Los CSOC (Cyber Security Operations Center) tienen un papel clave en la ciberseguridad actual. Desde Wise Security Global, Juanjo Pérez, Chief Operations Officer, y Xavi Pes, Service and Account Manager, explican la importancia de contar con un SOC flexible y de la automatización de los procesos de primer nivel.
¿Qué papel tienen los SOC?
Los usuarios son más móviles, los servicios migran a la nube y todos los recursos de TI están mucho más expuestos a las ciberamenazas. El control de la seguridad también evoluciona: hay que cubrir los entornos cloud y on premise para prevenir, detectar y actuar ante las ciberamenazas lo antes posible. Aquí es donde el papel del SOC es clave: supervisar la actividad en redes, servidores, dispositivos, bases de datos, aplicaciones, webs y otros para mejorar los niveles de protección y la ciberresiliencia de las organizaciones.
¿Cómo evolucionan los SOC?
En este contexto poscovid, la ubicación física no es estrictamente necesaria para un SOC moderno. El ritmo de ciberamenazas evoluciona de forma difícilmente alcanzable. Por lo que los SOC modernos no deben regirse por modelos rígidos con una única forma de operar, sino que deben ser capaces de evolucionar y ser flexibles.
Construir y operar un SOC es un viaje en continua evolución acorde a los cambios en la dirección de la empresa, su transformación digital, los proveedores de la nube y los cambios en la estrategia de negocio. Todo impacta directamente en el objetivo del SOC.
“La automatización es clave para minimizar la dependencia de personas en la detección de primer nivel”
¿Qué hay que tener en cuenta para desplegar un SOC para un cliente?
Es importante crear un SOC basado en las necesidades del negocio. Definir prioridades de negocio proporcionan claridad para seleccionar el modelo adecuado. El equipo de Wise entra desde esa fase inicial de definición.
Tras esta fase, ¿cuál es el modus operandi?
El servicio de SOC es continuado 24×7 en los casos de cierta madurez. La automatización es clave para minimizar la dependencia de personas en la detección de primer nivel. Así, se podrán focalizar esfuerzos y perfiles más experimentados en niveles superiores y en la respuesta ante ataques.
Las nuevas tecnologías y la automatización constante permiten una detección y respuesta casi inmediata en aquellos incidentes que hace muy poco eran el ‘core’ de un SOC. Gracias a esto, podemos focalizar la seguridad en una mejora constante de las medidas de detección de riesgos y en una respuesta más ágil y eficaz.
¿Existen diferentes modelos de SOC?
Cualquier versión de un modelo SOC puede ajustarse a: SOC híbrido, interno y externo. Desde Wise nos adaptamos a cada caso para alinearnos con la organización, sus recursos, actividad… y a partir de ahí damos la solución adecuada y siempre con flexibilidad para evolucionarla.
El modelo híbrido es flexible y el más implementado en el mundo; es una combinación de recursos internos y externos. Desde Wise apostamos por esta gestión del SIEM híbrida, siempre con la capacidad de acceder a la herramienta e investigar por su propia cuenta.
¿Hay que evaluar continuamente el modelo de SOC adoptado?
La historia demuestra que el alcance de un SOC evolucionará, dados los cambios en el panorama de las amenazas, las necesidades, recursos y casos de uso de una organización. Debido a la pandemia, muchas organizaciones tuvieron que adoptar nuevas tecnologías de seguridad, desarrollar talento para apoyar las operaciones de seguridad de forma remota o contratar proveedores.
En cualquier caso, el modelo de SOC adoptado debe ser evaluado continuamente para garantizar que se ajusta a las metas de la organización.
¿Y cómo puede evaluar una organización la eficacia del SOC?
Las funciones del SOC deben recaer en profesionales con altas habilidades y con protocolos de actuación claros. Hay que evaluar con frecuencia las capacidades del SOC (personas, procesos y tecnología) para determinar si está funcionando de acuerdo con los estatutos del SOC y con el objetivo para el que fue diseñado.
Algunas de las preguntas para hacer esta evaluación están relacionadas con la misión del SOC y su alineamiento con el riesgo empresarial, si las herramientas son adecuadas para detectar los últimos ataques, simular ataques, combinar con tecnología inteligente para la detección continua y reevaluar la matriz de decisiones a seguir.
¿Cómo funciona el SOC de Wise?
Llevamos a cabo todo este tipo de funciones a través de nuestros dos CSOC físicos (Madrid y Barcelona) en manos de personal altamente cualificado. El funcionamiento ininterrumpido de nuestros CSOC está orientado a la nube y combina un alto grado de automatización típico de los casos de uso. Integra tecnologías de seguridad e inteligencia de primera línea (como Tenable Nessus, Microsoft Sentinel, Blueliv, Google Rapid Response y otras).
Llevamos a cabo mucho más que la supervisión de alertas y amenazas: también orquestamos el SOAR y la respuesta a los incidentes DFIR, integrados en nuestra función de detección y respuesta gestionada (MCDR).
¿Cuál es el valor diferencial de este SOC?
Nuestro modelo de SOC moderno va más allá de la concepción tradicional. El valor diferencial radica en que hemos suavizado la pirámide de jerarquías: Tenemos más colaboración y permeabilidad entre las distintas líneas de ejecución, nos cultivamos entre todas las partes para tomar decisiones en base a la estrategia del cliente.
Otro factor relevante es que las herramientas de última generación que integramos en el SOC, como Microsoft Sentinel, permiten automatizar muchas tareas humanas de nivel 1.
Además, identificamos nuevas carencias tecnológicas del mercado desde el punto de vista de la detección y la protección, que Wise subsana a través de su considerable inversión en I+D. De aquí nacen soluciones propias como Haunt Keeper, Net Alarm y Bastet.
¿Qué tipo de clientes cuentan con los servicios del SOC?
Contamos con casos de éxito de sectores variados, sobre todo de empresas con un nivel de madurez en ciberseguridad alto, referencias internacionales de compañías como HomeServe y Puig.
¿Cuál es el horizonte para los SOC?
Gartner estima que, en 2025, el 90% de los SOC del G2000 utilizarán un modelo híbrido externalizando al menos el 50% de la carga de trabajo operativa. Y el 33% de las organizaciones que actualmente tienen funciones de seguridad internas intentarán y no lograrán crear un SOC interno eficaz debido a las limitaciones de recursos, como la falta de presupuesto, experiencia y personal.