração de todos estes módulos, geralmente construídos como partes autônomas, conciliando a integridade, a disponibilidade e a confidencialidade dos dados e de seus canais de transmissão.

Esta plataforma pode ser interna e atender a apenas uma empresa ou ser terceirizada, caso em que é conhecido como Virtual SOC (VSOC). Empresas que mantêm um VSOC e atuam como SOC para outras empresas são conhecidas como provedores de Serviços Gerenciados de Segurança (ou Managed Security Services Provider, MSSP, na sigla em inglês).[2] Tipicamente, um SOC trabalha 24 horas por dia, 7 dias por semana, 365 dias por ano, com pessoal técnico especializado em Segurança da Informação e possui conexões diretas com os ativos que gerencia e monitora através de túneis VPN.

Infraestrutura[editar | editar código-fonte]

Para atender as demandas de monitoramento e administração dos ambientes de segurança, é recomendável ter uma alta disponibilidade com redundância de recursos em prédios AAA. Os SOCs devem, ainda, estar ligados a Data Centers Padrão TIER III, a mais de 5 km de distância geodésica. Dessa forma a infraestrutura permite suportar os seguintes eventos sem interrupção nos serviços prestados:[3]

  • Ausência de fornecimento de energia elétrica
  • Manutenção preventiva e corretiva de componentes de rede, servidores e aplicativos
  • Falha completa ou destruição de 1 SOC e 1 Data Center

Os SOC devem também possuir, independentemente da estrutura dos prédios, controle de acesso baseado em dois fatores - biométrico e cartão -, rede de fornecimento de energia protegido por UPS e sistema interno de TV (CFTV).

O objetivo desta infraestrutura é garantir a continuidade da prestação dos serviços, a integridade e a confidencialidade dos dados tratados.

Referências