11 Oct Tácticas de defensa contra ciberamenazas: ¿Qué es un SOC?
Más allá de las operativas de prevención de ciberataques que comentábamos en el anterior post, es necesario poner en marcha tácticas de defensa contra ciberamenazas. Para su mayor eficacia es recomendable que se ejecuten desde un SOC. ¿Qué es un SOC? Sigue leyendo para entender las ventajas de contar con un centro de operaciones de seguridad.
SOC significa Security Operations Center y es un recurso que aglutina a un equipo de profesionales en ciberseguridad que utilizan herramientas específicas para encargarse de la protección informática de la empresa. Su labor es defensiva, rechazando o minimizando el impacto de las ciberamenazas. Esas capacidades defensivas se basan en un profundo conocimiento del comportamiento de los ataques tomando como referencia otros eventos vividos tanto en la empresa como fuera de ella, a través de bases de datos que recopilan información al respecto.
El trabajo de un SOC o centro de operaciones de seguridad se divide en tres áreas. Por una parte, analizar posibles amenazas, recuperar la información generada si se ha sufrido un incidente de ciberseguridad y mejorar las posibles respuestas a ataques. Esas tres líneas dirigen su trabajo hacia la gestión de eventos, es decir, administrar los sistemas de seguridad desplegados, monitorizar los eventos y alertas que surjan, y clasificarlos y categorizarlos para transformar esas experiencias en conocimiento.
¿Es necesario un SOC?
Para que esas tareas sean eficaces, es necesario que las ejecuten profesionales con un nivel de especialización alto en ciberseguridad. Y eso es lo que ofrece un centro de operaciones de seguridad. En él se combina el conocimiento previo con la operativa día a día para alertar de cualquier indicio de un posible ataque. El análisis y el cotejo de información permiten mitigar y resolver los incidentes.
Como vemos las funciones de un SOC de monitorización, respuesta y generación de informes analíticos, transcienden los despliegues básicos de un plan de ciberseguridad, cuyas principales actuaciones hemos revisado en los post Checklist básico para un plan de prevención de ciberataques y Estrategia para solucionar un ciberataque ransomware sin pagar.
En ellos nos referíamos a la prevención de ciberataques gracias a acompañar siempre el despliegue de los distintos sistemas que forman la infraestructura IT empresarial con una capa de seguridad y de lo importante que es revisarlos y actualizarlos para mantenerla. Es decir, garantizar la protección de las comunicaciones y redes, de los dispositivos que se usan, los servidores, de las políticas de Backup y Disaster Recovery, etc., mediante soluciones de seguridad como los antivirus de nueva generación, las soluciones de encriptación y fuga de información DLP, la gestión de credenciales, etc.
Todas las acciones detalladas en ellos son de primera línea y competen a los equipos de IT. Para asegurar su eficacia en el post presentábamos las ventajas de delegar su despliegue y mantenimiento en servicios gestionados de IT y seguridad. Con un SOC se da un paso más y se complementa esa estrategia inicial. Los profesionales en ciberseguridad de un SOC tienen un perfil especializado en esta y son un complemento de alto valor al personal de TI.
Inteligencia analítica y Machine Learning en Ciberseguridad: Sistemas SIEM
Desde un SOC se aplican soluciones basadas en técnicas de inteligencia analítica y machine learning para poder hacer frente a las amenazas avanzadas de seguridad. Sin este enfoque es muy complicado poder plantarles cara dada su sofisticación y complejidad. En este sentido, el despliegue de sistemas SIEM es básico para poder monitorizar la infraestructura IT de la empresa y detectar su presencia.
Una solución SIEM (Security Information and Event Management) se centra en la gestión de eventos para conseguir la información relacionada con la seguridad que va a permitir tomar las medidas correctivas y preventivas necesarias para evitar el éxito de un ciberataque. Este tipo de sistemas capturan y reciben todo lo que está pasando en la infraestructura empresarial a partir de eventos y flujos en la red.
La custodia veraz, completa y consistente de los registros de los eventos es básico no solo para poder entender qué ha pasado y cómo actuar lo antes posible para proteger a la organización, sino que es obligatorio para cumplir con el GDPR, norma que requiere la existencia de registros de eventos con los que documentar cualquier ciberataque sufrido.
Realizar una trazabilidad de los eventos, cotejarlos y analizarlos para extraer información útil es muy difícil sin un sistema SIEM dotado de tecnología analítica y Machine Learning, y su cruce con bases de datos internas y externas centradas en ciberseguridad.
Beneficios de un Servicio de SOC externo
Crear y mantener un centro de operaciones de ciberseguridad a nivel interno es muy complicado y costoso dada la alta cualificación del personal requerido y la complejidad de las tecnologías que hay que desplegar. Por eso, la contratación de un SOC externo es la opción más eficaz y rentable.
De esta manera, la empresa tiene la seguridad de contar con personal formado y especializado sin tener que iniciar procesos de atracción de talento y retención, además se desvincula también del despliegue de soluciones y su actualización continua, algo crítico al hablar de ciberseguridad porque los ataques se renuevan constantemente.
También, es importante apuntar que este tipo de servicio puede adaptarse completamente a las necesidades de las empresas y su evolución. Todo ello sin tener que modificar infraestructuras y procesos internos. Su puesta en marcha es inmediata.