Los tres motivos de adopción de Security Operations Centers (SOCs)
Los equipos de TI y seguridad de las empresas se enfrentan a retos de ciberseguridad que ponen cada vez más a prueba sus capacidades defensivas. Como resultado, las organizaciones tienen que defenderse de un creciente número de incidentes (un ataque cada 39 segundos, según la Universidad de Maryland) y la sofisticación de las amenazas, con multitud ejemplos de las graves consecuencias a pesar del incremento de presupuesto en seguridad de las organizaciones, el coste de los ciberataques sigue creciendo año tras año (más de 6.000 millones de dólares en 2019, de acuerdo con un estudio de CSIS).
Por ejemplo, el teletrabajo y la movilidad de los usuarios han favorecido que el perímetro de seguridad de las compañías se haya extendido y lo llevemos “con nosotros”. También han cambiado sus técnicas los grupos criminales que apuntan a las empresas que han trasladado su infraestructura a la nube para esconderse entre los servicios legítimos y los atacantes masivos han desarrollado nuevas formas de rastrear la red e introducirse sin ser vistos.
Esto provoca unos efectos directos en los equipos de operaciones de seguridad (security Operations teams) sobre los que no siempre se presta la suficiente atención y que, sin embargo, terminan por lastrar su efectividad, poniendo en peligro a sus propias organizaciones. El nuevo ebook de WatchGuard Seguridad Endpoint Avanzada para SOCs Tu arma de caza contra lo Desconocido aborda estos tres grandes retos:
- Falta de expertos en ciberseguridad: 2,9 millones de empleos de ciberseguridad se quedaron sin cubrir en todo el mundo durante el pasado año. La consecuencia de esta falta de profesionales es que muchas organizaciones no disponen de equipos con la suficiente formación en ciberseguridad para hacer frente a las amenazas, lo que las hace mucho más vulnerables y por tanto, más susceptibles de tener consecuencias más negativas.
- El efecto “fatiga de alerta” genera ineficiencias: ante la proliferación de amenazas y la variedad de vectores de ataque que pueden utilizar los ciberatacantes para acceder a los sistemas, muchos SOCs recurren a diferentes soluciones de ciberseguridad. Esto les hace dividir su tiempo y atención entre diferentes plataformas y herramientas, lo que provoca ineficiencia e incrementa el riesgo para su organización, ya que pueden dejar posibles amenazas y alertas sin filtrar ni priorizar.
- Tiempo de detección y respuesta insuficientes: bajo estas circunstancias, según el informe de Ponemon Institute, the Cost of a Data Breach Report 2021, el tiempo medio de detección de las amenazas (212 días) y de medidas de contención (75 días) en las organizaciones es excesivamente extenso. Esto provoca en muchas ocasiones que los ciberatacantes puedan tener suficiente margen para moverse lateralmente en los sistemas y conseguir sus objetivos, como exfiltrar datos o ejecutar su malware sin ser visto por ninguna solución de seguridad.
Por estos motivos, es fundamental reforzar a los equipos de operaciones de seguridad de las organizaciones con servicios gestionados por expertos en operaciones de seguridad proactiva, lo que se denomina en la industria Modern SOCs que automaticen la búsqueda proactiva de posibles atacantes acechando dentro de la organización y de sus endpoints y agilicen una respuesta efectiva para evitar el incidente de seguridad lo antes posible, minimizando así el impacto y por tanto su coste para la organización.
Algunas de las claves de la eficiencia de los Modern SOCs son:
- Adopción de un enfoque Zero-Rrust. Conceder el menor número posible de privilegios a los usuarios, nunca confiar, si siempre validar la legitimidad de identidades, usuarios, aplicaciones, y por último siempre supervisar, monitorizar cualquier actividad para detectar lo antes posible anomalías de comportamiento.
- No ser reactivo a alertas, sino proactivo en la búsqueda de comportamientos sospechosos o técnicas sofisticadas de ataques utilizando mecanismo de living-off-the-land (sin requerir desplegar sus propios artefactos y pasar desapercibidos).
- Aplicar analítica de seguridad a escala y automatizada para detectar, analizar y responder al atacante lo antes posible. Así como proporcional un detallado análisis de los sistemas impactados, las vulnerabilidades aprovechadas y la causa raíz del incidente.
- También conviene adoptar en sus procesos continuos, servicios de threat hunting que sea capaces de mejorar los mecanismos de detección automatizada y así hacer frente al constante flujo de amenazas.