Dias atrás estávamos fazendo uma apresentação para um cliente e surgiu a pergunta: “Qual a diferença entre NOC e SOC?”

O cliente já tinha uma equipe e ferramentas para monitorar a performance e disponibilidade da rede, aplicações e servidores, mas estava em dúvida como ter visibilidade de cibersegurança.

A dúvida era montar uma equipe separada ou agregar mais gente na equipe atual.

Nós acreditamos que NOC e SOC precisam estar juntos, mas separados.

Como assim?

A função do NOC (Network Operation Center) tem foco em disponibilidade e performance, por exemplo…

O NOC precisa:

  • Medir o consumo de links de dados.
  • Medir performance de aplicações e picos de consumo.
  • Quantidade de usuários logados na rede, na aplicação ou site.
  • Consumo de storage, RAM e CPU de máquinas virtuais
  • Latência   de I/O, etc.

O objetivo geral do NOC é medir, reagir e provisionar. A função princial é manter tudo ativo e funcionando…e isso já um grande desafio.

Já o SOC, tem outro foco…

O SOC precisa ter visibilidade dos eventos de segurança e responder perguntas como:

  • Está ocorrendo algum ataque nas nossas aplicações?
  • Quantos logins incorretos estão ocorrendo? Qual a origem disso?
  • Estamos conseguindo mitigar isso?
  • Algum login de usuário está sendo usado de forma suspeita?
  • Existe algum acessos suspeito ocorrendo? Por exemplo, o mesmo usuário autenticado na VPN e também na rede local simultaneamente ou algum usuário logado com IPs de origem diferentes?
  • Está ocorrendo algum ataque de SQL na aplicações? Isso está sendo mitigado?
  • Está ocorrendo alguma saída anormal de dados no banco de dados? Qual o volume disso? É algo anormal?
  • Há algum evento anormal e suspeito nos servidores, como eventos de “dump” de memória ou falha de segmentação?
  • Existe algum eventos de tentativa de execução de código remoto nos servidores?
  • Há tentativas de elevação de privilégios de algum usuário logado?
  • Algum usuário tentou acessar algo que não tinha permissão?
  • Qual a frequência que isso está ocorrendo?

 

Outra dúvida do cliente era “Preciso criar ou terceirizar o SOC?”

É claro que isso muda para cada empresa, dependendo da cultura, se há especialistas em segurança na equipe, etc.

O que muitas empresas tem feito, é modelo co-gerenciado, on um fornecedor terceiro entrega ferramentas, procedimentos e conhecimento, e ajuda a equipe a ter visibilidade e gerenciamento dos eventos que ocorrem no ambiente.

Com a união de  NOC + SOC,  surgiu o NSOC (Network and Security Operation Center), que é a soma entre performance + disponibilidade + cibersegurança.

Nós acreditamos que a cibersegurança pode ajudar a evitar muitos problemas de operação, por isso precisam caminhar juntos.

Esperamos que este post traga algum insigt para sua equipe.

Bom trabalho!