Compartir más la inteligencia de seguridad en los SOC, clave para avanzar en la protección de la Administración Pública

  • Tribuna de opinión

La Administración Pública desempeña un papel crucial en la ciberseguridad, ya que maneja una gran cantidad de datos sensibles y realiza funciones y servicios esenciales para la sociedad. La protección de los sistemas y la información en manos de los gobiernos es fundamental para garantizar la confidencialidad, integridad y disponibilidad de los datos, así como para prevenir y mitigar posibles ciberataques.

Gloria Tamayo, WatchGuard TechnologiesGloria Tamayo, Enterprise Account Manager Administración Pública
WATCHGUARD TECHNOLOGIES


En general, los gobiernos de todo el mundo son cada vez más conscientes de la importancia de la ciberseguridad y han tomado medidas para fortalecerla. Entre algunas de las acciones están el establecimiento de organismos y agencias especializadas, la elaboración de marcos normativos, el impulso de formación y la concienciación, la evaluación y establecimiento de auditorías de seguridad o la coordinación con el sector privado y otros actores relevantes en materia de colaboración.

Es cierto que la ciberseguridad es un desafío en constante evolución, y los gobiernos, como las empresas, deben adaptarse y mejorar continuamente sus enfoques y estrategias para hacer frente a las nuevas amenazas. No hay duda, la situación del cibercrimen actual es extremadamente grave. Los datos revelan un aumento en número (+27% anual) y sofisticación de ataques y costes empresariales ocasionados. Aunque el incremento de la inversión en ciberseguridad, se ha traducido en un mayor nivel de prevención, la seguridad absoluta no existe: ya no es suficiente con “sentarse y esperar” al atacante.

Esta realidad impulsa a entidades y organismos a adoptar un modelo de búsqueda activa y de caza de amenazas, y a evolucionar sus programas de seguridad avanzada combinando, por un lado, estrictas medidas preventivas con una exhaustiva reducción de la superficie de ataque, y un estricto gobierno de ejecución de aplicaciones; y por otro, robustas capacidades proactivas de detección y respuesta ante incidentes ocasionados por atacantes que han conseguido superar los controles existentes.

En el afán por combatir las amenazas con mayor eficiencia y efectividad ante el panorama actual y futuro de seguridad, los centros de operaciones de seguridad (SOC) han evolucionado para dar paso a los SOC modernos que, además de las funciones más tradicionales del SOC, tienen la capacidad de reducir el riesgo al limitar el daño de atacantes avanzados que obtienen acceso a los recursos de la organización estando preparados para supervisar la actividad de la red, los endpoints, las aplicaciones y los usuarios con el fin de detectar de manera proactiva comportamientos anormales, investigar los indicadores de incidentes o ataques de seguridad y responder de manera inmediata a las amenazas.

En este avance hacia los SOC modernos existen tecnologías que ya permiten combinar la visibilidad ampliada en tiempo real con analítica y herramientas de seguridad a gran escala, lo que fortalece a buscadores, analistas, y responsables de respuestas de SOC para afrontar de manera eficiente las amenazas sofisticadas no detectadas. Su arquitectura de múltiples usuarios y nativa de la nube permite pasar menos tiempo gestionando la infraestructura y más tiempo anticipando amenazas.

De este modo, los SOC están listos para mejorar su postura de seguridad e incrementar la eficiencia de su SecOps gracias a:

     -     La adopción de una estrategia de defensa proactiva: la analítica de comportamiento innovadora de tecnologías como Orion ayuda a detectar, priorizar y contextualizar automáticamente la actividad anómala a gran escala. Respaldada por expertos en ciberseguridad y por inteligencia actualizada, permite a los equipos de operaciones de seguridad anticipar a los adversarios más sigilosos, lo que aumenta la precisión y eficacia del SOC.
     -     Búsqueda de ataques desconocidos y sofisticados: las reglas de búsqueda analizan los 365 días del año la telemetría endpoints para descubrir, priorizar y contextualizar indicadores como señales de ataque asignadas a MITRE.  
     -     Investigación y respuesta más rápida: los analistas de SOC pueden crear y ampliar las investigaciones listas para usar a través de cuadernos de plataforma para que se adapten a sus prácticas.
     -     Mayor nivel de madurez a través de la colaboración: la plataforma WatchGuard Orion agiliza el tiempo de creación de valor de los analistas a través de la colaboración en casos de incidentes y el uso compartido de conocimiento. Los analistas novatos aprenden de los profesionales con experiencia a crear sus habilidades con reglas de búsqueda, cuadernos y cuadernos de estrategias, lo que acelera la madurez de todo el SOC.
     -     Montar una batería completa de seguridad: capaz de integrarse sin problemas a su ecosistema de operaciones para ampliar la investigación y preparar el flujo de trabajo de respuestas de funcionalidad cruzada.

 

Reforzar la colaboración público-privada y enriquecer la RNS

Para garantizar un nivel de seguridad adecuado en los sistemas, es necesario actuar antes de que se produzca un incidente o, por lo menos, ser capaz de detectarlo en un primer momento para reducir su impacto y alcance. La implantación del SOC no es una tarea fácil, y requiere de un proceso de mejora continua.

Hay varias formas para que una entidad adopte capacidades de SOC modernos. Los modelos de implementación más comunes incluyen: SOC interno, SOCaaS (Security Operations Center as a Service), SOCaaS híbrido. Elegir uno u otro dependerá de las necesidades y recursos de la entidad.

El CCN-CERT tradicionalmente ha colaborado y colabora en varios SOC de diferente magnitud, ya sea a nivel de ministerios, diputaciones/cabildos, o entidades locales, a los que se han venido a añadir últimamente Operadores de Servicios Esenciales. Para ello, ha creado la Red Nacional de SOC (RNS), como instrumento para coordinar la colaboración y el intercambio de información entre los Centros de Operaciones de Ciberseguridad del sector público español.

Si entre todos los SOC que dan protección al sector público, se comparte e inteligencia sobre las tácticas, técnicas y procedimientos de nuevas amenazas, se podrán mejorar las capacidades de detección y respuesta a posibles incidentes.

En este sentido, y ante la evolución de los SOC, creemos que el próximo paso está en enriquecer la red de SOC federados con avances como la tecnología Orion, pues es clave contar con herramientas que permitan la explotación de la información tanto la detección como la contención de amenazas, facilitando una gestión jerárquica de la información para que pueda ser conocida por todos los organismos de forma rápida y sencilla. Además de permitir aplicar diferentes niveles de madurez en la explotación de los SOC y automatizar la actividad.

 

Por Gloria Tamayo, Enterprise Account Manager Administración Pública de WatchGuard Technologies