Inicio
Temas
Security Operations Center
Publicado: 15 de marzo de 2024
Colaboradores: Mark Scapicchio, Amanda Downie, Matthew Finio
Un centro de operaciones de seguridad (SOC) mejora las capacidades de detección, respuesta y prevención de amenazas de seguridad cibernética al unificar y coordinar todas las tecnologías y operaciones de seguridad cibernética.
Un SOC, que suele pronunciarse "sock" y a veces se denomina centro de operaciones de seguridad de la información (ISOC), es un equipo interno o subcontratado de profesionales de seguridad de TI dedicados a monitorear toda la infraestructura de TI de una organización las 24 horas del día, los 7 días de la semana. Su misión es detectar, analizar y responder a incidentes de seguridad en tiempo real. Esta orquestación de las funciones de ciberseguridad permite al equipo del SOC mantener la vigilancia sobre las redes, los sistemas y las aplicaciones de la organización, y garantiza una postura de defensa proactiva contra las amenazas cibernéticas.
El SOC también selecciona, opera y mantiene las tecnologías de ciberseguridad de la organización y analiza continuamente los datos de amenazas para encontrar formas de mejorar la postura de seguridad de la organización.
Cuando no está en las instalaciones, un SOC suele formar parte de los servicios de seguridad gestionados (MSS) subcontratados ofrecidos por un proveedor de servicios de seguridad gestionados (MSSP). El beneficio principal de operar o subcontratar un SOC es que unifica y coordina el sistema de seguridad de una organización, incluidas sus herramientas de seguridad, prácticas y respuesta a incidentes de seguridad. Esto suele dar como resultado mejores medidas preventivas y políticas de seguridad, una detección de amenazas más rápida y una respuesta más rápida, eficaz y rentable a las amenazas de seguridad. Un SOC también puede mejorar la confianza del cliente y simplificar y fortalecer el cumplimiento de una organización con las regulaciones de privacidad de la industria, nacionales y globales.
Obtenga insights para gestionar mejor el riesgo de una filtración de datos con el último Informe del costo de una filtración de datos.
Las actividades y responsabilidades del SOC se dividen en tres categorías generales.
Inventario de activos. Un SOC necesita mantener un inventario exhaustivo de todo lo que necesita protegerse, dentro o fuera del centro de datos (por ejemplo, aplicaciones, bases de datos, servidores, servicios en la nube, puntos finales, etc.) y todas las herramientas utilizadas para protegerlos (cortafuegos, antivirus). /anti-malware/herramientas anti-ransomware, software de monitoreo, etc.). Muchos SOC utilizarán una solución de descubrimiento de activos para esta tarea.
Mantenimiento y preparación de rutina. Para maximizar la eficacia de las herramientas y medidas de seguridad implementadas, el SOC realiza un mantenimiento preventivo, como la aplicación de parches y actualizaciones de software, y la actualización continua de firewalls, listas blancas y negras, y políticas y procedimientos de seguridad.
El SOC también puede crear copias de seguridad del sistema, o ayudar a crear políticas o procedimientos para las copias de seguridad, garantizando así la continuidad del negocio en caso de una filtración de datos, un ataque de ransomware u otro incidente de ciberseguridad.
Planificación de respuesta ante incidentes. El SOC es responsable de desarrollar el plan de respuesta ante incidentes de la organización, que define actividades, roles, responsabilidades en caso de una amenaza o incidente, y las métricas por las cuales se medirá el desempeño de cualquier respuesta ante incidentes.
Pruebas periódicas. El equipo SOC realiza evaluaciones de vulnerabilidad: evaluaciones integrales que identifican la vulnerabilidad de cada recurso frente a amenazas potenciales y los costos asociados. También realiza pruebas de penetración que simulan ataques específicos en uno más sistemas. El equipo se encargará de reparar o ajustar las aplicaciones, las políticas de seguridad, las mejores prácticas y los planes de respuesta a incidentes en función de los resultados de estas pruebas.
Actualizaciones. El SOC se mantendrá actualizado sobre las últimas soluciones y tecnologías de seguridad, y sobre la inteligencia de amenazas más reciente: noticias e información sobre ataques cibernéticos y los piratas informáticos que los perpetran, recopilados de las redes sociales, fuentes de la industria y la dark web.
Monitoreo continuo de seguridad, las 24 horas. El SOC supervisa toda la infraestructura de TI extendida (aplicaciones, servidores, software del sistema, dispositivos informáticos, cargas de trabajo en la nube, la red) las 24 horas del día, los 7 días de la semana, los 365 días del año en busca de signos de vulnerabilidades conocidas y de cualquier actividad sospechosa.
Para muchos SOC, la tecnología central de monitoreo, detección y respuesta ha sido información de seguridad y gestión de eventos, o SIEM . SIEM monitorea y agrega alertas y telemetría de software y hardware en la red en tiempo real y luego analiza los datos para identificar posibles amenazas.
Más recientemente, algunos SOC también han adoptado la tecnología de detección y respuesta extendida (XDR), que proporciona telemetría y monitoreo más detallados, y la capacidad de automatizar la detección y respuesta a incidentes.
Gestión de registros La gestión de registros, la recopilación y el análisis de los datos de registro generados por cada evento de la red, es un subconjunto de la supervisión que es lo suficientemente importante como para tener su propio párrafo. Si bien la mayoría de los departamentos de TI recopilan datos de registro, es el análisis el que establece la actividad normal o de referencia y revela anomalías que indican actividad sospechosa.
De hecho, muchos piratas informáticos cuentan con el hecho de que las empresas no siempre analizan los datos de registro, lo que puede permitir que sus virus y malware se ejecuten sin ser detectados durante semanas o incluso meses en los sistemas de la víctima. La mayoría de las soluciones SIEM incluyen la capacidad de gestión de registros.
Detección de amenazas. El equipo SOC separa las señales del ruido (las indicaciones de ciberamenazas reales y las distracciones de los hackers para obtener falsos positivos) y luego clasifica las amenazas por gravedad. Las soluciones modernas de SIEM incluyen inteligencia artificial (IA) que automatiza estos procesos y "aprende" de los datos para mejorar la detección de actividades sospechosas con el tiempo.
Respuesta a incidentes En respuesta a una amenaza o a un incidente real, el SOC actúa para limitar el daño. Las acciones pueden incluir:
• Investigación de la causa raíz, para determinar las vulnerabilidades técnicas que dieron acceso a los piratas informáticos al sistema, así como otros factores (como una mala salud de contraseñas o una aplicación deficiente de las políticas) que contribuyeron al incidente.
• Cerrar puntos finales comprometidos o desconectarlos de la red
• Aislamiento de áreas comprometidas de la red o redirección del tráfico de red
• Pausar o detener aplicaciones o procesos comprometidos
• Eliminación de archivos dañados o infectados
• Ejecución de software antivirus o antimalware
• Desactivación de contraseñas para usuarios internos y externos.
Muchas soluciones XDR permiten que los SOC automaticen y aceleren estas y otras respuestas a incidentes.
Recuperación y reparación. Una vez que se contiene un incidente, el SOC erradica la amenaza, luego trabaja para que los activos afectados recuperen su estado antes del incidente (p. ej., borrado, restauración y reconexión de discos, dispositivos de usuarios finales y otros puntos finales; restauración del tráfico de red; reinicio de aplicaciones y procesos). En el caso de una violación de datos o un ataque de ransomware, la recuperación también puede implicar el corte de sistemas de respaldo y el restablecimiento de contraseñas y credenciales de autenticación.
Post-mortem y refinamiento. Para evitar que se repita, el SOC utiliza cualquier información reciente obtenida del incidente para abordar mejor las vulnerabilidades, actualizar procesos y políticas, elegir nuevas herramientas de ciberseguridad o revisar el plan de respuesta a incidentes.
En un nivel superior, el equipo SOC también puede tratar de determinar si el incidente revela una tendencia de seguridad cibernética nueva o cambiante para la cual el equipo debe prepararse.
Gestión de cumplimiento. El trabajo del SOC es garantizar que todas las aplicaciones, sistemas y herramientas y procesos de seguridad cumplan con las normas de privacidad de datos como GDPR (Reglamento de protección de datos global), CCPA (Ley de privacidad del consumidor de California), PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago y HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico).
Después de un incidente, el SOC se asegura de que los usuarios, los reguladores, las fuerzas del orden público y otras partes sean notificadas de acuerdo con las regulaciones, y que los datos requeridos del incidente se conserven para evidencia y auditoría.
Security operations center es un equipo interno o externo de profesionales de seguridad de TI que supervisa toda la infraestructura tecnológica de una organización, las 24 horas del día, los 7 días de la semana, para detectar eventos de ciberseguridad en tiempo real y abordarlos de la forma más rápida y eficaz posible.
Un SOC (a veces denominado centro de operaciones de seguridad de la información o ISOC selecciona), también opera y mantiene la tecnología de seguridad cibernética y analiza continuamente los datos de las amenazas para encontrar formas de mejorar la seguridad de la organización.
El principal beneficio de operar o subcontratar un SOC es que unifica y coordina las herramientas, las prácticas y la respuesta de seguridad de una organización a los incidentes de seguridad. Esto generalmente da como resultado mejores medidas preventivas y políticas de seguridad, una detección de amenazas más rápida y una respuesta más rápida, más efectiva y más rentable a las amenazas de seguridad.
Un SOC también puede mejorar la confianza del cliente y simplificar y fortalecer el cumplimiento de una organización con las regulaciones de privacidad de la industria, nacionales y globales.
En general, las funciones principales de un equipo del SOC incluyen:
Director del SOC: dirige el equipo, monitorea todas las operaciones de seguridad e informa al CISO (director de Seguridad de la Información) de la organización.
Ingenieros de seguridad: crean y gestionan la arquitectura de seguridad de la organización. Gran parte de este trabajo implica evaluar, probar, recomendar, implementar y mantener herramientas y tecnologías de seguridad. Los ingenieros de seguridad también trabajan con equipos de desarrollo o DevOps/DevSecOps para cerciorarse de que la arquitectura de seguridad de la organización se incluya en los ciclos de desarrollo de aplicaciones.
Analistas de seguridad: también llamados investigadores de seguridad o encargados de responder a incidentes, los analistas de seguridad son esencialmente los primeros en responder a las amenazas o incidentes de ciberseguridad. Los analistas detectan, investigan y clasifican (priorizan) las amenazas; a continuación, identifican los hosts, endpoints y usuarios afectados. A continuación, adoptan las medidas adecuadas para mitigar y contener el impacto de la amenaza o el incidente. (En algunas organizaciones, los investigadores y los encargados de responder a incidentes son funciones separadas clasificadas como analistas de nivel 1 y 2, respectivamente).
Cazadores de amenazas: también llamados analistas expertos en seguridad o analistas del SOC, los cazadores de amenazas se especializan en detectar y contener amenazas avanzadas:búsqueda de nuevas amenazas o variantes de amenazas que logran pasar las defensas automatizadas.
El equipo del SOC puede incluir otros especialistas, según el tamaño de la organización o el tipo de industria. Las empresas más grandes pueden incluir un director de Respuesta a Incidentes, responsable de comunicar y coordinar la respuesta a incidentes. Y algunos SOC incluyen investigadores forenses, que se especializan en recuperar datos (pistas) de dispositivos dañados o comprometidos en un incidente de ciberseguridad.
Aprenda de los desafíos y éxitos experimentados por los equipos de seguridad de todo el mundo.
Aprenda de las experiencias de más de 550 organizaciones afectadas por una filtración de datos.
Protección contra las ciberamenazas con prevención 24/7 y respuesta más rápida, impulsada por IA.
IBM® Security X-Force Cyber Ranges pone a prueba a sus equipos y le muestra cómo prepararse para el peor día de su organización.
Conozca estos equipos internos de seguridad de TI que se defienden contra los ciberatacantes y fortalecen su postura de seguridad.
Lea los resultados de una encuesta realizada a más de 1000 afiliados a equipos del SOC de todo el mundo sobre velocidad, tiempos de respuesta, detección y automatización.