Las 6 funciones clave de un SOC para garantizar tu seguridad

De forma general un SOC, o Centro de Operaciones de Seguridad, cumple con tres funciones: monitoreo, respuesta a incidentes y entrega de analíticas. Sin embargo, para poder combatir amenazas avanzadas, se requiere de la implementación de un Centro basado en inteligencia, es decir, las operaciones deben garantizar su adaptabilidad ante los desafíos de amenazas cada vez más persistentes, complejas y direccionadas. Sin importar si tu servicio de SOC es interno o está tercerizado —como el SOC que provee Nordstern—, es necesario que cada Centro de Seguridad cuente con seis funciones clave que lo mantendrán a la vanguardia de las amenazas más complejas, a partir de herramientas de análisis, detección y remediación robustas.

Implementando herramientas de análisis de tráfico de redes y EDRs, los SOC generan flujos de trabajo automatizados que pueden abarcar labores de detección, investigación y respuesta a incidentes. Esta visibilidad, pareada con las herramientas de detección y reacción en los puntos finales de tu red, aseguran la observación de amenazas de alto riesgo y permite tomar decisiones y medidas oportunas. La automatización de muchas de estas tareas permite delegar cargas de trabajo y hacer el trabajo mucho más eficiente.

La superficie de ataque se ha ampliado con el alza de las operaciones remotas. Tus conexiones, solicitudes y tráfico ya no se encuentran centralizados, sino que vienen de muchos puntos, cada uno con un ecosistema particular de vulnerabilidades: desde los equipos desde los cuales acceden tus usuarios, hasta el tipo de redes que utilizan para conectarse a internet. Dada las tendencias a cada vez ejecutar ataques más complejos, el hecho de reaccionar ante un incidente ya no es suficiente, por ello los equipos de Seguridad de TI deben adaptarse constantemente para segurar la protección de la red. Así, las dinámicas de inteligencia proactiva —es decir, basadas en motores de inteligencia y cacería de amenazas (incluso amenazas persistentes)—, proporciona a los SOC las capacidades para detectar y priorizar alertas con el fin de responder de la forma más eficiente.

Lejos está ya aquel momento donde la preocupación más grande de una red de TI eran los virus que ralentizaban operaciones y consumían recursos de red. Esas amenazas, aunque aún existentes, ya son menores, dado que los criminales buscan aquellas acciones que les implicarán mayor remuneración. Es decir, las amenazas complejas están pensadas para pasar desapercibidas y atacar objetivos específicos, generando daños sustanciales. Un SOC debe proveer la capacidad de monitoreo para evitar la entrada de este tipo de amenazas y, en caso de ya haber sido atacados, debe contar con las herramientas necesarias para asegurar la erradicación total del código malicioso, por más persistente que éste sea. Así mismo, los equipos del Centro deben estar capacitados y al tanto de las tendencias de espionaje industrial y de ciberataques a las cuales la organización puede enfrentarse.

La base funcional de los SOC es la inteligencia y, de este modo, debe fungir como una fuente de conocimientos la cual permita a todos los equipos que conforman la organización el poder navegar entre toda la información que la conforma. Así mismo, debe establecer medidas prioritarias para identificar y atender aspectos clave. Es por ello que contar con el personal adecuado y especializado es todo un reto que implica una capacitación y actualización constante.

Ésta es sin duda una de las capacidades más fundamentales de una operación de SOC:

debe permitir la reanudación de los servicios de la empresa de forma eficaz, veloz, efectiva y sin mayores pérdidas.

El tiempo es un factor fundamental en todas las operaciones de Ciberseguridad: desde el instante en que una amenaza entra a una red y es detectada hasta que se remedia por completo. Los equipos de SOC deben tener la capacidad de responder de forma rápida y precisa, lo cual es todo un desafío, pues las amenazas evolucionan minuto a minuto y muchas veces, por más preparados que estén tus analistas, se pueden ver superados por amenazas avanzadas. Es por ello que también se debe invertir en herramientas que permitan escalar y en algunos casos tercerizar labores de remediación.

Una de las grandes preguntas en Ciberseguridad es cómo saber o cómo determinar que algo aparentemente seguro es realmente seguro. Esto se extiende a las labores operativas pues, de primera instancia se puede partir de la pregunta: ¿cómo saber si mi infraestructura está segura? y, posteriormente, ¿cómo saber si mi infraestructura ya está segura tras haber sufrido un ataque? Estas dos situaciones competen tanto al SOC como al equipo de TI, sin embargo, es aquí donde los analistas del centro de operaciones ponen en práctica su especialidad, bajo un precepto fundamental:

No existe una infraestructura de TI igual a otra.

Con esto en mente, se actúa sabiendo que las ciberamenazas dirigidas están diseñadas para aprovechar vulnerabilidades clave de cada organización. La forma más efectiva para operar y resolver estas cuestiones fundamentales radican en un aspecto que es contrariante para muchos, pues evidencia fallas: acciones de penetración y Red Teaming, de las cuales se obtiene información sumamente valiosa y se ponen a prueba, de forma controlada, las capacidades de defensa de la organización y sus equipos.

Nordstern Technologies cuenta con una amplia experiencia en los servicios de seguridad administrada: por más de 15 años hemos trabajado de la mano con nuestros clientes para resolver sus necesidades de infraestructura de seguridad de TI a través de herramientas de inteligencia y orquestación de servicios. Por otro lado, contamos con la Certificación CERT, de Carnegie Mellon, somos un centro de respuesta a incidentes de Ciberseguridad avalado por Kaspersky y nos respaldan las certificaciones ISO 9001, ISO 27001, ISO 20000 e ISO 37001, que permean toda nuestra infraestructura organizacional.

La labor de nuestro SOC, como Centro de Operaciones tercerizado, se enfoca en brindarle a tu empresa las herramientas más robustas disponibles en el mercado, de acuerdo a las necesidades de tu negocio, de la mano con especialistas que vigilarán y podrán actuar de manera efectiva ante los incidentes que amenacen tu infraestructura crítica. Contáctanos en el formulario que encontrarás bajo esta publicación y comienza a invertir en el activo más importante que tienes: tu seguridad.