¿Qué es un centro de operaciones de seguridad?
Los usuarios se vuelven cada día más mobile y las redes están migrando a la nube. La tendencia exige a las empresas controles de seguridad capaces de proteger sus recursos ante ataques cibernéticos, como malware, ransomware y phishing, entre otros.
Tales controles deben ser capaces de anticipar, prevenir, detectar y reaccionar mejor ante las amenazas, con el objetivo de asegurar la información. Claramente, son muchos factores a considerar para alcanzar una gestión óptima en materia de prevención y respuesta a ataques de la información. Es por eso que las empresas están adoptando el Centro de Operaciones de Seguridad o Security Operations Center SOC.
Un SOC es una función centralizada que emplea personas, procesos y tecnología para monitorear y mejorar continuamente la postura de seguridad de una organización. A la vez, previene, detecta, analiza y responde a incidentes de ciberseguridad.
Blinda tu información con Security Operations Center (SOC)
El objetivo de un SOC es detectar, analizar y corregir incidentes de ciberseguridad. Para eso utiliza soluciones tecnológicas y enfoques diferentes, tomando medidas para abordarlos de la forma más rápida y eficaz posible. Además, debe garantizar que los posibles incidentes de seguridad se identifiquen, analicen, defiendan, investiguen e informen adecuadamente.
El SOC está conformado por un equipo de seguridad que supervisa el tráfico de red de fuentes internas y externas. También gestiona el mantenimiento y actualización de la infraestructura tecnológica de una organización. Se trata de un equipo de expertos en seguridad de la información que se encuentra operativo las 24 horas, los 7 días de la semana.
Por supuesto, también se requiere de una importante base tecnológica que permita dicha supervisión y la administración de la seguridad. Entre las herramientas de recogida, correlación de eventos e intervención remota se destaca la gestión de eventos e información de seguridad SIEM (Security Information Event Management).
SIEM es una solución de seguridad que ayuda a las empresas a reconocer y remediar posibles amenazas antes de que perturben su actividad. Estos sistemas ayudan a los equipos SOC a detectar comportamientos anómalos de los usuarios. Además, usan inteligencia artificial para automatizar la detección de amenazas y la respuesta a incidentes.
El SOC monitorea y protege diversos activos de una empresa, incluida la propiedad intelectual, datos personales, sistemas comerciales y la integridad de la marca. Por lo tanto, el equipo de SOC también se encarga de definir la estrategia general de ciberseguridad y coordinar esfuerzos para implementarla.
Funciones de un SOC
Podemos pensar las funciones de un SOC en tres grandes grupos. Por un lado, el equipo debe conocer a fondo las herramientas y procesos disponibles, probarlos y actualizarlos. Por supuesto, será clave el continuo monitoreo y actividades de prevención. Finalmente, debe estar preparados para los incidentes, su abordaje y recuperación.
Preparación, planificación y prevención
Un SOC necesita mantener un inventario de todos los activos que necesitan protegerse, dentro o fuera del centro de datos. Por ejemplo, aplicaciones, bases de datos, servidores, servicios en la nube, puntos finales, software as a service, etc. A partir de este relevamiento, es posible realizar un mantenimiento con medidas preventivas, como la aplicación de parches y actualizaciones de software y herramientas de protección. Esto es de gran relevancia para maximizar la eficacia de las herramientas y medidas de seguridad implementadas, el SOC.
Las pruebas periódicas son otra instancia clave para sostener la robustez de los diferentes niveles de defensa. Las mismas evalúan la debilidad de cada recurso frente a amenazas potenciales y los costos asociados. En función de los resultados obtenidos, el equipo de SOC repara o ajusta las aplicaciones, políticas de seguridad, prácticas y planes de respuesta a incidentes.
Asimismo, el SOC debe mantenerse actualizado sobre las últimas soluciones y tecnologías de seguridad, como así también sobre la inteligencia de amenazas más reciente. Conviene estar al tanto de las noticias e información sobre ataques cibernéticos y los piratas informáticos que los perpetran. Los especialistas revisan las redes sociales, consultan fuentes de la industria y estan atentos a la dark web.
Monitoreo, detección y respuesta
Para muchos SOC la tecnología central se basa en la gestión de eventos e información de seguridad SIEM, como ya explicamos al inicio. SIEM tiene la capacidad para monitorear, agrega alertas y telemetría en la red en tiempo real, para luego analizar los datos e identificar posibles amenazas.
Más recientemente, algunos SOC también adoptaron la tecnología de Detección y Respuesta Extendida (XDR). Esta herramienta brinda telemetría y monitoreo más detallados, con la capacidad de automatizar la detección y respuesta a incidentes.
Para una adecuada detección gestión, el equipo SOC separa las señales de ciberamenazas reales de las distracciones de los hackers para obtener un falso positivo. Luego se clasifica las amenazas por gravedad. Las soluciones modernas de SIEM incluyen inteligencia artificial para automatizar estos procesos y aprender de los datos.
En respuesta a incidentes el SOC actúa para limitar el daño. Las acciones pueden incluir:
- Investigar la causa raíz para determinar las vulnerabilidades técnicas que dieron acceso a los piratas informáticos al sistema.
- Cerrar puntos finales comprometidos o desconectarlos de la red.
- Aislar de áreas comprometidas de la red o redireccionar el tráfico.
- Pausar o detener aplicaciones o procesos comprometidos.
- Eliminar archivos dañados o infectados.
- Ejecutar software antivirus o antimalware.
- Desactivar contraseñas para usuarios internos y externos.
Recuperación, refinamiento y cumplimiento
Una vez contenido un incidente, el SOC trabaja para que los activos afectados recuperen su estado anterior. En caso de una violación de datos o un ataque de ransomware, puede ser necesario cortar sistemas de respaldo o restablecer contraseñas y credenciales de autenticación.
Para evitar que se repita se usará información del incidente para optimizar la gestión. Esto incluye abordar mejor las vulnerabilidades, actualizar procesos y políticas, elegir nuevas herramientas de ciberseguridad o revisar el plan de respuesta a incidentes.
En un nivel superior, el equipo SOC tratará de determinar si el incidente revela una nueva tendencia de seguridad la cual sea necesario prepararse.