As ferramentas de correlação de eventos de um SOC, com ou sem resposta e orquestração de incidentes, são verdadeiras “engenhocas” devido ao uso de regras pré-definidas, desenvolvidas por meio de estudos e ocorrências repetidas de casos que já aconteceram uma ou algumas vezes.
Cada fabricante tem o seu próprio "repositório de inteligência", onde essas regras são armazenadas e consultadas para o funcionamento básico dessas soluções, que podem ser compartilhadas imediatamente após um incidente ou mesmo para a criação de uma base de conhecimento. No entanto, a Segurança da Informação é uma ciência humana, não exata. Por isso, quando falamos em ameaças, riscos, pessoas e comportamento humano, é difícil prever o que está por vir, e tudo pode acontecer. O comportamento humano pode mudar (e muda) por N variáveis, como o ambiente, a formação, o estado emocional, o conhecimento adquirido, entre outros. Dessa forma, somente outro ser humano é capaz de chegar mais próximo do que pode ocorrer, de fato, com determinadas ações. Por isso é fundamental a interação entre toda a tecnologia disponibilizada com a capacidade humana, justamente para entregar algo o mais próximo do ideal possível (claro, considerando o melhor que cada um pode oferecer). Em seguida, mas não menos importante, estão os processos, completando a tríade que sustenta o SOC moderno e realmente funcional: Pessoas, Processos e Tecnologia (Ferramentas). Dessa forma, podemos concluir que as ferramentas de um SOC (seja o SIEM, XDR, SOAR ou qualquer outra) sem a interação humana apropriada pode até funcionar, mas certamente não atenderá todas as demandas de negócios.Sempre que os recursos contam com alguma interação humana, eles tendem a oferecer soluções, indicações e caminhos mais interessantes a serem seguidos. Mas quando há a presença do fator humano altamente especializado, com grande expertise e know-how, é possível entregar resultados extraordinários, realmente poupar trabalho desnecessário e responder às ameaças de uma maneira muito mais assertiva e eficiente, deixando claro o quanto a experiência do profissional é importante para potencializar a tecnologia.
Portanto, por mais que as ferramentas e os processos sejam importantes e mostrem um caminho a trilhar, é a expertise humana o diferencial que determinará o quanto um SOC auxiliará as organizações a gerenciar suas atividades com mais segurança.
*Marco Correia é Head of SOC da Teltec Solutions