¿Quién necesita un centro de operaciones de seguridad (SOC)?
Independientemente del tamaño o el propósito de una empresa, es valioso contar con un equipo dedicado a nivel organizativo cuyo trabajo es supervisar constantemente las operaciones e incidentes de seguridad y responder a cualquier problema que pueda surgir. Las diversas responsabilidades dentro de un equipo de ciberseguridad pueden ser extremadamente complejas, y un SOC no sólo puede servir como la consola táctica para capacitar a los miembros del equipo en el desempeño de sus tareas diarias, sino también como un centro estratégico para mantener al equipo al tanto de las tendencias de seguridad más grandes y a largo plazo.
Un típico centro de operaciones de seguridad rastrea cualquier número de alertas de seguridad que una organización pueda encontrar, incluyendo las notificaciones de amenazas potenciales a través de tecnologías y herramientas, así como los empleados, socios y fuentes externas. A partir de ahí, el SOC investiga y valida la amenaza notificada para asegurarse de que no es un falso positivo (es decir, una amenaza notificada que en realidad es inofensiva). Si se considera que el incidente de seguridad es válido y requiere una respuesta, el SOC lo entrega a las personas o equipos apropiados para su respuesta y recuperación.
Se necesita una sofisticada combinación de conocimientos, procesos y organización para gestionar eficazmente un centro de operaciones de seguridad como parte de un programa general de detección y respuesta a incidentes. Por eso, es posible que todas las organizaciones no puedan apoyar o dotar de recursos a un SOC interno. En su lugar, muchas optan por tener su SOC gestionado por una agencia externa o incluso completamente externalizado.
Colocación de las bases
Hay una serie de componentes de apoyo que deben estar en su lugar antes de que un SOC sea una opción viable para una organización. El primero es tener un buen programa de gestión de la superficie de ataque. Esto incluye tecnología de prevención de amenazas para todas las vías de entrada y salida de amenazas, escaneo regular de vulnerabilidades (y parches asociados), pruebas de penetración, autenticación y autorización de usuarios, gestión de activos, pruebas de aplicaciones externas (con parches asociados) y gestión de acceso remoto.
El siguiente es tener un plan de respuesta a incidentes. Normalmente, uno de los principales objetivos de introducir un SOC en un programa de IDR es aumentar la eficacia de la detección de amenazas en el entorno de la organización. Si los procesos de respuesta a incidentes que siguen al descubrimiento de una brecha no están en marcha y se prueban con regularidad, sólo se están abordando algunos componentes de un programa de IDR eficaz.
Por último, es importante contar con un plan de recuperación de desastres. Una violación es simplemente un ejemplo específico de un desastre del que las organizaciones necesitan recuperarse. Una vez que la brecha detectada ha sido completamente alcanzada y los activos, aplicaciones y usuarios afectados han sido contenidos, es necesario que exista un plan para restaurar los procesos operativos normales del negocio. Esto es la recuperación de desastres.
Cómo empezar
Dada la complejidad inherente de un centro de operaciones de seguridad, hay muchas cosas que hay que tener en cuenta a la hora de crear uno. Independientemente de si se crea en la empresa o se subcontrata, preparar los tres elementos siguientes es esencial para el éxito del SOC:
- Personas: Comprender las funciones y responsabilidades de los analistas del SOC es un precursor importante para seleccionar la tecnología que hará funcionar su SOC. Los equipos que cree y las tareas que les asigne dependerán de la estructura existente en su organización. Por ejemplo, si está creando un SOC para aumentar las capacidades existentes de detección y respuesta a las amenazas, querrá considerar de qué tareas específicas son responsables los miembros del equipo del SOC y cuáles recaen en los equipos de IDR no pertenecientes al SOC. También querrá dividir las responsabilidades entre los analistas del SOC, para que se sepa claramente quién se encarga de las alertas de alta fidelidad, quién valida las alertas de baja fidelidad, quién escala las alertas, quién busca amenazas desconocidas, etc. Muchos centros de operaciones de seguridad funcionan con un marco de trabajo escalonado para el personal que ayuda a establecer responsabilidades y jerarquías claras.
- Tecnología: Decidir qué tecnología utiliza el SOC es donde el tiempo dedicado a establecer las funciones y responsabilidades mencionadas anteriormente dará sus frutos. Qué tecnología van a utilizar? Probablemente, necesitarán combinar herramientas para la agregación de registros, el análisis del comportamiento de los usuarios, la interrogación de puntos finales, la búsqueda en tiempo real, etc. Será importante observar cómo los analistas del SOC utilizan su tecnología y determinar si la tecnología existente está ayudando o dificultando los procesos del SOC, y si será necesario sustituirla por una nueva tecnología. Además, será importante contar con herramientas de comunicación que permitan a los analistas colaborar.
- Procesos: Establecer los procesos que seguirán las personas y la tecnología mencionadas anteriormente es el último componente que tendrá que tener en cuenta al comenzar con un SOC. Qué ocurre si un incidente de seguridad debe ser validado, notificado, escalado o transferido a otro equipo? ¿Cómo se recogerán y analizarán las métricas? Estos procesos deben ser lo suficientemente precisos como para garantizar que las pistas de investigación se traten en orden de criticidad, pero lo suficientemente flexibles como para no dictar los procesos de análisis. Los procesos pueden hacer o deshacer la eficacia de un SOC y vale la pena el esfuerzo de hacerlo bien.