SOC Moderno y MDR serie III: Los diferentes roles dentro de un Modern SOC
Los modern SOC son centros de operaciones de seguridad altamente especializados cuyo objetivo es el de descubrir a los atacantes que han logrado acceder a un dispositivo o red de la organización. Para tal fin, los modern SOC se constituyen alrededor de entornos complejos donde operan coordinadamente un conjunto de expertos en ciberseguridad con diferentes roles. Estos expertos ejecutan una secuencia de procesos específicos y soportados por herramientas capaces de procesar en tiempo real un gran volumen de datos para detectar, analizar y responder al atacante lo antes posibles
Los principales roles de un modern SOC
Los ciberdelincuentes actúan incesantemente todos los días del año y acechan los descuidos de las organizaciones para atacar. Esto obliga a que los SOCs y más específicamente de un modern SOCs operen las 24 horas del día, los 365 días del año con la misma intensidad, con suficiente cobertura en todos los equipos y roles del SOC para operar y dar respuesta al mismo ritmo. Entre los roles más indispensables en un modern SOC encontramos:
- Analista de Seguridad: existen tres niveles para los analistas de seguridad y cada nivel determina las responsabilidades que deben llevar a cabo.
Los analistas de seguridad del Nivel 1 son los encargados de supervisar y clasificar de manera proactiva las alertas, así como de detectar anomalías o indicadores de ataque para luego buscar la causa y recomendar las medidas correctivas. La eficacia de los implicados en este nivel es de suma importancia, ya que son los que saben filtrar un falso positivo de una incidencia real. Además, se encargan de configurar las herramientas de seguridad y monitorización.
Por su parte, el analista de Nivel 2 es conocido como el investigador y trabaja estrechamente con el equipo de respuesta. Su labor consiste en determinar lo que ha sucedido, sistemas afectados, técnicas utilizadas, cuando y por qué. Luego, debe trabajar con el equipo de respuesta para elaborar las medidas de respuesta y correctivas, y así evitar ataques similares en el futuro. Esta fase busca aprender de los errores en medidas preventivas y robustecer la resiliencia de la organizan.
Por último, el analista de Nivel 3 es el perfil más experimentado dentro del equipo del SOC. Debe ayudar al Nivel 2 en caso de incidentes complejos que requieran nuevos análisis de datos de comportamiento e inteligencia de seguridad.
- Threat Hunter (Buscador de Amenazas): los buscadores de amenazas, o threat hunters, utilizan un enfoque más centrado en el conocimiento profesional de las técnicas y comportamientos clave de los atacantes, que en las tecnologías de detección. Su labor consiste en la detección de amenazas desconocidas y sofisticadas que han conseguido eludir los controles existentes. Para identificar y responder a las amenazas de forma rápida, evalúan la seguridad de la organización desde un punto de vista proactivo. Con esto, logran reducir el tiempo de permanencia de una amenaza.
- El equipo de respuesta: Es el responsable de elaborar y desplegar estrategias de contención, mitigación y erradicación. En ocasiones, la operación de la respuesta la lleva a cabo un tercer equipo, el equipo de IT o de seguridad de la empresa, en este caso, este equipo colabora con ellos guiando las acciones necesarias que den como resultado una respuesta 100% efectiva que erradique la presencia del atacante en todos los sistemas afectados.
- Gerente de SOC: es el encargado de liderar al equipo realizando tareas menos técnicas y más relacionadas con la gestión y las operaciones del equipo. Debe asumir responsabilidades de administración como la elaboración de presupuestos, la definición de estrategias, la gestión de los miembros del SOC, la coordinación de las operaciones, la consecución de los objetivos establecidos por la dirección de la empresa, la compra de las soluciones y herramientas para el SOC, la revisión de los reportes después de experimentar algún incidente y la generación de informes sobre las actividades del SOC para presentar a los directivos de la empresa y los Oficiales de Seguridad de Información Central (CISO) del cliente.
- Equipo de arquitectura: Se encargan de crear y mantener la arquitectura de la infraestructura y aplicaciones del SOC. Para ello, deben probar, evaluar y sugerir las herramientas adecuadas para los procesos complejos del SOC. Colabora muy estrechamente con el resto de los equipos y expertos sugiriendo, evaluando, desarrollando y probando nuevas herramientas y procesos que ayuden a ser cada vez más efectivos en la detección de amenazas sofisticadas, más rápidos en el triaje e investigación y más ágiles en l respuesta coordinada y multidominio, para que el atacante no tenga ninguna a esconderse, o volver a atacar una vez el equipo de responders determina que es el momento de erradicar de la organización a la amenaza. En ocasiones, también deben velar por el cumplimiento de la seguridad, lo que implica documentar, adherirse y actualizar constantemente las prácticas de seguridad con respecto a los marcos internos y de la industria.
Tareas definidas para un funcionamiento óptimo
Como decíamos, el equipo de un modern SOC requiere una estructura organizativa que ayude a tener unos procesos de trabajo optimizados y bien entrenados, donde cada miembro del equipo sepa cuál es su misión con el objetivo de detectar y responder al atacante, que acecha dentro de la red, lo antes posible.
El equipo, sus procesos y herramientas tecnológicas son aspectos claves para formar un modern SOC eficiente, por eso hemos recopilado toda la información fundamental para empezar el proceso de modernización de un equipo de operaciones de seguridad en el ebook “Modern SOC y MDR: que son y por qué importan”.
Si deseas obtener más información sobre los centros de operaciones de seguridad modernos, no te pierdas nuestra serie de artículos: