Ante la inminente digitalización, las empresas han aprendido poco a poco, a protegerse de forma más robusta y eficiente; sin embargo, —y en paralelo a ello—, los cibercriminales han desarrollado técnicas sumamente sofisticadas para penetrar y vulnerar las barreras de seguridad implantadas por los equipos de TI. En este contexto, equiparable a una carrera armamentista digital, muchas organizaciones han incorporado un servicio de SOC para combatir los problemas de seguridad emergentes de forma decisiva y eficaz. Y aunque un Centro de Operaciones de Seguridad establece funciones centralizadas para el monitoreo continuo y el análisis contra amenazas, dado el aumento de volumen y severidad de las amenazas actuales, un equipo de monitoreo y respuesta es solo una pequeña parte para garantizar la seguridad de tus activos. Sin la capacidad de adaptarse de forma continua y proactiva ante los cambios en el panorama de amenazas globales, la efectividad de un SOC puede verse comprometida. De acuerdo al modelo de Arquitectura de Seguridad Adaptativa generado por Gartner, si un SOC no es capaz de predecir, prevenir, detectar y responder de forma efectiva a las amenazas, la organización no podrá combatir de forma eficaz la actividad cibercriminal en su red.
Limitantes para un SOC
Al observar de manera cercana a aquellas empresas que han decidido implantar su propio SOC, se pueden detallar los problemas que impiden que funcione de manera efectiva. En este sentido, se encontró lo siguiente:
En un 62 % de las empresas encuestadas, se encontró que muchos problemas surgen por falta de personal calificado para realizar las operaciones. Ante los recortes de personal y de inversión en seguridad de TI, los equipos de SOC requieren de especialistas altamente calificados y experimentados en análisis de malware, análisis forense digital y respuesta a incidentes. Ellos podrán identificar y extraer datos valiosos del flujo de información provisto por el sistema del SIEM (Security Information and Event Managment), establecer reglas y enriquecer los hallazgos a partir del contexto y el análisis.
Se encontró que en un 53 % existe una carencia de orquestación y automatización de sus servicios, lo que se traduce en ineficiencia en las respuestas. Otra situación que reduce la efectividad de un SOC es la falta de automatización. Dado que muchas operaciones de análisis implican acciones necesarias pero rutinarias, éstas pueden automatizarse, con el fin de optimizar el tiempo y darle la capacidad a los analistas de enfocar su atención a los incidentes verdaderamente complejos.
Un 48 % del SOC en muchas organizaciones maneja una amplia variedad de herramientas que no se encuentran integradas. La implementación de herramientas que no se integren entre sí obliga a los analistas a ir entre un sistema y otro, lo que multiplica las posibilidades de errores. Al introducir al SOC herramientas adicionales de automatización y protección es necesario observar la forma en que éstas se integran con las soluciones ya existentes, con el fin de evitar problemas.
Algo fundamental para un SOC es la visibilidad, pues el Centro opera a partir de una observación completa y compleja de la organización. A este respecto, un 42 % de las organizaciones analizadas carecían de esto. Al interior de un SOC se maneja una cantidad impensable de información por lo que, en muchas ocasiones, deciden sólo observar el flujo de datos de algunas partes clave, por ejemplo, las terminales no suelen ser usadas como recursos de información dada la dificultad que implica acceder a cada uno de los dispositivos, sobre todo de forma remota; sin embargo, los dispositivos a nivel de usuario son el blanco más fácil para ataques y, por lo tanto, el vector más explotable dentro de la red de una organización.
En muchas (un 32 %) se encontró que existían una cantidad de alertas mucho mayor a las capacidades de respuesta, investigación y acción que los especialistas podían proveer, así como una falta de contexto (en un 19 %) de aquello que se estaba viendo. Las herramientas de seguridad integradas al sistema del SIEM generan un flujo de alertas que deben ser observadas día con día; sin embargo, dada la cantidad de notificaciones que surgen, muchos de estos avisos no son atendidos. Al mismo tiempo, también suele existir una alta incidencia de falsos positivos, por lo que encontrar verdaderas amenazas entre tanta información es todo un reto. Por otro lado, tampoco ayuda el tener un bajo entendimiento sobre las motivaciones y procesos que siguieron los atacantes al momento de explotar una vulnerabilidad dada, lo que puede evitar el seguir o conformar un plan de acción definido. Sin contexto e información clara sobre el acontecimiento, los analistas proceden a ciegas.
SOC as a Service
Como servicio de seguridad administrada, el NSOC de Nordstern está avalado por las normas ISO 20000, 27002 y 9001 y conformado por analistas especializados en seguridad de redes y respuesta a incidentes. Enfocados en automatización de procesos e implementando esquemas de monitoreo proactivo, nuestra meta es darte visibilidad de los eventos de seguridad dentro de la red de tu organización. Conocemos los riesgos que implican las operaciones actuales, con el surgimiento de malware complejo, así como de las vulnerabilidades presentes en los esquemas de funcionamiento remoto. Queremos ayudar a que tu operación sea lo más efectiva posible. Las ventajas de nuestra oferta as a Service radican en su optimización de tiempos de implementación, disponibilidad inmediata y en tiempo real, así como en una reducción en los costos operativos.
Dale la bienvenida a la nueva normalidad y contacta a uno de nuestros expertos, para garantizar, a ti y a tus colaboradores, la paz mental que necesitan para enfocarse en lo más importante: hacer a tu negocio crecer.
Fuente