Creación de un SOC: todo lo que necesita saber
Centros de operaciones de seguridad a menudo tienen diferentes nombres, como SOC o CIRT. Independientemente de cómo se llamen, la creación de un SOC es esencial para el plan de seguridad de cualquier organización. Los SOC existen para recopilar y analizar datos relacionados con la seguridad para detectar y detener ataques cibernéticos. Lograr este objetivo requiere formar un equipo con las habilidades adecuadas y construir la infraestructura adecuada para que estos equipos la utilicen de manera efectiva. La siguiente es una guía sobre cómo desarrollar un SOC eficaz para su organización.
Las personas que componen un SOC
Podría decirse que contratar a las personas adecuadas es uno de los aspectos más críticos de la creación de un SOC. Un equipo sin personas calificadas nunca podrá hacer su trabajo de manera efectiva. Cuando se trata de un SOC, normalmente se usa un sistema de niveles para designar miembros del equipo con varios niveles de experiencia y responsabilidades. Los siguientes son los roles que deben cumplirse para construir un SOC:
- Nivel 1: el especialista en triaje: El miembro más joven del SOC. Son los encargados de analizar y clasificar las alertas por su nivel de prioridad. Los especialistas en clasificación deben tener un conocimiento profundo de los vectores de ataque más comunes y reconocerlos cuando aparecen en registros o alertas. Un especialista en clasificación debe tener habilidades de administrador de sistemas, habilidades de programación (como Python y Java) y habilidades de seguridad (como CISSP y GCIA).
- Nivel 2 - Respondedor de incidentes: El personal de respuesta a incidentes es responsable de investigar las alertas informadas por los especialistas en triaje. También son responsables de realizar más investigaciones sobre cualquier amenaza o vulnerabilidad en el sistema según sea necesario. Un respondedor de incidentes debe tener una buena comprensión de la red y los sistemas que se protegen. También deben tener experiencia en la creación de modelos de amenazas, qué buscan en los registros o alertas y cómo identificar actividades maliciosas a partir de acciones legítimas.
- Nivel 3 de Analista de Seguridad – Cazador de Amenazas: Un cazador de amenazas es responsable de buscar amenazas y vulnerabilidades dentro de un sistema. Para ello, revisan los activos de datos y crean un perfil de comportamiento normal. El objetivo es encontrar anomalías y desviaciones de la norma para informar a los analistas del SOC para una mayor investigación, lo que permite desarrollar una mejor estrategia defensiva. Un cazador de amenazas debe tener todas las habilidades requeridas de los especialistas en triaje y los respondedores de incidentes, además de estar familiarizado con la visualización de datos y las herramientas de prueba de penetración.
- Nivel 4: el administrador del SOC: El administrador del SOC es el supervisor del equipo. Son responsables de contratar y capacitar al equipo SOC. También son responsables de revisar los informes de incidentes, ejecutar informes de cumplimiento, respaldar el proceso de auditoría, desarrollar un plan de comunicación de crisis y más.
El proceso para desarrollar un SOC
Al crear un SOC, deberá implementar un proceso estandarizado para garantizar que no se pase por alto ningún problema de seguridad. También debe seguir pautas específicas en el desarrollo de este proceso, como el NIST (Instituto Nacional de Estándares y Tecnología) Documento SP 800-61. Este documento es un protocolo para construir un SOC. El documento NIST define cinco fases para construir un SOC:
- El primer paso es formar el equipo.
- El segundo paso es construir la infraestructura y las herramientas necesarias para que el equipo las use de manera efectiva, como la creación de canalizaciones de datos, tableros personalizados y otras herramientas para ayudar al equipo a trabajar mejor.
- El siguiente paso es crear procedimientos de respuesta a incidentes, definir cómo clasificar alertas, crear consultas de búsqueda, crear modelos de amenazas y crear flujos de trabajo de equipo.
- El cuarto paso es definir las reglas del SOC para monitorear la actividad, como el manejo de falsos positivos, la creación de políticas de retención de datos y la creación de una lista de tareas programadas.
- El paso final es realizar evaluaciones de riesgos para identificar las vulnerabilidades que pueden explotarse y crear un plan de acción para abordarlas.
Una vez que haya creado su equipo SOC y todos los protocolos estén en su lugar, querrá estandarizar los procedimientos operativos de su SOC. Las siguientes son las cuatro etapas de un proceso SOC estándar:
Etapa uno: la fase de clasificación
La primera fase de la creación de un SOC es clasificar todos los problemas de seguridad en cuatro grupos: Crítico, Alto, Moderado y Bajo. Hacerlo ayuda a determinar cuánto tiempo y esfuerzo se debe dedicar a cada alerta para garantizar que no se pasen por alto problemas críticos. Durante este estado, los especialistas en triaje revisan y clasifican las alertas. Aquellas alertas que se consideren graves se escalarán a un reportero de incidentes.
Etapa dos: el análisis
Durante esta etapa, los cazadores de amenazas del equipo deben analizar las alertas que se les han remitido y priorizarlas en orden de importancia. Es necesario priorizar los temas que más afectarán las operaciones de la empresa y la continuidad del negocio. Por ejemplo, se debe responder de inmediato a cualquier actividad que indique que alguien se ha infiltrado en el sistema, como a través de la instalación de una puerta trasera o un rootkit/RAT.
Etapa tres: la recuperación
Durante la etapa dos, se aborda cualquier ataque al sistema. En la etapa tres, los analistas de seguridad evalúan y reparan el daño causado por esos ataques. Los diferentes tipos de ataques requerirán diferentes pasos de recuperación. Algunos de estos pasos pueden incluir la actualización de sus sistemas, la restauración de copias de seguridad, la reconfiguración del acceso a la red, la validación de procedimientos de parches, la ejecución de escaneos de vulnerabilidades, la revisión de capacidades de monitoreo y más.
Etapa cuatro: la auditoría
La última etapa es la auditoría. El administrador de SOC generalmente supervisa la auditoría. Es esencialmente una evaluación exhaustiva de los sistemas existentes realizada para identificar y corregir cualquier vulnerabilidad antes de que alguien se aproveche de ella. Dicha auditoría generalmente incluye la ejecución de análisis de vulnerabilidades de la red, la revisión de los procesos SOC y la generación de informes de cumplimiento.
¿Qué hace que un SOC sea eficiente?
Un SOC efectivo es un SOC eficiente. Las siguientes son algunas de las métricas que son fundamentales para la capacidad de un equipo SOC para seguir siendo eficaz y seguir mejorando:
- Tiempo promedio de detección de incidentes – Esta métrica se calcula tomando el tiempo total que lleva detectar un incidente y dividiéndolo por la cantidad de incidentes detectados. Es importante porque es una buena medida de la rapidez con la que el SOC identifica incidentes.
- Tiempo promedio desde el descubrimiento hasta la remediación – Esta métrica es importante porque muestra cuánto tiempo se tarda en resolver un problema.
- Número de tickets cerrados – Esta métrica da una idea de la eficiencia del SOC. Un número más alto indica que son eficientes en la creación de modelos de amenazas y procedimientos de respuesta a incidentes para garantizar que los incidentes se resuelvan lo más rápido posible.
- Número de incidentes por analista – Un número alto en esta métrica es bueno porque muestra que el equipo está creando flujos de trabajo de tareas y modelos de amenazas más eficientes para ayudar a detectar problemas de seguridad antes.
- Incidentes por tipo de dispositivo o aplicación o por tipo de amenaza – Es fundamental saber cuántas incidencias se detectan por dispositivo o tipo de aplicación. Esta métrica puede ayudar a los analistas a crear modelos de amenazas más efectivos, creando consultas de búsqueda que son más efectivas para crear procedimientos de respuesta a incidentes.
- Tiempo entre amenazas o incidentes – Esta métrica debe ser baja para mostrar que el SOC está creando modelos de amenazas más eficientes y consultas de búsqueda para los procedimientos de respuesta a incidentes.
Mejores prácticas de SOC
Además de seguir el protocolo NIST para desarrollar su SOC, existen varias prácticas que debe implementar para garantizar que su equipo SOC sea lo más eficaz y eficiente posible. Estas prácticas incluyen:
- Implemente la estrategia correcta para la situación correcta: es esencial conocer la estrategia correcta para construir un SOC efectivo. El enfoque correcto depende de su negocio y sus necesidades específicas y del desarrollo de una estrategia eficiente y escalable.
- SOC necesita ver todo en toda la organización – El SOC debe crear consultas de búsqueda y crear modelos de amenazas que les ayuden a ver todo en toda la organización para garantizar que implementen procesos de seguridad eficientes que protejan a toda la organización.
- Invierta en herramientas y servicios adecuados – Como mínimo, su equipo necesitará un software SIEM (gestión de incidentes y eventos de seguridad). Sin embargo, otras herramientas valiosas para los equipos de SOC incluyen herramientas EDR (detección y respuesta de punto final), herramientas de análisis y cuarentena de malware, software de emisión de tickets y herramientas UEBA (análisis de comportamiento de usuarios y entidades), por nombrar algunas.
- Contrata y entrena sabiamente – La contratación de los empleados adecuados es fundamental para construir un SOC efectivo. Cuanto más experimentados y capacitados sean sus analistas, mejores serán para crear procesos más eficientes y crear modelos de amenazas que les ayuden a ver todo en toda la organización. Además, necesitará un administrador de SOC capaz de capacitar a su equipo para seguir los procesos de su organización y utilizar de manera efectiva sus herramientas disponibles.
- Considere todas las opciones disponibles – Hay varias opciones disponibles para construir un SOC. Por ejemplo, en qué herramientas decide invertir, si desarrolla su equipo internamente o subcontrata, y más. Considere sus opciones en función de las necesidades de su organización.
Creación de un sistema de seguridad eficaz y eficiente para su organización
Una de las decisiones más importantes que puede tomar como organización es crear un sistema de seguridad eficaz y eficiente para su negocio. Sin la seguridad adecuada, su empresa es vulnerable a una amplia gama de ataques cibernéticos que no solo pueden causar interrupciones y dañar su reputación, sino que también pueden paralizar sus operaciones. Como tal, debe crear un SOC que le permita monitorear, detectar y abordar incidentes con prontitud. También necesitará las personas y las herramientas adecuadas para garantizar que los problemas de seguridad se solucionen correctamente y que las posibles vulnerabilidades se identifiquen y aborden antes de que se aprovechen de ellas.
Si quieres conocer otros artículos parecidos a Creación de un SOC: todo lo que necesita saber puedes visitar la categoría Seguridad.
Entradas Relacionadas 👇👇