Blog de WatchGuard

SOCs modernos y Servicios MDR: funciones clave del SOC moderno

A alto nivel, la misión principal del SOC sigue siendo ayudar a la empresa a gestionar y mitigar el ciber riesgo, sin embargo, la sofisticación de las amenazas y la mecánica del SOC para operar han evolucionado drásticamente. Para proteger y responder con éxito a estas amenazas, los SOC necesitan una visibilidad en profundidad de la actividad de la organización y automatizar las tareas clave y repetitivas, al tiempo que libera a los analistas para que se centren en funciones que aporten más valor, como la búsqueda de amenazas y la gestión de vulnerabilidades. Descubre en este post cuáles son estas funciones claves de un SOC moderno.

Funciones clave realizadas por un SOC moderno 

  1. Seguridad preventiva:

Este paso incluye todas las acciones para complicar el éxito de un ataque, hasta el punto de obligar al atacante a abandonar, incluida la actualización periódica de los sistemas existentes, la actualización de las políticas de firewall, la reparación de vulnerabilidades, la inclusión en listas blancas y negras de aplicaciones, entre otras.

  1. Normalización y gestión de gran volumen de datos:

El SOC moderno recopila, mantiene y revisa regularmente eventos y registros de la red, usuarios, endpoints, y comunicaciones en la organización. El procesamiento de toda esta gran cantidad de información permite a los hunters descubrir threat actors no detectados, al tiempo que es indispensable en las fases de investigación y remediación.

  1. Monitorización proactivo continuo y detección de actividades sospechosas:

Las herramientas utilizadas por SOC moderno monitorizan la actividad las 24 horas del día, los 7 días de la semana e identifican cualquier actividad sospechosa, identificando amenazas emergentes, previniendo el compromiso o la mitigación del daño. Las herramientas de monitorización automatizan el análisis de comportamiento, reduciendo la cantidad de trabajo de los analistas del SOC.

  1. Clasificación, priorización y correlación de indicadores de ataque y compromiso:

Con el respaldo de la automatización del análisis de eventos de seguridad (ML/AI), los analistas de SOC monitorizan cada alerta e indicador de ataque, descartan cualquier falso positivo y determinando la criticidad en un tiempo reducido y gestionando los casos de forma prioritaria.

  1. La caza de amenazas es un proceso centrado en el analista:

Que permite a las organizaciones descubrir de forma proactiva amenazas ocultas y avanzadas que se escapan de los controles de seguridad preventivos y de detección. El objetivo de los hunters es detener al atacante antes de que se produzca el daño, y automatizar mecanismos que activen indicadores de ataque a investigar y así detectar la amenaza antes.

  1. Investigación de la causa raíz:

Después de un incidente o durante el ataque, el SOC moderno es responsable de descubrir exactamente qué sucedió: cuándo, cómo y por qué. Durante esta investigación, los analistas de SOC modernos utilizan registros, eventos, inteligencia de amenazas y mecanismos de análisis de seguridad sofisticados que permiten responder de manera eficiente y prevenir problemas similares en el futuro.

  1. Respuesta a la amenaza:

Tan pronto como se confirma un incidente, el SOC moderno puede actuar realizando acciones de contención como aislar endpoints, finalizar procesos, eliminar archivos, etc. El objetivo es responder cuanto antes mientras se reduce el impacto en la continuidad del negocio.

  1. Remediación y recuperación:

Después de un incidente, el SOC moderno trabajará para restaurar los sistemas. Esto puede incluir borrar trazas y reiniciar equipos, servidores, etc, reconfigurar los sistemas o, en el caso de ataques de ransomware, restaurar copias de seguridad.

  1. Lecciones aprendidas:

Estas sesiones post incidentes, son cruciales para mejorar la postura de seguridad de la organización y su preparación para enfrentar incidentes en el futuro. Ayudan a evaluar el riesgo de seguridad de la organización y el desempeño durante la respuesta, identificando los retos y las medidas para una mejor y más rápida detección y respuesta a futuros ataques similares.

  1. Optimización de las operaciones de seguridad modelo:

Una estrategia defensiva eficaz requiere una arquitectura de seguridad adaptable que permita aumentar la eficacia y eficiencia de las operaciones de seguridad a través de la integración, la automatización y la orquestación entre los diferentes mecanismos de seguridad de la organización.

La tecnología permite escalar las funciones SOC

Cada una de las funciones del SOC tiene una dependencia muy estrecha con la tecnología que la habilita. El enfoque tecnológico correcto influirá significativamente en sus capacidades, el tiempo y coste para detectar y responder a las nuevas amenazas sofisticadas. Los equipos de operaciones de seguridad tienden a exigir una plataforma unificada de seguridad basada en la nube y altamente cooperante que ofrezca lo siguiente:

  • Visibilidad y búsqueda centralizadas en todos los datos de toda la infraestructura de TI distribuida, incluido alertas de seguridad y telemetría completa para acelerar la investigación de amenazas y la respuesta a incidentes en tiempo real.
  • Análisis holístico de amenazas: la aplicación de inteligencia artificial, análisis de escenarios basados en TTPs y análisis profundo contextual sobre un gran volumen de datos permite detectar amenazas avanzadas y priorizar con precisión.
  • Gestión de casos de incidentes que permite a los equipos de seguridad participar en procesos colaborativos y eficientes y seguir flujos de trabajo coordinados en una única plataforma, da como resultado una aceleración y optima orquestación del análisis inicial, la investigación profunda y la respuesta multi dominio.
  • Automatización de tareas rutinarias y laboriosas que reducen los esfuerzos, coste y tiempo en la investigación y respuesta, incluida la ejecución automatizada de mitigaciones y contramedidas para la contención y neutralización de amenazas.
  • Métricas operativas: La capacidad de capturar y monitorizar fácilmente métricas e informar de manera efectiva sobre la evolución de los indicadores clave de rendimiento (KPI) y nivel de servicio acordados. (SLA).

Puede encontrar toda la información necesaria para comenzar a modernizar un equipo de operaciones de seguridad en los eBooks: SOC modernos y servicios MDR: qué son y por qué son importantes y empoderando al SOC: Modelo de Maduración de las Operaciones de seguridad.

Si desea obtener más información sobre los centros de operaciones de seguridad modernos, no te pierda nuestra serie de artículos: