La finalidad de un SOC (del inglés Security Operations Center) es detectar, analizar y corregir incidentes de ciberseguridad utilizando para ello, soluciones tecnológicas que le ayuden a identificar actividad maliciosa.
En su día a día, supervisan y analizan la actividad en las redes de comunicaciones, servidores, bases de datos, aplicaciones, sitios web y ordenadores personales de los usuarios en busca de indicios o comportamientos anómalos que puedan indicar un posible incidente de seguridad o compromiso de los sistemas IT de la organización.
Un Centro de Operaciones de seguridad se encarga, entre otras tareas de:
- Realizar el inventario de activos y redes
- De realizar de forma recurrente análisis de vulnerabilidades
- De forma proactiva, tareas de detección de Intrusiones
- De la monitorización de endpoints
- De la monitorización del comportamiento de los usuarios
- Gestión del SIEM
- De la respuesta ante incidentes
- De realizar informes de seguridad y complimiento
- De realizar auditorías forenses cuando sea necesario
Los centros de Operaciones de Seguridad pueden ser de diferentes clases en función de la entidad a la que presten servicio. Muchas organizaciones prefieren mantener su propio equipo de operaciones de seguridad, sin embargo, otras prefieren externalizar el servicio en proveedores de servicios de seguridad administrados (MSSP).
Ingredientes clave para el buen funcionamiento de un SOC
La construcción de un SOC requiere de una fase previa de planeamiento en la que se deben considerar y estudiar tantos las herramientas tecnológicas y procedimientos, como las personas que formaran parte de este centro de seguridad.
Y bajando más al detalle, si queremos que el menú del SOC sea exitoso, debemos considerar los siguientes ingredientes en nuestra receta:
Personas: este es uno de los ingredientes fundamentales y sin el cual un SOC nunca llegará a conseguir sus objetivos. El equipo de un SOC debe estar compuesto por diferentes profesionales de diferentes niveles de experiencia en diversas áreas: redes, sistemas, aplicaciones, gestión de operaciones, gestión de vulnerabilidades, gestión de incidentes, análisis forense, entre otros.
Procesos bien definidos: si las personas son esenciales en el buen funcionamiento de un SOC, tanto o más son los procesos que definen cómo actuar a los profesionales que trabajan en un SOC
Tecnología: el stack tecnológico es también una pieza clave dentro de la estructura de un SOC. Las principales tecnologías usadas en un SOC van desde herramientas de gestión de eventos e información de seguridad (SIEM), sistemas para la recolección de eventos, sistemas de análisis del tráfico de red, sistemas de detección de amenazas en el puesto de trabajo, sistemas de gestión de tickets/incidentes, herramientas forenses, herramientas de gestión de vulnerabilidades, etc. Orquestar y optimizar todas estas herramientas son claves en el buen funcionamiento de un SOC como veremos más adelante.
Inteligencia de amenazas (Threat Intelligence): En el contexto actual que vivimos, en el que los ciberataques son cada vez más complejos y sofisticados, es necesario,en la medida de lo posible, tratar de ir un paso por delante de los atacantes.
A través de Cyber Threat Intelligence o Threat Intelligence podemos procesar datos para convertirlos en inteligencia, lo cual hará que se tomen de decisiones para mitigar ataques, ya sea desde bloqueo de ataques dirigidos, botnets, amenazas persistentes avanzadas (APT) o incluso hasta campañas de phishing
Evolucionando un SOC hacia un entorno automatizado
Ahora que conocemos cuáles son las claves básicas para el éxito de un SOC, no vamos a quedarnos en este punto, sino que vamos a ir un paso más allá y pensar cómo debería ser un SOC de nueva generación.
Los SOC modernos, no sólo se enfrentan al desafío de una construcción robusta basada en pilares fundamentales como las personas, los procesos y la tecnología. Sino que deben ir un paso más allá ya que a medida que aumentan los activos a monitorizar también lo hace la cantidad de alertas.
Para que un SOC tenga éxito en estas condiciones, es fundamentar evolucionar hacia un SOC con grandes automatizaciones, donde piezas como el SOAR (Security Orchestration, Automation and Response) son fundamentales para garantizar una rápida respuesta frente a incidentes, y disminuir la fatiga de los operadores que pueden verse abrumados por tantas alertas.
Los beneficios para los centros de operaciones de seguridad (SOCs), entre otras, incluyen:
- Capacidad de automatización de tareas para ayudar a descongestionar a los operadores de nivel 1, aumentando la productividad y la respuesta de manera exponencial
- Automatización de la clasificación básica de seguridad (triage) para que las alertas importantes nunca se pasen por alto debido a la carga de trabajo del personal
- Algo que puede percibirse como trivial, pero que al final es un fundamental, es que las herramientas SOAR permiten liberar a los analistas de seguridad de trabajar en tareas repetitivas, como la búsqueda proactiva de amenazas ya que estas herramientas permiten automatizar muchas de las rutinas de los operadores.
- Quizás la más destacada, es que gracias a la automatización es posible lograr la excelencia operacional al reemplazar procesos “ad hoc” con las mejores prácticas, bien documentadas, automatizadas y realizadas de forma consistente en todos los clientes, sin dejar margen al error.
Como hemos visto a lo largo del artículo el SOC es una parte esencial de la respuesta frente a amenazas, pero aún así, es muy complejo coordinar gran cantidad de personas e información y al mismo tiempo comunicar con los diferentes departamentos de una empresa para operar de forma alineada en dar una respuesta frente a un ciberataque.
Los procesos, las personas y finalmente la tecnología, son los elementos claves, pero es la automatización, la pieza diferenciadora que hace que un centro de operaciones de seguridad pueda destacar sobre el resto gracias a la optimización de sus recursos y la capacidad de responder de manera autónoma frente a amenazas.
Evidentemente, la adopción de estas tecnologías en un SOC no es baladí, ya que se requiere de un nivel de madurez avanzado para poder determinar qué procesos son susceptibles de automatización. Pero esto no debe frenarnos en el objetivo de conseguir un centro de operaciones de seguridad automatizado.
Team Leader Grupo Expertos ITSM4Seguridad
Comité de Estandares de itSMF España