Las organizaciones han encontrado diferentes formas de proteger eficazmente su infraestructura contra ciberataques. Algunas prácticas de ciberseguridad estándar involucran firewalls, software antimalware y herramientas de seguridad para terminales, pero muchas de estas técnicas de uso común simplemente no son suficientes para hacerlo invulnerable. De todos modos, no en el panorama actual de amenazas.
Los vectores , herramientas y técnicas de ataque están en constante evolución. Y debido a que las prácticas de seguridad estándar han existido durante mucho tiempo, los crackers han existido por el mismo tiempo y han descubierto cómo eludir esas defensas. Cualquier amenaza desconocida o de día cero de la que tus defensas no puedan protegerte puede llevar a que actores malintencionados entren en tu red.
Pero sigue siendo importante mantener estas defensas establecidas en su lugar y estar realmente al tanto de la actividad maliciosa dentro de tu red. Es necesario una monitorización y detección constante de amenazas externas, así como protocolos de respuesta a incidentes adecuados para prepararse, detectar, contener y recuperarse de una violación de datos.
Una estrategia eficaz a la que han recurrido muchas organizaciones es la implementación de un centro de operaciones de seguridad, o SOC.
En esta publicación te contamos qué es un SOC, tipos, procesos y mejores prácticas.
Indice
Definición de SOC
Un centro de operaciones de seguridad, o SOC para abreviar, es una amalgama centralizada de personas, procesos y tecnología que trabajan para proteger los sistemas y redes de una organización a través de la monitorización, detección, prevención y análisis continuos de las amenazas cibernéticas.
Los equipos SOC suelen estar formados por:
- Gerentes de SOC: supervisan y administran el equipo, crean procesos y medidas; y evaluan la respuesta a incidentes y el aseguramiento de la calidad, las soluciones de seguridad presupuestarias y más.
- Analistas de seguridad: detectan y analizan amenazas y responden a ellas rápidamente. A menudo trabajan para implementar medidas de seguridad según las instrucciones de la gerencia.
- Ingenieros de seguridad, cuya función es manejar las soluciones y herramientas de seguridad que se utilizan: las mantienen, encuentran nuevas herramientas y crean y mantienen la arquitectura y los sistemas de seguridad.
Hay otros roles que puede tener un SOC, dependiendo del tamaño de la organización. A veces, asumen algunas de las responsabilidades a cargo de los tres roles mencionados anteriormente y se especializan en ellas para lograr una mayor productividad. Pueden centrarse en ser el respondedor de incidentes, el cazador de amenazas, el director de inteligencia de amenazas, el investigador forense digital, el auditor de cumplimiento, etc.
Los SOC analizan toda la actividad del sistema. Al detectar amenazas a través de un conjunto de procesos, herramientas y soluciones tecnológicas, pueden descubrir y responder rápidamente a cualquier amenaza y / o ataque.
Un equipo de ciberseguridad humano y técnicamente competente es esencial. A pesar de la sofisticación de las herramientas y tecnologías automatizadas que se utilizan para proteger una organización contra todo tipo de ciberdelito, el hecho de que los seres humanos supervisen toda la actividad (redes, servidores, bases de datos, aplicaciones, sitios web, dispositivos terminales y más) agrega una capa crítica de seguridad a la defensas de las organizaciones.
Otras soluciones de seguridad utilizadas por los equipos de SOC son:
- Cortafuegos
- Sistemas de detección de intrusos (IDS)
- Gestión de eventos e información de seguridad (SIEM)
- Detección y respuesta de endpoints (EDR)
- Escáneres de vulnerabilidades
- Herramientas de sandboxing
- Herramientas de automatización
- Feeds de inteligencia de amenazas
- Herramientas de interpretación y respuesta
Aunque a menudo vemos a los equipos de SOC retratados como un grupo de personas en habitaciones grandes y oscuras, con numerosos monitores que muestran códigos y mapas de ruta abstractos y llamativos, la verdad es mucho menos glamurosa o llamativa.
Los centros de operaciones de seguridad pueden estar formados por unas pocas personas, o incluso un solo analista, que no utilizan más de 10 herramientas de seguridad. Por otro lado, las organizaciones más grandes pueden tener un equipo que trabaja en turnos proporcionando una monitorización continua 24/7 y utilizando hasta 100 soluciones en total. Así es, 100, por lo que no es de extrañar que la fatiga por alerta sea un desafío abrumador para muchos equipos SOC.
Beneficios
Los SOC son beneficiosos para las organizaciones de muchas formas. Así es cómo:
- Monitorización continua = protección continua: con la monitorización SOC centralizada y continua, la detección de amenazas potenciales ocurre en tiempo real y es más efectiva.
- Respuesta a incidentes mejorada: la monitorización continua significa menos tiempo desde la detección hasta la respuesta, lo que a veces resulta en una respuesta a incidentes casi instantánea.
- Ver agujas en el pajar: los SOC brindan una descripción general de todas las redes e infraestructura de la organización, y todas las debilidades potenciales que pueden provenir de partes de la superficie de ataque que normalmente no monitorizaría.
- Saber lo que importa: al introducir datos de inteligencia sobre amenazas en sus herramientas de seguridad, los SOC pueden diferenciar entre amenazas reales y no tan reales y, en función de eso, priorizar la estrategia y la respuesta.
- Investigación de incidentes más sencilla: una vez que ocurre un incidente, la investigación puede realizarse rápidamente gracias a la información detallada sobre los datos de seguridad que proporciona un SOC a diario.
- Costes reducidos: a largo plazo, es más asequible emplear un equipo de expertos, lo que te brinda un control total de tus sistemas y redes. Esto reducirá la gravedad de las filtraciones de datos, así como el importe de los costes de las filtraciones de datos.
Los centros de operaciones de seguridad pueden tener muchas variables que los agrupan en diferentes categorías, y su arquitectura puede variar, pero existe una distinción principal entre dos tipos de SOC, así como un compromiso que puede satisfacer las necesidades de algunas organizaciones.
Tipos
Como ya hemos aprendido, un centro de operaciones de seguridad es un equipo de expertos en ciberseguridad que participan en todas las etapas de la monitorización de amenazas, descubrimiento, respuesta a incidentes e inteligencia de amenazas, utilizando diferentes herramientas y soluciones para esos propósitos.
A menudo se los imagina como una instalación centralizada dentro de una organización, con un complemento completo de monitores, un gran equipo siempre vigilando y manteniendo la postura de seguridad de la organización.
Pero si bien un SOC puede ser un equipo interno de expertos, también puede consistir en un equipo externo subcontratado. Incluso puede ser un modelo híbrido, con ciertas prácticas y actividades de seguridad realizadas internamente y otras subcontratadas.
Examinemos sus principales diferencias desde un punto de vista estratégico, para ayudarte a decidir cuál sería más beneficioso para tu organización.
Interno
Muchas organizaciones prefieren mantener su equipo de operaciones de seguridad internamente. Es probable que esto se deba a que las organizaciones simplemente no se sienten cómodas confiando sus datos más importantes, y la estabilidad de su red, sistemas y servicios, a manos de equipos o entidades de terceros.
La ventaja de tener un SOC interno es que el equipo dedicado de empleados ya está familiarizado e invertido. Tienen una mayor responsabilidad ante la organización, sus datos y sus sistemas, y están más interesados en mantenerlo todo seguro. Esto significa que también están más en sintonía con sus desafíos y debilidades.
Cuando se trata de procesos que requieren una comprensión más profunda de los sistemas internos, como la administración de seguridad, la ingeniería de seguridad, la respuesta a incidentes y la remediación, se realizan casi exclusivamente internamente.
Como parte de la organización, un equipo de SOC ha establecido medios de comunicación con otros departamentos. Por tanto, en caso de ataque, la comunicación y correlación de datos es mucho más rápida.
Todos los datos relacionados con la actividad, la inteligencia de amenazas y los registros de eventos se almacenan allí mismo dentro de la organización, lo que significa un mejor control sobre los activos de uno y disminuye el potencial de pérdida de datos. La organización también tiene a su disposición el beneficio de eludir las soluciones, herramientas y estrategias de seguridad de “talla única”, habiéndolas personalizado para que se adapten a su propia arquitectura.
Pero, como todo, no hay blanco ni negro. No existe una fórmula universal perfecta para crear un centro de operaciones de seguridad; diferentes estructuras organizativas requieren diferentes SOC.
Inconvenientes
Si bien la responsabilidad, la familiaridad y un mayor sentimiento de confianza son beneficios importantes de tener un equipo interno, existen algunas desventajas.
Si deseas construir algo desde cero, como su propio equipo de operaciones de seguridad interna, debes prepararte para pagar un coste más alto. Contratar un equipo dedicado de expertos en seguridad puede llevar tiempo y dinero. Incluso si deseas formar un equipo de empleados existentes, eso significaría una persona menos en diferentes departamentos y una persona más para contratar en su lugar. Esto es especialmente cierto si no tienes la estructura para soportar menos personal.
Esos empleados también tendrían que estar capacitados para sus nuevos roles. Aprender y mantener las nuevas habilidades necesarias para ciertas tecnologías y procesos requiere mucho tiempo y un presupuesto sustancial.
Además, si hay un gran volumen de herramientas y soluciones de seguridad heterogéneas que se utilizan en un SOC interno, rara vez se integran juntas. Esto puede hacer que cualquier acción o actividad sea más larga y complicada.
Externo
Los centros de operaciones de seguridad externos o subcontratados son aquellos en los que algunos o todos los procesos de seguridad de una organización son realizados por un tercero.
Como los SOC internos generalmente manejan más procesos que requieren modificaciones operativas en los sistemas internos, es más probable que las actividades impulsadas por fuerzas externas y enfocadas en el exterior estén en manos de un tercero. Estas actividades incluyen pruebas de penetración, investigación y análisis de amenazas, análisis forense digital y equipos rojos.
Una ventaja de tener un SOC total o parcialmente externo es que se salta la fase de contratación y capacitación y obtiene acceso inmediato a la experiencia que no necesita un tiempo de implementación prolongado. Estos equipos también mantienen herramientas y soluciones de seguridad integradas y administradas, y están bien versados en su uso, lo que agiliza aún más el cronograma de implementación.
Al ser experimentados y altamente especializados, los equipos de SOC externos también son más escalables. Son los que generalmente brindan monitorización las 24 horas del día, los 7 días de la semana, pueden seguir el panorama de amenazas e innovar al mismo ritmo que los atacantes para realizar servicios de inteligencia de amenazas.
Todos estos beneficios se unen para la ventaja citada con más frecuencia de tener un SOC externo: coste reducido.
Inconvenientes
Pero tampoco podemos olvidarnos de los desafíos que conllevan los equipos subcontratados.
Aunque son un equipo de expertos en sus campos, no poseen el mismo nivel de conocimiento de las infraestructuras internas, las peculiaridades, los problemas y los procesos comerciales de una organización que un equipo interno dedicado.
Y ahora, un factor realmente importante: la confianza que se les otorga cuando se trata de la seguridad de una organización. No solo se subcontrata el equipo, todos los datos que se almacenan y analizan también se subcontratan, lo que lleva a la expansión de la superficie de ataque de la organización.
Si bien los SOC internos siguen las medidas y procedimientos de seguridad establecidos como algo dado, tener «externos» que manejen sus datos e infraestructura siempre es un poco arriesgado.
Procesos SOC
Ahora que estamos bastante familiarizados con los procedimientos de seguridad, las actividades y los tipos de soluciones de seguridad que emplea un equipo de SOC, exploremos sus procedimientos y cómo atraviesan un ciclo completo de protección contra las amenazas cibernéticas.
Monitorización y detección
Esta es la primera línea de defensa. Aquí, los analistas observan e identifican las alertas que son detectadas por los dispositivos de seguridad o informadas desde fuentes externas, las priorizan en función de su urgencia, luego las investigan, recopilan informes y administran todas las herramientas de seguridad necesarias para la acción.
Algunos desafíos siempre deben abordarse para que esta etapa del proceso SOC sea efectiva. Estos incluyen decidir cuál es la mejor manera de procesar el volumen de alertas y determinar qué alertas son reales y cuáles son falsos positivos. La respuesta a menudo radica en automatizar la verificación de amenazas con herramientas que pueden silenciar el ruido para ayudar a diferenciar entre los dos.
Respuesta al incidente
En este nivel, los equipos de respuesta a incidentes se enfrentan a amenazas reales, las analizan más a fondo y evalúan el incidente de seguridad para decidir la estrategia más eficaz para eliminar el ataque y recuperarse del mismo.
Realizan análisis del alcance del ataque y la causa raíz, desarrollan estrategias de corrección de ataques e identifican y desarrollan la automatización del flujo de trabajo para reducir el tiempo de respuesta, entre otras actividades.
En el último paso de este proceso, todos los datos recopilados proporcionan al equipo información sobre cómo ajustar y mejorar su plan de respuesta a incidentes.
Inteligencia de amenazas
En este punto, los analistas aplican su conocimiento para buscar activamente vulnerabilidades en la red y buscar amenazas, recopilar datos de inteligencia cibernética y mejorar los sistemas y estrategias de SOC existentes. Todo esto es para informar la postura de seguridad de una organización mediante el desarrollo de mitigaciones y contramedidas, o incluso para frustrar la amenaza.
Es aquí donde encontrarás funciones más especializadas, como investigadores forenses digitales y auditores de cumplimiento que utilizan herramientas y soluciones avanzadas de detección de amenazas. También analizan numerosas fuentes de inteligencia de amenazas y las incorporan a sus soluciones de seguridad ya existentes, para obtener una inteligencia de amenazas cibernéticas que sea relevante, puntual y procesable.
Seguro de calidad
Esta etapa está reservada para la gerencia y los CISO que supervisan toda la actividad del SOC y llevan a cabo la contratación y la capacitación. También evalúan los informes de incidentes, miden el rendimiento y se aseguran de que se cumplan las estrategias y los cumplimientos, informando además sobre todas las operaciones a los ejecutivos de alto nivel.
Mejores prácticas del centro de operaciones de seguridad
Los centros de operaciones de seguridad pueden verse abrumados. Con alertas generadas por numerosas herramientas de seguridad y la mayoría de ellos falsos positivos, los analistas pueden perder el tiempo buscando amenazas falsas y las reales pueden ser ignoradas.
Este escenario es completamente posible y es uno de los problemas relacionados con el SOC que se puede esperar en el futuro, por lo que es importante seguir las mejores prácticas para ejecutar un centro de operaciones de seguridad que realmente mantendrá a tu organización preparada para las amenazas:
- Automatización: para analizar amenazas e incidentes de seguridad más reales, la automatización del proceso de SOC reducirá la cantidad de alertas que los analistas deben abordar. Esto les da la oportunidad de dedicar más tiempo a investigar problemas reales en lugar de analizar falsos positivos.
- Estrategia: es importante establecer una estrategia claramente definida para tu SOC. Necesitas saber qué tipo de SOC necesitas, evaluar tus datos y más, todo para diseñar una estrategia completa para mantener tu perímetro seguro.
- Inteligencia de amenazas: los datos de inteligencia de amenazas deben mantenerse constantemente actualizados, ya que respaldan directamente los procesos de respuesta a incidentes. Esa información se recopila tanto internamente como de diferentes fuentes externas, como OSINT, fuentes de inteligencia de amenazas, fuentes de noticias y más.
- No perder ningún activo: no podemos poner suficiente énfasis en conocer todos los activos que componen la infraestructura de la organización. Esto te permite saber exactamente lo que estás defendiendo. Investiga todos los puntos débiles para detener las amenazas antes de que se conviertan en ataques reales.
Conclusión
La conclusión es que todas las organizaciones se esfuerzan por proteger su infraestructura contra las amenazas modernas y disminuir la probabilidad de violaciones de datos, pero las estructuras, estrategias y entidades de seguridad no son «iguales para todos». Los centros de operaciones de seguridad se encuentran entre las mejores medidas de detección y prevención de amenazas que puede tomar una organización.
Una vez que se pensó que solo era adecuada para grandes organizaciones y empresas, esta idea ha sido refutada una y otra vez por la efectividad de los SOC con una arquitectura híbrida, que admiten organizaciones pequeñas y medianas.
La solución adecuada para ti depende completamente de tus necesidades y estructura de seguridad.