Publicado: 15 de marzo de 2024
Colaboradores: Mark Scapicchio, Amanda Downie, Matthew Finio
Un centro de operaciones de seguridad (SOC) mejora las capacidades de detección, respuesta y prevención de amenazas de una organización mediante la unificación y la coordinación de todas las tecnologías y operaciones de ciberseguridad.
Un SOC, que se suele pronunciar como "sock" y a veces llamado centro de operaciones de seguridad de la información, o ISOC, es un equipo interno o subcontratado de profesionales de seguridad de TI dedicados a monitorizar 24x7 toda la infraestructura informática de una organización. Su misión es detectar, analizar y responder a incidentes de seguridad en tiempo real. Esta orquestación de las funciones de ciberseguridad permite al equipo del SOC mantener la vigilancia sobre las redes, los sistemas y las aplicaciones de la organización y garantiza una posición de defensa proactiva contra las ciberamenazas.
El SOC también selecciona, opera y mantiene las tecnologías de ciberseguridad de la organización y analiza continuamente los datos de amenazas para encontrar formas de mejorar la posición de seguridad de la organización.
Cuando no está en las instalaciones, un SOC suele formar parte de los servicios de gestionados de seguridad externalizados (MSS) ofrecidos por un proveedor de servicios de gestionados seguridad (MSSP). La principal ventaja de operar o subcontratar un SOC es que unifica y coordina el sistema de seguridad de una organización, incluidas sus herramientas de seguridad, prácticas y respuesta a incidentes de seguridad. Esto suele dar lugar a medidas preventivas y políticas de seguridad mejoradas, una detección de amenazas más rápida y una respuesta más rápida, eficaz y rentable a las amenazas de seguridad. Un SOC también puede mejorar la confianza del cliente y simplificar y fortalecer el cumplimiento de una organización con las regulaciones de privacidad de la industria, nacionales y globales.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".
Regístrese para obtener el X-Force Threat Intelligence Index
Las actividades y responsabilidades del SOC se dividen en tres categorías generales.
Inventario de activos: un SOC necesita mantener un inventario exhaustivo de todo lo que hay que proteger, dentro o fuera del centro de datos (por ejemplo, aplicaciones, bases de datos, servidores, servicios en la nube, endpoints, etc.) y todas las herramientas utilizadas para protegerlos (firewalls, herramientas antivirus/antimalware/antiransomware, software de monitorización, etc.). Muchos SOC utilizarán una solución de detección de activos para esta tarea.
Mantenimiento y preparación de rutina: para maximizar la eficacia de las herramientas y medidas de seguridad implementadas, el SOC realiza un mantenimiento preventivo, como la aplicación de parches y actualizaciones de software, y la actualización continua de firewalls, listas de permitidos y bloqueados, y políticas y procedimientos de seguridad. El SOC también puede crear copias de seguridad del sistema, o ayudar a crear políticas o procedimientos de copia de seguridad, para garantizar la continuidad del negocio en caso de una vulneración de datos, un ataque de ransomware u otro incidente de ciberseguridad.
Planificación de la respuesta a incidentes: el SOC es responsable de desarrollar el plan de respuesta a incidentes de la organización, que define las actividades, roles y responsabilidades en caso de una amenaza o incidente, y las métricas por las cuales se medirá el éxito de cualquier respuesta a incidentes.
Pruebas periódicas: el equipo del SOC realiza evaluaciones de vulnerabilidad, evaluaciones exhaustivas que identifican la vulnerabilidad de cada recurso ante las amenazas potenciales o emergentes y los costes asociados. También realiza pruebas de penetración que simulan ataques específicos en uno o más sistemas. El equipo corrige o ajusta las aplicaciones, las políticas de seguridad, las mejores prácticas y los planes de respuesta a los incidentes en función de los resultados de estas pruebas.
Mantenerse al día: el SOC se mantiene actualizado sobre las últimas soluciones y tecnologías de seguridad, y sobre la inteligencia de amenazas más reciente: noticias e información sobre los ciberataques y los hackers que los perpetran, recopilada de las redes sociales, fuentes de la industria y la dark web.
Monitorización continua de la seguridad las 24 horas del día: el SOC monitoriza toda la infraestructura de TI ampliada (aplicaciones, servidores, software del sistema, dispositivos informáticos, cargas de trabajo en la nube, la red) 24 horas al día, 7 días a la semana, 365 días al año, en busca de indicios de exploits conocidos y de cualquier actividad sospechosa.
Para muchos SOC, la tecnología central de monitorización, detección y respuesta ha sido gestión de información y eventos de seguridad, o SIEM. SIEM monitoriza y agrega alertas y telemetría de software y hardware en la red en tiempo real, y luego analiza los datos para identificar posibles amenazas. Más recientemente, algunos SOC también han adoptado la tecnología de detección y respuesta extendidas (XDR), que proporciona telemetría y monitorización más detalladas, y permite la automatización de la detección y respuesta a incidentes.
Gestión de registros: la administración de registros, es decir, la recopilación y el análisis de datos de registro generados por cada evento de red, es un subconjunto importante de la monitorización. Aunque la mayoría de los departamentos de TI recopilan datos de registro, es el análisis el que establece la actividad normal o de referencia y revela las anomalías que indican actividad sospechosa. De hecho, muchos piratas informáticos cuentan con que las empresas no siempre analizan los datos de registro, lo que puede permitir que sus virus y programas maliciosos funcionen sin ser detectados durante semanas o incluso meses en los sistemas de la víctima. La mayoría de las soluciones SIEM incluyen capacidad de gestión de registros.
Detección de amenazas: el equipo del SOC separa las señales del ruido, los indicios de ciberamenazas reales y los usos de los hackers de los falsos positivos, y luego clasifica las amenazas por gravedad. Las soluciones SIEM modernas incluyen inteligencia artificial (IA) que automatiza estos procesos y que "aprende" de los datos para mejorar con el tiempo en la detección de actividades sospechosas.
Respuesta a incidentes: en respuesta a una amenaza o incidente real, el SOC actúa para limitar el daño. Las acciones pueden incluir:
- Investigar la causa raíz, para determinar las vulnerabilidades técnicas que dieron a los hackers acceso al sistema, así como otros factores (como una mala higiene de las contraseñas o una aplicación deficiente de las políticas) que contribuyeron al incidente.
- Apagar los endpoints comprometidos o desconectarlos de la red.
- Aislar áreas comprometidas de la red o redirigir el tráfico de red.
- Pausar o detener aplicaciones o procesos comprometidos.
- Eliminar archivos dañados o infectados.
- Ejecutar software antivirus o antimalware.
- Dar de baja las contraseñas de los usuarios internos y externos.
Muchas soluciones XDR permiten a los SOC automatizar y acelerar estas y otras respuestas a incidentes.
Recuperación y corrección: una vez que se contiene un incidente, el SOC erradica la amenaza y, a continuación, trabaja para recuperar los activos afectados a su estado anterior al incidente (por ejemplo, borrado, restauración y reconexión de discos, dispositivos de usuario y otros puntos finales; restablecimiento del tráfico de red; reinicio de aplicaciones y procesos). En el caso de una vulneración de datos o un ataque de ransomware, la recuperación también puede implicar pasar a los sistemas de copia de seguridad y restablecer las contraseñas y las credenciales de autenticación.
Autopsia y refinamiento: para evitar que se repita, el SOC utiliza cualquier información nueva obtenida del incidente para abordar mejor las vulnerabilidades, actualizar los procesos y las políticas, elegir nuevas herramientas de ciberseguridad o revisar el plan de respuesta al incidente. En un nivel superior, el equipo de SOC también podría intentar determinar si el incidente revela una tendencia de ciberseguridad nueva o cambiante para la que el equipo debe prepararse.
Gestión del cumplimiento: el SOC se encarga de garantizar que todas las aplicaciones, sistemas y herramientas y procesos de seguridad cumplan con las regulaciones de privacidad de datos, como el RGPD (Reglamento global de protección de datos), la CCPA (California Consumer Privacy Act), el PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago) y la HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico). Tras un incidente, el SOC se asegura de que los usuarios, los reguladores, las fuerzas del orden y otras partes reciben una notificación de acuerdo con la normativa y de que los datos del incidente requeridos se conservan con fines de prueba y auditoría.
Un SOC proporciona numerosos beneficios a las organizaciones, entre ellos:
Protección de activos: la monitorización proactiva y las capacidades de respuesta rápida de los SOC ayudan a prevenir el acceso no autorizado y minimizan el riesgo de vulneraciones de datos. Esto protegerá los sistemas cruciales, los datos confidenciales y la propiedad intelectual contra violaciones de seguridad y robos.
Continuidad del negocio: al reducir los incidentes de seguridad y minimizar su impacto, los SOC garantizan operaciones comerciales ininterrumpidas. Esto ayuda a mantener la productividad, los flujos de ingresos y la satisfacción del cliente.
Cumplimiento normativo: los SOC ayudan a las organizaciones a cumplir los requisitos normativos y los estándares de la industria en materia de ciberseguridad mediante la implementación de medidas de seguridad efectivas y el mantenimiento de registros detallados de incidentes y respuestas.
Ahorro de costes: invertir en medidas de seguridad proactivas a través de un SOC puede suponer un ahorro significativo al evitar costosas vulneraciones de datos y ciberataques. La inversión inicial suele ser mucho menor que los daños financieros y los riesgos para la reputación causados por un incidente de seguridad y, si se externaliza, sustituye a la necesidad de contratar profesionales de seguridad en plantilla.
Confianza del cliente: demostrar un compromiso con la ciberseguridad a través del funcionamiento de un SOC aumenta la confianza entre los clientes y las partes interesadas.
Respuesta mejorada ante incidentes: las capacidades de respuesta rápida de los SOC reducen el tiempo de inactividad y las pérdidas financieras al contener las amenazas y restablecer rápidamente las operaciones normales para minimizar las interrupciones.
Mejora de la gestión de riesgos: mediante el análisis de los eventos y tendencias de seguridad, los equipos SOC pueden identificar las vulnerabilidades potenciales de una organización. Así podrán tomar medidas proactivas para mitigarlos antes de que sean explotados.
Detección proactiva de amenazas: al monitorizar continuamente las redes y los sistemas, los SOC pueden identificar y mitigar más rápidamente las amenazas de seguridad. Esto minimiza los daños potenciales y las vulneraciones de datos, y ayuda a las organizaciones a mantenerse a la vanguardia de un panorama de amenazas en evolución.
En general, las funciones principales de un equipo SOC incluyen:
Director del SOC: el director del SOC dirige el equipo, supervisa todas las operaciones de seguridad y depende del CISO (director de seguridad de la información) de la organización.
Ingenieros de seguridad: estas personas crean y gestionan la arquitectura de seguridad de la organización. Gran parte de este trabajo implica evaluar, probar, recomendar, implementar y mantener las herramientas y tecnologías de seguridad. Los ingenieros de seguridad también trabajan con equipos de desarrollo o DevOps/DevSecOps para asegurarse de que la arquitectura de seguridad de la organización se incluye en los ciclos de desarrollo de aplicaciones.
Analistas de seguridad: también llamados investigadores de seguridad o encargados de responder a incidentes, los analistas de seguridad son esencialmente los primeros en responder a las amenazas o incidentes de ciberseguridad. Los analistas detectan, investigan y clasifican (priorizan) las amenazas; a continuación, identifican los hosts, endpoints y usuarios afectados. Luego toman las medidas adecuadas para mitigar y contener el impacto de la amenaza o el incidente. En algunas organizaciones, los investigadores y los respondedores de incidentes son roles separados clasificados como analistas de Nivel 1 y Nivel 2, respectivamente).
Buscadores de amenazas: también denominados analistas expertos en seguridad o analistas SOC, los buscadores de amenazas se especializan en detectar y contener amenazas avanzadas, búsqueda de amenazas para encontrar de nuevas amenazas o variantes de amenazas que consiguen escabullirse de las defensas automatizadas.
El equipo SOC puede incluir otros especialistas, según el tamaño de la organización o el tipo de industria. Las empresas más grandes pueden incluir un director de respuesta a incidentes, responsable de comunicación y coordinación de la respuesta a incidentes. Y algunos SOC incluyen investigadores forenses, que se especializan en recuperar datos (pistas) de dispositivos dañados o comprometidos en un incidente de ciberseguridad.
¿Qué es DevOps?
¿Qué es DevSecOps?
Aprenda de los desafíos y éxitos experimentados por los equipos de seguridad de todo el mundo.
Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
Proteja contra las ciberamenazas con prevención 24 horas al día, 7 días a la semana, y detección y respuesta más rápidas impulsadas por la IA.
IBM Security X-Force Cyber Ranges pone a prueba a sus equipos y le muestra cómo prepararse para el peor día de su organización.
Conozca estos equipos internos de seguridad de TI que se defienden contra los ciberatacantes y fortalecen su posición de seguridad.
Lea los resultados de una encuesta realizada a más de 1000 miembros del equipo de SOC de todo el mundo sobre la velocidad, los tiempos de respuesta, la detección y la automatización.