Tres razones por las que se adoptan los Centros de Operaciones de Seguridad (SOC)
Los equipos de TI y seguridad de las empresas se enfrentan a retos de ciberseguridad que ponen cada vez más a prueba su capacidad defensiva. Las organizaciones tienen que protegerse de un número creciente de incidentes (un ataque cada 39 segundos, según la Universidad de Maryland) y de amenazas sofisticadas, muchas de las cuales tienen graves consecuencias. A pesar del impulso de los presupuestos de seguridad de las organizaciones, el coste de los ciberataques sigue creciendo año tras año (más de 6.000 millones de dólares en 2019, según un estudio del CSIS).
Por ejemplo, el trabajo desde casa y la movilidad de los usuarios han ampliado el perímetro de seguridad de las empresas y nos llevamos esta frontera "con nosotros" allá donde trabajemos. Los grupos criminales también han cambiado de táctica, dirigiéndose a empresas que han trasladado su infraestructura al Cloud para esconderse entre servicios legítimos, además los atacantes masivos han desarrollado nuevas formas de rastrear y colarse en la red sin ser vistos.
Aunque no se presta suficiente atención a estos peligros, pueden tener un impacto directo en los equipos de operaciones de seguridad, obstaculizar su eficacia y poner en riesgo a las organizaciones. El nuevo eBook de WatchGuard Advanced Endpoint Security for SOCs: Su arma para cazar lo desconocido aborda tres grandes retos en este ámbito:
- Falta de expertos en ciberseguridad: el año pasado no se cubrieron 2,9 millones de puestos de trabajo en ciberseguridad en todo el mundo. Como consecuencia de esta escasez, muchas organizaciones no cuentan con equipos dotados de suficiente formación en ciberseguridad para hacer frente a las amenazas, lo que las hace mucho más vulnerables y, por tanto, más susceptibles de sufrir más consecuencias negativas.
- El efecto "fatiga de alerta" crea ineficiencias: ante la proliferación de amenazas y la variedad de vectores de ataque que los ciberdelincuentes pueden utilizar para acceder a los sistemas, muchos SOC recurren a diversas soluciones de ciberseguridad. Esto significa que tienden a dividir su tiempo y atención entre diferentes plataformas y herramientas, lo que provoca ineficacia y aumenta el riesgo para la organización, ya que pueden dejar amenazas y alertas potenciales sin filtrar ni priorizar.
- Tiempo de detección y respuesta insuficientes: según el informe The Cost of a Data Breach Report 2021 publicado por Ponemon Institute, en estas circunstancias el tiempo medio de detección de amenazas (212 días) y de medidas de contención (75 días) en las organizaciones es excesivamente largo. Esto significa a menudo que los hackers tienen tiempo suficiente para moverse lateralmente en los sistemas y lograr sus objetivos, como la exfiltración de datos o la ejecución de malware sin ser detectados por una solución de seguridad.
Por eso es fundamental reforzar los equipos de operaciones de seguridad de las organizaciones con servicios gestionados por expertos en operaciones de seguridad proactivas, conocidos en el sector como Modern SOCs. Los SOC modernos automatizan la búsqueda proactiva de posibles atacantes al acecho dentro de la organización y sus endpoints y agilizan una respuesta eficaz para prevenir un incidente de seguridad lo antes posible, minimizando así el impacto y, por tanto, su coste para la organización.
Algunas de las medidas clave de la eficacia de los Modern SOC modernos son las siguientes:
- Adoptar un enfoque Zero-Trust. Concede el menor número posible de privilegios a los usuarios, no confíes nunca (pero valida siempre) la legitimidad de las identidades, los usuarios y las aplicaciones y, por último, supervise y controle siempre cualquier actividad para detectar cuanto antes las anomalías de comportamiento.
- No seas reactivo en cuanto a las alertas, sé proactivo en la búsqueda de comportamientos sospechosos o técnicas de ataque sofisticadas que utilicen un mecanismo living-off-the-land, que no requieran que los hackers desplieguen sus propios dispositivos y pasen desapercibidos.
- Aplica análisis de seguridad escalados y automatizados para detectar, analizar y responder al atacante lo antes posible, proporcionando un análisis detallado de los sistemas afectados, las vulnerabilidades explotadas y la causa raíz del incidente.
- Adopta servicios de threat hunting en tus procesos continuos, ya que mejoran los mecanismos de detección automatizada y hacen frente así al flujo constante de amenazas.