En un entorno de cambios constantes en el acceso a nuestras redes en la que los usuarios de nuestros sistemas y datos se encuentran descentralizados, y llegados a cierto tamaño, se hace completamente necesario disponer de un sistema capaz de ayudarnos en tiempo real a detectar, investigar y tratar potenciales amenazas, hablamos del SOC.
Hoy en día, debemos disponer de un sistema que nos permita detectar de manera temprana potenciales amenazas en cualquier elemento de nuestro ecosistema. Pero a la vez que este sistema centralice y filtre todas estás informaciones para proporcionarnos una información sobre la que poder actuar efectivamente.
Un centro de operaciones de seguridad mejora las capacidades de detección, respuesta y prevención de amenazas, de una organización unificando y coordinando todas las tecnologías y operaciones de ciberseguridad.
No podemos seguir en un modelo de recibir cantidades ingentes de logs de diferentes fuentes esperando que un trabajador se lea esos archivos y determine si hay algo raro. Esto solo provoca que esos archivos se acaben ignorando o en el mejor de los casos que se revisen horas o días después del evento pero que a la vez no se detecten buena parte de las señales que podrían significar una alerta.
Necesitamos de esa automatización y recursos para anticipar, prevenir, detectar y reaccionar mejor ante las amenazas, con el objetivo de garantizar la confidencialidad, integridad y disponibilidad de los datos y sistemas.
Que es un SOC?
El Centro de Operaciones de Seguridad, SOC, se refiere a una plataforma que permite mejorar las capacidades de prevención, detección y respuesta de nuestra empresa coordinando todas las tecnologías y operaciones. En el SOC tenemos 3 elementos clave:
- Tecnología
- Procesos
- Profesionales de la ciberseguridad
Debemos entender el SOC como un flujo de trabajo continuo entre estos tres elementos en el que toda una serie de herramientas de software trabajan de manera conjunta para ayudarnos a conseguir los objetivos que hemos comentado anteriormente. Dentro de estas herramientas tenemos firewalls, antivirus, IPS/IDS o sistemas SIEM, XDR o SOAR entre otros
Como funciona un SOC
El objetivo de un SOC es prevenir, detectar, analizar y actuar sobre incidentes, supervisando redes, clientes, servidores, bases de datos, webs... En busca de señales que puedan significar una intrusión o comportamiento anómalo. Se debe garantizar que estás señales se identifiquen, investiguen y se actúe sobre ellas lo antes posible.
Para que esto sea posible se debe definir una estrategia inicial identificando aquellos recursos más críticos que puedan afectar al negocio y una vez teniendo esto se deben desplegar aquellos elementos que hagan posible el funcionamiento del SOC. Podemos definir varios puntos básico en el despliegue de un SOC:
- Inventariado de activos a proteger - Cómo decíamos antes hablamos de servidores, bases de datos, equipos de cliente, webs..
- Herramientas - todas aquellas tecnológias que nos ayuden a proteger estos activos, av, fw, siem..
- Procesos - En este caso hablamos de tareas como análisis de antivirus, actualizaciones de software o backups
- Plan de respuesta - Los responsables del SOC deben disponer de actualizados planes de respuesta antes las posibles amenazas o fallos en los activos protegidos. Definiendo tareas, responsabilidades y métricas.
- Evaluaciones de seguridad - se deben realizar periódicamente tests de penetración, escaneos de vulnerabilidades, etc.. para de esa manera detectar tempranamente posibles fallos y corregirlos adaptando a su vez si fuera necesaria el plan de respuesta y otras políticas de uso.
El equipo humano dentro de un SOC
Para que todo esto funcione de manera correcta ha de haber una serie de profesionales gestionando todo lo que hemos comentado anteriormente. El tamaño de este equipo depende enormemente en base al tamaño de la empresa y lo comprometida o concienciada que esté con la ciberseguridad. Si habláramos de un entorno ideal encontraríamos los siguientes perfiles:
- Alert Analyst - Encargados del análisis y clasificación.
- Incident responder - Aquellos a cargo de actuar sobre las amenazas filtradas por los analistas
- Threat hunter - Serían aquellos profesionales encargados de poner a prueba los sistemas intentando localizar vulnerabilidades en los mismos o amenazas que hayan podido pasar los controles desplegados, evaluando su impacto. También por su experiencia pueden dar soporte a los gestores de incidencias.
- IT Engineers - Encargados principalmente de la preparación de la arquitectura y política de seguridad
- SOC Manager - Encargado de la gestión del personal técnico del SOC y máximo responsable del mismo
Esto como hemos dicho es una descripción ideal de un SOC posiblemente alejada de la realidad en la mayoría de los casos en los que los roles son muchas veces asumidos transversalmente por una o dos personas.
En todo caso la idea que se debe transmitir es la de la conveniencia de implantar un sistema automatizado de recogida y análisis de logs para prevenir o identificar amenazas lo más tempranamente posible.
El equipo del SOC puede incluir otros especialistas, según el tamaño de la organización o del sector en que trabaje. Las empresas más grandes pueden incluir un Director de Respuesta a Incidentes, responsable de comunicar y coordinar la respuesta ante incidentes. Y algunos SOC incluyen investigadores forenses, que se especializan en recuperar datos (pistas o pruebas) de los dispositivos dañados o afectados por un incidente de ciberseguridad.
Métricas en el SOC
Como decíamos antes, en el SOC se lleva a cabo un proceso continuo entre las herramientas, procesos y profesionales que permite la mejora constante de la seguridad. Pero esto solo es demostrable en base a KPIs. En el caso del SOC se utilizan las siguientes métricas:
- Dwell Time – El tiempo medio en el que los atacantes mantienen acceso a la red antes de ser detectados y expulsados.
- Mean Time to Detect (MTTD) – El tiempo medio que tardan los analistas en identificar y validar incidentes en la red.
- Mean Time to Respond (MTTR) – El tiempo medio dedicado a parar y solucionar un incidente de seguridad.
- Mean Time to Contain (MTTC) – El tiempo medio dedicado a evitar que un incidente de seguridad provoque daños mayores.
- Time to Control – El tiempo dedicado a frenar la expansión de un malware en la red.