Maksim Pasko - Fotolia
Ocho consideraciones para adoptar un SOC híbrido
Muchas empresas están adoptando modelos híbridos en los que subcontratan a proveedores de servicios ya sea algunas o todas las funciones de seguridad de TI.
Equilibrar el costo de las operaciones de seguridad de TI y el riesgo de una brecha de seguridad es uno de los desafíos más difíciles que enfrenta el liderazgo de TI. A los CIOs y los CISOs rara vez se les da las gracias cuando nada malo sucede y, a pesar de hacer sus mejores esfuerzos dentro de un presupuesto limitado, por lo general se les culpa cuando ocurre un incidente de seguridad.
Las empresas modernas pueden generar cientos de millones de eventos de seguridad cada día, y estos eventos deben ser recopilados y analizados sin parar con el fin de detectar ataques reales o pendientes. Convencionalmente, las organizaciones han dotado de personal a los Centros de Operaciones de Seguridad (SOC) y han desplegado tecnología de gestión de eventos y seguridad de la información (SIEM) como piedra angular de sus programas de monitoreo de eventos de seguridad.
Sin embargo, hoy en día muchas empresas avanzadas están adoptando modelos híbridos, en los que algunas o todas estas funciones son subcontratadas a proveedores de servicios.
Algunos de los retos que enfrentan las empresas para construir y operar un SOC incluyen problemas relacionados con el talento y capacidades del personal, la visibilidad de las amenazas, los procesos para realizar investigaciones, los recursos (económicos, de tiempo y de personal) necesarios para poner un SOC en operación, la capacidad de operar 24x7x365, así como temas relacionados con la tecnología a implementar.
Tomando en cuenta estos retos, algunas empresas tal vez prefieran considerar las ventajas de tercerizar sus requerimientos de seguridad de TI a un proveedor de SOC, con los siguientes beneficios:
1. Delegar la contratación y retención de expertos en seguridad
Muchas organizaciones tienen dificultades para atraer y retener a expertos en seguridad cualificados, lo cual causa vacíos en la eficacia de sus operaciones de seguridad. Los expertos en tecnología SIEM son particularmente caros de contratar y retener. Los consultores de SIEM pueden rellenar los vacíos en la contratación, pero tienen una tasa por horas muy alta.
Los expertos en seguridad cibernética encuentran que los proveedores de servicios de seguridad administrada (MSSP) son empleadores atractivos porque ofrecen salarios competitivos, oportunidades para la mejora de habilidades y planes de carrera enfocados en la seguridad. Los proveedores de servicios también pueden localizar sus SOC cerca de las concentraciones de trabajadores de ciberseguridad, una facilidad que es más difícil de hacer para otras organizaciones.
2. Visibilidad de las amenazas
Los ataques cibernéticos están cambiando constantemente a medida que los hackers explotan nuevas vulnerabilidades y crean nuevas variantes de malware. Los proveedores de servicios son, a menudo, los primeros en ver nuevos vectores de ataques y técnicas, ya que su base de clientes abarca organizaciones en muchas industrias y lugares diferentes. En comparación con las empresas individuales, los usuarios de un servicio de seguridad administrada también pueden beneficiarse de más fuentes de información de inteligencia de amenazas de terceros y análisis avanzados de correlación entre datos de inteligencia de amenazas y otros comportamientos sospechosos. En general, la mejora de la visibilidad de las amenazas aumenta la posibilidad de detectar y prevenir una brecha cibernética.
3. Vigilancia 24x7
Los ataques cibernéticos avanzados se originan frecuentemente en Europa Oriental, China y otros países que funcionan fuera de las horas normales de oficina de Estados Unidos. Solo bloquear el tráfico hacia o desde un país como Rusia no aborda este problema porque los hackers han anticipado esta contramedida y ahora lanzan sus ataques desde direcciones IP basadas en Estados Unidos que tienen bajo su control.
Una seguridad eficaz requiere monitoreo las 24 horas del día para detectar y responder ante ataques dirigidos, antes de que resulten en pérdida de datos y daño a la marca de una organización. A menudo, la provisión de personal y la gestión de un SOC 24x7 está más allá de los recursos de una organización, pero los proveedores de servicios pueden proporcionar esta capacidad a sus clientes a un costo razonable.
4. Falta de contenido SIEM
La eficacia subyacente de un sistema SIEM es impulsada por las reglas y los casos de uso que detectan indicadores de ataque, indicadores de compromiso o violaciones de políticas. Dependiendo del tamaño y la complejidad de la infraestructura de una organización, un SIEM en pleno funcionamiento puede tener cientos de casos de uso. Los casos de uso predeterminados proporcionados por los proveedores SIEM a menudo están obsoletos, son ineficaces y no esquematizan las tecnologías y aplicaciones específicas utilizadas por un usuario SIEM.
Construir el contenido SIEM requiere mucho tiempo y requiere una comprensión profunda del panorama de amenazas y la lógica por la cual los eventos de seguridad se asignan a diferentes vectores de ataque y vulnerabilidades. Las reglas y el contenido bien definidos ayudan a aumentar la productividad de las investigaciones de los analistas SOC, asegurando que su tiempo se gasta en los eventos más críticos y no persiguiendo falsos positivos. Los proveedores de servicios pueden aprovechar el costo de desarrollar el contenido SIEM para muchos clientes, y dedicar recursos para desarrollar continuamente reglas nuevas y personalizadas, y casos de uso.
5. Investigaciones más eficaces
Ningún SIEM puede proporcionar alertas 100% precisas. Se necesitan expertos en seguridad para investigar alertas sospechosas y determinar la criticidad de una amenaza.
Los proveedores de servicios aumentan el equipo existente de analistas del SOC y pueden, a menudo, filtrar y correlacionar más eficazmente los eventos de seguridad para presentar mejores datos a los analistas del SOC. Subcontratar las tareas de monitoreo también mejora la moral de los empleados existentes y les permite concentrarse en otras prioridades.
6. Velocidad de respuesta
Responder rápidamente a los incidentes de seguridad es tan importante como la habilidad de detectar y priorizar las amenazas de seguridad. Los eventos críticos requieren respuesta de los analistas de seguridad sénior y, si es necesario, acciones de remediación como borrar una computadora portátil, bloquear una dirección IP, o poner en cuarentena un archivo. La respuesta eficaz a los incidentes requiere que los expertos en seguridad estén disponibles 24x7, lo que no siempre es posible, incluso para las grandes organizaciones con equipos CSIRT dedicados.
Los SOC de siguiente generación están automatizando cada vez más las respuestas a las amenazas de seguridad críticas. Por ejemplo, automatizan el bloqueo de una dirección IP en un firewall después de detectar el reconocimiento de red desde una dirección IP maliciosa conocida, que tiene como objetivo un activo de alto valor. Poner temporalmente en una lista negra una dirección IP proporciona a los equipos de TI tiempo para investigar la amenaza y remediarla, si es necesario. En las empresas donde los equipos de operaciones no están disponibles fuera de las horas normales de trabajo, este enfoque es particularmente útil. La creación de acciones de respuesta automatizadas requiere casos de uso finamente ajustados, junto con recursos de integración y pruebas.
7. Operaciones más efectivas
Es obvio que el mantenimiento de operaciones de seguridad eficaces requiere combinar el uso de personas, procesos y tecnología. Administrar estos elementos no es trivial. La brecha de datos en las tiendas Target ejemplifica este punto, ya que sus SOC en Bangalore y Minneapolis recibieron alertas de malware prioritarias, pero no actuaron sobre ellas.
Tal vez sus analistas SOC estaban inundados con otras alertas. Tal vez su libro de operaciones (runbook), que debería haber descrito los procesos detallados y los procedimientos de escalada, no era claro, ni estaba actualizado. Los proveedores de servicios que cuentan con sistemas de soporte sofisticados, personal capacitado, y procedimientos y flujos de trabajo bien ajustados pueden ayudar a sus clientes a lograr la excelencia operativa.
8. Aprovechamiento de recursos
La decisión de externalizar el monitoreo de eventos de seguridad está fuertemente influenciada por el riesgo de operar en un nivel disminuido de efectividad de la seguridad. Construir un SOC y ajustar un SIEM toma meses, a veces años, con una larga lista de dependencias incluyendo contratación, capacitación y esfuerzos de integración de sistemas. Los proveedores de servicios reducen la exposición de sus clientes a las brechas de seguridad durante períodos en que las operaciones de seguridad no están operando a toda velocidad.
Los proveedores de servicios también tienen un mayor potencial para aprovechar las economías de escala que las entidades de negocios individuales. Esto es particularmente cierto en una operación 24x7, donde de los 1,095 turnos de ocho horas en un año, solo 260 son durante horas normales de oficina.
Este artículo fue extraído de información proporcionada por Proficio, un proveedor de servicios de seguridad cibernética basado en la nube que combina analítica y monitoreo para proporcionar soluciones avanzadas de detección de amenazas y prevención de brechas para empresas, proveedores de atención médica y gobierno.