Logicalis implementa SOC em uma das maiores redes de estacionamentos privados do Brasil

Cenário 

Uma das maiores redes de estacionamentos privados do país se deparou com um grande desafio de cibersegurança quando venceu a licitação para operar a zona azul de uma grande capital brasileira. Para garantir a disponibilidade do serviço 24x7, a empresa precisava de um sistema de segurança que permitisse o monitoramento centralizado de milhares de usuários dispersos geograficamente.  

Para isso, a empresa decidiu terceirizar suas operações de segurança, buscando no mercado um fornecedor que implementasse um SOC (Security Operation Center) centralizado e, que ao mesmo tempo, substituísse a ferramenta de monitoramento utilizada até ali, que por suas características não teria a robustez necessária para monitorar a nova operação. Depois de um período de análise dos fornecedores disponíveis no mercado, a empresa fechou um contrato de três anos com a Logicalis, que assumiu o monitoramento dos ativos de segurança através da oferta de SOC e trouxe maior visibilidade dos eventos de segurança à área de segurança da informação no que tange à detecção, inteligência e resposta a ameaças. 

Solução 

Adotando uma abordagem consultiva, a Logicalis iniciou o projeto implementando um centro de operações de segurança (SOC), baseado em frameworks especializados para identificação e mitigações destes riscos para a operação. A partir daí, iniciou-se um processo de ampliação do escopo, evitando possíveis rupturas. A abordagem foi fruto do processo de assessment realizado ainda durante o período de pré-vendas, quando o time da Logicalis mapeou o ambiente do cliente e identificou quais ativos deveriam ser monitorados na matriz e nas filiais. Este processo também balizou todas as configurações feitas posteriormente para se tornarem aderentes às melhores práticas de segurança nestes dispositivos. 

O processo definiu que deveriam ser monitorados switches, servidores de domínios, bancos de dados Microsoft, servidores Web, servidores de DNS, servidores Linux com banco de dados SQL, toda a parte de IPS, firewalls, servidores virtualizados, access points, controladores WiFi (nos escritórios e estacionamentos), além de todas as estações de trabalho utilizadas. A partir desse levantamento, foi o definido o escopo em três partes:  

• Instalação, configuração, treinamento, serviço de suporte especializado e fornecimento de licenciamento, no modelo SaaS (software como serviço) da solução de SIEM (Security Information and Event Management) Azure Sentinel, para atendimento a cerca de 2 mil usuários; 

• Instalação, configuração, treinamento, serviço de suporte especializado e fornecimento de licenciamento, no modelo SaaS, das soluções Microsoft Azure Firewall, Microsoft Azure Web Application Firewall Frontdoor e Microsoft Azure Anti-DDos, Endpoint Protection McAfee; 

• Suporte e atendimento ao cliente em mais de 23 localidades em todo o Brasil. 

Na estrutura montada para o cliente, a solução de SIEM recebe os logs dos dispositivos monitorados e faz correlações entre as informações para que seja possível identificar qualquer anomalia de comportamento, invasão ou vulnerabilidade em curso. A solução utiliza algoritmos próprios, desenvolvidos pela Logicalis, com técnicas de inteligência artificial e Machine Learning para fazer essas correlações e, por meio de automações, identificar potenciais problemas, facilitando assim toda a parte de triagem e análise para o time do SOC. 

Benefícios 

Para atender o cliente, a Logicalis montou um SOC com três etapas: detecção, insight e resposta a ameaças. As duas primeiras são realizadas pelo time Logicalis, que indica ao cliente com fazer a contenção. A solução gera os tickets de incidentes de forma automática (, que são analisados, respondidos e escalados. 

Para tratativa das ameaças, o time de segurança da Logicalis está aderente ao framework do ciclo de vida do incidente de segurança da informação ditado pelo NIST; e como parte integral da operação de SOC está contemplado exercícios periódicos do Purple Team, que entram em ação e são formados por dois times distintos: o Blue Team, responsável pelo monitoramento e defesa das ferramentas de segurança; e o Red Team, responsável pela realização de ataques direcionados e segurança ofensiva destas ferramentas. A partir de um catálogo de mais de 119 técnicas e táticas de exploração, os ataques não identificados geram alertas sobre pontos da rede que precisam ser melhorados, gerando até aqui resultados como: 

• Mais de 3 mil alertas críticos foram identificados entre os meses de junho e agosto de 2022; 

• Mais de 2 mil incidentes abertos no período; 

• Cerca de 400 incidentes críticos evitados no mesmo período.