Documentos de Académico
Documentos de Profesional
Documentos de Cultura
A UST Company
Introducción................................................................................................................................................................ 1
Personas.................................................................................................................................................................. 2
Proceso.................................................................................................................................................................... 3
Tecnología.............................................................................................................................................................. 3
Tendencias de la industria...............................................................................................................................12
Conclusiones............................................................................................................................................................ 14
Acerca de CyberProof.........................................................................................................................................15
Acerca de Microsoft..............................................................................................................................................15
INTRODUCCIÓN
Tener un centro de operaciones de seguridad (SOC) ya no es un privilegio de las grandes organizaciones. Con
el crecimiento de los ataques cibernéticos y un panorama tecnológico cambiante, todas las empresas están
empezando a comprender los riesgos y las consecuencias de los ataques cibernéticos. Todas las empresas,
independientemente de su tamaño, que manejan datos críticos de clientes o detalles de pago, o que están
adoptando la transformación digital, también están considerando construir operaciones de seguridad
centralizadas.
Muchas de las soluciones actuales no están diseñadas para las demandas de hoy (o del mañana):
• TI y TO están en camino hacia la convergencia; Los sistemas antiguos que soportaban procesos de
control industrial (y otras aplicaciones especializadas) están siendo rápidamente reemplazados. En
consecuencia, esto presenta nuevas vulnerabilidades y mayores niveles de riesgo.
Echemos un vistazo más profundo a algunos de los problemas con los que los SOC luchan hoy en día y cómo
un SOC más inteligente abordaría estos problemas.
PERSONAS
Desafío:
Según una encuesta de 2020 del Ponemon Institute, para una organización promedio, tres analistas de SOC serán
despedidos o renunciarán en un año. El mismo informe también revela que, en promedio, se requieren casi ocho
meses para encontrar un nuevo analista de SOC (3,5 meses) y capacitarlo (3,8 meses). Esto muestra por qué las
organizaciones de todas las industrias y sectores están de acuerdo en que sufren una grave falta de recursos. La
brecha de habilidades en ciberseguridad está empeorando en muchos mercados, y están aumentando los recursos
humanos y la inversión financiera necesarios para una gestión eficaz del riesgo. Además, los equipos de SOC deben
enfrentar los desafíos cotidianos que afectan a la productividad de las operaciones de seguridad:
Para paliar estos desafíos, las organizaciones a menudo buscan subcontratar los servicios de SOC a un proveedor
de servicios de seguridad administrados (MSSP). Sin embargo, los servicios prestados suelen ser de "caja negra"
y no permiten que el equipo interno de la empresa tenga visibilidad de las operaciones. Pueden vincularse a un
compromiso estandarizado impulsado por acuerdos de nivel de servicio (SLA) que permiten una flexibilidad limitada.
Adopte un modelo de interacción híbrido para facilitar una colaboración más eficaz entre su equipo y los de
un proveedor de servicios externo.
Las operaciones de seguridad deben ser transparentes entre los equipos internos y subcontratados, es decir, un
proveedor de servicios debe ayudar y aumentar su trabajo, pero sin exigirle que ceda el conocimiento o el control. Un
modelo de compromiso híbrido le permite llevar los recursos del MSSP junto con los de los equipos del cliente, tanto
en términos de soporte operativo diario como en términos de gobernanza. El cliente puede comunicarse en tiempo
real con los analistas remotos del proveedor y éstos obtienen una transparencia continua en las operaciones del
proveedor, por lo que pueden seguir viendo exactamente y en todo momento lo que está llevando a cabo el equipo
subcontratado.
Este tipo de modelo también le permite flexibilizar qué capacidades son totalmente internas o subcontratadas o
utilizar una combinación de recursos, tales como aumentar sus equipos de Nivel 2 con capacidades y conocimientos
especializados en áreas como Manejo de Incidentes, Detección y Respuesta Administradas (MDR), Cacería de
Amenazas, Seguimiento de Inteligencia de Amenazas, Desarrollo de casos de uso, etc. Con el panorama de amenazas
en constante evolución, es importante acceder a habilidades que sean lo suficientemente ágiles para adaptarse a
estos cambios.
Sin implementar procesos sostenibles y efectivos que un equipo pueda mantener cómodamente, las inversiones
que realice en personas y tecnología solo causarán más complejidad. La adopción de procesos alineados
a marcos de la industria tales como NIST es un buen comienzo, pero no es tan simple como usarlo como plantilla
para su organización. Su empresa necesita procesos personalizados que se ajusten a su arquitectura y objetivos
únicos. Los desafíos comunes para mantener buenos procesos incluyen:
Para paliar estos desafíos, las organizaciones a menudo buscan subcontratar los servicios de SOC a un proveedor
de servicios de seguridad administrados (MSSP). Sin embargo, los servicios prestados suelen ser de "caja negra"
y no permiten que el equipo interno de la empresa tenga visibilidad de las operaciones. Pueden vincularse a
un compromiso estandarizado impulsado por acuerdos de nivel de servicio (SLA) que permiten una flexibilidad
limitada.
Mejorar continuamente los controles de prevención, las reglas de detección, los manuales de respuesta y las
integraciones y automatizaciones tecnológicas.
Si bien la adopción de procesos que están alineados con los marcos de la industria, como NIST, es un buen
comienzo, también necesita procesos personalizados que se ajusten a la arquitectura y a los objetivos únicos de su
organización. Los casos de uso deben adaptarse y alinearse para satisfacer las necesidades de su organización y el
apetito de riesgo específico.
Para adoptar un enfoque proactivo de detección de amenazas, las organizaciones pueden asignar sus capacidades
de detección de amenazas a la Matriz MITRE ATT&CK para crear casos de uso para desarrollar y actualizar sus
reglas de detección y respuesta automatizada ante amenazas. El objetivo de los casos de uso es reducir el riesgo
empresarial para escenarios de ataque específicos/eventos de pérdida cibernética mediante el desarrollo de un
proceso de respuesta y detección ágil que reduzca el impacto del ataque al identificar y mitigar rápidamente
esos ataques. Las reglas de detección de uso y los libros de jugadas desarrollados deben asignarse a su perfil de
amenazas, panorama de TI, brechas de control y apetito por el riesgo.
TECNOLOGÍA
Desafío:
Atrás quedaron los días en que la TI se enfocaba en un montón de servidores y cables, cuando la
arquitectura era más simple y los datos se encontraban dentro del perímetro en servidores físicos,
ordenadores de escritorio y portátiles, y la seguridad efectiva implicaba monitorear un solo firewall y otros
sistemas locales. para obtener datos. Los SOC de hoy se enfrentan a desafíos complejos que resultan de:
• Monitoreo y análisis obsoletos: los SIEM heredados funcionan solo como agregadores y no aumentan las
capacidades de respuesta, lo que agrega costos en cada paso.
• Información a nivel de aplicación: los enfoques tradicionales de monitoreo y análisis no están diseñados
para proporcionar suficiente información sobre las amenazas a los procesos de desarrollo ágiles que
involucran contenedores y redes sin servidor.
Implementar las tecnologías necesarias para brindar enriquecimiento, detectar y responder a las amenazas
en su patrimonio.
Al crear o aumentar su SOC, debe considerar incorporar algunas tecnologías clave para mejorar las capacidades de
enriquecimiento, detección y respuesta. Tenga en cuenta que evaluar las tecnologías adecuadas requiere una gran
inversión de tiempo y puede ahorrar ese tiempo trabajando con un socio que esté familiarizado con las tecnologías
disponibles y que pueda ayudarle a seleccionar qué oferta puede preparar mejor su defensa para el futuro.
• SIEM nativo en la nube: los SIEM tradicionales han demostrado ser costosos de implementar, poseer y operar,
lo que a menudo requiere que comprometa capacidad inicial e incurra en altos costos para el mantenimiento
de la infraestructura y la ingestión de datos. Con un SIEM nativo de la nube, no hay costos iniciales; paga por
lo que usa. Éste le ayuda a recopilar datos a escala de nube en todos los usuarios, dispositivos, aplicaciones
e infraestructura, tanto en las instalaciones como en múltiples nubes, e incorpora Inteligencia de Amenazas
y otras fuentes de enriquecimiento. La reducción en esfuerzos de gestión y las actualizaciones automáticas
ayudan a cambiar el talento para que se concentre en iniciativas de valor agregado.
• Automatización y orquestación: esto permite una vista panorámica de toda la empresa aliviando el estrés
de los ataques cada vez más sofisticados, los crecientes volúmenes de alertas y los prolongados períodos de
tiempo de resolución. Las capacidades de automatización y orquestación incluyen una colección de soluciones
y herramientas de software que permiten a las organizaciones optimizar las operaciones de seguridad en tres
áreas clave: gestión de amenazas y vulnerabilidades, respuesta a incidentes y automatización de operaciones de
seguridad.
• Gestión de vulnerabilidades: las organizaciones necesitan crear y gestionar todo el ciclo de vida de la gestión de
vulnerabilidades, que abarca el descubrimiento de activos, la identificación de vulnerabilidades, la priorización
de problemas, la planificación de la remediación y la mitigación de riesgos junto con toda la gobernanza de un
extremo a otro. Esto incluye 4 etapas: Escaneo de Vulnerabilidad, Inteligencia de Vulnerabilidad, Simulaciones
de Vulnerabilidad (alineadas con la matriz MITRE ATT&CK y las metodologías Cyber Kill Chain) y Remediación de
Vulnerabilidades.
• Engaño cibernético: con la tecnología de engaño, los equipos de seguridad no necesitan esperar y
reaccionar ante un ataque. En su lugar, pueden desplegar cebos, anzuelos y señuelos, como servidores y
usuarios falsos diseñados para descarrilar ataques tempranos y durante todo el ciclo de vida del ataque.
Estos señuelos pueden ejecutarse en un entorno de sistema operativo virtual o real y están diseñados para
engañar al ciberdelincuente haciéndole creer que ha descubierto una forma de escalar privilegios y robar
credenciales.
Asegúrese de trabajar con un MSSP que haya obtenido una comprensión clara de su ecosistema, para evitar
gastos innecesarios.
También querrá trabajar con el MSSP para identificar las mejores formas de integrar nuevas tecnologías, de
modo que pueda crear una vista de un solo panel de las operaciones de seguridad para su organización, sin una
inversión de capital adicional.
El proceso de implementación de un SOC más inteligente incluye las siguientes capas de desarrollo:
La capa de recopilación de registros cubre las aplicaciones locales, las aplicaciones alojadas en la nube y las
aplicaciones SaaS. Debe extenderse a todas las fuentes de registro de su organización, incluidas aquellas
conectadas a oficinas regionales, trabajadores remotos y centros de datos (cuando corresponda).
Si está utilizando componentes de Microsoft XDR (Extended Detection and Response), también conocido
como Microsoft Defender, la gama de controles de seguridad existentes que generan alertas de seguridad
incluye identidades, puntos finales, datos, correo electrónico, colaboración, IoT, OT, infraestructura en la nube y
aplicaciones en la nube. Todas estas fuentes de datos deben incluirse en la capa de recopilación de registros.
Es fundamental encontrar formas de simplificar este proceso. Al utilizar un SIEM nativo de la nube, por ejemplo,
puede obtener las ventajas de una recopilación sencilla de fuentes de la nube y el escalado automático.
Para algunos SOC, parte del proceso de gestión y almacenamiento de datos implica la capacidad de analizar los
datos antes de que entren en un lago de datos de seguridad. Particularmente para la empresa, podría ser necesario
considerar el etiquetado y el filtrado de datos, particularmente porque las implicaciones de costos de usar un lago de
seguridad de datos incluyen el costo de ingestión y almacenamiento.
En CyberProof, aprovechamos la tecnología SaaS de Azure Log Analytics y CyberProof Log Collection (CLC) para
extraer registros de todas las fuentes de datos. Estos incluyen las inversiones de Microsoft existentes de un cliente,
incluidos los activos locales, SaaS y Azure, y los controles de seguridad de Microsoft existentes que generan alertas en
identidades, puntos finales, datos y correo electrónico, y aplicaciones en la nube.
La actividad del SIEM es crucial para reducir el tiempo de reconocimiento y remediación, asegurándose de que los
atacantes no operen libremente hasta que sean remediados. Un SIEM bien ajustado puede ayudar al equipo de SOC
a detectar detecciones reales y evitar perder mucho tiempo en falsos positivos.
Las organizaciones están adoptando cada vez más soluciones como Azure Sentinel de Microsoft, un SIEM nativo
de la nube que proporciona correlación, reglas de análisis y filtrado de grandes volúmenes de eventos para obtener
alertas de alto contexto. Azure Sentinel usa Machine Learning para encontrar de forma proactiva anomalías ocultas
dentro del comportamiento aceptable del usuario y generar alertas. Además, incluye el uso de Azure Logic Apps
para crear guías y conectores, lo que le permite automatizar los flujos de trabajo con otros servicios de Azure y otras
herramientas como sistemas de emisión de tickets o mensajería instantánea.
El impulso hacia orquestación y automatización se debe en parte a la necesidad de aliviar la escasez global de
personal. Simplemente no tenemos suficientes expertos cibernéticos para satisfacer la creciente necesidad.
Las organizaciones buscan un equipo más ágil, especialmente si sus analistas de SOC, que desean avanzar en
sus carreras, están interesados en hacer más trabajo de búsqueda de amenazas de alto nivel e investigación de
nivel 2.
También es importante una mayor orquestación y automatización debido a la continua evolución de las
amenazas. Ello permite que el SOC trabaje más rápido para permitir la resolución de incidentes y facilita la
eficiencia al admitir una vista centralizada de la inteligencia de amenazas a través de un solo panel de vidrio.
Las funciones de colaboración, como ChatOps, que permiten la comunicación en tiempo real con las partes
interesadas internas y externas, también ayudan a acelerar la corrección de incidentes críticos.
En CyberProof, brindamos a nuestros clientes acceso a nuestra CyberProof Defense Center Platform (CDC),
una plataforma de prestación de servicios propia que ofrece a los clientes acceso a nuestra IP en áreas como
Automatización, Orquestación, Colaboración e IA, pero “como un servicio". Como parte de la plataforma,
nuestro analista virtual, SeeMo, elimina gran parte del esfuerzo manual de los analistas al automatizar las
tareas rutinarias de SOC, tales como triaje de alertas, enriquecimiento de eventos, investigación, contención de
problemas y ejecución de manuales de respuesta.
• Tiempo medio de detección (MTTD) y tiempo medio de respuesta (MTTR): al implementar herramientas
IA, usted puede reducir eficazmente el MTTD y el MTTR, reduciendo el grado de riesgo de su organización.
• Tiempo para mitigar: reduce el tiempo necesario para eliminar un riesgo inmediato para la empresa. Esto le
ayuda a medir la rapidez con la que su equipo puede detener o ralentizar una amenaza activa.
• Reducción de falsos positivos: si un SOC tiene reglas de detección y casos de uso bien ajustados, debería
ver a lo largo del tiempo una disminución en el número de falsos positivos.
• Número de casos de uso, libros de jugadas y reglas de detección: las lecciones aprendidas durante los
procesos de respuesta a incidentes y búsqueda de amenazas deben compartirse con el equipo de casos de
uso, el que puede corregir cualquiera de las brechas de seguridad identificadas. Esto evita la repetición de
incidentes o, alternativamente, garantiza que, si el incidente se repite, la detección y la respuesta ocurran
automáticamente.
Para cada escenario de ataque existe una curva de impacto que define la cantidad de pérdida a lo largo del
tiempo. Al definir la ventana de respuesta, el período mínimo después del cual el impacto del ciberataque se
vuelve exponencialmente mayor, usted puede reducir el riesgo asociado con un ciberataque. Debido a que
la magnitud de la pérdida está asociada con el tiempo que se tarda en detectar y responder, la velocidad y la
agilidad son cruciales.
Reducción de costo
Escalabilidad y elasticidad
Es mucho más rápido implementar un SIEM nativo de la nube que uno local
tradicional. Los nuevos servicios se suministran más rápido y las últimas
tecnologías están disponibles automáticamente, lo que le permite mantener una
solución actualizada y de vanguardia.
Beneficios comunitarios
El proveedor de su SIEM nativo de la nube tiene una óptica única acerca de las
amenazas, lo que beneficia a todos sus clientes al compartir sus conocimientos
sobre el panorama actual de amenazas. Se pueden actualizar algunas reglas
de análisis o análisis de comportamiento para que todos los participantes
se beneficien y aprendan de situaciones de ataque anteriores, sin tener que
soportarlas personalmente.
• Visibilidad de lo que importa: ¿Cómo obtengo visibilidad continua de las amenazas más
importantes?
Para las empresas que no desean construir un SOC interno 24x7, un MSSP avanzado como CyberProof
puede proporcionar estas capacidades. Los MSSP pueden crear y administrar el SOC y agregar
componentes de SOC de próxima generación para ayudarle a madurar sus procesos de seguridad.
Si está trabajando con un MSSP, siempre debe definir SLA y procesos de comunicación que aseguren que
el MSSP no opere en una "caja negra".
Por ejemplo, CyberProof utiliza su plataforma CyberProof Defense Center (CDC) para ofrecer una
colaboración completa entre los clientes y el equipo SOC CyberProof. Los clientes acceden a la
plataforma para monitorear, revisar y definir los formatos de informes del cliente y los paneles de control
que rastrean los niveles de servicio y el éxito.
Cuando una organización no tiene un flujo de trabajo de SOC eficiente, esto aumenta la vulnerabilidad a
los ataques de ciberseguridad a la vez que hace imposible mitigar los riesgos de manera efectiva.
Trabajar con un MSSP le permite mejorar las estrategias de seguridad y mantenerse un paso por delante
de los actores malintencionados, permitiéndole acceder a capacidades de seguridad más recientes y
mejorar su postura de ciberseguridad.
ACERCA DE CYBERPROOF
CyberProof es una empresa de servicios de seguridad que gestiona de forma
inteligente la detección y respuesta a incidentes. Nuestra solución proporciona
completa transparencia y reduce drásticamente el costo y el tiempo necesarios
para responder a las amenazas de seguridad y minimizar el impacto en la
empresa.
CyberProof es parte de la familia UST. Algunas de las empresas más grandes del
mundo confían en nosotros para crear y mantener ecosistemas digitales seguros
utilizando nuestra plataforma integral de ciberseguridad y nuestros servicios de
mitigación.
UBICACIONES