Security operations center es un equipo interno o externo de profesionales de seguridad de TI que supervisa toda la infraestructura tecnológica de una organización, las 24 horas del día, los 7 días de la semana, para detectar eventos de ciberseguridad en tiempo real y abordarlos de la forma más rápida y eficaz posible.
Un SOC (a veces denominado centro de operaciones de seguridad de la información o ISOC selecciona), también opera y mantiene la tecnología de seguridad cibernética y analiza continuamente los datos de las amenazas para encontrar formas de mejorar la seguridad de la organización.
El principal beneficio de operar o subcontratar un SOC es que unifica y coordina las herramientas, las prácticas y la respuesta de seguridad de una organización a los incidentes de seguridad. Esto generalmente da como resultado mejores medidas preventivas y políticas de seguridad, una detección de amenazas más rápida y una respuesta más rápida, más efectiva y más rentable a las amenazas de seguridad.
Un SOC también puede mejorar la confianza del cliente y simplificar y fortalecer el cumplimiento de una organización con las regulaciones de privacidad de la industria, nacionales y globales.
Las actividades y responsabilidades del SOC se dividen en tres categorías generales.
Inventario de activos. Un SOC necesita mantener un inventario exhaustivo de todo lo que necesita protegerse, dentro o fuera del centro de datos (por ejemplo, aplicaciones, bases de datos, servidores, servicios en la nube, puntos finales, etc.) y todas las herramientas utilizadas para protegerlos (cortafuegos, antivirus). /anti-malware/herramientas anti-ransomware, software de monitoreo, etc.). Muchos SOC utilizarán una solución de descubrimiento de activos para esta tarea.
Mantenimiento y preparación de rutina. Para maximizar la eficacia de las herramientas y medidas de seguridad implementadas, el SOC realiza un mantenimiento preventivo, como la aplicación de parches y actualizaciones de software, y la actualización continua de firewalls, listas blancas y negras, y políticas y procedimientos de seguridad.
El SOC también puede crear copias de seguridad del sistema, o ayudar a crear políticas o procedimientos para las copias de seguridad, garantizando así la continuidad del negocio en caso de una filtración de datos, un ataque de ransomware u otro incidente de ciberseguridad.
Planificación de respuesta ante incidentes. El SOC es responsable de desarrollar el plan de respuesta ante incidentes de la organización, que define actividades, roles, responsabilidades en caso de una amenaza o incidente, y las métricas por las cuales se medirá el desempeño de cualquier respuesta ante incidentes.
Pruebas periódicas. El equipo SOC realiza evaluaciones de vulnerabilidad: evaluaciones integrales que identifican la vulnerabilidad de cada recurso frente a amenazas potenciales y los costos asociados. También realiza pruebas de penetración que simulan ataques específicos en uno más sistemas. El equipo se encargará de reparar o ajustar las aplicaciones, las políticas de seguridad, las mejores prácticas y los planes de respuesta a incidentes en función de los resultados de estas pruebas.
Actualizaciones. El SOC se mantendrá actualizado sobre las últimas soluciones y tecnologías de seguridad, y sobre la inteligencia de amenazas más reciente: noticias e información sobre ataques cibernéticos y los piratas informáticos que los perpetran, recopilados de las redes sociales, fuentes de la industria y la dark web.
Monitoreo continuo de seguridad, las 24 horas. El SOC supervisa toda la infraestructura de TI extendida (aplicaciones, servidores, software del sistema, dispositivos informáticos, cargas de trabajo en la nube, la red) las 24 horas del día, los 7 días de la semana, los 365 días del año en busca de signos de vulnerabilidades conocidas y de cualquier actividad sospechosa.
Para muchos SOC, la tecnología central de monitoreo, detección y respuesta ha sido información de seguridad y gestión de eventos, o SIEM . SIEM monitorea y agrega alertas y telemetría de software y hardware en la red en tiempo real y luego analiza los datos para identificar posibles amenazas.
Más recientemente, algunos SOC también han adoptado la tecnología de detección y respuesta extendida (XDR), que proporciona telemetría y monitoreo más detallados, y la capacidad de automatizar la detección y respuesta a incidentes.
Gestión de registros La gestión de registros, la recopilación y el análisis de los datos de registro generados por cada evento de la red, es un subconjunto de la supervisión que es lo suficientemente importante como para tener su propio párrafo. Si bien la mayoría de los departamentos de TI recopilan datos de registro, es el análisis el que establece la actividad normal o de referencia y revela anomalías que indican actividad sospechosa.
De hecho, muchos piratas informáticos cuentan con el hecho de que las empresas no siempre analizan los datos de registro, lo que puede permitir que sus virus y malware se ejecuten sin ser detectados durante semanas o incluso meses en los sistemas de la víctima. La mayoría de las soluciones SIEM incluyen la capacidad de gestión de registros.
Detección de amenazas. El equipo SOC separa las señales del ruido (las indicaciones de ciberamenazas reales y las distracciones de los hackers para obtener falsos positivos) y luego clasifica las amenazas por gravedad. Las soluciones modernas de SIEM incluyen inteligencia artificial (IA) que automatiza estos procesos y "aprende" de los datos para mejorar la detección de actividades sospechosas con el tiempo.
Respuesta a incidentes En respuesta a una amenaza o a un incidente real, el SOC actúa para limitar el daño. Las acciones pueden incluir:
• Investigación de la causa raíz, para determinar las vulnerabilidades técnicas que dieron acceso a los piratas informáticos al sistema, así como otros factores (como una mala salud de contraseñas o una aplicación deficiente de las políticas) que contribuyeron al incidente.
• Cerrar puntos finales comprometidos o desconectarlos de la red
• Aislamiento de áreas comprometidas de la red o redirección del tráfico de red
• Pausar o detener aplicaciones o procesos comprometidos
• Eliminación de archivos dañados o infectados
• Ejecución de software antivirus o antimalware
• Desactivación de contraseñas para usuarios internos y externos.
Muchas soluciones XDR permiten que los SOC automaticen y aceleren estas y otras respuestas a incidentes.
Recuperación y reparación. Una vez que se contiene un incidente, el SOC erradica la amenaza, luego trabaja para que los activos afectados recuperen su estado antes del incidente (p. ej., borrado, restauración y reconexión de discos, dispositivos de usuarios finales y otros puntos finales; restauración del tráfico de red; reinicio de aplicaciones y procesos). En el caso de una violación de datos o un ataque de ransomware, la recuperación también puede implicar el corte de sistemas de respaldo y el restablecimiento de contraseñas y credenciales de autenticación.
Post-mortem y refinamiento. Para evitar que se repita, el SOC utiliza cualquier información reciente obtenida del incidente para abordar mejor las vulnerabilidades, actualizar procesos y políticas, elegir nuevas herramientas de ciberseguridad o revisar el plan de respuesta a incidentes.
En un nivel superior, el equipo SOC también puede tratar de determinar si el incidente revela una tendencia de seguridad cibernética nueva o cambiante para la cual el equipo debe prepararse.
Gestión de cumplimiento. El trabajo del SOC es garantizar que todas las aplicaciones, sistemas y herramientas y procesos de seguridad cumplan con las normas de privacidad de datos como GDPR (Reglamento de protección de datos global), CCPA (Ley de privacidad del consumidor de California), PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago y HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico).
Después de un incidente, el SOC se asegura de que los usuarios, los reguladores, las fuerzas del orden público y otras partes sean notificadas de acuerdo con las regulaciones, y que los datos requeridos del incidente se conserven para evidencia y auditoría.
En general, los roles principales en un equipo SOC incluyen:
• El administrador del SOC, que dirige el equipo, supervisa todas las operaciones de seguridad e informa al CISO (director de seguridad de la información) de la organización.
• Ingenieros de seguridad, que construyen y administran la arquitectura de seguridad de la organización. Gran parte de este trabajo implica evaluar, probar, recomendar, implementar y mantener herramientas y tecnologías de seguridad. Los ingenieros de seguridad también trabajan con equipos de desarrollo o DevOps/DevSecOps para asegurarse de que la arquitectura de seguridad de la organización incluya ciclos de desarrollo de aplicaciones.
• Analistas de seguridad, también llamados investigadores de seguridad o de respuesta ante incidentes, que son esencialmente los primeros en responder a las amenazas o incidentes de seguridad cibernética. Los analistas detectan, investigan y clasifican (priorizan) las amenazas; luego identifican los hosts, puntos finales y usuarios afectados, y toman las medidas apropiadas para mitigar y contener el impacto, la amenaza o el incidente. (En algunas organizaciones, los investigadores y los respondedores de incidentes son roles separados clasificados como analistas de Nivel 1 y Nivel 2, respectivamente).
• Los cazadores de amenazas (también llamados analistas de seguridad expertos) se especializan en detectar y contener amenazas avanzadas: nuevas amenazas o variantes de amenazas que logran pasar las defensas automatizadas.
El equipo SOC puede incluir otros especialistas, según el tamaño de la organización o la industria en la que opera. Las empresas más grandes pueden incluir un Director de Respuesta a Incidentes, responsable de comunicar y coordinar la respuesta a incidentes. Y algunos SOC incluyen investigadores forenses, que se especializan en recuperar datos (pistas) de dispositivos dañados o comprometidos en un incidente de ciberseguridad.
DevOps
DevSecOps
IBM Security QRadar XDR es la primera solución XDR integral de la industria de la seguridad de TI construida con estándares abiertos y automatización que unifica las capacidades de detección y respuesta de punto final (EDR), detección y respuesta de red (NDR) y SIEM en un solo flujo de trabajo.
Con QRadar XDR, los SOC pueden ahorrar un tiempo valioso y eliminar las amenazas más rápido al conectar información, optimizar los flujos de trabajo y aprovechar la IA para automatizar la respuesta.
El conjunto de soluciones IBM Security QRadar XDR incluye:
• QRadar XDR Connect, que integra herramientas de seguridad, agiliza los flujos de trabajo, se adapta a las habilidades y necesidades de los equipos de seguridad y automatiza el SOC.
• QRadar SIEM, con análisis de seguridad inteligente que analiza automáticamente los datos de registro y flujo de miles de dispositivos, puntos finales y aplicaciones en la red, lo que brinda información procesable sobre las amenazas más críticas.
• QRadar Network Insights , que proporciona análisis de tráfico de red en tiempo real, para la visibilidad profunda que los equipos de SOC necesitan para detectar amenazas ocultas antes de que sea demasiado tarde.
• QRadar SOAR (orquestación, automatización y respuesta de seguridad), que codifica los procesos de respuesta a incidentes en guías dinámicas que ayudan a los equipos de seguridad a responder con confianza, automatizar de manera inteligente y colaborar de manera uniforme.
Gartner nombró a IBM líder del Cuadrante Mágico de 2021 para SIEM
Comience en IBM Security