Blog de WatchGuard

Modelo de madurez de las operaciones de seguridad II : ¿Qué es?

El modelo de madurez de la operación de seguridad describe cinco niveles. Cada nivel se basa en el anterior, agregando tecnología y mejoras en procesos. Como resultado, se fortalecen las capacidades de la operación de seguridad de la organización, reduciendo así su MTTD (tiempo medio de detección) y su MTTR (tiempo medio de respuesta).

SOC- Sec model

Niveles del modelo de madurez de las operaciones de seguridad

El modelo de operaciones de seguridad comprende las etapas que definen una gestión completa del ciclo de vida de las amenazas, desde la prevención hasta la detección y la respuesta y el análisis de las “lecciones aprendidas” con el objetivo de mejorar la postura de seguridad de la organización.

La siguiente tabla describe cada nivel en el ámbito de la seguridad endpoint, identificando la tecnología crítica y los procesos que debe implementarse en cada nivel.

Nivel 0 - MÍNIMO

  1. Orientado a la prevención (cortafuegos, antivirus, etc. instalados) y enfoque de defensa reactiva
  2. Silos tecnológicos y funcionales
  3. No hay un proceso formal de detección y respuesta de incidentes
  4. Políticas de seguridad indefinidas o básicas
  5. Sin visibilidad a las amenazas desconocidas y sofisticadas que utilizan técnicas de ataque living-off-the-land.

Nivel 1 - REACTIVO

  1. Implementación mínima de prácticas de reducción de la superficie de ataque: monitorización del estado de los controles de seguridad, evaluación de vulnerabilidades, administración de parches y detección de activos desprotegidos, entre otros.
  2. La recopilación y retención de logs o eventos está motivada principalmente por los requisitos de cumplimiento y auditoría.
  3. No hay un proceso formal de detección y respuesta de incidentes
  4. Sin visibilidad a las amenazas desconocidas y sofisticadas que utilizan técnicas de ataque living-off-the-land.
  5. Falta de tecnologías que identifiquen actividades sospechosas de manera consistente y recurrente.

Nivel 2 - PROACTIVO

  1. Soluciones de detección y respuesta en el endpoint (EDR) y red (NDR) con integración mínima, trabajando en silos
  2. Políticas de seguridad sólidas y maduras implementadas con plantillas de configuración predefinidas para evitar errores humanos
  3. Centralización mínima de eventos de seguridad y log, que se usan en caso de brechas de datos, con prioridad para servidores y activos críticos
  4. Falta de personas y procesos para una evaluación y priorización de alertas efectivas
  5. Más resiliente a los ciberataques, excepto aquellos a aquellos que aprovechan ataques desconocidos y sofisticados dirigidos a puntos sin visibilidad, como endpoints desprotegidos.

Nivel 3 – ADMINISTRADO

  1. Haber establecido un proceso básico pero formal para la monitorización continua, análisis de comportamiento para la detección de anomalías y contención de amenazas que acechan en el entorno a través de soluciones de seguridad EDR/NDR avanzadas
  2. Centralización holística de datos de logs y eventos de seguridad
  3. Inteligencia de amenazas basada en IOC y TTP específica de la industria integrada en controles de seguridad y flujos de trabajo
  4. Análisis de seguridad para detectar amenazas conocidas de comportamiento TTP (táctica, técnica y procedimiento)
  5. Métricas operativas básicas de MTTD/MTTR

Nivel 4 – OPTIMIZADO

  1. Centralización holística de eventos y logs con suficiente tiempo de retención para investigar amenazas de persistencia avanzada
  2. Gestión de casos, colaboración y automatización entre organizaciones
  3. Inteligencia de amenazas basada en IOC y TTP específica de la industria integrada en controles de seguridad y flujos de trabajo
  4. Análisis de seguridad avanzados para la detección de anomalías a través del comportamiento basado en IA/ML dirigido por expertos en SOC
  5. Procesos de investigación y respuesta establecidos y documentados con guías, lecciones aprendidas y mejora continua de los procesos y herramientas del SOC.
  6. SOC 24/7 interno o delegado en un MDR, incluidos analistas SOC, responders y cazadores de amenazas
  7. Métricas operativas avanzadas de MTTD/MTTR y tendencias históricas.

Las organizaciones sin personal de seguridad capacitado deben trabajar con un proveedor de seguridad gestionada (MSP) experimentado que haya realizado la inversión de capital, personal, infraestructura, procesos y tecnologías necesarias para ayudarlos a elevar la ciber resiliencia de sus clientes. Por supuesto, las organizaciones también pueden construir su propio SOC moderno si tienen los recursos y las personas experimentadas necesarias para llegar allí.

Descarga y aprende más sobre SOC moderno, servicios MDR y el modelo de madurez de operaciones de seguridad en los siguientes libros electrónicos: SOC modernos y servicios MDR: qué son y por qué son importantes y Servicios SOC y MDR modernos: Qué son y por qué son importantes, y no te pierdas nuestra serie de artículos: