¿A qué retos se enfrentan los SOC en ciberseguridad en los próximos meses?
- Tribuna de opinión
Los SOC deben adelantarse a las amenazas sofisticadas y desconocidas. Su trabajo consiste en detectar y correlacionar comportamientos anómalos que identifiquen claramente un incidente de seguridad y responder lo antes posible.
|
Iratxe Vázquez, |
El Centro de Operaciones de Seguridad (Security Operations Center - SOC) es el equipo de seguridad centralizado que emplea las herramientas necesarias para monitorizar y mejorar continuamente la postura de seguridad de una organización mientras previene, detecta, analiza y responde a alertas de seguridad. En este sentido, el SOC actúa como el “comando central” de la seguridad de la organización, de manera que aglutina toda su infraestructura de TI, incluidas sus redes, dispositivos o datos de la compañía, ya sean dentro del perímetro de lo que es la propia compañía como fuera de ella.
En los últimos años, los SOC han adquirido una enorme importancia, ya que las empresas -no importa el tamaño, el vertical en el que desempeñen su actividad o la geolocalización- se enfrentan a mayores riesgos de seguridad, debido al incremento del volumen y sofisticación de las ciberamenazas: ahora son capaces de eludir los más sofisticados controles de seguridad automatizados. Además, hay añadir la complejidad de la infraestructura a proteger, ya que se extiende la superficie de ataque exponencialmente, el volumen de alertas de seguridad a gestionar, la escasez de recursos con experiencia, cóctel que se ve agravado con la falta de presupuestos. Todo ello hace que la capacidad de defender a las organizaciones se vea negativamente afectada. Hasta tal punto es así la situación que, por ejemplo, Gartner ha pronosticado que para 2025 los ciberatacantes ya dispondrán de suficientes capacidades para afectar a las infraestructuras críticas hasta el punto de poder poner en peligro la vida de seres humanos.
En este sentido, los SOC deben ser capaces de adelantarse a las amenazas más sofisticadas y desconocidas que acechan a las organizaciones. De esta manera, son capaces de detectar y correlacionar comportamientos anómalos que identifiquen con claridad un incidente de seguridad y así pueden responder cuanto antes.
Sin embargo, las amenazas son cada vez más complejas y no todas las herramientas y soluciones para facilitar las tareas de los SOC son capaces de hacer frente a esta situación. A pesar de ser y estar diseñadas para esto, la avalancha de alertas que reciben los equipos obliga a que tengan que determinar si son reales o no. Esto da lugar a situaciones de fatiga de alerta por parte de los profesionales, que además de tener un coste operativo, pueden suponer fallos como dejar escapar amenazas o errores de diagnóstico. Por si esto fuera poco, también hay que sumarle la falta de talento cualificado y formación en ciberseguridad para poder gestionar este tipo de ataques.
Para hacer frente a estos retos, es imprescindible que los SOC cuenten con herramientas de ciberseguridad que les permitan ser lo más eficientes en su misión de defender a las organizaciones. Todos sabemos que, aunque las soluciones tradicionales de seguridad son necesarias, también somos conscientes de que por sí solas son insuficientes. En primer lugar, porque sus alertas se basan en las amenazadas conocidas, por lo que pueden no tener en cuenta procesos sospechosos que no estén contemplados en sus registros y, por tanto, no detectar amenazas desconocidas. Y, en segundo lugar, tienen un enfoque reactivo con respecto a esos registros y no hacen búsquedas autónomas de otros posibles indicadores de ataque que permitan adelantarlos al incidente.
Es por esto por lo que los SOC deben complementar sus soluciones de ciberseguridad con herramientas avanzadas basadas en un enfoque proactivo, donde haya una búsqueda constante y automatizada de amenazas tanto conocidas como desconocidas, basadas en el threat hunting, la detección proactiva y la respuesta en las fases tempranas del ataque.
En el contexto actual, la propuesta de valor de WatchGuard for SOC se basa en esa combinación de soluciones de seguridad avanzadas y servicios gestionados proactivos para cazar, detectar y responder eficazmente a las amenazas que han podido evadir otras protecciones en ordenadores, servidores, entornos en la nube o dispositivos móviles. De esta forma pueden hacer frente a la fatiga de alertas, el crecimiento de la superficie expuesta a ataques, la complejidad del panorama de amenazas y los desafíos de la escasez de talento. De esta manera, se optimizan de la mejor forma posible las operaciones de seguridad de las compañías.
Iratxe Vázquez, Senior Product Marketing Manager de WatchGuard Technologies
