CSIRT e CSOC

O que é CSIRT

CSIRT são as siglas de Computer Security Incident Response Team. Ou seja, da equipe de resposta a incidentes de segurança informática. Se seguirmos a definição fornecida pelo Software Engineering Institute da Universidade Carnegie Mellon, um CSIRT é “uma entidade organizacional específica (ou seja, um ou mais membros da equipe) à qual é atribuída a responsabilidade de coordenar e apoiar a resposta a um evento ou incidente de segurança informática”. Seu objetivo, portanto, é controlar e minimizar os possíveis danos que um incidente de segurança possa causar. Além disso, é responsável por fornecer uma orientação eficaz para as atividades de resposta e recuperação, e trabalha para evitar que futuros incidentes ocorram.

Para poder realizar este cometido, o National Institute of Standards and Technology do governo dos Estados Unidos dá uma série de recomendações, como

• Criar e atualizar planos de resposta a incidentes
• Manter e comunicar as informações para entidades internas e externas
• Identificar, avaliar e analisar os incidentes
• Coordenar e comunicar os esforços de resposta
• Remediar os incidentes
• Informar sobre os incidentes
• Gerenciar as auditorias
• Revisar as políticas de segurança e
• Recomendar mudanças para prevenir futuros incidentes.

Vale ressaltar que os CSIRT podem estar em qualquer organização, independentemente do seu tamanho e propósito. Portanto, pode haver CSIRT nos próprios países, mas também em empresas ou até mesmo em entidades sem fins lucrativos.

O que é CSOC

CSOC é o mesmo que um SOC. Este último acrônimo responde às siglas de Security Operations Center, ou centro de operações de segurança. Outros preferem adicionar o termo “Cyber” a tudo o anterior para falar de Cyber Security Operations Center ou CSOC.

O CSOC é geralmente formado por uma equipe de analistas de segurança de rede organizada para detectar, analisar, responder, relatar e prevenir incidentes de segurança de rede 24 horas por dia, 365 dias por ano. Ou seja, sua missão é mais ampla, pois abrange todas as fases e etapas da segurança, enquanto o CSIRT estaria mais delimitado às áreas de resposta a um incidente.

Embora possam trabalhar com outras equipes ou departamentos, normalmente os profissionais do CSOC trabalham de maneira independente. Podem estar dentro das empresas ou em fornecedores de serviços externos que contam com funcionários que possuem altos conhecimentos de TI e cibersegurança.

Uma das peculiaridades dos CSOC é que funcionam as 24 horas do dia (os funcionários trabalham por turnos) para registrar constantemente a atividade e mitigar as ameaças. No CSOC, o tráfego da Internet, as redes, os computadores de mesa, os servidores, os dispositivos de ponto final, as bases de dados, as aplicações e outros sistemas são continuamente examinados em busca de sinais de um incidente de segurança.

Os CSOC são uma parte integral para minimizar os custos de uma possível violação de dados, pois não só ajudam as organizações a responder rapidamente às intrusões, como também melhoram constantemente os processos de detecção e prevenção.

Tipos de CSOC

Existem diferentes tipos de CSOC que são definidos por seu modelo organizacional e operacional mais do que por seus conjuntos básicos de capacidades. Evidentemente, o CSOC também pode (e deve) contemplar essa reação a possíveis incidentes, mas sem deixar de lado outras funções.

Assim, e embora a oferta seja cada vez mais ampla, dependendo do tipo de CSOC que cada empresa decidir, podemos falar de.

• CSOC dedicado ou autogerido (na própria organização)

• CSOC gerenciado (um provedor de serviços externo oferece a segurança)

• CSOC distribuído (uma combinação dos dois anteriores)

• CSOC multifuncional (em que os profissionais e suas responsabilidades se estendem a outras áreas de gestão de TI, como as redes)

• CSOC virtual (em que não há instalações dedicadas on-premise)

• CSOCaaS (oferecido como um serviço, geralmente envolve uma assinatura, geralmente mensal ou anual, para receber esses serviços)

Conclusão

Como conclusão, podemos dizer que ambas equipes são importantes para a segurança de qualquer empresa. Enquanto o CSIRT tem a tarefa de dar uma resposta a possíveis incidentes, o CSOC deve ser o vigilante que faz o monitoramento e a análise de possíveis comportamentos anômalos para evitar um incidente.

Ambas responsabilidades são importantes e complementares para a atividade de qualquer empresa e organização.