Logicalis: “Quando tudo é importante, tudo deixou de ser importante” (com video)

Edgar Coutinho, Security Services Delivery Manager na Logicalis, usou o palco da IT Security Summit para fazer um diagnóstico à realidade atual: a tecnologia de deteção nos SOC evoluiu de forma consistente na última década, mas a capacidade de resposta ficou sistematicamente para trás. O resultado é uma ilusão de segurança que só se revela quando mais importa: no momento exato em que um incidente real acontece.

A apresentação, intitulada “A Tale of Two SOCs”, foi construída em torno de dois SOCs fictícios, “o melhor e o pior dos mundos”, mas o retrato era deliberadamente reconhecível para qualquer CISO na sala. O primeiro SOC tem tudo: EDR, XDR, SIEM, SOAR, threat intelligence alimentada por IA, dashboards executivos impecáveis. Deteta tudo, vê tudo. E quando o incidente acontece, às 2h45 da manhã, com 150 alertas a disparar em simultâneo, paralisa completamente.

“Temos o EDR, o XDR, o SIEM, a AI, e damos por nós com 150 alertas que ocorreram às 2h45 da manhã. Agora temos o SOC todo a acordar, estamos a ligar para analistas de Tier 3… vamos falar com o cliente? Vamos contactar o CISO? O DPO? Temos exfiltração de dados, e agora?”, descreveu Edgar Coutinho. A tecnologia funcionou. O SOC não.

O SOC que tem tudo e não serve para nada

O diagnóstico é de que o problema não é técnico, é processual. Sem playbooks definidos, sem escalada clara, sem classificação consistente de severidade entre S1 e S4, o excesso de informação torna-se o próprio inimigo. Edgar Coutinho chamou-lhe “denial of service ao próprio SOC”; “quando tudo é importante, deixou de ser importante”. As ferramentas geram ruído; os analistas perdem o fio condutor; a decisão falha sob pressão, no pior momento possível.

A analogia para a audiência reunida do norte do país foi certeira: a francesinha com mais ingredientes não é necessariamente a melhor. Um SOC com dez ferramentas integradas e zero processo de resposta não é um SOC, é uma fábrica de alertas com boa apresentação. O verdadeiro problema dos SOC orientados à tecnologia, argumentou, é que criam uma falsa sensação de controlo que só se desfaz precisamente quando o controlo é mais necessário.

O segundo SOC da história inverte completamente a lógica. Não se limita a detetar; antecipa, classifica, escala com critério. A diferença não está nas ferramentas, que são as mesmas em ambos os casos. Está no processo que as governa: papéis claramente definidos, playbooks estruturados por tipo de incidente, classificação consistente e uma cadeia de escalada que funciona às 3h da manhã sem depender da disponibilidade ou boa vontade de alguém. “Um alerta por si só pode multiplicar-se em mil alertas. Será que estes mil alertas se vão traduzir num incidente? Vou ligar mil vezes durante a noite? Ou vou olhar para isto com critério e transformar aqueles mil alertas num incidente efetivo?”, questionou Edgar Coutinho.

Processo antes da tecnologia

A conclusão foi direta, sem margem para interpretação. “Os incidentes não são problemas técnicos, são problemas de decisão, motivados por falhas no processo e por falhas no contexto”. Para os CISO presentes, a implicação prática é de que, antes de aprovar mais orçamento em ferramentas, é necessário definir o processo de resposta a incidentes, os papéis internos, os critérios de classificação e a articulação com o fornecedor de SOC. A tecnologia segue o processo, nunca o substitui.

Edgar Coutinho apresentou o modelo de SOC da Logicalis estruturado em três camadas – base, XDR e CTI –, com referências a frameworks como o RFC2350 e orientações da ENISA e do Centro Nacional de Cibersegurança como pilares de uma resposta estruturada. Mas a mensagem central era estrutural: um SOC sem processo é, nas suas palavras, “meramente uma fábrica de alertas”. E uma fábrica de alertas, por muito sofisticada que seja, não protege ninguém.