#24 - E o SOC? com o Ivan Salles
🛡️ SOC… mal conhecemos e já consideramos pacas!
A gente achava que o SIEM era a bala de prata… mas descobrimos que não é bem assim.Então nossos agentes de IA decidiram dar um passo além: montar uma operação de segurança completa pra resolver tudo de uma vez. 🤖
E pra ajudar nessa missão, chamamos o Ivan Salles, que trouxe vários insights sobre como estruturar um SOC de verdade. 🔍
▶️ Dá o play!
🔗 Links & Recomendações
- 👤 LinkedIn do Ivan: https://www.linkedin.com/in/ivansalles
- 🛡️ SOC CMM: https://www.soc-cmm.com/
- 📚 Livro "O Jogo Infinito": https://a.co/d/0j9g7tzp
- 📊 2026 Threat Detection Report (Red Canary): Acessar relatório
- 📄 11 Strategies of a World-Class SOC (MITRE): Acessar documento
📩 Mande sua história sobre cibersegurança ou um oi para:contato@aculpaedesec.com
🎵 Music by Karl Casey @ White Bat Audio
- Estruturação de um SOCImportância do SOC · Desafios na implementação · Modelo Follow the Sun
- Diferença entre SOC e SIEMFunções do SOC · Funções do SIEM
- Cibersegurança e AIImpacto da AI no SOC · Desafios da automação
- Ancoragem de Identidade como TécnicaAumento de ataques baseados em identidade · Importância da gestão de identidade
- Desafios de Supply ChainMonitoramento de ataques de supply chain · Vulnerabilidades em pacotes
Bom dia, boa tarde, boa noite. Sejam bem-vindos a mais um A Culpa é de Sec. Hoje, mais um episódio super especial, com um convidado mais especial ainda. Mas antes de chegar nisso, fala, Taleco. Tudo certo, cara? Fala, Botino. Como que vamos, né? Satisfação, privilégio estar de novo aí, um episódio especialíssimo.
É especialíssimo, e o pessoal vai ver que é uma continuação muito boa do último episódio que a gente teve. Mas vamos entrar nesses detalhes daqui a pouco. Primeiro eu quero fazer aquele lembrete de sempre, né? Se você caiu de paraquedas, aqui é o Culpa de Sec, um podcast de segurança de aplicações, nuvem AI, e tudo e qualquer coisa que a cibersegurança pode ser culpada, é claro.
O objetivo principal aqui que a gente tem que lembrar é de compartilhar aprendizados, gerar discussões, reflexões e ideias sem a intenção de esgotar os temas propostos. Então aqui a gente está para trocar ideia mesmo, falar abobrinha, claro. E o mais importante é que a gente também não tem dinheiro para advogado. Então tudo que a gente está falando aqui é nossa opinião, não é opinião dos nossos empregadores.
Nem do convidado. Nem do convidado. Bom, talvez o convidado tenha dinheiro para advogados, não sabe? Pode perguntar depois. Trabalho com soft, né? Exatamente, exatamente. Falando em convidado, Ivan, seja bem-vindo. Muito obrigado, Rafael Botino, Tales Casagrande. Duas personalidades, uma honra estar presente aqui. Obrigado pelo convite. Eu realmente me sinto...
a personalidade da vez nesse caso, porque tá aqui com vocês, bom, né, pra qualquer um, obrigado demais, valeu. Ô, que isso, que isso, Ivanildo, a gente que agradece demais você ter aceito o convite, o Ivanildo é um cara que, pô, eu e o Italeco conhecemos há bastante tempo, né, a gente trabalhou junto lá mil, não, mil não, dois mil, bolinha mil, eu já exagero, mas tem uma cota, né, foi...
Eu aprendi muito com o Ivan. Foi o meu primeiro trabalho de sales engineering, dinheiro de vendas. O cara que era o meu par comercial era o Ivanildo. Pensa a dor de cabeça que esse cara já me deu na vida. Ah, vendedor, né, cara? Porra!
Corta aí uma POC. Cliente tem budget, vai fechar, vai fechar com essa POC. Exatamente, exatamente. Já suvi outras, já suvi outras, tá? Tipo uma pequenininha, Rafa. Só pra abrir um parênteses aqui já, pra gente conversar já, agitando. Ih, aí, ó. Pequenininha, assim. Rafa, é o seguinte, vamos ter um... Cara, um evento, tem que dar uma palestra. Na Subsegurança em Cloud, tá? Claro, não tem problema não, Ivan. Então vamos lá, então.
Tá caralho, que piatinho. A gente chega lá, se você chega, dá uma palestra, a galera vai adorar.
Era um evento da AWS de 1 mil pessoas, Laldir. Nossa! Caraca! Acho que foi a segunda semana do Rafa. E ele deu uma parede para 1 mil pessoas. Aí eu falei, pô, esse cara não é fraco não. E de fato não é.
Sem zoeira, Ivan. Eu já fiz teatro, tá? Então eu já tava acostumado ali com o palco, mas claro que não pra tanta gente, era um palquinho lá de, sei lá, que havia 40 pessoas na audiência. E eu ficava nervoso toda vez que ia apresentar, mas ia de boa.
Esse dia eu tive literalmente, desculpa aí a nojeira, pessoal, dor de barriga, eu tive que tomar um remédio pesado pra poder ficar de pé, de tão nervoso que eu tava. Eu tenho até hoje só de lembrar do nervoso que você pode ter passado. Nossa, mãe.
Pois é, esse é o Ivan. Bem-vindo, Ivan. Bem-vindo. É um prazer ter você aqui com a gente. E para quem já viu aí o ancião do Sock no LinkedIn, está aí a mente por detrás dele. É o Ivan.
Obrigado. O ancião do Só, que é um... Esse sim é um personagem, né? Um personagem ideal. Ele reúne a sabedoria dos ancestrais do Só, que começaram nesse mundo. Muito antes de mim, obviamente. O que eu faço é concentrar essa sabedoria no ancião. E...
E aí ele faz sucesso, a turma gosta bastante dos pensamentos do ancião, né? Ele fala a verdade, viu? Ele fala, fala, fala. Ele não tem língua presa, não. Ele fala. Ele não. Ele fala. Mas, bom, aprendemos quem é o ancião do Sok. Quem é o Ivan? Olha, o Ivan é... Bom, você começou contando um pouquinho de mim, mas eu sou carioca. Moro atualmente no Canadá. Vim e vi uma parte da minha vida no Brasil, obviamente, né?
e usa um pouco dessa boa malandragem carioca para navegar nos desafios das operações de segurança. Então eu vim, tinha uma formação técnica, depois acabei na área de vendas, como todo bom técnico. Sim. Passei alguns anos lá, trabalhando em provedores de serviço MSSP, de diferentes tamanhos, lugares, localidades.
tecnologias, mas também vendors. Passei alguns anos em alguns vendors e depois disso tomei a decisão de vir pro Canadá com a família. Já é uma história muito grande pra contar, mas enfim, tentando resumir, a gente vive aqui há sete anos e nessa transformação a gente... Passa voando, né? Passa voando. Sete anos. E o interessante disso tudo, porque eu vim e aí eu posso abrir aqui um pouco, essa história também eu já contei em alguns lugares, mas...
Eu vim sem o sponsorship de nenhum empregador, vim sem saber inglês, eu já tinha mais de 40 anos, tinha três filhos, então toda uma situação desfavorável, se a gente pensar assim. Mas parece que está dando certo, a gente já está aqui, ninguém mandou a gente embora ainda, e todas as crianças estão sendo criadas, está tudo certo. E uma coisa que eu percebi nesse processo de mudança para o Canadá foi que tinha alguma coisa que eu sabia fazer bem.
que não era vir pro Canadá exatamente, né? Mas que era, de certa maneira, transformar coisas. Então, era muito bom quando eu chegava e conseguir transformar alguma coisa, né? E aí, um pouquinho mais pra trás, eu comecei a lembrar de situações onde eu tive essa chance de fazer isso. E chegando por aqui, eu tive a chance de aplicar um pouco mais aquele conhecimento acumulado, né? Em milênios e milênios do ancião do SOC, em operações de segurança, e me dediquei nos últimos...
nos últimos anos a esse tema. E esse sou eu, quer dizer, eu venho trabalhando atualmente, eu trabalho num provedor de serviço de segurança, uma MSSP baseada no Canadá, mas com presença global, coordeno, lidero um time de soccer global, então tem times de diferentes países, modelo Follow the Sun, então... E também atuo com consultoria, então tenho prestado consultorias pontuais ou mais complexas.
para diferentes empresas em diferentes lugares do mundo, né? E ajudado elas nesse processo de maturidade das suas operações de segurança, especialmente naquela relação da USO. Então, talvez eu acho que para complementar, vale sempre falar que, apesar de eu estar fazendo isso agora, né? Eu devo isso à boa onda que eu fiz, que eu fui capaz de desenvolver e dei sorte.
com algumas pessoas que me ajudaram muito nesse caminho, desse tema especificamente que a gente vai explorar hoje, que talvez a minha chance de estar aqui na América do Norte me proporcionou esse contato. Então, um deles é o Bruno Guerreiro, que é o meu guru do Ancião do Sol. O Bruno foi uma pessoa que continua aprendendo, aprendi muito dele, atualmente ele é coordenador do...
diferente do SOC da Interpol na França. Desculpa. E Bruno me apresentou para outras pessoas, como o Christopher Crowley, que é o número um do SOC lá no Suns. Tive chance de estudar com o Chris, de fazer alguns trabalhos associados a ele. E depois o Bruno me apresentou também para o Rob Vanoss, que é uma fera lá da Holanda e que criou...
com muitas coisas muito interessantes para a segurança da informação. Uma delas é um framework que é usado para a medição da maturidade das operações de segurança do SOX, chamado SOX-MM, que hoje é adotado como padrão global. Então, por intermédio dessas conexões, eu vim aprendendo com o passar dos anos. Então, eu não sei nada, mas como eles sabem muito, e eu conheço eles, então me garanto.
Entendi. Bom, o primeiro comentário é que tu viu, né, Tadek? Ele falou que todo mundo que é bom técnico vira vendedor, né? Tem uma rebaixada na gente. Mas tudo tranquilo, tranquilo. Mas Ivan também não desmerece aí, né, cara? Você conhecer essa gente toda, obviamente, é uma oportunidade que talvez você tenha tido aí, que é única e tal, mas você estava ali, né, para poder aprender na disposição. E não é todo mundo que tem essa energia, essa garra, né?
É, você tá onde tá porque você merece estar aí. É. Muito obrigado. É, então você também, assim como esses caras todos aí são exemplos pra você, você definitivamente foi exemplo pra mim também. Que bom, cara. Fico feliz. Quando você falou do Bruno Guerreiro, quando eu comecei a ler um pouco mais sobre Sok, primeiro nome, tipo, Bruno Guerreiro, assim. Eu ainda não conheço ele pessoalmente, assim, mas acompanho.
No LinkedIn. Não perdeu nada. Ah, é? Não perdeu nada. Não perdeu nada. Não perdeu nada, Ricardo. Bruno, Bruno, muito fera. Muito fera, realmente, assim. Mas uma das referências, as referências globais do assunto de sótio. Caramba. É muito legal. Bruno é top 3, com certeza, né? E tem outros caras muito bons também, que eu costumo seguir. Por exemplo, tem, na verdade, um trio, né? Duas meninas e um rapaz, que escreveram um livro que foi publicado pelo Mitri.
e que, deixa eu ver se eu lembro o nome do livro aqui, mas agora ele chama-se as 11 estratégias para... Deixa eu ver para aqui, 11 estratégias para... Enquanto você procura aí, né? Um só que... World Class Soque. Brasileiro, né? Às vezes a gente acha que os brasileiros não estão em lugar nenhum, e o cara maior reconhecido global aí, eu não sabia não.
É, não é só aquele AU, o cara é só o head do SOC e da Interpol, né? Fraco ele não é não, né? Um bom indiriz. O Longo Vivo são as 11 estratégias de um world-class cybersecurity operations center. Então é um livro muito, muito significativo, assim, eu considero que é a bíblia do SOC, né? E aí eu aprendi uma coisa que acho que a gente pode começar a explorar os temas, de certa forma.
Eu aprendi uma coisa com o Chris Crowley, que foi assim, ele falou, se você quiser melhorar como um profissional relacionado a um Secure Operational Center, você só precisa ler, não esse livro, mas só o índice. Se você ler o índice, só os títulos dos capítulos, você vai sair dessa leitura como um profissional melhor.
E eu sem exagero, recomendo isso pra todo mundo. Isso é o nível da Bíblia que a gente tem. É um livro gratuito, você consegue baixar, fazer o download dele. Legal. E foi publicado pelo Mitri. Vamos botar aí nas referências. Vale a pena. Legal.
Bom, a gente falou Sok pra caramba aqui, né? Sok, Sok, Sok, Sok. Você acabou de descrever o que as letras do Sok significam. E duas semanas atrás, no último episódio, a gente falou sobre Cien. E acho que seria legal, se você puder, Ivan, explicar para a audiência o que é um Sok, em primeiro lugar. E, segundo, qual é a diferença do Cien para o Sok.
Só pra complementar a pergunta, você falou de Follow the Sun. Se você puder complementar com isso também, se faz parte do SOC. Legal. Essa pergunta é muito boa. Se você entrar numa sala e perguntar pra 10 pessoas diferentes o que é um SOC, você vai receber 10.
respostas diferentes. Isso é em virtude de uma série de coisas. Primeiro, culpa dos vendors, culpa é de sec. Sempre. Culpa dos vendors de sec, que querem vender ferramentas, querem empurrar, né? Gente, alguns conceitos que eles próprios não entendem muito bem. Depois tem a coisa do...
imeditismo de muita coisa que a gente está tentando fazer, então de certa maneira a gente está descobrindo ainda o que seria isso, né? Mas para tentar resumir, assim, da parte semântica, né? Então, primeiro é um centro, então é um grupo de pessoas reunidas por determinado objetivo, a gente está lidando com uma questão...
de segurança, então no nosso caso aqui são pessoas reunidas ao redor do assunto segurança, mas não qualquer segurança, então por exemplo não é segurança patrimonial, não é outro tipo de segurança, segurança cibernética, e a gente está tentando operar isso, então não é um grupo reunido para executar um projeto, é um grupo reunido para operação, que é completamente diferente.
Então, basicamente, o SOC é esse centro de operações de segurança cibernética. O que o SOC faz no final do dia? Eu costumo dizer que a missão do SOC é evitar que exista uma crise cibernética. Ou seja, se a gente voltar, e isso eu aprendi lá nos primórdios da segurança, não tem bala de prata, né?
apesar de que ele vende pra gente toda semana que tem bala de prata, mas não existe bala de prata. Eu preciso falar isso pra mim mesmo, né? Todo tempo, né? Então, agora surgiu a AI mais top do mercado e que ela vai descobrir 100% de vulnerabilidade e vai mudar tudo. Tudo bem, vai mudar tudo em certo nível, né?
vamos lá, não tem bala de prata. Então, de certa maneira, o que a gente vem observado, isso está nos relatórios, os ataques não têm mudado tanto assim. Mas falando novamente aqui, então, do que é, qual é a missão. Então, a missão do SOC é evitar uma crise cibernética. Então, o SOC está lá para, no máximo possível, detectar alguma coisa.
Porque um ataque cibernético que pode trazer algum tipo de risco para a empresa, pode trazer algum prejuízo para as operações normalmente de empresas ou de pessoas, obviamente se for uma cidade, se for um país. E, quando possível, evitar isso ao máximo. Porque tudo que o SOC não quer viver é uma crise cibernética.
Então, de certa maneira, o pessoal fala assim, mas você está lidando com incidentes todos os dias. Estou. Eu gosto? Não, não gosto, detesto. Quem gosta de incidentes é a turma do incidente response. Eles vão lá, eles pulam lá, é uma outra disciplina. Eles estão lá para salvar o dia, botar a operação para funcionar de novo. No geral, aquilo que a gente chama de SOC, ou operação que o Mercados deu um...
uma outra sopa de letrinhas que se chama de MDR, tipicamente é um pedaço do que o SOC faz, ele está muito voltado para essa detecção mais cedo, com o objetivo de evitar que uma crise cibernética se estabeleça. Até depois que se estabeleceu, você chora. Então, se a gente fosse olhar para o Mitre Attack, a pessoa fala muito do Mitre Attack como um framework que pode ajudar a gente a...
a mapear e entender o comportamento dos atacantes, de fato, é realmente sensacional, né? Mas se a gente for ali olhar o MyTreatAq, como ele é uma cadeia de ataque, então, do início disso, do início da cadeia até quase o final, é mais ou menos o domínio onde o Sok está brincando, né? Onde a gente está ali tentando agir. Depois que existe a exploração de dados, ou que existe a criptografia dos dados, por exemplo, que é o finalzinho do MyTreatAq, já era, né? A gente acerta e chora,
e liga para o incidente response, porque é ali que eles vão atuar. Então, a gestão do incidente, no geral, tipicamente não é um objetivo primário dos SOCs estabelecidos como prestadores de serviços de monitoração, detecção e resposta a incidentes. Então, o que a gente chama de resposta nesse caso, são respostas preliminares a incidentes, e não a gestão da crise cibernética. Não sei se vocês já tiveram a má sorte de ter que lidar
o incidente cibernético, imagino que sim, em diferentes níveis, mas uma vez que a crise está estabelecida, leva-se meses, algumas vezes, para se reestabelecer a operação. Então, não é lá que eu quero estar. Quero estar tentando fazer o shift left, que a gente chama, tentar detectar o mais cedo possível para evitar a situação terrível.
que é ter que lidar com o incidente cibernético. Mas esse é o SOC, né? Agora, por que existe o SOC, Rafa e Tales? O SOC existe por um único motivo, né? Porque graças a Deus... De serviço.
Pra vender serviço, pode ser. Não é? É, também. Pra dar trabalho. Pra quem não sabe fazer outra coisa. Mas o SoC existe porque o SoC, ele tá lá. Porque as ferramentas de proteção falham todos os dias. E falham assim, terrivelmente. Falham muito. Então é só por isso. Porque se não falhasse, pra que eu preciso? Um monte de gente numa sala.
olhando o log, olhando o alerta, tentando entender o que está acontecendo. Se as ferramentas são autônomas e elas respondem a tudo, e elas bloqueiam 100% dos ataques, não precisa de soque, né? Só que a turma foi que na realidade falou assim, cara, não é bem assim que a banda toca.
e a banda está tocando bem diferente, inclusive. Normalmente está tocando de um jeito que a gente nem sabe direito como ela toca, como é que os caras estão tocando esses instrumentos todos. E aí a gente realiza que, caramba, está tudo passando pelas camadas de proteção. Então o atacante é muito criativo, eles usam e têm dinheiro. Criativo com dinheiro, imagina. Então eles vão longe, eles conseguem criar uma série de subterfúgios, explorar.
uma série de vulnerabilidades nas próprias ferramentas de proteção, nas infraestruturas, na cloud, em todo quanto é lugar, de uma maneira que a superfície já está cada vez crescendo mais, então o que acontece é que a gente fica cada vez mais exposto e existem muito mais espaços para eles passarem. Aí eu te pergunto, se eles passam, o que a gente faz? Senta e chora ou você tem um soque? Porque no final também você pode sentar e chorar ou não.
Porque também o SOC não é 100%, a gente perde muita coisa. E para chegar nesse nível de complexidade, porque a gente precisa ter mil coisas envolvidas aí. O próprio framework que comentava, o SOC CMM, que veio como um grande balizador de quais são esses elementos que devem estar presentes dentro do SOC, ele estabelece alguns, dentro dos seus domínios, alguns aspectos que deveriam estar presentes em todos os SOCs.
por padrão, para a gente considerar que esse só que está equipado o suficiente para lidar com as atuais ameaças. Então, de uma maneira geral, esses elementos estando presentes, eles por si só já são muito complexos. Então, o cien, você comentava, Rafa, o cien é um componente dessa história toda. E é um componente muito importante, obviamente, pela natureza dos sinais que a gente tenta capturar.
do SOC, mas ele obviamente ele não é um componente obrigatório dentro do SOC. Ele não é um componente obrigatório. Agora, dentro da atual escala do SOC, que os SOCs operam, da quantidade de informações que a gente precisa coletar, de logs, a diversidade de sinais que a gente precisa tratar, obviamente que o CIEM é a melhor ferramenta para fazer isso.
Mas entre ser a melhor ferramenta e ser algo útil para a operação de segurança, existe uma distância muito grande. Ou seja, quantos projetos de CIEM vocês já ouviram que tiveram sucesso? CIEM é meio que DLP. Você lembra do DLP?
Cara, 100% deu errado, né? No menos o DLP de rede, como eu me lembro, né? Sim. O projeto DLP foi errado, né? O cara botou um dinheirão na ferramenta lá e nunca implementou. Por quê? Porque faltavam alguns elementos usados. O CIE é a mesma coisa, né? Então, eu cansei de entrar em empresas muito grandes e o cara tinha lá o CIE da moda e continua um tempo, né? E o CIE tá fazendo rigorosamente nada, né? Apesar de estar...
engolindo o log, ele pagando uma conta gigante lá, então o CN não está fazendo nada. Essencialmente o que a gente precisa ter na operação de segurança é uma região, uma área de recepção desses alertas. Então existe um trabalho que é transformar sinais, logs no nosso caso, telemetria vindo de endpoints, por exemplo, em...
em alertas, né? Quem conecta essas duas pontas não é o CIEM. Quem conecta essas duas pontas é em engenharia de detecção. Então essa regra pode ser criada dentro do EDR, por exemplo. Não precisa ser criada dentro do CIEM. Ela pode ser criada no log management. Ela pode ser criada em qualquer outro lugar. Então não necessariamente a gente precisa ter um CIEM como esse central. Agora, se tiver um CIEM e alguém souber usar, vai facilitar bem a nossa vida. Olha lá, Thales.
Você comentou aí que ferramentas de segurança falham o tempo todo, mas por exemplo, o cara que está comprando uma ferramenta, um firewall novo, está trocando uma solução de anti-malware, ele espera que essa solução não fale, porque vai ser a camada dele. E quando começa a partir por uma linha de engenharia de detecção, se a minha ferramenta deveria fazer o trabalho dela, como eu sei que em algum momento ela pode estar falhando.
Ou se alguém está explorando uma falha de segurança no meu firewall, como eu percebo isso? E aí tem, acho que talvez uma outra parte... Ah é? Não percebe. Você já viu algum EDR te avisar que ele deixou de detectar alguma coisa? Nunca. Ele só te avisa quando ele detecta, quando ele não detecta ele fica quietinho. E esse é o problema.
Mas como é que você detecta no SOC, então? Então, no SOC a gente fica de olho nas outras coisas, né? A gente parte do princípio que tá tudo ferrado. A gente faz assim, cara, o que a gente consegue segurar lá na ponta, que as ferramentas de proteção seguram, o cara não tá fazendo mais do que a obrigação dele. Agora, eu considero que tá passando coisa. Se tá passando coisa, eu preciso ter visibilidade. E aí, pra ter visibilidade, eu preciso ter alguns elementos lá. Eu preciso ter...
origem de dados, data sources, que façam sentido para aquilo que eu quero enxergar. Preciso ser capaz de ter esses logs fluindo para dentro de algum sistema, eventualmente sim, e preciso ser capaz de transformar esses logs, esse dado bruto,
em dado utilizável. Ou seja, eu preciso saber fazer perguntas para esses dados. Isso se faz através da engenharia de detecção. Ou seja, se eu quero ver alguma coisa, que pergunta eu preciso fazer para esses dados para ele me responder o que eu preciso saber. E aí surgem os alertas. E aí tem um princípio que a gente fala, que é uma vez que existe um alerta, deveria haver uma ação em função daquele alerta. O problema é que hoje existem muitos alertas e ninguém toma ação nenhuma. E aí o que acontece? Ataque.
O software faz tudo. Cara, playbook automatizado, bloqueio IP, bloqueio usuário. É, pois é. E essa é uma outra maluquice, né? Assim, essa fome de automação que existe. Não que eu seja contra a automação, mas é que todo mundo quer começar automatizando uma coisa que ainda não existe. A gente automatiza alguma coisa que existe. Quando não existe, não tem como automatizar, não tem como iniciar automatizando alguma coisa.
Não faz sentido. Por quê? Porque para automatizar alguma coisa, primeiro eu preciso conhecer o input e exatamente qual é o output. E dentro de um ambiente do SOC, imagina, se a gente olha só naquilo que a ferramenta de proteção falhou, tipicamente, o domínio que o SOC atua é um domínio de incerteza.
a gente está trabalhando o tempo inteiro na incerteza. Então não tem SOC fácil, não tem vida fácil no SOC, porque a gente só trabalha na incerteza. Então a vida do analista do SOC, do operador do SOC, seja em qual nível for, se ele trabalha com tiers ou não, se ele trabalha em escala 6x1, ou se ele trabalha em qualquer outro tipo de escala, como no Follow the Sun, por exemplo, que é o tal que é.
seja lá qual for, é muito estressante, porque é o tempo todo na incerteza. A gente vai tentar juntar as pecinhas do quebra-cabeça, às vezes a gente consegue montar, às vezes não consegue. Pra quê? Pra contar uma história e tentar entender, tá acontecendo alguma coisa que precisa de alguma ação ou não.
Então, é muito baseado nesse cenário de incerteza. Logo, a gente precisa tentar reduzir essa incerteza. E como é que a gente reduz essa incerteza? Com mais visibilidade, com melhores fontes de dados.
com casos de uso de detecção que sejam mais claros, que gerem sinais mais fidedignos, que gerem menos barulho e que tornem o processo de análise desses alertas possível. Então, esse é o grande desafio. Porque no final do dia, um alerta perdido pode se transformar em um incidente que vai gerar a crise que a gente quer tanto evitar.
Entendi. Falando do follow the sun. Você comentou só sobre melhores fontes de dados. Melhor fonte de dado é diferente de mais fontes de dados, né? Sim, é bem diferente. Porque à medida que eu vou ter mais log, não significa que eu vou ter mais proteção, que eu vou ter mais visibilidade.
comentou ali, o log port tá todo zoado, tô mandando um log do firewall que é info, que não tem log de VPN, que não tem log de um filtro de conteúdo, enfim. Se você quer buscar por malware, por exemplo, o log do firewall talvez não seja o melhor pra você, só que ele é o que enche o bolso do vendor, né?
E tem uma coisa muito interessante com relação a isso, que é o seguinte, né? A gente precisa fazer uma coisa no começo, né? Que é definir o escopo. Isso é uma outra coisa muito significativa, assim. Que é... Que SOC é esse que eu tô querendo criar? É um SOC que vai olhar pra 100% das coisas?
Porque não tem isso, né? Ninguém consegue fazer todas as coisas 100%, né? Assim, não dá, não rola. É igual aquela coisa do pato que não sabe nadar, não sabe voar e não sabe correr bem. Cara, pô, precisamos escolher uma coisa e vai fazer, meu filho. Não adianta tentar fazer tudo. Até porque, por mais que você tenha dinheiro na empresa, os recursos são sempre limitados.
Não adianta, a gente não vai conseguir mapear todas as vulnerabilidades, aplicar patch em tudo, olhar para todos os malware, todos os trade actors. Não dá. Coletar logo de todos os sistemas que existem em todas as empresas. Não vai rolar. Então a gente precisa definir o escopo. Esse é o SOC que está focado em ataques de ransomware desse, desse tipo, ou ataques de BSC desse, desse tipo. Ou nós somos um SOC focado em ataques.
potencializados por AI, Deepfake, não sei o quê. Ou somos um site focado em identity.
Seja lá o que for, uma vez que a gente foca, opa, peraí. Então, não significa que você não tenha mais visibilidade de nada, mas uma vez que você tenha foco, você fala, pô, legal, agora eu consigo olhar. Aí, se eu foquei no ransom, eu quero saber quais são os grupos que estão atuando, como é que eles atuam, se eles têm afiliados, quais são os TTPs que eles estão utilizando nos ataques, que ferramentas que eles usam, qual o modo desoperante deles, que vulnerabilidades que eles têm explorado. E aí a gente começa a criar os casos de uso de detecção.
Peraí, se eu sei como é que esse cara se comporta, eu quero saber quando essas coisas acontecerem. Aí a gente vai pra trás. A gente fala assim, agora que eu sei o que eu quero descobrir, deixa eu ver se eu tenho os logs.
E não é traz o log e depois descobre o que vai olhar. É o que eu quero olhar e depois eu vejo se eu tenho os logs. Eventualmente, eu posso não ter um log que eu vou necessitar para ter aquela visibilidade. Aí eu vou precisar trabalhar na configuração do sistema. Que configuração do sistema eu preciso fazer para poder gerar o log que eu preciso, para poder alimentar a regra de detecção que vai me dar visibilidade para encontrar aquele específico.
situação que vai me dar a visibilidade que eu quero para evitar que um ataque aconteça. Então, isso é um processo que é todo torto da maneira que apresentam para a gente. Apresenta o seguinte, você bota o sim aí, joga os logos lá para dentro, já tem um monte de regras e vamos que vamos. Não funciona. Até não funciona, mas não vai dar o resultado que você espera.
Eu tô com medo só que a gente vai perder potenciais patrocínios, Botino, com esse episódio aqui. Assim, ó. Ainda nem falei o nosso. Mas, brincadeiras à parte, você comentou aí de vários ambientes, né? Então, o ideal é que, por exemplo, uma empresa de energia, ela tenha um SOC pra OT, um SOC pra IT e um SOC pra nuvem.
ou isso poderia ser unificado e também como que você encontra pessoa especializada em segurança de OT isso aí é raro é mosca branca, né? eu não diria que ela precisava ter diferentes sócios mas dentro daquilo que ela se propõe a olhar se você pensar no domínio OT já é um mundo será que eu preciso olhar tudo? talvez não, né?
Talvez de maneira assim, ah não, eu quero mapear, eu quero pintar todo o My Trantac, né? Já viram isso também, né? Eu quero ser capaz de detectar 100% das coisas do My Trantac. Cara, não sei se você já teve a chance de dar um duplo clique na célula pra entender o que que é cada uma daquelas células. Ele tem mil maneiras de fazer aquele mistom, né? Então, assim, não é porque você conseguiu detectar um que você consegue detectar todos. Então, querer pintar aquilo é um pouco irreal.
no sentido. Então, não adianta querer olhar dessa maneira, a gente tem que buscar outros caminhos para entregar visibilidade que está de acordo com o nosso escopo. Então, uma empresa que ou tem um espectro muito amplo, como prestador de serviço, de segurança da informação, ou é uma empresa maior, uma empresa de energia, como você comentava, talvez valha a pena.
dar um passo ainda atrás e no processo de escopo saber, tá bom, eu tenho todos esses ambientes, eu tenho Cláudio, eu tenho isso tudo, mas deixa eu entender aqui quem seria esse possível atacante, né? Ele tá vindo de onde, o que ele faz, o que ele come, como é que se reproduz. Então, vale muito entender primeiro.
para depois pensar no restante. E a gente começa sempre... E aí tem um problema sério no SOC, que o SOC tipicamente nasceu como uma iniciativa técnica. E aí a primeira coisa que vem...
o CIEM. Então, está o CIEM, joga logo lá pra dentro, a gente começa só que a partir de lá. E acho que essa é um pouco da nossa culpa, novamente a culpa é de SEC, né? A gente é culpado porque a gente faz parte dessa maluquice que deu nisso tudo e agora eu tô reclamando da maluquice que eu fiz parte, né? Então, tem um pouco disso. Então, a gente precisa de certa maneira entender que é... Não, não, peraí, gente.
não deve ser esse o caminho, existe um caminho mais lógico para poder fazer essas coisas funcionar. E não pode ser genérico, porque genérico é igual o 4. Precisa ser específico, os recursos são limitados, precisa ter foco, senão a gente não consegue ter o resultado que a gente espera lá no final. Explicando qual o Odessan, o Thales que acabei não falando, Odessan é só um modelo.
de operação onde a gente tem times em diferentes localidades do mundo, cobrindo o 24 por 7, tipicamente onde o sol está aparecendo. Então todo mundo trabalha numa escala de business hours, vamos chamar assim.
Então, a gente tem diferentes times e eles são localizados em parte do mundo onde o sol está se pondo e o outro time está acordando para trabalhar. Então, mais ou menos nesse sentido. Então, a gente desgasta menos as operações que tem pessoal trabalhando em turnos noturnos, shifts noturnos, desgasta muito com o tempo.
e eventualmente os clientes não estão acordados, né? Então, tem isso também. Eu fiquei com um monte de dúvida, mas tem um ponto principal.
Claramente, obviamente, não vai ter nenhuma empresa que eu vou bater na porta e perguntar. Você não se importa com o Cyber Segurança, não tem problema se vocês forem atacados e perderem tudo. Todo mundo vai falar, não, peraí, claro que tem. Eu quero estar protegido de renda, eu quero ter certeza que minhas aplicações estejam funcionando. Não?
Eu tenho que ver que elas têm uma disposição de investir para que nada aconteça, mas que elas não querem que nada aconteça, eu acredito que é verdade. É verdade. Então, aí que entra a minha pergunta. Quando que uma empresa precisa de um SOC? Qual o momento que eu tenho que chegar e falar, não, eu preciso de um SOC agora? A esquina precisa de um SOC. 100% das empresas, 100% delas precisam. A diferença é que tem aquelas que acreditam... E se o cara vendendo SOC?
Diz o cara mesmo, sabe? É, é. De verdade. Não, não, claro, claro. De verdade. O que eu não sei é se cabe no bolso, né? Exato. Se cabe no bolso, porque não dá pra botar gente 24 horas. Pode custar uma pessoa, né? Um trabalhador do sódio. Isso custa dinheiro, custa grana. E aí tem uma matemática que a gente precisa, de acordo com a legislação aqui da América do Norte, a gente precisa de pelo menos seis pessoas.
pra cobrir apenas uma posição 24 por 7. Tive seis pessoas. Seis empregados full time pra cobrir apenas uma posição 24 por 7. Qual foi o soque? Você já entrou, aquele soque que a gente tira foto, que aparece no chat de APT, que a gente manda ele na figura. Aquele soque bonitão, com aquelas telas e tal, né? Cara, tem 16 cadeiras lá, né?
Pô, quantos funcionários essa empresa tem? Quantos clientes ela precisa ter para pagar essa gente toda? Quer dizer, para ter uma cadeira só, 24 por 7, seis funcionários full-time. Isso custa dinheiro. Então, vamos lá. Aí a gente entra assim, cara, muitas empresas não vão ter dinheiro para ter o seu próprio SOC. E eu entendo completamente, né? Completamente. Então, a questão é que a gente está acostumado com um determinado modelo de operação de segurança e que a gente está acostumada com um determinado modelo de segurança.
que a gente consome operação de segurança de empresas, normalmente do governo, que estão muito bem estruturadas e têm dinheiro infinito, né? Que é, por exemplo, a polícia militar, sei lá, quando a gente tem um... Naturalmente não é cibersegurança, mas é segurança, né? Segurança pública. Então, quando a gente tem um problema, sei lá, uma briga de casal aqui no meu vizinho, cara, eu ligo lá no 991, né? 991...
E alguém na central atende e fala assim, sim senhor, perfeito, pega o engereço e despacha ali pelo rádio algum policial para ver o que está acontecendo naquela porcaria. Cara, a gente está consumindo só que ali, só que não é cibersegurança, obviamente. Então é uma operação que é bancada por uma série de clientes, vamos chamar assim, que são cidadãos, que pagam seus impostos. Quando a gente traz isso para a empresa privada...
A coisa complica, né? É como se cada um precisasse ter um 911 funcionando. E não é mole. A gente precisa... custa dinheiro, né? Então, o quanto que isso é significante, né? Eu diria que isso para em pé, num sentido, porque...
Porque os negócios, hoje em dia, as empresas estão baseadas no digital. Não existe... Quando eu brinco do pipoqueiro da esquina, é sério. O pipoqueiro da esquina está digital, né? Você vai lá, o cara está com a maquininha lá, pum, você dá o tap... Pica-piques. E é isso. Ou no aplicativo. Ou no aplicativo e vai, né? Então, está todo mundo digital. Não tem jeito. Então, por esse motivo, só que vai em pé, de qualquer jeito.
Ele precisa parar, porque se não parar, o negócio vai parar. Sim. Eu acho que o que existe é pouco situational awareness. Acho que as empresas não estão entendendo direito qual é...
o que está acontecendo em volta delas nesse setor. Elas subestimam muito ainda. Tem aquela velha discussão que o bode não tem ninguém especializado em cyber, e que tem um siso, que tem que ter uma cadeira no bode. Cara, essa discussão é tão velha. É mais velha que o ancião do SOC. Então, a gente está em outra já. Enquanto a gente está pensando nisso, o couro está comendo aqui fora. Todo dia a coisa só aumenta. Desde que eu comecei no SOC, nunca melhorou, só piorou.
E parece que está piorando rapidamente, novamente. Toda vez que surge uma tecnologia, como é o caso do AI, a coisa se expande em uma velocidade muito grande, a superfície de ataque aumenta terrivelmente, você tem um monte de shadow AI por aí, tem um monte de loucura acontecendo ao mesmo tempo, os atacantes estão tirando proveito disso. Eu posso falar uma...
Uma coisa simples até aqui, vocês conhecem bem o Shodan. Shodan, o Senses, esses scanners massivos de internet.
Eles se posicionam com um grande banco de dados, de informação de IoT, blá blá blá. No fundo, eles são uma base que o atacante usa quando ele quer descobrir quem está vulnerável. Porra, a empresa não está pagando, essas empresas não me pagam nem um tostão. Zero. O cara vem aqui, escaneia o meu sistema, pega minhas informações e publica lá. Eu não ganho nada com isso.
E ainda por cima, quando surge um ataque, alguém vai lá, olha quem é que tá vulnerável, eu tô lá, nem era pra ser o target, virei target porque eu tô lá, sou atacado, e não ganho nada com isso, só quem ganhou foram eles. Então, acho que tem um pouco de inocência, acho que muito nesse mundo, onde tem uns malandros e tem uns otários. No momento, nós somos otários, né? E vamos carioca, hein? Não tem que parir. Nós somos os otários, né? Então...
Porra, tem os malandros ganhando dinheiro aí pra caramba, cara. E fazendo besteira, entendeu? E expondo as empresas de uma maneira terrível, né? Eu dei esse caso, dei exemplo desse caso, mas tem muitos outros, né? Então, o nível de responsabilidade é gigante, assim, em todos os níveis, né? É muito triste ver, e eu vejo diariamente, empresas sendo atacadas e tendo suas operações paralisadas, né? Por semanas, dias, meses.
e isso impactando na vida dos funcionários, lay-offs, o cara tem de tudo. Pouco se noticia ainda, pouco se fala, especialmente no Brasil se fala, tem notícia e tudo, mas normalmente é notícia sensacionalista, mas pouco se reflete a respeito disso tudo.
Tudo que você acabou de falar faz muito sentido, mas ainda o que me faltou é... O cara, o pipoqueiro da esquina não vai pagar um SOC, porque ele aceita cartão de crédito, né? Qual é o momento que vira essa chave de eu preciso ter um SOC? E a outra pergunta que eu acho que complementa essa, você falou que não pode ser genérico, não pode ser um pato ser um SOC.
E o que eu imagino que uma empresa que esteja começando, muito improvavelmente terá o seu próprio SOC, usará um SOC como serviço. E eu estou dizendo que uma experiente eu não possa ter também, mas a que está começando agora, com certeza, muito provavelmente vai seguir esse caminho. Como é que um SOC como serviço pode não ser um pato para essa empresa? Boa, um SOC como serviço para uma empresa pequena provavelmente vai ser um pato.
Mas entre não ter um SOC e ter um SOC, é melhor ter um SOC e um Pato do que não ter. Porque esse SOC vai ter uma capacidade, uma habilidade de enxergar algumas coisas que é muito melhor do que nada. Então, em última análise, vai existir aquele grupo de empresas menores, com menos capacidade financeira, também com menos exposição, eventualmente, que precisa de proteção e que não faz sentido, não paga em pé o business case para ter um SOC próprio.
Então ela vai contratar um SOC terceirizado e faz muito bem. Depois existem aquelas empresas que têm mais capacidade, eventualmente têm capacidade interna, e que querem terceirizar uma parte do SOC. Então não é porque existe o desenho de um SOC que algumas habilidades do SOC não possam ser terceirizadas. Por exemplo, inteligência de ameaças.
Cara, inteligência de ameaças é algo bastante especialista. Quanto me custa encontrar, quão raro é encontrar um time, ou criar um time próprio de especialistas em inteligência de ameaças? Quanto custa bancar feeds de inteligência de ameaças? Custa grana, né? Coletar informações de honeypots, infraestruturas, transformar isso em informação acionável. É grana, né? Ou seja...
Cara, tipicamente alguma coisa que uma empresa que já tem determinada capacidade, eventualmente poderia terceirizar. Análise forense. Quantas vezes por ano a gente faz análise forense? Quando dá problema, pô. Quantas vezes por ano dá problema? Tomara que não dê nunca. Quando dá, sei lá, uma vez por ano, será que precisa de um time aqui o ano inteiro pra usar o cara uma vez por ano? Não, vamos terceirizar. Então...
Existem elementos que a gente pode terceirizar, faz sentido terceirizar. E talvez essas empresas estejam nessa categoria. Outras vão ser capazes de ter o seu próprio SOC, contratar gente, treinar esse time, criar times muito especializados para atender todas aquelas funções. E talvez faça sentido para eles.
Talvez para aquele negócio faça muito sentido. Então, acho que é uma análise caso a caso para entender como isso tudo funciona. O que eu vejo muito acontecendo, obviamente, até para trabalhar num prestador de serviço, um MSSP, é que muitas empresas fazem o outsourcing. E fazer o outsourcing também é um grande desafio.
Porque além de custar dinheiro também, custa menos obviamente do que manter um SOC, né? Porque senão montaria internamente, dá. Mas além de custar dinheiro, precisa-se estabelecer expectativas muito claras. O que é que eu espero que esse SOC preste serviço para a minha empresa? Ah, legal, esse SOC ele vai monitorar os meus sistemas, ele vai detectar ameaças e ele vai responder. Tá bom, o que é a resposta?
Resposta é a seguinte, se eu detectar alguma coisa que eu te digo o que você tem que fazer aí, a resposta é eu meto a mão na massa, vou aí e bloqueio aquele P, eu isolo aquela máquina na rede, eu faço alguma ação para parar a sangria. Então, a gente precisa estabelecer quais são esses parâmetros, o que é esperado em cada uma dessas situações. Nem sempre isso é claro, e aí vem as frustrações. Então, eu diria que no Brasil, atualmente, a gente já está mais ou menos no terceiro...
na terceira onda de contratação de SOC como serviço. Então, teve aquela primeira onda, onde a gente disse, não, vamos adotar, era importante, mas não se tomou o cuidado devido, e aí se adotou, e aí teve muita frustração. Depois os caras falaram, não, então vamos fazer o seguinte, vamos tirar esse cara daqui e vamos fazer um insource, vamos criar nosso próprio time. Aí não é muito difícil gerenciar, é muito caro e tudo, vamos terceirizar uma parte, vamos terceirizar tudo de novo.
A gente está nesse momento, onde teve ali muita frustração e a gente está tentando chegar no platô lá ali, que a gente fala lá do Gartner, né? Então, está acontecendo isso agora. Então, já tem clientes mais experientes na contratação desse serviço e não dá mais para contar a história, né? Então, os prestadores de serviço precisam evoluir também e precisam mostrar a evolução. E aí tem um ponto interessante que eu queria cobrir.
com relação à mentalidade do SOC. O SOC, como o próprio nome já diz, é de operação de segurança. E existe uma mentalidade intrínseca nos departamentos de segurança das empresas, de uma maneira geral, que são muito baseados nas questões de compliance e não estão errados.
Compliance é super importante realmente e cada vez mais importante, inclusive. O ponto é que operação cibernética não tem nada a ver com isso. E quando a gente traz a mentalidade de compliance para dentro de operação de segurança, a gente tem um sério problema. Por quê? Tem um livro do Simon Sinek, não sei se vocês gostam dele. Já acompanha também. Comece com o porquê, né?
Isso, é. Mas o livro é um outro livro, chama-se The Infinity Game. E no Infinity Game ele cobre esse aspecto do que seria esse jogo infinito, né? E aí tem uma comparação muito legal que a gente faz, que é quando a gente tem um jogo finito, né? Por exemplo, o jogo da cobrinha, né? Saca do jogo, não era nascido ainda, Rafa, jogo da cobrinha, vai lá. Pac-Man, vai lá, Pac-Man, vai, Pac-Man.
Cara, o Pac-Man é o seguinte, você vai ali, tem o Pac-Man, você comeu ótimo os pontinhos, papapá, papapá. A única coisa que pode acontecer é ele ficar mais rápido, você muda de nível. Mas o Pac-Man é que eu estou sendo mesmo, os pontinhos estão lá, a tela está limitada, você vai ficar brincando ali o máximo que dá para rolar, é indo fácil para o difícil.
Continua a mesma coisa, é que nem o compliance, né? Cara, pra tirar a certificação XYZ, tá aqui os controles, você conseguiu isso daqui, ó. Checkmark, checkmark, checkmark. Já é. Aí ano que vem, pode ficar mais difícil. Ó, meu amigo, agora mudou, temos uma nova versão, vou adicionar mais 20 controles. O cara quebrou suas pernas no meio, mas é a mesma coisa, brincadeira mesmo, né? Cumpriu os controles lá, certificação, acabou. Esquece.
Pegou a certificação, vai pra casa dormir. Porque a gente já foi, né? Agora, a operação de segurança é jogo infinito. É League of Legends. Como é aquele do meu filho joga aqui? Que eu esqueci o nome. É de tiro também. É, LOL é League of Legends. É, LOL é. Mas não é LOL. O LOL é porque eu sou velho. Mas é um outro jogo. É o... É o...
Olha aquele famosíssimo, gente. Pelo amor de Deus. Ah, ah, ah, ah. Caraca. Os caras faziam show lá. Fortnite. Fortnite, é, exatamente. Hum, saiu. Cara, o cara tá com a arma ali, o cara vai pro mundo. Meu irmão, surge vagabundo de tudo quanto é lado. Porra, é tiro, porrada e bomba. Né? E a única coisa que você consegue fazer naquele mundo lá é sobreviver. Você não ganha nunca.
Você ganha a arminha, você ganha a potência, mas cara, você tá ali só vai sobreviver. Você vai se foder o tempo todo. E você só vai sobreviver. Então existe algo na operação que é lindo, que é operação é jogo infinito. É skin. Ah, não é skin. Não é skin. A skin não me media fé. Mas é que o jogo infinito é pra quem crê no legado.
Pra quem acredita que dá pra transformar esse mundo em algo melhor. Não por mim, mas pra quem vem depois. E essa é a graça. Só que se você pega o cidadão com cabeça de jogo finito e bota ele pra jogar esse jogo infinito, deu ruim, meu amigo. Porque ele vai ficar frustradaço. Ele vai chegar lá e vai falar assim, essa porra não acaba? Quando é que acaba essa brincadeira? Eu vou falar, meu irmão, não acaba nunca. Ele falou, não, não, mas tem que acabar, porque eu quero ir pra casa.
Da mesma maneira, se você pega o cara do jogo infinito, da operação, e joga ele dentro de um projeto, dentro do compliance, o cara fala, meu irmão, o que é isso? Mas já acabou? Era só isso? Ou seja, são mentalidades diferentes. E o que eu vejo muito acontecer é você pegar gente que tem mentalidade de jogo finito e joga dentro da operação. Cara, vai dar ruim pra todo lado. A pessoa vai ficar infeliz, você vai ficar infeliz. Então, tem um componente...
da gestão das pessoas dentro do SOC, né? E a gente sempre fala como definição, ah, SOC são pessoas, tecnologias e processos, né? Ninguém sabe como é que lida com pessoas, tecnologia é só o CIEM, e processo, ninguém sabe o nome de processo, né?
Então, o pessoal fala de playbook, né? Que nem processo não é. Então, cara, peraí, vamos tentar dar uma organizada nessa coisa, né? E aí o SoxCM é legal porque ele traz outros dois pilares. São cinco pilares e não três. Que é business e serviços.
serviços é a tecnologia, vamos chamar assim, onde você tem clientes. Então, gestão de vulnerabilidade, monitoração de sistemas. Então, são esses... Ele é a threat hunting, por exemplo. Então, são cinco. E business é como é que esse troço todo está alinhado aos objetivos do negócio. Então, isso é um outro ponto. Então, será que se eu... E aí volta aquela questão do escopo, antes de eu continuar metendo o pau no atono.
A questão do escopo é a seguinte, se a gente tem um SOC que tá bonitão, olhando pra tudo quanto é ameaça, estão pegando tudo, todos os logs, data source, tudo bonito, se em de primeira. E aí o presidente da empresa foi jogar golfe com o amigo dele, ele chegou lá e falou assim, cara, tu viu que teve ataque lá do AI, lá da Antropic? E aí o cara volta pra lá e fala, pessoal, o que a gente tá fazendo aí com a Antropic?
Como é que a gente está olhando para isso? Não, não, não, meu irmão, a gente não está olhando, mas a gente tem uma gestão de vulnerabilidade que é um brinco. A gente está olhando para os ataques de ransomware, todos eles que estão mapeando tudo, e falando, não, não, estou perguntando daquele. Ou seja, tem uma expectativa dos stakeholders que o SOC em algum nível precisa aliar. Obviamente, o meu exemplo aqui é exagerado, mas a gente precisa estar conectado em algum nível com o que a empresa espera.
Não é só aquilo que a gente quer fazer, o que a gente acha que é bonito fazer. Mas o que a empresa espera? O que esse cliente espera de mim enquanto prestador de serviço? Então, no sentido, esse é o desacoplamento que acaba fazendo com que o SOC perca seu valor. Então, é um centro de gasto terrível que não consegue mostrar seu valor no final do dia. Então, a gente precisa estar conectado para falar, não, com o SOC,
A gente teve, a gente evitou essa quantidade de ataques aqui. Com o SOC, a gente tem uma postura de segurança mais robusta. Com o SOC, a gente é capaz de ter visibilidade sobre as ameaças que, de fato, poderiam afetar o nosso negócio. Com o SOC e assim por diante.
Então... é isso. Fale do jogo infinito, né? É isso. Esse é um jogo infinito. E uma das características do jogo infinito é que surgem novos players o tempo todo. A gente não controla os outros players. Você tá lá jogando, vai, quando tu tá mirando, sai do cara aqui de trás e pum, atira em você. Cara, é isso que tá acontecendo. A gente tá bonitão na fita aqui, tá?
Mapeei tudo, tem o melhor XDR do mercado, X-Tudão. Tô lá bem pra caramba, tem um monte de ferramenta. É, Cláudio... Ah, X-Tudão foi demais. É, não tinha ouvido essa ainda. É tudo. Meu irmão, o maluco veio aqui por trás com o Deep Seek e ó... Já era. Já era, meu irmão. Já morri, bora. Então, é isso. Cara, vão ficar de novo Deep Seek atrás de mim aqui, porque eu quero sobreviver. Porque é a única coisa que me resta, né? E quando a gente tá sobrevivendo...
sobreviver é uma maneira resumida de dizer que a única coisa que nos resta é evoluir. A gente precisa evoluir. Pikachu evolui. A gente precisa evoluir. É, eu nunca vi.
E aí a gente precisa evoluir. Como é que a gente evolui? Primeiro de tudo, a gente precisa ter um baseline pra fazer. Um baseline não pode ser o outro, tem que ser você. Porque eu não sei da vida do Rafael. Até sei, mas se eu me comparar, eu vou chorar, porque a vida dele é muito melhor que a minha, entendeu?
O Thales, as coisas que o Thales posta no Instagram são muito mais legais do que a minha vida. Eu vou sofrer se eu ficar olhando para a vida dele lá. Eu tenho que olhar mesmo a minha própria vida. E aí quando a gente olha para o Sock, cara, não adianta querer comparar o teu Sock com o Sock dos outros. Ah, Ivan, então você está dizendo que não dá para fazer benchmark? Cara, você pode até fazer benchmark, mas se prepare para sofrer.
Porque no final do dia, o que importa é o quanto melhor a gente é hoje em comparação com a gente estava ontem. Porque é só assim que a gente evolui.
Então, a gente precisa ter um processo de evolução contínua para continuar sobrevivendo, sobrevivendo bem. Ninguém quer sobreviver para tomar tiro de fuzil de psique aqui por trás. Eu quero sobreviver bem, quero viver bem nesse mundo. E eu quero que meus clientes vivam seguros também. Então, sobreviver não significa estar no perrengue o tempo todo. Significa ter controle.
Significa ter visibilidade, significa fazer com que as coisas corram da melhor maneira possível. Ainda que a gente saiba que toda hora vai surgir um player novo, toda hora vai aparecer um buraco na minha frente que eu não estava lá, eu vou falhar aqui e ali, e está tudo certo. Falhar é humano. E ser capaz de corrigir, de ter um processo para corrigir esse erro e transformar isso.
numa nova capacidade, é uma característica de bons SOCs. É interessante. É uma inteligência que são. Exato. A evolução que você está mencionando, ela vai passar, eu entendo, se for de evolução no sentido de nós evoluindo há algum tempo comparado com onde a gente estava ontem. Mas você acha que a resposta para essa evolução contínua agora é a introdução aí da IA no SOC?
Não, eu não acho. Eu acho que a evolução está ligada ao estabelecimento de um processo muito claro de aprendizado contínuo. Então, é o que a gente chama de processo de feedback. Então, existe o feedback e o feedforward. O feedforward é o processo natural com que as coisas andam. Então, se você falar assim...
Nós temos um processo aqui que é quando chega o ticket na minha fila, a gente joga para a triagem, alguém analisa, eventualmente você não sabe a resposta, vai escalar para o próximo nível, depois alguém vai tentar resolver, papapá. Isso você não precisa ensinar no momento. Você fala uma vez e já foi. Todo mundo já sabe que esse é o processo natural com que as coisas acontecem. O feedback a gente precisa implementar. A gente precisa criar os momentos para que exista feedback. Ninguém melhora.
Ninguém melhora se não criar um processo formal de feedback. Tudo que a gente faz na vida é tocar a vida. Estou tocando a vida, meu amigo. Tocando a vida, leva a criança para a escola, pago conta, e vamos embora, né? Ninguém para. Não, não, para aí, está fazendo errado, cara. A gente precisa criar. Por exemplo, qual é o nosso feedback? Cara, eu contratei uma terapeuta.
uma terapeuta que me ajude a lidar com os meus problemas. Ou seja, eu criei um processo de feedback estabelecido onde todos os dias, toda quarta-feira às 7 horas da noite, eu tenho uma sessão com a minha terapeuta para aprender a partir de um determinado processo, de um determinado entendimento da minha própria vida, no meu caso. Na empresa, o Onusoc não é diferente. A gente precisa criar momentos dentro dos processos que são processos de feedback. Por exemplo,
Processo de falso positivo, né? Durante a triagem, alguém olhou e falou cara, isso aqui é um falso positivo de detecção. Alguma coisa que se esperava detectar e que tá vindo errado. Tá detectando errado. Não faz sentido aquilo que tá sendo detectado baseado naquilo que se esperava receber. Esse é um falso positivo de detecção. O que tem que fazer? Precisa melhorar, porque senão aquele alerta vai vir amanhã de novo.
e amanhã de novo, e amanhã de novo. E aí a gente tem lá o alert fatigue. Então, a gente precisa ter um processo de feedback para atualizar isso, para poder melhorar. O que significa melhorar aqui? Joga esse ticket lá para o engenheiro de detecção para ele ver o que está errado. Ele vai alterar a regra, vai testar, vai implementar e fala que parou, não tem mais aquele erro acontecendo.
Então a gente aprendeu com o processo. Mas por que aconteceu isso? Porque alguém estabeleceu um processo de feedback. E a gente tem diferentes outros momentos. Por exemplo, tem um muito famoso, que é no final do processo de incident handling, por exemplo, a gente tem um momento de aprendizado sobre o que aconteceu naquele incidente. Alguém faz? Conta pra mim. Pouca gente faz, né? Pouca gente faz. Se não é um evento... Mas a gente precisa criar esse processo formal. Precisa fazer com que ele aconteça. Mesmo ruim.
As primeiras reuniões vão ser ruins. Depois vai começar a ficar no automático. A gente precisa criar esses momentos. E feed forward, a gente não precisa ficar gastando tempo, que acontecem sempre. Deixa eu cobrir a questão do AI. Não sei quanto tempo que a gente ainda tem, Rafa e Tales. Só deixa eu... Tem o que só tiver. É. Você comentou aí, por exemplo, do só que falar com o negócio. Você usou o exemplo do Antrópico ali. Ah, da vulnerabilidade lá. O cara jogou golfe.
Mas quem que vai levar essa mensagem? E ainda outro ponto com essa pergunta aí, como que você vai mostrar para o negócio quantos porcento está sendo efetivo? E quem que vai lidar com o feedback? Sei lá, é o N1, N2? Quem que fica no meio do caminho ali que vai levar a palavra de sabedoria que, cara, a gente está trabalhando super bem, fizemos isso, bloqueamos ameaças, vamos contratar mais gente, mandar embora, e aí
trocar tudo por IA? Quem que faz isso? Porque transforma essa conversa técnica para algo de negócio. Boa pergunta. Isso é um processo dentro do SOC. Nossa, tem processo, cara? Nossa, foi muito difícil isso. É só um saco. É um trabalho com o SOC. Mas é uma responsabilidade de quem está estabelecendo a governança do SOC.
Então existe, tipicamente, uma responsabilidade do gerente do SOC. Então ele precisa entender esse papel e cumprir e executar esse papel. E dentro das responsabilidades dessa estrutura de governança, existe um elemento, um aspecto, que pode ser muito bobo, mas é muito significativo, que é o SOC Charter, que seria a certidão de nascimento do SOC.
Então, a gente precisa parar e escrever num papel que não é um papel de pão, um papel legal, um papel bom. O que esse Sock vai fazer? O que é esperado dele? Qual é o foco? Que horas que ele trabalha? Ele é Fall of the Sun? Não é? Ele é 9x5? O que a gente considera como sucesso desse Sock? É o...
A gente precisa estabelecer todos esses pontos do ponto de vista de negócio. E a gente precisa levar isso para que os stakeholders assinem. Qual é o mandato desse SOC? Imagina a seguinte situação. Isso acontece demais, tá? Imagina a seguinte situação. Está pegando fogo num prédio. Pegando fogo num prédio. E aí alguém liga para o...
para os bombeiros, né? Cara, e aí o turma do bombeiro atende lá no soque deles, né? Atenderam lá, falam, pá, tá pegando fogo? Perfeitamente, a gente tá caminhando pra aí agora, cara, manda aquele monte de caminhão, profissionais especializados e tudo, fecha a rua e tudo. Claro que os caras vão entrar no prédio pra subir lá, pra poder apagar o fogo, o cara da portaria fala, ó, meu irmão, você não tá autorizado a entrar.
Não, não, não, peraí, calma assim, o público vai entrar. Não, não, não pode, só tem que preencher primeiro aqui, eu vou checar com o morador se ele deixa o senhor entrar ou não. Meu irmão, tá pegando fogo, o cara me chamou, não dá tempo. Não, não, primeiro se eu preencher esse formulário aqui, são 12 páginas, né? Pega os seus documentos, xerox frente e verso, todo mundo que tá aí que quer entrar, eu vou falar com o morador. Cara, já era, queimou tudo.
Ou seja, o bombeiro não tem um mandato pra pagar o fogo que ele foi chamado pra pagar. Isso acontece direto, tá?
Ou seja, você tá aqui pra salvar o dia, mas você não pode encostar no meu servidor. Porque vai parar a aplicação. Pô, caramba, peraí, meu irmão. Os caras pancam o meu salário, pagam o negócio. Paca, quando der problema, eu posso... Tem Gemude. De ninja e apagar o troço. Pode ser Gemude. Apagar.
É mais ou menos isso, você não pode isolar essa máquina daqui. Muito verdade, caraca. E GMUD é outra hora. Então, um SOC sem mandato é um SOC inútil. Então, a gente precisa... E onde é que a gente consegue esse mandato? Na hora que a gente coloca isso dentro do SOC Charter e leva o board a assinar. Mas é o gerente do SOC que vai fazer isso? É o gerente do SOC que vai escrever.
E ele vai dar pro chefe dele que alguém tem que assinar esse troço. Ou então a gente tá perdendo nosso tempo. Então não faz sentido. Ou então vamos fazer outra coisa da vida. Ou então vamos ficar lá. Você entende?
Sim. Nossa, a quantidade de conversa que eu tenho com cliente que fala que eu estou aqui para fazer isso, mas não consigo porque sempre tem pushback das unidades de negócio é impressionante. É uma realidade muito comum isso que você está descrevendo, Ivan. Não necessariamente só para o SOC, mas qualquer área dentro da segurança formação. Agora você imagina a frustração que é não ter um mandato, por exemplo, um projeto.
Agora, imagina a frustração quando você é um time de elite que está lá pago para apagar o incêndio e não autorizado a entrar no prédio. Então, esse é o ponto. E no Sox Charter, esse é o lugar onde a gente vai colocar esses elementos. Então, é uma bobagem? É um documento. Por que o documento muda? Muda tudo. Porque o simples fato de você parar e escrever já cria comprometimento.
Se alguém tem que botar um nomezinho lá e assinar, opa, não dá para dizer depois, cara, mas você não pegou tal coisa. Falar, cara, esse não era o critério de sucesso. Se você quiser que eu pegue tal outra coisa, a gente pode pensar, custa mais caro um pouquinho. Mas o critério de sucesso é o que está definido lá. Então, pelo critério de sucesso, cara, a gente está mandando super bem. Então, a gente pode bater no peito, levar a métrica lá e apontar quão bem que a gente está fazendo alguma coisa.
Aliás, quão bem estamos fazendo alguma coisa é exatamente o significado de maturidade.
Maturidade não é apenas ter um elemento dentro de casa, né? Ou ter uma capacidade. Quão bem a gente executa alguma coisa ainda que simples. Então, eventualmente, a presença de elementos obrigatórios dentro de uma estrutura de SOC pode ser...
um sinal de maturidade, sim, mas não necessariamente. E a capacidade de executar algo ainda que simples, isso sim é maturidade. Ou seja, se eu executo alguma coisa simples muito bem, então eu tenho maturidade naquilo. Se eu executo alguma coisa muito sofisticada, muito mal, eu não tenho maturidade naquilo. Então, o que o SoxCMM ajuda a fazer...
medir justamente essa maturidade. E não ajuda só isso também. Um ponto que é muito discutido, e eu tive a honra de começar a explorar isso de uma maneira mais clara, se precursou uma das pessoas a explorar isso, não eu diretamente, só apenas.
Esse precursor nisso que é usar o SOC-CMM não apenas para medir a maturidade, mas para ajudar a empresa a criar um SOC do zero, como um guia para criar um SOC do zero. Você me pergunta assim, como eu não crio um SOC do zero? Ninguém sabe. E aí acaba a sua função, um CEM lá. CEM, CEM, CEM. É. Então, ninguém sabe. Qual é o guia? Cara, descobri que dá para usar o SOC-CMM para fazer. A gente pode usar ele como essa base.
para a gente começar a criar o SOC do zero, porque no SOC CMM existem guias para ajudar a gente a responder as perguntas, são muitas perguntas. E nesses guias tem todos os elementos que a gente precisa para criar o SOC do zero. Então a gente pode usar ele como esse guia para a gente criar esse SOC, considerando os elementos mínimos bem estruturados que todo SOC deveria ter.
Melhor do que criar uma coisa esquisita e depois ter que fazer muito esforço para consertar. Perguntaram sobre o AI. E é dar um programa inteiro. Mas falando do AI, sim. O AI tem, obviamente, a capacidade de transformar muita coisa. Acho que não vai ser diferente no SOC. Acho que o AI tem muito a capacidade de transformar muitos elementos no SOC.
Eu posso falar da minha experiência, Raftales, do que eu venho explorando com relação à AI software. Obviamente que quando surgiu, e como todos nós, em maior grau ou menor grau, eu também sou entusiasta do tema, mas eu sempre me questiono sobre o quanto que a AI, com toda a sua capacidade de transformação, o quanto ela pode interferir na cognição.
dos meus analistas, né? Ou seja, da capacidade deles de parar de pensar. Esse é um grande problema, assim, que o AI só que não consegue resolver. Se a gente olhar especificamente para a questão da capacidade de análise, né? Vou dar um exemplo aqui de números para vocês. Meu time consegue fazer uma análise típica de um alerta em aproximadamente...
15 minutos, tá? No processo de triagem. Às vezes mais, às vezes menos, depende do ticket, mas em média, tá? 15 minutos. Com a AI, a gente faz com a solução que eu testei, né? Com as soluções que eu testei, aquela que eu mais gostei, ela fazia em 2 minutos. Com a diferença de que a análise que o meu time de triagem fazia manualmente...
E a análise que o AI SoC fazia, fez, o AI SoC fez, das vezes, melhor. Em profundidade, em correlação, buscou informação em outros sistemas. Impressionante. Seu resultado é muito impressionante. Eu testei muitas coisas. Eu testei, por exemplo, a... Eu testei.
API da OpenAI, eu testei o Cybertron da Trend, fiz o download lá, o open source, tentar aqui um modelo local, muitas coisas assim, né? Diferentes estratégias, assim, pra gente tentar ver se fazia sentido pro meu caso.
desenvolver alguma coisa internamente. No meu caso, eu achei que não fazia. Eu comecei a explorar, então, soluções de SOAR, que viraram... Desde que o Gartner matou o SOAR, né, voltava obsoleto, a turma mudou para AI só aqui, né? Então, óbvio, né? Tem que sobreviver, tem que pôr conta pra pagar. E aí, mas no fundo, aquelas que eram soluções de SOAR, que botaram com AI...
Desculpa, eles tinham então um desafio, muito complexos, muito boas, mas muito complexos. Também não se adequaram bem à minha operação. E outras eram soluções de AI só aqui nativas e que funcionaram muito bem. Em especial, uma delas. Porque não vou falar o nome aqui porque não está patrocinando a gente. Paga nós. É, paga nós. Mas depois, se vocês quiserem, depois você me manda mensagem aqui, eu mando para o Rafa, para o Tales e a gente fala qual é.
E o fato é que a solução é realmente sensacional. Do ponto de vista do volume, ele resolveria muitos problemas. Vocês sabem por que a gente tem um modelo de tiers no SOC? Tier 1, Tier 2, Tier 3? Já ouviram? N1, N2, N3? Já ouviram falar disso? Porque é um mais barato que o outro.
Menos caro. Menos caro, exatamente. Se for todo mundo no mesmo preço, não rolava. Ou seja, é um funil. Tem muito alerta chegando, eu preciso ter gente barata aqui que possa fazer uma primeira sacudida aqui, uma peneira, e o outro pega na peneira, e aí o outro pega depois. Então, eu tenho menos gente, mais caro, até que eu consiga tratar menos alertas com mais especialização.
Quando eu boto lá o IAISOC, tipicamente eu não preciso mais do N1. Pela questão do volume. Porque ele já tratou o alerta, o alerta já chega tratado. O alerta bate na fila e já é tratado. Dois minutos. Não tem mais fila. Eu preciso do N1 cada fila.
Não tem mais fila. E aí, se eu não tenho mais fila, e ele já diz pra mim qual é o veredito, eu vou tratar aqueles que merecem atenção. Qual o problema disso? O problema disso que eu preciso no meu time, gente que seja capaz de ler o que a AI Sock fez, e criticar aquilo. E falar, isso tá uma beleca. Isso o cara fez errado, tá fazendo errado aqui. Isso tá errado, isso não existe.
ou não, isso é maravilhoso, isso é absolutamente sensacional, ou seria capaz de fazer melhor. Sem essa capacidade de julgamento, não dá para usar essa solução. Pelo menos para aquilo que eu acredito. Então o que eu fiz? Cara, com a dor no coração eu dei um passo para trás. Eu falei, puta, não vai dar, porque o meu time não tem senhoridade suficiente para conseguir tirar proveito dessa solução. Então eu resolvi mudar o time.
Não me matem. Mas foi a verdade. Eu resolvi atualizar o streaming, trazer gente com mais capacidade. Subir a barreira, a barra, a barreira, subir a barra do nível da turma para poder...
É ser capaz de tirar proveito dessas coisas todas. Mas desculpa, nisso que você falou de subir a barra, você acabou eliminando o N1 e teve o seu N2, N3? Ou o cara que era um nível que era N2 antes, na verdade agora para você é um N1, que você está falando, não, tem que ser tão especializado. Na verdade, eu não comprei a solução de AI. Eu desisti da solução. Eu entendi que era melhor para a minha operação continuar do jeito que eu estava.
trazer o time mais capacitado e depois revisitar a solução. Não, mas beleza. Essa foi a questão. Eu não acredito que a AI vai substituir.
o time, né? Entendendo um pouco melhor o entregável dessas soluções, né? Eu acho que menos pessoas vão ser capazes de tratar mais alertas. Mas eu não penso que, ah, se eu posso botar isso daqui na frente, acabar com os N1s e ser feliz. Só com o N2 e o N2s. Não acho, acho que não existe realmente no nível das coisas que eu vi e que testei.
é algo ainda nesse ponto. Acho que nunca vai ter, tá? Honestamente. Nunca vai ter é forte demais, né? Porque as coisas estão mudando muito rápido, mas não me parece que isso tem de acontecer. Então, por último, isso foi o que eu tomei de decisão. E não me arrependo, honestamente, tá?
Fiquei tristinho. Eu queria usar. As cores de brinquedo novo, né? As cores de brinquedo novo, né? Mas, honestamente, acho que a vida está me ensinando que esse brinquedo novo precisa fazer sentido, né? Claro. Precisa encaixar bem ali. E precisa ter especialista. Preciso conhecer, preciso saber. Preciso ter gente dedicada. Então, uma coisa que eu aprendi é que ferramenta boa é aquela que meu time sabe usar. Ou seja, qual for. Tanto que... Tirar proveito. É, tirar proveito, exatamente. Eu nunca fui um...
um geek ali do open source, né, quando era técnico, assim, sempre fui garotinho Windows, o que é terrível, né, declarar isso corrigamente, mas, de certa maneira, passei a adotar depois, com o passar dos anos.
Open Source fortemente nas minhas operações de segurança. Porque é isso que eu acredito. Eu acho que tem muita coisa boa Open Source por aí, que faz muito sentido nas operações, sentidos não só filosóficos, sentidos técnicos operacionais também. Então, eu acho que a IASOC tem um potencial grande demais para transformar, inclusive, as operações de segurança, os SOCs. Acho que ainda não está no ponto. Acho que vai chegar lá.
Eu acho que essas soluções de ESS, SOC, são muito boas, eventualmente, para uma empresa que não tem um SOC. Tem um time ali, 2, 3 pessoas, 4 pessoas, analistas que estão fazendo tudo, a engenharia, olhando o incidente, aplicando o patch, tudo ao mesmo tempo. E aí o cara não tem tempo de olhar alerta. Então, pô, bota aquilo ali, olhando todos os alertas. Melhor porque perder o alerta. Então, mesmo que tenha um errinho ou outro ali, e olha que eu estou falando, mas eu não encontrei nenhum erro, tá?
Sim, essas análises são muito completas. Então, isso pode realmente acelerar muito e levar aquela operação, que é muito rudimentar, para um nível melhor. Não diria para os sócios mais estruturados, mas acho que os sócios estruturados estão cada vez mais utilizando isso.
em algum nível. No meu caso, eu acho que não valeu a pena para mim desenvolver alguma coisa internamente. A capacidade de botar guardrails era muito complexa, não existiam ferramentas apropriadas, o risco de rodar isso em uma AI pública era absurdo, meus clientes eram muito regulados, então eu preferi trazer isso para trazer para dentro de casa, eu tenho que gastar muito com hardware, NVIDIA não é barato, e aí...
E aí a coisa começou a ficar meio fora de contexto. Cara, compra o troço do IASOC lá, é barato e a coisa vai funcionar muito melhor. O cara tem 10 vezes mais gente especialista no tema e o resultado é maravilhoso. Então, continuo entusiasta, acho que é um caminho, mas primeiro, isso não vai matar o SOC. Segundo, é mais uma ferramenta que a gente precisa entender que não é a bala de prata. Ela vai ajudar.
Mas é como qualquer outra ferramenta. Então, se a gente vai trazer ela para a operação, a gente precisa entender qual é o papel dela, quem é que vai tomar conta, quem é que vai atualizar. Então, é mais ou menos esse o sentido que eu vejo. Agora, botar um chatbot para ajudar o analista, pode ser, funciona, ajuda um pouquinho e tudo. O chatbot faz o papel um pouco do playbook. E o...
O playbook tem um papel importante, no sentido de tentar padronizar um pouco a tomada de decisão. Mas, de novo, essa facilidade em certo nível vai com o tempo contribuindo para que o analista pare de pensar. Então eu fico imaginando o que vai ser no futuro.
Como é que a gente vai transformar um analista N1 no N2, se o N1 não está mais pensando, né? Se ele simplesmente terceiriza tudo para AI, né? Então, em todos os sentidos, não só nessa profissão, em outras profissões também, né? O engenheiro de detecção também não cria mais regra, ele pega o protocolo de criar, e por aí vai, né? Quer dizer, quanto que isso pode acelerar e quanto que isso pode prejudicar no sentido, né?
Por enquanto, eu continuo jogando, tentando tirar proveito do que é bom, né? Quer dizer, eu fico com a criança e jogo a água do banho fora, não o contrário, né? Então, pensa aqui no colo aqui, ó, eu jogo a água fora e tal, mas não jogo a criança fora. Então, por enquanto, ela tá aqui no meu colo chorando. Qualquer hora, aí ela para de chorar e sai andando e com medo de pagar.
É um outro ponto que eu queria entender um pouco e talvez até puxando um pouco o sardinha para o meu lado, mas para eu aprender nesse sentido, mas estava conversando esses dias né, Ivan, daquele report da Red Canary.
Super interessante, a gente pode botar o link aqui na referência. Mas uma parte que me chamou a atenção, especialmente porque o Gil tem trabalhado bastante focado na paz e identidade, é que o número de ataques que começou baseado na identidade, de um ano para o outro, de 2024 a 2025, na medição deles, aumentou 850%.
Que o volume total, é isso absurdo, e o volume total era que mais da metade dos ataques foram baseados em identidade. Aí a minha dúvida é, né, com esses ataques todos aí, de baseado em identidade, só pra ficar um pouco mais claro, tipo, tô falando aqui de roubo de credencial, escalamento de privilégio, movimento lateral via conta legítima, como que o SOC olha pra identidade e se o SOC médio está preparado pra isso?
O MacMédio pouco sabe que identidade existe ainda. Aqueles que sabem estão muito focados no Entry-D, o que é muito bom porque a Microsoft faz um trabalho decente. Mas tem muita coisa, né?
Tem muitos provedores de identidade que não são a Microsoft e que as empresas estão usando a torta direito por aí. Então, eu acredito que um início muito bom é ser capaz de ter soluções especialistas em proteção e gestão de acesso, gestão de identidades e o SOC trabalhar com as informações providas por essas viagens de proteção.
Então, mais do que eu só aqui receber todas as informações de login e log off, de todas as contas de serviço da empresa e tentar parir uma detecção a partir dali, é tentar usar as informações que existem dessas ferramentas de proteção. Mas, obviamente, que...
que esse crescimento é motivado, entre outras coisas, pelo típico desejo do atacante de não ser detectado. O atacante descobriu que é mais fácil conseguir a credencial. E a própria migração de grandes estruturas e grupos para essa área de identidade tem aquele...
Se você é dessa época, acho que tá ali, isso deve ser. Fazendo a minha idade pra você. Mas é o Conficker? Conficker, né? Conficker é muito novo, né? O Conficker leva do Conficker, né? Então era o Conficker tá aí até hoje, né? E virou um grupo que tá voltado a questão de acesso, né? Sem pequeno acesso. Muito mais fácil, né? Passa debaixo do radar, né? Então é muito melhor pro atacante não ser detectado do que ser detectado.
Aí descobri que é o jeito fácil, né? Como qualquer ser humano, o atacante, que é o mais fácil, né? Agora os grupos de ransomware, eles não criptografam mais, né? Eles só vão lá, copiam a informação e fazem a extorsão. Porque criptografa é o teu trabalho, pô. Tem que desenvolver, tem que ter conhecimento técnico, tem que fazer o download, baixar o... Cara, peraí, pô, é muito trabalho, pode ser detectado. Não, vai lá, rouba a informação e depois cobra o preço.
Então por aí vai, né? Então acho que essa questão da identidade não é diferente. E a questão das identidades não humanas, né? Isso está trazendo, isso ampliou o número de identidades a serem gerenciadas de uma grotesca, não dá para fazer mais uma...
uma cyber hygiene, ali, uma romeno, né? Precisa ter controle sobre esses elementos, né? Então, não ter controle, não saber quantos domain admins a gente tem na rede, né? Cara, vai tomar um ataque na cabeça, não tem saída, né? E quem que olha isso? Quem que olha isso, né? Assim, então, eu entendo que gente tem gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente gente
embora não seja tipicamente o escopo do SOC, realizar, sabe, Highting, esse dia a dia, a gestão das ferramentas de segurança, mas gestão de ferramentas de segurança pode sim ser parte do escopo do SOC. Embora tipicamente não faça parte do que a gente chama do MDR, mas faz parte do escopo do SOC, sim, porque não. Da mesma maneira que gerir o XDR, ou gerir o XDR,
sei lá, a cloud, ou seja, que solução ele esteja usando, em qual cloud que seja, ou mesmo o firewall, também pode ser uma responsabilidade do software. Então, eu vejo que é uma tendência terrivelmente forte, e a gente precisa fazer alguma coisa, porque está claro que esse é o caminho.
tá sendo explorado todo dia, e se a gente não tem visibilidade nesse domínio, a gente não tem visibilidade 50% das coisas que estão acontecendo. É mais ou menos isso. Tá pensado? Muito trabalho. Cara, assim, nossa. Dá muito trabalho. Muito trabalho criar um Sock.
E outro quesito que eu vejo que é cada vez mais comum e que eu também tenho uma dúvida muito grande, como que o SOC médio está olhando para isso. Cara, toda vez que a gente começa com um podcast, o Taleco e eu, e a gente vai falar das notícias, tem alguma notícia de ataque de supply chain.
O problema é que, na minha cabeça, você me fala se eu estou errado ou não, é que o SOC foi construído para monitorar tudo que está dentro, tudo que está para dentro. Só que o ataque supply chain é um negócio que é lateral, vai, é um negócio que cai do céu. Como você vai monitorar algo? Do nada, né? Porque, sei lá, trocaram lá um pacote no PIP ou no NPM.
Como é que você vai ter essa visibilidade? Como é que o SOC ajuda nesse tipo de... A empresa mudou o fornecedor? Tem diferença entre o supply chain. Eu acho que tem o fornecedor, que é mais simples de fazer. Esse supply chain que explora essas fraquezas de pacotes que são usados, esse realmente é muito difícil.
é mais ou menos, cara, na hora que a gente descobrir que existe a vulnerabilidade, a gente corre lá pra tentar fazer alguma coisa, né? Pode ser tarde demais. É como foi esse aí o último caso aí do NPM aí, da Antropic, né? Foi, enfim, tem muito... Não é impossível de fazer, mas é pouco provável, né? Que a gente consiga fazer, porque é um elemento externo. Mas, de novo, né? Não é nada 100% e a gente não tem o que tá fora do nosso...
objetivo perímetro de cobertura, talvez se a gente tivesse um só que focado em supply chain, a gente ia começar a desenvolver capacidade pra isso. Opa, peraí. Então qual é o meu foco? É supply chain. Cara, eu tô muito preocupado com isso. É isso que a empresa quer olhar. É aqui que a gente tem que colocar esforço, né? Uma startup aí, ó. É, vamos criar um programa que a gente possa auditar os fornecedores. Vamos fazer um bom das aplicações gente.
para a gente entender o que tem ali de sensível, né? Vamos estudar que tipo de ataque suplatin tem acontecido, em que tipo de... Vamos remover, sei lá, os... Vamos usar a ferramenta de RMM, por exemplo. Sei lá. É nesse sentido que o desculpo começa a fazer mais sentido. Porque, de novo...
Não vai dar para a gente olhar para 100% das coisas, algum nível de risco a gente vai ter que aceitar. E aí entra o Cyber Insurance. Porque é aquele risco residual que a gente não consegue tratar, não tem jeito, a gente provavelmente vai precisar transferir para alguém. Cada vez mais difícil.
Porque as empresas de cyber insurance também não são boas, não querem perder dinheiro, vinham perdendo muito dinheiro, né? E eles estão mais exigentes para aceitar novos... Então, é até mais difícil para as empresas conseguirem contratar cyber insurance em função disso. Especialmente empresas menores com menos maturidade, que não conseguem provar que tem ISOs, controles, ferramentas, estrutura, budget, né? Mas é mais ou menos esse.
É assim que eu entendo, Rafa. Interessante. Complicado. Especialmente a questão que você falou agora do insurance, faz muito sentido, né? Eu estou falando de tanto os tipos de ataque que como que eu vou cobrir alguém para algo que eu não sei que existe, né? É, e que surge o tempo inteiro, né? E aí tem uma coisa, tem uma dicotomia muito louca.
que é, olha que loucura, né? O mundo da cibersegurança foi sacudido pelo anúncio da Antropic de um potencial novo modelo que vai descobrir vulnerabilidades, assim, que nunca foram descobertas, que num teste descobriu a vulnerabilidade, tava 17 anos. Peraí, cara. Essa é a empresa que tá botando o mundo de cibersegurança de cabeça pra baixo. Pô, e essa é a mesma empresa que tá botando o mundo de cibersegurança.
Tem um pouquinho de ética, talvez, né? Disse não lá pro Departamento de Defesa americano, né? Lá pro Pentágono. Pouco, bem pouquinho, mas tem alguma ainda ética nessa história. Então, assim, cara, dá quase pra confiar neles, né? Os caras tiveram o código fonte vazado.
Como é que pode, de um lado o cara está sacudindo o mundo da cérdida e da cérdida e segurança, por outro, o cara teve o código da solução dele vazado. Por um erro básico, humano. Então, meus amigos, a gente está vivendo num mundo muito louco. Onde, por um lado, essa empresa é a empresa reconhecida como a empresa de segurança, que está capaz de...
de mudar, de derrubar os estoques das empresas que estão aí estabelecidas há tanto tempo, né? Só pelo possível anúncio de uma solução. E que tem o seu código vazado na mesma semana. Assim, que mundo maluco é esse que a gente está vivendo, cara? Que maluquice, né? By the way, a gente está numa situação...
onde, tá bom, queridão, você descobre vulnerabilidade, né? Pode descobrir quantas vulnerabilidades você quiser. Eu não tô aplicando patch em todas mesmo, pô. Eu já não tô aplicando patch em todas. Que risco maior é esse que a gente tá vivendo? Se o cara vai descobrir muitas vulnerabilidades quando eu tô aplicando patch. Eu não aplico patch em tudo. Quem que aplica patch em tudo aí? Levanta o dedo. Ninguém tem tempo, cara. Não dá tempo de aplicar patch em tudo. Concorda?
Tem que ter a... A minha educação aqui do meu Mac tá há duas semanas aí que foi que eu tenho que reiniciar. Não consigo. Meu amor, não pode me chamar. Tem que... Calma aí, não posso rebutar a máquina agora não. Segurei um pouquinho. Não dá tempo, cara. Então, assim, o mundo foi sacudido por um anúncio de alguma coisa que no fundo não vai mudar muita coisa, na minha opinião. Porque a gente já não tá fazendo. Então tem hora que... Outra coisa que até tá no relatório da Red Canary.
que é o seguinte, apesar da AI, da escala que a AI pode trazer para os ataques, e está trazendo já, obviamente, os tipos de ataque, as técnicas que estão sendo utilizadas nesses ataques, não mudaram muito. Ou seja, mudou tudo e não mudou nada.
Mudou a escala, mas os ataques são os mesmos. Os caras não inventaram nenhum ataque, uma técnica muito sofisticada. Agora, uma homena é a mesma coisa. Então, isso traz a gente para um pensamento. Eu detesto esse tem que fazer o basicão bem feito. Cara, mas... Tem que fazer o basicão bem feito.
Mas é isso, um pouco isso, né? Não dá pra ficar também... Mas não, isso é um discurso que não vende, né? É um discurso que não vende, é, exatamente. É um discurso de bobo, né? Agora, ah não, cara, a gente tem uma capacidade aqui, uma integração, a gente fala com API. É bom ter. Não é que é ruim ter. Mas, cara, não pode ser só isso, né? Não dá pra simplificar essas coisas, né? Eu costumo mostrar...
no geral, assim, quando eu falo do SOC, qual é a complexidade de um processo de monitoração, detecção e resposta? Porque senão parece que é muito simples, né? É só botar uma ferramenta e está tudo resolvido, né? E está longe de ser isso, está muito longe de ser isso, né? Por isso que respondendo a tua pergunta inicial lá, Rafa, no CIEM,
É bom demais, mas é melhor ainda pro vendor, né? Então, é... E o Red Canary lá também, assim, deu uma mudada na minha cabeça em muitas coisas, o relatório, vale a pena depois botar o link. No outro relatório eu já tinha aprendido muita coisa com eles, nesse agora o Repetec foi na mesma onda, assim, cara. Os volumes que eles têm detectado, assim, né?
captaram para ser capaz de detectar coisas, e eles fazem um serviço muito decente, são muito bons, honestamente, é abissal. Se eu somar todos os meus clientes aqui, talvez não dê 10 clientes deles. Então, o volume de dados que eles estão captando é muito grande.
E eles têm um lance assim que eles têm... A proporção de falsa positiva deles é 97%. É isso. Mas por algum motivo eles chegaram... Agora imagina se eu preciso de uma quantidade cada vez maior de dados para entregar um resultado similar ao que eu tinha... Cara, o meu...
o resultado da minha operação de segurança vai estar limitado ao modelo de negócio do meu vendor de 100. Porque se ele me cobra por gigabyte por dia, cara, não vai rolar, porque eu preciso ingerir petabyte por dia, não gigabyte por dia. Não vai caber no bolso. Então, o que acontece na maioria dos casos? Os clientes falam assim, cara, esse dinheiro eu não tenho, eu só tenho isso aqui.
Ah não, por isso aqui eu te dou essa capacidadezinha aqui de ingestão. A gente pega só os melhores logs e ingere aqui. Isso vai funcionar? Segundo a Red Canary, não funciona mais. Ou seja, a gente não pode limitar a nossa visibilidade por causa do modelo do vendor. O modelo de negócio é dele. Porra, mas a operação é minha. Então, sabe o que eu faço? Eu vou pro pensócio ser feliz.
Eu tenho storage, eu controlo. Não pago um tostão de licença. O que eu quero? Não. O azul. Esse modelo. O que é ruim esse modelo, Thales? Não funciona esse modelo mais para quem tem que lidar com a realidade do planeta Terra. Você entende? Não rola, entendeu? Assim, ah, mas é muito melhor. Cara, é muito melhor. Mas você não pode mais estar limitado pelo modelo de negócio do vendor.
Porque se o teu bolso, o seu bolso do cliente, limita a quantidade de logs que ele pode ingerir, cara, tá todo mundo frito, tá todo mundo ferrado, porque a gente não vai sair do outro lado vivo. A gente não vai conseguir sobreviver nesse daquele jogo infinito. É isso que eu digo. Uma curiosidade, então, por exemplo, uma operação de MSS, administra ou pode administrar vários CEMs diferentes.
Ou isso fica debaixo de um guarda-chuva só, todo mundo mandando log para um... Como que conecta isso? Porque você falou que não pode limitar a dado. Como que isso funcionaria na prática, a operação de serviço? De serviço de um prestador de serviço, você diz? É. O prestador de serviço pode adotar alguns modelos. Ele pode ter um ciência centralizado, ele pode usar os ciências dos clientes, seja lá qual for o modelo, a arquitetura que ele eventualmente utilize.
ele vai, se o modelo de negócio do vendor está limitando a quantidade de locos que ele pode ingerir naquele CEM, a visibilidade dele também está limitada. Porque agora é um jogo de dados, então quantos locos eu consigo ingerir, quantos locos eu consigo processar e qual é a visibilidade que eu posso ter. Se tem alguém dizendo o seguinte, fala, amigo, você não pode ingerir 30 gigas por dia não, você só pode ingerir 5. Cara, porra.
Se eu não posso ingerir 3, se eu posso ingerir 5, eu vou te dar o resultado de 5, não de 30. Então não espere coisa diferente. Então, e a gente tá falando de volumes muito maiores atualmente, assim, né? Então, esse é o ponto, né? Tem essa questão que é muito delicada. Eu entendo que os caras têm que pagar conta também, tem família. Mas, cara, ema, ema, ema, cada um dos seus problemas, né?
O meu problema é entregar visibilidade, entregar operação de segurança decente. E aí eu vou tentar encontrar a solução que faça sentido para isso. E qual é a solução que é melhor? É que o meu time sabe usar. Aquela que faz sentido para o meu negócio, que faz o meu negócio no meu soque parar em pé. Às vezes é uma solução comercial, às vezes não. Está tudo bem. Então, eu não tenho...
problema em fazer um mix de open source com solução comercial. Acho que é bacana. Mas do ponto de vista de arquitetura, eu entendo isso. Um prestado de serviço, pelo menos, pode mixar isso. Eu prefiro ter centralizado, que é o menos trabalho para mim. Mas depende do que for acertado com os clientes. Mas é mais ou menos isso, gente. Os desafios são muito grandes.
As coisas mudam o tempo inteiro, né? Mas é muito gratificante, assim, poder contribuir com esse trabalho do dia a dia, assim, né? As ferramentas sozinhas não fazem milagre, né? E precisa do só que tá lá pra fazer esse milagre acontecer. Senão não acontece não.
gratificante foi ter você aqui, pô. Uma hora e quarenta pra brigar com a gente sobre o SOC, cara. Bom demais, obrigado. Eu que agradeço. Obrigado pelo convite.
Aprendi muito e mais um pouco. E é isso. Eu sempre gosto de deixar aqui um espaço também para o convidado, para eles falarem ali, como se fosse no Night, como é que era? Tipo, o programa do Jô Soares, Night Talk Show. Abri aí o microfone para você, o que está acontecendo na tua vida, Ivan, que você quer contar para todo mundo, quer você convidar alguém para algum evento, essa é a tua hora.
Eu adoro ser convidado para viagens internacionais. Quando é inverno aqui no Canadá e é verão em outro lugar. Inverno aqui é muito rigoroso. Mas eu gosto de contribuir com a comunidade, então tento compartilhar esses aprendizados de transformação, sejam dos SOCs, sejam da minha própria vida, é lá pelo LinkedIn, então acho que é uma boa se você quiser conectar comigo.
Você me encontra lá no linkedin.com.in.ivansales. Tudo junto. Depois a gente bota aí também em algum lugar. Agradeço. E obviamente estou aberto para boas conversas. Conversas com gente inteligente, gente bacana como vocês. E para contribuir com qualquer coisa que eu possa ajudar. Seja com eventualmente estar pensando.
Tá pensando em fazer uma maluquice como eu fiz essa na sua vida? A gente compartilha os aprendizados e os perrengues também. Se você quer falar sobre o SOC, conhecer mais, discutir se você tá pensando em melhorar a sua maturidade do SOC, como é que isso funcionaria. A gente também pode trocar uma ideia. Mais ou menos isso, Rafa e Tales. Mais uma vez, obrigado demais. Valeu pelo convite, foi ótimo.
Perdoado, perdoado. O Ancião do Sock tem uma página dedicada? Não, né? Você pode estar na sua vez. Eu posto no meu, já é pra confundir a turma mesmo. Entendi. Mas quando ele soa, às vezes ele fica meio escondido. Saquei. Vale a pena seguir aí o Ivan.
Nem que seja pelo menos só pelo lanceiro do Sock. É um personagem... Eu já comentei isso com você, né? Super criativo que você criou aí. Que, nossa... É muito legal. É muito enriquecedor o conteúdo que você compartilha ali através dele. E hoje em dia, com tanto conteúdo raso gerado por IA... Pô, você lê alguma coisa bacana...
Realmente faz diferença. O pessoal pergunta, mas por que você não posta todo dia? Não tem esses apresentizados todos os dias, né? Exatamente. Uma vez por semana, duas vezes, aí pega bem, né? Tá bom demais, já, né? Tá bom demais. E outra coisa que eu sempre pergunto é, se tiver alguma aí, algum caos ou que a culpa foi de sec que você queira compartilhar com a galera. A culpa é sempre de sec, né? A culpa é quase o tempo inteiro de sec, né?
deixa eu ver aqui, Alfa, mas não tá vindo nenhum aqui na minha cabeça agora exatamente, mas é... sei lá, acho que não tem problema. A gente chama de novo pra você contar, não tem problema, você vai ter que vender um segundo episódio. Tá bom.
Vou ficar feliz de vir, com certeza. A gente vai ficar feliz de recebê-lo. De novo, muito obrigado por ter aceito o convite. Foi um podcast especial, com certeza. Tá lego, sempre bom estar aqui com você também. E lembrando, a culpa é de SEC, mas é responsabilidade de todos. Valeu, falou pessoal. Abraço. Tchau, tchau. Valeu, falou. Abraço, pessoal. Valeu, gente. Obrigado.
Red Canary
2026 Threat Detection Report