A menudo hablamos de los Centros de Operaciones de Seguridad (SOC) como si existieran desde hace años; pero tener un equipo definido es un concepto relativamente nuevo. Un equipo que pasa todo su tiempo monitorizando y manejando eventos de seguridad y usando procesos consistentes para remediarlos. Aunque los SOC no tienen una larga historia, es imperativo examinar cómo hacerlos más efectivos, especialmente, teniendo en cuenta la agresividad de adversarios tales como los piratas informáticos de Estado-nación, bandas cibernéticas y cárteles de ransomware.
El mayor indicador de la existencia de problemas en los SOC es la alta tasa de agotamiento entre los analistas. Todo ello, respaldado por una reciente encuesta a casi 600 profesionales de la seguridad citados en el 2020 Devo SOC Performance Report. Más de dos tercios de los encuestados respondieron que es probable o posible que sus analistas del SOC renuncien debido al estrés laboral. Como líderes en seguridad, tenemos la responsabilidad de reducir el estrés y el sufrimiento que conlleva trabajar en un centro de este tipo para poder mejorar la satisfacción laboral, la salud y la retención de los empleados, así como la eficacia del propio SOC.
Cómo alinear el SOC con el negocio
Un SOC bien administrado es el corazón del programa de seguridad de una organización. Otras disciplinas, como la gestión de la vulnerabilidad, la inteligencia de amenazas, etcétera, se alimentan del centro neurálgico que es el SOC. Partiendo de este hecho, decidir cuáles son los eventos más importantes en los que los analistas del SOC deben enfocarse es simple. Los analistas deben centrarse en las amenazas más importantes para el negocio: los eventos, las alertas y los indicadores de compromiso que requieren de una acción inmediata. Es esencial un mayor grado de madurez del SOC, de priorización y de comprensión de las alertas dirigidas a los activos de alto valor.
Los CISO deben preguntarse: «¿Qué beneficios clave aporta el SOC a mi programa de gestión de riesgos de seguridad?». Una vez definidas esas ventajas, las otras acciones que habría que tener en cuenta –visibilidad, automatización e incluso la forma en que se diseña el aprendizaje de las máquinas– deben construirse para permitir que el SOC ofrezca aquello que más necesita la empresa.
Uno de los bancos más grandes de Europa utilizaba un SIEM (Security Information and Event Management) incapaz de escalar en volumen de datos para satisfacer sus necesidades de seguridad. El rendimiento del SIEM se limitaba a 16 consultas o menos por grupo, y el proveedor quería aumentar sus costes antes de que el banco empezara a añadir otros 20 TB de datos diarios de fuentes de toda la organización. Después de que Devo reemplazara el SIEM anterior, el cien por cien de los datos relevantes para la seguridad del banco se ingestan ahora y están disponibles para consultas en tiempo real, mientras que se reducen los tiempos de consulta en un 98 por ciento, y se logra un tiempo de alerta de milisegundos. Los analistas de seguridad ahora buscan, detectan e investigan las amenazas rápidamente y a mayor escala que nunca.
Analistas: también son personas
El fomento de una cultura SOC comienza y termina con las personas, los analistas. Las organizaciones deben invertir en su formación continua, en su crecimiento profesional y capacitarlos para hacer su trabajo. Las herramientas no son valiosas hasta que la gente aprende a usarlas de manera efectiva. Esto comienza con el establecimiento de métricas de rendimiento, la comprensión de las necesidades de la empresa desde una perspectiva de riesgo, y el uso adecuado de su tecnología SIEM. En otras palabras, eliminar todo lo que no es importante mientras se asegura que los analistas tienen la tecnología adecuada para un entorno SOC maduro.
Haciendo estas cosas, los analistas de primer nivel no se quemarán persiguiendo todo lo que aparezca en sus pantallas
Podrán trabajar en horario de 9 a 18 horas sin que haga falta llamarlos regularmente a altas horas de la noche para continuar trabajando en una investigación. También serán capaces de trabajar a distancia con bastante eficacia, e incluso reduciendo el agotamiento. Además, esto ayudará a escalar el SOC a medida que el negocio crece, y así recompensar a los analistas merecedores con promociones y mayores responsabilidades.
La fatiga de alerta es un verdadero problema para los analistas de seguridad en todas las industrias y regiones. Una rama del ejército de una potencia mundial necesitaba una nueva solución SIEM para hacer frente a la creciente sofisticación de los actores de la amenaza y los hackers de estado-nación. Los líderes de seguridad de la organización sabían que sus analistas del SOC tenían un tiempo medio de respuesta (MTTR) de menos de 19 minutos para detener las amenazas antes de que pudieran comprometer sus datos, que aumentan en 50 TB cada día. Esta rama militar seleccionó a Devo Security Operations como su nuevo SIEM por su capacidad de escalar, automatizar el flujo de trabajo y enriquecer los datos. Igualmente importante es que Devo está haciendo una contribución significativa a la reducción de la fatiga de alerta en el equipo SOC al reducir las más de 20.000 horas humanas de tiempo que los operadores cibernéticos dedican actualmente al aislamiento de amenazas, a la selección y a los procesos de investigación. Esto libera a los analistas para que se centren en la búsqueda de amenazas críticas y en los esfuerzos de resolución.
El proceso es crítico
Si las personas son el activo más importante de un SOC experimentado, entonces el proceso es la base necesaria para que las personas tengan éxito. El proceso da vida a los objetivos que se quieren poner en marcha y es la forma de medir el éxito. También es la manera de evaluar lo bien que las personas interactúan con la tecnología para lograr esas mediciones. Puedes desplegar el SIEM más avanzado u otras tecnologías, pero, a menos que tengas los procesos adecuados para usarlos eficazmente, así como los profesionales con las habilidades oportunas para operarlos, no te darás cuenta del valor total.
Cada analista del SOC quiere trabajar en lo que es interesante en relación a lo que está sucediendo en el momento. El objetivo de los SOC es construir un entorno en el que los analistas puedan centrarse en lo más importante –que suele ser lo más complejo– y no en lo que rutinariamente debe manejar la tecnología.
La automatización, un aliado
Cuando se habla de la palabra «automatización» en términos de equipos de operaciones de seguridad, a menudo se llega a la conclusión de que se refiere a automatizar los trabajos de los analistas. No es así como yo lo veo. La automatización puede ser una gran ventaja para ayudar a los SOC a lidiar con las alertas y los indicadores de compromiso de manera rápida y efectiva.
Cuando pienso en el tipo de automatización adecuado para los SOC, se trata de automatizar el flujo de trabajo de los incidentes para proporcionar a los analistas más contexto y reducir el tiempo de detección a respuesta. Haciendo eso, el equipo SOC puede reducir significativamente o eliminar los daños de un ataque. Y ese es el objetivo final para cualquier equipo de este tipo y la organización a la que apoya.
Un ejemplo de esto lo ilustra el caso de uno de nuestros mayores clientes empresariales. Este fabricante internacional de ropa deportiva reemplazó su actual solución de seguridad y registro porque no podía ofrecer información en tiempo real de la actividad en el sitio web de la empresa. Al cambiar a Devo, fue capaz de realizar la detección y respuesta de seguridad en tiempo real y la caza de amenazas a través de su sitio web, independientemente de la carga de tráfico. La compañía ahora puede detectar y detener en tiempo real a los robots que compran nuevos productos para venderlos en el mercado negro.
Las personas, procesos y tecnologías que trabajan juntas para mantener la organización segura son la clave de un equipo SOC eficaz y sostenible que puede hacer frente a los retos de seguridad de hoy y de mañana.
