Los responsables de los centros de operaciones de seguridad (SOC) se enfrentan a un difícil equilibrio. Tienen que proteger infraestructuras y aplicaciones complejas a medida que las organizaciones se trasladan a la nube, logran la transformación digital y gestionan el riesgo, a la vez que atraen y retienen a talentos cualificados en materia de ciberseguridad en un mercado laboral muy ajustado.
Si añadimos el panorama actual de amenazas en rápida evolución con su creciente volumen de ataques sofisticados, tenemos la tormenta perfecta: la falta de visibilidad en entornos operativos complejos, la incapacidad de analizar volúmenes de datos a escala de la nube y la lucha por mejorar el rendimiento del equipo. Todo ello conduce a una menor productividad y a un mayor riesgo de seguridad.
La necesidad de automatización seguirá acelerándose, rápidamente. A medida que los SOC implementen capacidades de automatización, también lo harán los atacantes, y con una sofisticación cada vez mayor.
El SOC debe evolucionar
Se necesita un nuevo modelo -el SOC autónomo- para las organizaciones que esperan adelantarse al aumento exponencial de datos procedentes de innumerables fuentes, la escasez continua de analistas cualificados, la cola interminable de malos actores y el volumen y la criticidad de los ciberataques.
El SOC autónomo permitirá a los líderes del SOC automatizar el triaje, la investigación y la caza para que sus equipos puedan realizar una detección rápida y eficaz y una respuesta a los incidentes para resolver las amenazas en las infraestructuras a gran escala y en la nube.
El despliegue de la automatización impulsada por la IA en el SOC para gestionar las tareas repetitivas de revisión de las alertas para determinar cuáles requieren una acción permitirá a los analistas centrarse en la búsqueda, la investigación y la respuesta. Esto hará que el trabajo de los analistas sea más satisfactorio, ya que utilizan sus habilidades y experiencia para realizar análisis en profundidad de las amenazas y cómo erradicarlas. También hará que las organizaciones sean más seguras y menos vulnerables a ataques sofisticados.
Los pilares del SOC autónomo
Los pilares del SOC autónomo son tres:
Datos. El SOC autónomo tendrá unos datos flexibles y escalables, que podrán ser ingeridos desde todas las fuentes y formatos. La multitenencia y la capacidad de recopilar datos globales -cumpliendo al mismo tiempo los requisitos de privacidad- son fundamentales para aprovechar todas las ventajas del SOC autónomo incluso en las organizaciones más grandes y complejas.
Análisis. El SOC autónomo proporcionará análisis automatizados basados en IA/ML para facultar a los analistas a realizar la respuesta a incidentes en infraestructuras a gran escala y en la nube. Esta visibilidad mejorada ayudará a los equipos del SOC a hacer un mejor trabajo de gestión de las alertas de seguridad y de investigación de los riesgos basados en el cumplimiento.
Comunidad. El SOC autónomo estará interconectado. El intercambio de recursos comunitarios, como la inteligencia, la información y el contenido, seguirá ampliándose. Esto permitirá a los equipos del SOC optimizar sus habilidades de respuesta a incidentes y aprovechar las últimas técnicas de ataque, haciendo que la gestión del SOC sea más eficiente, eficaz y sólida.
La base de estos pilares será la automatización. El SOC autónomo estará dotado de tecnologías de automatización que permitirán a los analistas centrarse en las amenazas, y no sólo en la siguiente alerta que aparezca en sus pantallas. La automatización del triaje, la investigación y la búsqueda de amenazas significa que los analistas comenzarán las investigaciones con una clara comprensión del impacto total de una amenaza.
Beneficios del SOC autónomo
El SOC autónomo aportará innumerables beneficios a los líderes y analistas del SOC, así como a las organizaciones a las que sirven.
Para los responsables de los SOCs:
Incorporar fácilmente todos los datos de cualquier infraestructura y aplicaciones, proporcionando a los equipos de seguridad una visibilidad completa de toda la superficie de ataque.
Combina la detección, la investigación, la caza, la automatización y el análisis forense en una única plataforma fácil de usar para que los equipos de seguridad puedan responder a las amenazas de forma rápida y decisiva.
Para los analistas del SOC proporcionará:
Análisis, IA y ML para aliviar la fatiga de las alertas de amenazas, mejorando la calidad de las alertas que diferencian entre las de bajo impacto y las de alto impacto. Esto se consigue tamizando todos los datos para detectar las amenazas antes de que se conviertan en brechas e identificando los ataques antes de que causen daños.
Reducción del agotamiento mediante la automatización del triaje, la investigación y la caza, lo que da lugar a una detección y respuesta a incidentes rápida y eficaz para resolver rápidamente las amenazas, ya sea en las instalaciones o en la nube.
Con cada paso hacia el SOC autónomo, los equipos de seguridad están más cerca de proporcionar a su organización una postura de seguridad más completa, valiosa y resistente de lo que nunca ha sido posible.
Fuente: CSO
Comments