22 May Ficha un centrocampista para detectar y responder ciberataques: ¿Qué es un SOC?
Para defenderte de las ciberamenazas necesitas un buen centrocampista, ya si es más del estilo Modric, De Bruyne, Pedri o Thiago, es cosa tuya. Y es que centralizar en ciertos servicios la capacidad de detectar y responder ciberataques es imprescindible para reducir sus riesgos. Esa es la labor de un SOC. ¿Y qué es un SOC? Te aclaramos las ideas.
En post anteriores hemos marcado la estrategia para prevenir y proteger ciberataques, marcando goles desde la delantera y con un plan DR desde la defensa. Ahora, nos enfocamos en el día D, cuando tu empresa es atacada. Aquí los recursos en el medio campo son fundamentales para contener los avances y ayudar tanto a una línea como a otra.
Este es un punto tan trascendente que la última actualización del Kit Digital (publicada el 13 de mayo) incorpora como nueva categoría ‘Servicio de Ciberseguridad Gestionada’: “Con el objetivo de proporcionar a las empresas beneficiarias de un servicio que combine técnicas de EDR (Endpoint Detection and Response) y MDR (Managed Detection and Response) para detectar incidentes de ciberseguridad en tiempo real y abordarlos de la forma más rápida y eficaz posible”.
¿En qué consiste el ‘Servicio de Ciberseguridad Gestionada’ del Kit Digital?
El servicio al que se refiere la nueva categoría de los fondos NextGen para la digitalización de las pymes se integra dentro de un SOC (Security Operations Center). Es un servicio que estamos prestando mucho en Orbit Consulting Group con la tecnología de ciberseguridad avanzada de Sophos porque cada vez más empresas nos lo demandan. Y no solo acciones EDR y MDR centradas en los endpoints, sino muchas más para englobar toda la ciberseguridad corporativa.
Externalizar el centro de operaciones de seguridad es la solución a estos comentarios recurrentes que oímos continuamente: “Nadie se lee las alarmas el fin de semana y el lunes tengo miles (logs) para leer”. “¿A cuál le doy prioridad?». «Nuestro equipo de seguridad es de solo 3 personas y no podemos atender las alertas ni dar respuesta en modo 24×7”. El equipo del SOC se encarga de analizar posibles amenazas, recuperar la información generada si se ha sufrido un incidente de ciberseguridad y mejorar las posibles respuestas a ataques.
¿Qué son las soluciones SIEM, EDR, XDR? ¿Qué significa MDR?
Para poder desarrollar sus tareas, los profesionales del SOC cuentan con diversas soluciones entre las que destacan los sistemas SIEM, EDR, XDR, que se han ido fortaleciendo con la incorporación de tecnología analítica, IA y Machine Learning para aplicar perfiles y análisis de comportamiento e inteligencia sobre amenazas.
Una solución SIEM (Security Information and Event Management) captura y recibe todo lo que está pasando en la infraestructura empresarial a partir de eventos y flujos en la red y, en función de unos parámetros establecidos, va lanzando alertas. Por su parte, los sistemas EDR (Endpoint Detection Response) identifican eventos que los antivirus tradicionales pasan por alto. Detectan amenazas avanzadas, más allá de malware, exploits, e incluso ransomware, como malware polimórfico, amenazas persistentes APT, ataques de ingeniería social, vulnerabilidades Zero Day (las que por su novedad no están todavía remediadas por los fabricantes), etc. Ejecutan una respuesta automatizada, tipo aislar el endpoint afectado de la red casi en tiempo real.
Los EDR se complementan con soluciones XDR (Extended Detection and Response) que permiten monitorizar no solo endpoints en sí mismos, sino también redes, servidores, cargas de trabajo en la nube, los propios SIEM, etc.
Los servicios MDR (Managed Detection and Response) hacen uso de estas herramientas para realizar una gestión remota de los endpoints corporativos. Esta labor de ciberseguridad para dispositivos se amplía dentro de un SOC que integra al completo la ciberseguridad empresarial.
¿Cómo es el análisis forense de ciberseguridad?
Una función crítica dentro de los SOC es realizar un análisis forense digital de lo ocurrido para poder aplicar técnicas de remediación de ciberataques. Las soluciones comentadas aportan múltiple documentación, ya sea de datos, archivos, registros de eventos, sistemas y red, que hay que analizar para entender el incidente y convertirlo en conocimiento para mejorar la estrategia de ciberseguridad.
Las técnicas más avanzadas permiten recuperar archivos eliminados, analizar metadatos, reconstruir el comportamiento del usuario, etc. y, por supuesto, identificar los malwares y archivos maliciosos.