Diferença entre SOC e MSS e quando utilizá-los
O aumento de maturidade da segurança cibernética nos ambientes de TI tem sido uma prioridade para as organizações, especialmente após a pandemia da Covid-19. E este desafio traz à tona a necessidade de contar com recursos como SOC e MSS.
Os ciberataques tornam-se cada vez mais sofisticados e é difícil manter-se um passo à frente dos criminosos.
Muitas vezes, as equipes internas de TI não dão conta ou não possuem especialização adequada para lidar com as diferentes vulnerabilidades dos sistemas, que nem sempre são identificadas a tempo.
São necessários profissionais especializados em cyber security treinados e focados nas especificidades e demandas de segurança do negócio.
Nesse contexto, surge a dúvida dos gestores sobre utilização de SOC e MSS para estruturar suas ações relacionadas à segurança.
O dilema diz respeito a optar entre ter um programa robusto de segurança concebido internamente (caso do SOC) ou contratar um provedor de serviços especializado (MSS).
Em algumas situações, a empresa não conta com o espaço adequado para alocar o SOC e opta pelo SOC as a service, que já é possível encontrar no mercado braileiro.
Em outras situações, não há recursos suficientes para investir em equipamentos e colaboradores.
Nesses casos, recorrer ao MSS, um provedor de serviços de segurança, pode ser a melhor opção, até porque o investimento costuma ser menor do que implementar um centro interno de segurança do zero.
Quer saber mais sobre os conceitos de SOC e MSS? Continue a leitura para avaliar qual deles pode ser implementado no seu negócio.
O que é SOC?
SOC é a sigla referente à expressão Security Operations Center, que, em tradução livre, é o mesmo que Centro de Operações de Segurança.
Suas atividades são dedicadas à segurança da informação com três principais focos: as pessoas, os processos e as tecnologias, que, no caso, diz respeito a ferramentas ou soluções de segurança.
O objetivo desse centro de operações é garantir a segurança de um ambiente pré determinado. Assim, ele promove monitoramentos de diversas soluções e equipamentos para que os incidentes sejam evitados.
Além disso, quando os incidentes ocorrem, o SOC conta com uma estrutura de mitigação dos mesmos e assume a missão de sanar o problema dentro do menor tempo possível.
Então, podemos resumir as atividades do SOC dentro dos seguintes tópicos:
- Prevenção de incidentes;
- Monitoramento de softwares e hardwares;
- Identificação de riscos;
- Respostas a incidentes;
- Análises de vulnerabilidades.
No próximo tópico vamos abordar a definição de MSS para que você comece a compreender as proximidades e diferenças entre SOC e MSS.
O que é MSS?
Para entendermos melhor as diferenças entre SOC e MSS, vamos agora ao segundo conceito.
MSS diz respeito à expressão Managed Security Services, cuja tradução é “Serviços de Segurança Gerenciados”.
A sigla também pode aparecer acompanhada de um “P”, que significa “provider” ou “provedor”. Temos assim o MSSP.
Trata-se de um provedor ou empresa terceirizada que presta serviços de monitoramento e gerenciamento de segurança dos ativos de uma determinada empresa .
É possível contratar esse tipo de empresa prestadora de serviços nas modalidades reativa ou proativa, a depender da situação da empresa.
Mas, de maneira geral, o recomendado é sempre que possível atuar preventivamente de modo a evitar ao máximo os incidentes.
Esse tipo de serviço vem passando por uma evolução nos últimos anos. Sua primeira versão proporcionava o gerenciamento de dispositivos de segurança tradicionais, como o firewall.
Havia um gerenciamento de alertas, além de orientações e recomendações, porém sem muitos recursos aprofundados.
Os recursos avançados começaram a ser oferecidos quando o MSS evoluiu para uma versão 2.0.
Isso aconteceu paralelamente ao crescimento da superfície de ataque em decorrência também da transformação digital nas empresas.
Nesse momento começaram a ser empregados recursos como inteligência artificial e aprendizado da máquina.
Assim, ficou claro que o MSS não diz respeito apenas ao gerenciamento de dispositivos mas também dos dados contidos nesses dispositivos.
Atualmente, os serviços de segurança gerenciados chegaram à sua versão 3.0 e combina ferramentas, tecnologias, procedimentos e metodologias para fornecer recursos completos de segurança cibernética para as organizações.
Sendo assim, é possível contar com uma equipe de segurança antenada sobre os recursos mais avançados de cibersegurança 24 horas por dia e sete dias por semana.
As empresas que trabalham com MSS costumam oferecer um alto nível de especialização em segurança, sendo 100% focadas nessa área.
Dessa forma, muitas empresas que não contam com uma equipe interna especializada em tecnologia e segurança recorrem às MSSPs.
Outra opção é manter um cenário híbrido. Nele, a empresa contrata um MSS para determinados escopos e também possui equipe interna para outros escopos ou até mesmo compartilhando a responsabilidade.
Quando a empresa possui ambientes mais complexos e críticos, é possível fazer a contratação de diversos MSSPs diferentes, no qual cada um deles fica responsável por um escopo específico: gestão de vulnerabilidade, threat intelligence, etc.
Vale lembrar que os MSSPs também possuem SOC dentro das suas empresas para prestação dos serviços oferecidos no MSS.
Diferença e aproximação entre SOC e MSS
SOC e MSS não são sinônimos mas também não podem ser vistos como opostos, principalmente porque eles têm sido utilizados conjuntamente para enfrentar a evolução dos crimes cibernéticos.
O SOC está ligado à utilização de equipamentos e sistemas, além de uma equipe técnica especializada para monitorar todo o ambiente com foco na identificação de vulnerabilidades, ameaças e incidentes.
Já o MSS diz respeito ao monitoramento do ambiente de segurança de maneira remota com o mesmo foco na identificação de riscos.
No contexto de grande aperfeiçoamento dos criminosos cibernéticos, SOC e MSS funcionam com muito mais eficácia se atuarem conjuntamente.
Grandes empresas podem contar com um Centro de Operações de Segurança próprio, com investimento em hardwares e softwares avançados bem como na manutenção e atualização dos mesmos.
Nesses casos, é claro que o monitoramento remoto constante a partir da contratação de um provedor MSS poderá complementar o investimento em segurança da informação.
Contudo, essa não é a realidade da maioria das empresas. Muitas delas não contam com o espaço e os recursos adequados (inclusive intelectuais) para o estabelecimento de um SOC.
Por conta desse tipo de situação é que surgiram as empresas que trabalham com o SOC as a service.
Elas disponibilizam Centros de Operações de Segurança compartilhados com toda a infraestrutura necessária para o acompanhamento do ambiente de tecnologia da informação de várias empresas.
Dessa forma e, em parceria com o MSS, você pode contar com a garantia de ter uma pronta resposta diante de qualquer mudança ou ameaça encontrada em seu ambiente de TI.
Esse tipo de SOC conta com uma equipe de especialistas em segurança da informação que cuida do monitoramento e de atividades proativas para a identificação de falhas e oportunidades de melhoria.A atuação conjunta entre MSS e SOC é um modelo promissor para a segurança da informação em empresas de diversos segmentos. Para complementar as informações deste artigo, recomendamos que você também leia: CSIRT: o que são os grupos de Resposta a Incidente de Segurança. Até o próximo conteúdo!