Retos de los SOC I WatchGuard Blog

El Centro de operaciones de seguridad (Security Operations Center - SOC) es el equipo de seguridad centralizado que emplea las herramientas necesarias para monitorizar y mejorar continuamente la postura de seguridad de una organización mientras previene, detecta, analiza y responde a alertas de seguridad. En este sentido, el SOC actúa como el “comando central” de la seguridad de la organización, de manera que aglutina toda su infraestructura de TI, incluidas sus redes, dispositivos o datos de la compañía, ya sean dentro del perímetro de lo que es la propia compañía como fuera de ella.

En los últimos años, han adquirido una enorme importancia los SOC, ya quelas empresas -no importa el tamaño, el vertical o la geolocalización- se enfrentan a mayores riesgos de seguridad, debido al incremento en volumen y sofisticación de las ciberamenazas: ahora son capaces de eludir los más sofisticados controles de seguridad automatizados. Además, hay añadir la complejidad de la infraestructura a proteger, ya que se extiende la superficie de ataque exponencialmente, el volumen de alertas de seguridad a gestionar, la escasez de recursos con experiencia, que se ve agravado con la falta de presupuestos. Todo ello hace que la capacidad de defender a las organizaciones se vea negativamente afectado, al punto que por ejemplo, Gartner pronosticó que para el 2025 los ciberatacantes ya dispondrán de suficientes capacidades para afectar a las infraestructuras críticas hasta el punto de poder poner en peligro la vida de seres humanos.

En este sentido, los SOCs deben ser capaces de adelantarse a las amenazas sofisticadas y desconocidas que acechan a las organizaciones. De esta manera, detectan y correlación comportamientos anómalos que identifiquen con claridad un incidente de seguridad y así responden cuanto antes. Sin embargo, las amenazas son cada vez más complejas y no todas las herramientas y soluciones para facilitar las tareas de los SOCs son capaces de hacer frente a esta situación. A pesar de ser diseñadas para esto, la avalancha de alertas que reciben los equipos obliga a que tengan que determinar si son reales o no. Esto da lugar a situaciones de fatiga de alerta por parte de los profesionales, que además de tener un coste operativo, pueden suponer fallos como dejar escapar amenazas o errores de diagnóstico. También hay que sumarles la falta de talento cualificado y formación en ciberseguridad para poder gestionar este tipo de ataques.

Para hacer frente a estos retos, es imprescindible que los SOCs cuenten con herramientas de ciberseguridad.que les permita ser lo más eficiente en su misión de defender a las organizaciones. Aunque las soluciones tradicionales de seguridad son necesarias, , por si solas son insuficientes. En primer lugar, porque sus alertas se basan en las amenazadas conocidas, por lo que pueden no tener en cuenta procesos sospechosos que no estén contemplados en sus registros y por tanto, no detectar amenazas desconocidas. Y en segundo lugar, tienen un enfoque reactivo con respecto a esos registros y no hacen búsquedas autónomas de otros posibles indicadores de ataque que permitan adelantarlos al incidente.

Es por esto que los SOCs deben complementar sus soluciones de ciberseguridad con herramientas avanzadas basadas en un enfoque proactivo, donde haya una búsqueda constante y automatizada de amenazas tanto conocidas como desconocidas, basadas en el threat hunting, detección proactiva y respuesta en las fases tempranas del ataque.

En el contexto actual, la propuesta de valor de WatchGuard for SOCs se basa en esa combinación de soluciones de seguridad avanzadas y servicios gestionados proactivos para cazar, detectar y responder eficazmente a las amenazas que han podido evadir otras protecciones en ordenadores, servidores, entornos en la nube o dispositivos móviles. De esta forma pueden hacer frente a la fatiga de alertas, el crecimiento de la superficie expuesta a ataques, la complejidad del panorama de amenazas y los desafíos de la escasez de talento. De esta manera, se optimiza de la mejor forma posible las operaciones de seguridad de las compañías.