Autor: Fabian Mesa, Pre Sales Solutions Architect de NeoSecure by SEK
A medida que avanzamos en una era digital, en la cual, cualquier organización hace parte activa es necesario contar con todos los mecanismos necesarios para mantener segura la operatividad de las empresas, es aquí en donde la ciberseguridad es un eje fundamental para esto.
Como pieza clave de la ciberseguridad se encuentra el Security Operations Center o SOC como se ha dado a conocer, este centro de operaciones de seguridad ofrece garantías a las empresas al mantener una operación las 24 horas del día, los 365 días del año teniendo como base fundamental, mantener la confidencialidad, integridad y disponibilidad de los activos de cada organización.
La función principal del SOC no es estar solamente observando las amenazas a las que se enfrenta día a día por medio de un monitoreo continuo de los eventos de logs, sino de poder realizar una detección temprana ante estas, logrando identificarlas, y brindando una respuesta inmediata ante cualquier actividad sospechosa que se presente en la red. Gracias a estas funciones el SOC se posiciona como un pilar fundamental para llevar a cabo una defensa eficiente en cualquier organización.
Para poder garantizar que esta defensa se cumpla a cabalidad, el SOC debe contar con una serie de elementos clave para realizar su función dentro de las cuales se encuentran:
• Personal Calificado: el recurso humano con el cual este conformado el SOC debe contar con habilidades altamente calificadas para poder realizar desde un análisis de eventos encontrados como poder realizar una gestión sobre estos incidentes, conociendo que las amenazas se encuentran en una evolución exponencial, estos profesionales deben estar preparados para poder contrarrestar estas.
• Herramientas: el éxito de un SOC dejando de lado como primer hito los profesionales, son las herramientas en las cuales se basa para que este sea efectivo, para lo cual es necesario que cuente con tecnologías a la vanguardia como sistemas de detección y prevención de intrusiones, Firewalls, antivirus de nueva generación, inteligencia artificial, machine learning con las cuales se logra una detección mucho más rápida certera y proactiva.
• Colaboración: al hablar de colaboración, es necesario mantener una relación de la mano con las diferentes áreas que hacen parte de la organización, como TI, o la alta dirección de la misma para poder tener de primera mano clara la información y situación presente a fin de lograr tomar las decisiones de manera más acertada.
¿Por qué es importante la seguridad a nivel empresarial?
A medida que evoluciona el mundo digital, las empresas deben mantener esta transformación para continuar vigentes en el mercado dependiendo constantemente de la tecnología para realizar sus operaciones diarias, pero es necesario tener en cuenta que esta evolución también se da en las amenazas cibernéticas generando nuevos desafíos a nivel de seguridad.
Para destacar, algunas razones de la importancia de la seguridad a nivel empresarial son:
• Protección de los datos: cada empresa cuenta con una alta cantidad de datos que son sensibles para la organización, como por ejemplo la información financiara que se este manejando, las bases de datos de los clientes con los que cuenta actualmente como los potenciales, información crucial para el crecimiento del negocio. La perdida de acceso a
cualquier tipo de información puede causar un impacto alto para la compañía desde la perdida de la reputación, pérdida de clientes actuales y potenciales como también consecuencias legales.
• Continuidad: al vivir en un mundo digital, nos encontramos expuestos a tener interrupciones a nivel de servicio propiamente o dentro de los sistemas lo cual puede generar un impacto significativo en la continuidad del negocio, esto se puede solventar o mitigar de cierto modo, garantizando una disponibilidad continua a nivel de los sistemas que presentan mayor criticidad.
• Confianza: cuando se presta un servicio a diferentes organizaciones o personas, aparte de prestar un servicio de calidad, lo mas importante para cada uno de estos clientes es que la compañía genere confianza en donde se este seguro de que su información siempre va a estar protegida, la perdida de datos o exposición de estos puede dañar irremediablemente o a un punto muy alto, la confianza que han depositado cada una de estas entidades o personas. Teniendo en cuenta lo anterior, la confianza es uno de los activos mas importantes con los que se pueden contar y uno de los más difíciles de conseguir, por lo tanto, mantener esta confianza apoyados en la seguridad es un rol fundamental para el funcionamiento de cada organización.
• Cadena de suministro: la interconexión digital en la que se vive actualmente hace que la cada componente sea muy importante para lograr el objetivo de la empresa, si se llega a presentar un fallo de seguridad en cualquiera de los socios que hagan parte del negocio, puede llegar a impactar directamente en la organización, por esto es importante que se tenga presente la seguridad en cada eslabón como también la seguridad de manera colaborativa.
¿Cuáles son las funciones fundamentales para un SOC?
Dentro de las funciones principales de un SOC se tiene:
• Monitoreo continuo: como paso principal o eje de un SOC se cuenta con una observación constante de todos los sistemas, redes, activos en el ámbito digital de cada empresa realizando una búsqueda exhaustiva de cualquier tipo de actividad sospechosa, este proceso de debe garantizar las 24 horas del día.
Este monitoreo permite realizar un análisis de logs por medio de la validación de registros generados por las diferentes fuentes que se tienen relacionadas, como también por la supervisión generada en el trafico cursante a nivel de red y el comportamiento de cada uno de los usuarios, todo lo anterior en busca de actividades anómalos, trafico inusual o actividades de accesos no autorizados o inusuales.
El escaneo de vulnerabilidades es otra actividad importante generada en este monitoreo continuo, con el cual se busca poder identificar si existen a nivel de sistemas o aplicaciones vulnerabilidades que puedan ser explotadas.
Gracias a este monitoreo continuo se logra identificar diferentes tipos de amenazas en etapas iniciales logrando una detección temprana permitiendo dar una respuesta en tiempos mas cortos logrando una minimización a nivel de posible impacto. También se facilita la adopción de medidas de prevención contra las amenazas para que estas no se lleguen a materializar en un 100 por ciento. Y por último realizando este monitoreo continuo se esta siempre a la vanguardia ante los cambios constantes a las tácticas usadas por los ciberdelincuentes.
• Detección de amenazas: por medio del grupo de profesionales y las herramientas existentes en el SOC se logra la clasificación de eventos por medio de la correlación de datos de las diferentes fuentes con lo cual se puede indicar la presencia de algún tipo de amenaza cibernética.
Para lograr una detección de amenazas temprana, es necesario contar con diferentes tipos de actividades, que en conjunto llevan a este fin, como, por ejemplo, la evaluación continua de patrones de comportamiento para lograr identificar si existen desviaciones que indiquen comportamientos anómalos los cuales puedan finalizar en el inicio de un ataque.
La importancia en la detección de amenazas radica en poder realizar una identificación más rápida y precisa de las amenazas, logrando que el nivel de falsos positivos sea cada vez mas bajo y se logre centrar la atención en las amenazas reales, con esta identificación rápida de igual forma, se logra dar una respuesta mucho mas eficiente a cualquier tipo de amenaza que cause daños significativos, con lo anterior se puede evidenciar que se va a tener una mejora continua basada en la retroalimentación constante sobre eventos ya gestionados garantizando a su vez una adaptación constante a las nuevas tácticas de ataque.
El monitoreo continuo realizado en el SOC, como la detección de amenazas trabajan sinérgicamente, ya que gracias al monitoreo, se adquieren las bases para poder realizar una detección, a su vez la detección se apoya en diferentes tecnologías para poder identificar diferentes tipos de patrones y comportamientos anómalos, pero la información que se recopila en este ciclo permite tener respuestas efectivas y estrategias solidas de mitigación mejorando constantemente la postura de seguridad de cualquier organización
Para lograr tener una respuesta efectiva ante cualquier incidente es necesario contar con un plan de respuesta a incidentes, este plan es crucial para garantizar una acción rápida ante amenazas, para esto el SOC debe contar con elementos básicos para generar este plan, por ejemplo:
1. Definir cuál es el alcance que se va a tener en este.
2. Tener claramente identificados cuales son las fuentes a incluir a nivel de SOC.
3. Tener claridad en los roles y los responsables de la diferentes tareas a ejecutar dentro del
plan.
4. Definir como va a estar estructurado el equipo de respuesta a incidentes, analistas,
coordinadores, Threat Hunting etc.
5. Estipular cual es el proceso de notificación a miembros ante cualquier incidente que sea
detectado.
6. Definir los criterios de evaluación de los diferentes incidentes.
7. Establecer categorías para clasificar los incidentes según su tipo y riesgo.
8. Detallar cuales son las acciones a tomar para aislar el incidente y posteriormente
contenerlo.
9. Establecer los pasos a seguir para recopilación de evidencia sobre incidentes generados.
10. Definir el proceso de notificación interna y externa.
11. Identificar medidas para realizar una mejora sobre los hallazgos encontrados y prevención
de futuros incidentes.
12. Tomar las lecciones aprendidas
13. Documentar toda acción realizada durante el proceso generado.
14. Crear informes sobre la respuesta realizada al incidente.
Cada plan generado puede variar según la necesidad puntual en cada caso para acoplarse de la
mejor manera a la organización.
En resumen para que toda organización tenga una gestión proactiva a nivel de ciberseguridad es necesario contar con un SOC el cual va a mantener un monitoreo constante sobre la infraestructura tecnológica de la empresa en busca de posibles amenazas, detectando de manera eficiente incidentes que se presenten en seguridad y dando una respuesta rápida ante estos eventos, el SOC va a apoyar a las organizaciones para mantener la integridad, confidencialidad y disponibilidad de toso sus activos digitales apoyando el fortalecimiento de la postura de seguridad con la que se cuenta ante las actuales y futuras amenazas.
