CyberProof

A UST Company

UNA GUÍA COMPLETA PARA

MODERNIZAR SU CENTRO DE
OPERACIONES DE SEGURIDAD

UN LIBRO BLANCO CONJUNTO DE CYBERPROOF Y MICROSOFT

TABLA DE CONTENIDO

Introducción................................................................................................................................................................ 1

Abordar desafíos comunes del SOC.......................................................................................................... 2

Personas.................................................................................................................................................................. 2

Proceso.................................................................................................................................................................... 3

Tecnología.............................................................................................................................................................. 3

Construyendo un SOC más inteligente................................................................................................... 5

1. Definir la recopilación de registros: ¿qué se debe incluir?.............................................. 6

2. Abordar el lado de los datos: recopilación, gestión y almacenamiento................ 7

3. Análisis de seguridad: aprovechamiento de las capacidades de un SIEM..........8

4. Implementar orquestación, automatización y colaboración....................................... 9

Métricas y medición del éxito SOC.............................................................................................................11

Tendencias de la industria...............................................................................................................................12

Centrado en el análisis de seguridad nativo en la nube.......................................................12

Centrado en automatización y orquestación...............................................................................13

Conclusiones............................................................................................................................................................ 14

Acerca de CyberProof.........................................................................................................................................15

Acerca de Microsoft..............................................................................................................................................15
INTRODUCCIÓN
Tener un centro de operaciones de seguridad (SOC) ya no es un privilegio de las grandes organizaciones. Con
el crecimiento de los ataques cibernéticos y un panorama tecnológico cambiante, todas las empresas están
empezando a comprender los riesgos y las consecuencias de los ataques cibernéticos. Todas las empresas,
independientemente de su tamaño, que manejan datos críticos de clientes o detalles de pago, o que están
adoptando la transformación digital, también están considerando construir operaciones de seguridad
centralizadas.

Muchas de las soluciones actuales no están diseñadas para las demandas de hoy (o del mañana):

• Las herramientas de seguridad heredadas en las instalaciones requieren un hardware potente y un

extenso mantenimiento, lo que las hace costosas de operar.

• Las necesidades de almacenamiento y computación aumentan drásticamente durante un incidente, lo

cual es difícil de acomodar para un espacio en las instalaciones.

• El cambio a la nube ha permitido un nuevo grado de escalabilidad empresarial y, con la explosión

de datos nacidos en la nube, las plataformas y herramientas de seguridad de gestión de eventos e
información de seguridad (SIEM) heredadas son cada vez menos capaces de hacer frente a la demanda.

• TI y TO están en camino hacia la convergencia; Los sistemas antiguos que soportaban procesos de
control industrial (y otras aplicaciones especializadas) están siendo rápidamente reemplazados. En
consecuencia, esto presenta nuevas vulnerabilidades y mayores niveles de riesgo.

Echemos un vistazo más profundo a algunos de los problemas con los que los SOC luchan hoy en día y cómo
un SOC más inteligente abordaría estos problemas.

Una guía completa para modernizar su centro de operaciones de seguridad 1

 ABORDAR DESAFÍOS COMUNES
DEL SOC
Para ayudarle a reducir el riesgo de un incidente cibernético en el complejo y acelerado entorno actual
de TI, es importante optimizar su estrategia de operaciones de seguridad en términos de personas,
procesos y tecnologías que puedan ayudarle a lograr sus objetivos.

PERSONAS
Desafío:

Según una encuesta de 2020 del Ponemon Institute, para una organización promedio, tres analistas de SOC serán
despedidos o renunciarán en un año. El mismo informe también revela que, en promedio, se requieren casi ocho
meses para encontrar un nuevo analista de SOC (3,5 meses) y capacitarlo (3,8 meses). Esto muestra por qué las
organizaciones de todas las industrias y sectores están de acuerdo en que sufren una grave falta de recursos. La
brecha de habilidades en ciberseguridad está empeorando en muchos mercados, y están aumentando los recursos
humanos y la inversión financiera necesarios para una gestión eficaz del riesgo. Además, los equipos de SOC deben
enfrentar los desafíos cotidianos que afectan a la productividad de las operaciones de seguridad:

• Fatiga de alerta causada por un gran volumen de alertas ruidosas

• Investigaciones que son complejas y requieren mucho tiempo

• Escasez de habilidades de seguridad

• Falta de estandarización entre las unidades de negocio y regiones.

Para paliar estos desafíos, las organizaciones a menudo buscan subcontratar los servicios de SOC a un proveedor
de servicios de seguridad administrados (MSSP). Sin embargo, los servicios prestados suelen ser de "caja negra"
y no permiten que el equipo interno de la empresa tenga visibilidad de las operaciones. Pueden vincularse a un
compromiso estandarizado impulsado por acuerdos de nivel de servicio (SLA) que permiten una flexibilidad limitada.

Adopte un modelo de interacción híbrido para facilitar una colaboración más eficaz entre su equipo y los de
un proveedor de servicios externo.

Las operaciones de seguridad deben ser transparentes entre los equipos internos y subcontratados, es decir, un
proveedor de servicios debe ayudar y aumentar su trabajo, pero sin exigirle que ceda el conocimiento o el control. Un
modelo de compromiso híbrido le permite llevar los recursos del MSSP junto con los de los equipos del cliente, tanto
en términos de soporte operativo diario como en términos de gobernanza. El cliente puede comunicarse en tiempo
real con los analistas remotos del proveedor y éstos obtienen una transparencia continua en las operaciones del
proveedor, por lo que pueden seguir viendo exactamente y en todo momento lo que está llevando a cabo el equipo
subcontratado.

Este tipo de modelo también le permite flexibilizar qué capacidades son totalmente internas o subcontratadas o
utilizar una combinación de recursos, tales como aumentar sus equipos de Nivel 2 con capacidades y conocimientos
especializados en áreas como Manejo de Incidentes, Detección y Respuesta Administradas (MDR), Cacería de
Amenazas, Seguimiento de Inteligencia de Amenazas, Desarrollo de casos de uso, etc. Con el panorama de amenazas
en constante evolución, es importante acceder a habilidades que sean lo suficientemente ágiles para adaptarse a
estos cambios.

Una guía completa para modernizar su centro de operaciones de seguridad 2

PROCESO
Desafío:

Sin implementar procesos sostenibles y efectivos que un equipo pueda mantener cómodamente, las inversiones
que realice en personas y tecnología solo causarán más complejidad. La adopción de procesos alineados

a marcos de la industria tales como NIST es un buen comienzo, pero no es tan simple como usarlo como plantilla
para su organización. Su empresa necesita procesos personalizados que se ajusten a su arquitectura y objetivos
únicos. Los desafíos comunes para mantener buenos procesos incluyen:

• Alta tasa de falsos positivos

• Falta de enriquecimiento de fuentes internas y externas.

• Sofisticación y volumen de amenazas

• Muchos productos desconectados que son difíciles de ver y controlar

Para paliar estos desafíos, las organizaciones a menudo buscan subcontratar los servicios de SOC a un proveedor
de servicios de seguridad administrados (MSSP). Sin embargo, los servicios prestados suelen ser de "caja negra"
y no permiten que el equipo interno de la empresa tenga visibilidad de las operaciones. Pueden vincularse a
un compromiso estandarizado impulsado por acuerdos de nivel de servicio (SLA) que permiten una flexibilidad
limitada.

Mejorar continuamente los controles de prevención, las reglas de detección, los manuales de respuesta y las
integraciones y automatizaciones tecnológicas.

Si bien la adopción de procesos que están alineados con los marcos de la industria, como NIST, es un buen
comienzo, también necesita procesos personalizados que se ajusten a la arquitectura y a los objetivos únicos de su
organización. Los casos de uso deben adaptarse y alinearse para satisfacer las necesidades de su organización y el
apetito de riesgo específico.

Para adoptar un enfoque proactivo de detección de amenazas, las organizaciones pueden asignar sus capacidades
de detección de amenazas a la Matriz MITRE ATT&CK para crear casos de uso para desarrollar y actualizar sus
reglas de detección y respuesta automatizada ante amenazas. El objetivo de los casos de uso es reducir el riesgo
empresarial para escenarios de ataque específicos/eventos de pérdida cibernética mediante el desarrollo de un
proceso de respuesta y detección ágil que reduzca el impacto del ataque al identificar y mitigar rápidamente
esos ataques. Las reglas de detección de uso y los libros de jugadas desarrollados deben asignarse a su perfil de
amenazas, panorama de TI, brechas de control y apetito por el riesgo.

TECNOLOGÍA
Desafío:

Atrás quedaron los días en que la TI se enfocaba en un montón de servidores y cables, cuando la
arquitectura era más simple y los datos se encontraban dentro del perímetro en servidores físicos,
ordenadores de escritorio y portátiles, y la seguridad efectiva implicaba monitorear un solo firewall y otros
sistemas locales. para obtener datos. Los SOC de hoy se enfrentan a desafíos complejos que resultan de:

• Superficies de ataque en evolución: los equipos de SOC se enfrentan a entornos de TI complejos

provocados por la adopción generalizada de nuevos sistemas con nuevas vulnerabilidades superpuestas
a los sistemas heredados.

• Monitoreo y análisis obsoletos: los SIEM heredados funcionan solo como agregadores y no aumentan las
capacidades de respuesta, lo que agrega costos en cada paso.

Una guía completa para modernizar su centro de operaciones de seguridad 3

 • Transición a la nube: la adopción de IoT, la movilidad de los usuarios y el trabajo remoto ha aumentado la
demanda de escalabilidad en la nube para una arquitectura más distribuida.

• Información a nivel de aplicación: los enfoques tradicionales de monitoreo y análisis no están diseñados
para proporcionar suficiente información sobre las amenazas a los procesos de desarrollo ágiles que
involucran contenedores y redes sin servidor.

Implementar las tecnologías necesarias para brindar enriquecimiento, detectar y responder a las amenazas
en su patrimonio.

Al crear o aumentar su SOC, debe considerar incorporar algunas tecnologías clave para mejorar las capacidades de
enriquecimiento, detección y respuesta. Tenga en cuenta que evaluar las tecnologías adecuadas requiere una gran
inversión de tiempo y puede ahorrar ese tiempo trabajando con un socio que esté familiarizado con las tecnologías
disponibles y que pueda ayudarle a seleccionar qué oferta puede preparar mejor su defensa para el futuro.

• SIEM nativo en la nube: los SIEM tradicionales han demostrado ser costosos de implementar, poseer y operar,
lo que a menudo requiere que comprometa capacidad inicial e incurra en altos costos para el mantenimiento
de la infraestructura y la ingestión de datos. Con un SIEM nativo de la nube, no hay costos iniciales; paga por
lo que usa. Éste le ayuda a recopilar datos a escala de nube en todos los usuarios, dispositivos, aplicaciones
e infraestructura, tanto en las instalaciones como en múltiples nubes, e incorpora Inteligencia de Amenazas
y otras fuentes de enriquecimiento. La reducción en esfuerzos de gestión y las actualizaciones automáticas
ayudan a cambiar el talento para que se concentre en iniciativas de valor agregado.

• Automatización y orquestación: esto permite una vista panorámica de toda la empresa aliviando el estrés
de los ataques cada vez más sofisticados, los crecientes volúmenes de alertas y los prolongados períodos de
tiempo de resolución. Las capacidades de automatización y orquestación incluyen una colección de soluciones
y herramientas de software que permiten a las organizaciones optimizar las operaciones de seguridad en tres
áreas clave: gestión de amenazas y vulnerabilidades, respuesta a incidentes y automatización de operaciones de
seguridad.

• Inteligencia de amenazas: la inteligencia de amenazas es conocimiento basado en evidencia sobre una

amenaza existente o emergente a los activos, que se puede utilizar para informar decisiones sobre la respuesta
del sujeto a esa amenaza. Hay 3 niveles de inteligencia de amenazas: estratégico, operativo y táctico. Estratégico
analiza los cambios en el panorama de amenazas más amplio y está dirigido principalmente a los ejecutivos.
Operacional busca entender cómo una organización puede ser atacada al delinear Tácticas, Técnicas y
Procedimientos (TTP). Táctico cubre los detalles de un ataque con la vida útil más corta, como los indicadores de
compromiso (IOC) que generalmente se alimentan al SIEM o a cortafuegos.

• Gestión de vulnerabilidades: las organizaciones necesitan crear y gestionar todo el ciclo de vida de la gestión de
vulnerabilidades, que abarca el descubrimiento de activos, la identificación de vulnerabilidades, la priorización
de problemas, la planificación de la remediación y la mitigación de riesgos junto con toda la gobernanza de un
extremo a otro. Esto incluye 4 etapas: Escaneo de Vulnerabilidad, Inteligencia de Vulnerabilidad, Simulaciones
de Vulnerabilidad (alineadas con la matriz MITRE ATT&CK y las metodologías Cyber Kill Chain) y Remediación de
Vulnerabilidades.

Una guía completa para modernizar su centro de operaciones de seguridad 4

• Detección y Respuesta de Punto Final: EDR combina el monitoreo continuo en tiempo real y la
recopilación de datos de punto final con capacidades de respuesta y análisis automatizados y basados
en reglas. Integrarlo con su SOC brinda a los equipos de seguridad una plataforma centralizada para
monitorear continuamente los puntos finales y responder a los incidentes a medida que surgen, a menudo
usando una respuesta automatizada.

• Engaño cibernético: con la tecnología de engaño, los equipos de seguridad no necesitan esperar y
reaccionar ante un ataque. En su lugar, pueden desplegar cebos, anzuelos y señuelos, como servidores y
usuarios falsos diseñados para descarrilar ataques tempranos y durante todo el ciclo de vida del ataque.
Estos señuelos pueden ejecutarse en un entorno de sistema operativo virtual o real y están diseñados para
engañar al ciberdelincuente haciéndole creer que ha descubierto una forma de escalar privilegios y robar
credenciales.

Asegúrese de trabajar con un MSSP que haya obtenido una comprensión clara de su ecosistema, para evitar
gastos innecesarios.

También querrá trabajar con el MSSP para identificar las mejores formas de integrar nuevas tecnologías, de
modo que pueda crear una vista de un solo panel de las operaciones de seguridad para su organización, sin una
inversión de capital adicional.

CONSTRUYENDO UN SOC MÁS

INTELIGENTE
La adopción de componentes SOC de próxima generación permite la detección y respuesta proactivas
y ayuda a su equipo a mantener un plan de acción detallado, lo que le permite responder rápidamente
a un ataque.

El SOC debe funcionar como un impulsor de su programa de seguridad, en lugar de simplemente

responder a los incidentes en un proceso defensivo o reactivo.

El proceso de implementación de un SOC más inteligente incluye las siguientes capas de desarrollo:

• Definir la recopilación de registros: ¿qué se debe incluir?

• Abordar el lado de los datos: recopilación, gestión y almacenamiento

• Análisis de seguridad: aprovechar las capacidades de un SIEM

• Implementar orquestación, automatización y colaboración.

Ahora exploraremos estas áreas con más detalle.

Una guía completa para modernizar su centro de operaciones de seguridad 5

1 EFINIR LA RECOPILACIÓN DE REGISTROS:
¿QUÉ SE DEBE INCLUIR?
Construir un SOC más inteligente implica primero identificar qué activos, herramientas, tecnologías y
aplicaciones deben integrarse.

La capa de recopilación de registros cubre las aplicaciones locales, las aplicaciones alojadas en la nube y las
aplicaciones SaaS. Debe extenderse a todas las fuentes de registro de su organización, incluidas aquellas
conectadas a oficinas regionales, trabajadores remotos y centros de datos (cuando corresponda).

Si está utilizando componentes de Microsoft XDR (Extended Detection and Response), también conocido
como Microsoft Defender, la gama de controles de seguridad existentes que generan alertas de seguridad
incluye identidades, puntos finales, datos, correo electrónico, colaboración, IoT, OT, infraestructura en la nube y
aplicaciones en la nube. Todas estas fuentes de datos deben incluirse en la capa de recopilación de registros.

Una guía completa para modernizar su centro de operaciones de seguridad 6

2 ABORDAR EL LADO DE LOS DATOS -
RECOPILACIÓN, GESTIÓN Y ALMACENAMIENTO
Una vez que se define la capa de recopilación de registros, es posible implementar recopilación de registros, gestión
de datos y almacenamiento de datos efectivos.

Es fundamental encontrar formas de simplificar este proceso. Al utilizar un SIEM nativo de la nube, por ejemplo,
puede obtener las ventajas de una recopilación sencilla de fuentes de la nube y el escalado automático.

Para algunos SOC, parte del proceso de gestión y almacenamiento de datos implica la capacidad de analizar los
datos antes de que entren en un lago de datos de seguridad. Particularmente para la empresa, podría ser necesario
considerar el etiquetado y el filtrado de datos, particularmente porque las implicaciones de costos de usar un lago de
seguridad de datos incluyen el costo de ingestión y almacenamiento.

En CyberProof, aprovechamos la tecnología SaaS de Azure Log Analytics y CyberProof Log Collection (CLC) para
extraer registros de todas las fuentes de datos. Estos incluyen las inversiones de Microsoft existentes de un cliente,
incluidos los activos locales, SaaS y Azure, y los controles de seguridad de Microsoft existentes que generan alertas en
identidades, puntos finales, datos y correo electrónico, y aplicaciones en la nube.

Una guía completa para modernizar su centro de operaciones de seguridad 7

3 ANÁLISIS DE SEGURIDAD -
APROVECHAR LAS CAPACIDADES DE UN SIEM
Ejecute análisis utilizando la Gestión de eventos e información de seguridad (SIEM), que utiliza reglas de detección
para identificar anomalías y, al mismo tiempo, supervisa si sus fuentes de registro funcionan correctamente.

La actividad del SIEM es crucial para reducir el tiempo de reconocimiento y remediación, asegurándose de que los
atacantes no operen libremente hasta que sean remediados. Un SIEM bien ajustado puede ayudar al equipo de SOC
a detectar detecciones reales y evitar perder mucho tiempo en falsos positivos.

Las organizaciones están adoptando cada vez más soluciones como Azure Sentinel de Microsoft, un SIEM nativo
de la nube que proporciona correlación, reglas de análisis y filtrado de grandes volúmenes de eventos para obtener
alertas de alto contexto. Azure Sentinel usa Machine Learning para encontrar de forma proactiva anomalías ocultas
dentro del comportamiento aceptable del usuario y generar alertas. Además, incluye el uso de Azure Logic Apps
para crear guías y conectores, lo que le permite automatizar los flujos de trabajo con otros servicios de Azure y otras
herramientas como sistemas de emisión de tickets o mensajería instantánea.

Una guía completa para modernizar su centro de operaciones de seguridad 8

4 IMPLEMENTAR ORQUESTACIÓN,
AUTOMATIZACIÓN Y COLABORACIÓN
Una mayor adopción de orquestación, automatización y colaboración proporciona un elemento clave para la
productividad.

El impulso hacia orquestación y automatización se debe en parte a la necesidad de aliviar la escasez global de
personal. Simplemente no tenemos suficientes expertos cibernéticos para satisfacer la creciente necesidad.
Las organizaciones buscan un equipo más ágil, especialmente si sus analistas de SOC, que desean avanzar en
sus carreras, están interesados en hacer más trabajo de búsqueda de amenazas de alto nivel e investigación de
nivel 2.

También es importante una mayor orquestación y automatización debido a la continua evolución de las
amenazas. Ello permite que el SOC trabaje más rápido para permitir la resolución de incidentes y facilita la
eficiencia al admitir una vista centralizada de la inteligencia de amenazas a través de un solo panel de vidrio.

Las funciones de colaboración, como ChatOps, que permiten la comunicación en tiempo real con las partes
interesadas internas y externas, también ayudan a acelerar la corrección de incidentes críticos.

En CyberProof, brindamos a nuestros clientes acceso a nuestra CyberProof Defense Center Platform (CDC),
una plataforma de prestación de servicios propia que ofrece a los clientes acceso a nuestra IP en áreas como
Automatización, Orquestación, Colaboración e IA, pero “como un servicio". Como parte de la plataforma,
nuestro analista virtual, SeeMo, elimina gran parte del esfuerzo manual de los analistas al automatizar las
tareas rutinarias de SOC, tales como triaje de alertas, enriquecimiento de eventos, investigación, contención de
problemas y ejecución de manuales de respuesta.

Vea el diagrama en la página siguiente.

Una guía completa para modernizar su centro de operaciones de seguridad 9

Una guía completa para modernizar su centro de operaciones de seguridad 10
 MÉTRICAS Y MEDICIÓN DEL
ÉXITO SOC
Asegurar el éxito de su SOC y la seguridad de su empresa requiere continuar midiendo su
desempeño. Estas son algunas de las métricas clave para verificar:

• Tiempo medio de detección (MTTD) y tiempo medio de respuesta (MTTR): al implementar herramientas
IA, usted puede reducir eficazmente el MTTD y el MTTR, reduciendo el grado de riesgo de su organización.

• Tiempo para mitigar: reduce el tiempo necesario para eliminar un riesgo inmediato para la empresa. Esto le
ayuda a medir la rapidez con la que su equipo puede detener o ralentizar una amenaza activa.

• Reducción de falsos positivos: si un SOC tiene reglas de detección y casos de uso bien ajustados, debería
ver a lo largo del tiempo una disminución en el número de falsos positivos.

• Productividad del equipo de SOC: aprovechar la orquestación y automatización y utilizar fuentes de

enriquecimiento le permite reducir el tiempo para hacer triaje, calificar un incidente y recuperarse del
incidente.

• Número de casos de uso, libros de jugadas y reglas de detección: las lecciones aprendidas durante los
procesos de respuesta a incidentes y búsqueda de amenazas deben compartirse con el equipo de casos de
uso, el que puede corregir cualquiera de las brechas de seguridad identificadas. Esto evita la repetición de
incidentes o, alternativamente, garantiza que, si el incidente se repite, la detección y la respuesta ocurran
automáticamente.

Para cada escenario de ataque existe una curva de impacto que define la cantidad de pérdida a lo largo del
tiempo. Al definir la ventana de respuesta, el período mínimo después del cual el impacto del ciberataque se
vuelve exponencialmente mayor, usted puede reducir el riesgo asociado con un ciberataque. Debido a que
la magnitud de la pérdida está asociada con el tiempo que se tarda en detectar y responder, la velocidad y la
agilidad son cruciales.

Una guía completa para modernizar su centro de operaciones de seguridad 11

 TENDENCIAS DE LA INDUSTRIA

CENTRADO EN EL ANÁLISIS DE SEGURIDAD NATIVO EN

LA NUBE
Las operaciones de seguridad son una batalla continua por relevancia, recursos, velocidad de detección
y respuesta. Por lo tanto, es preferible que todos sus talentos de seguridad sean lo más productivos
posible y estén enfocados en tareas de valor agregado. La implementación y el mantenimiento de
una infraestructura SIEM clásica probablemente no sea una de estas tareas. Veamos algunos de los
beneficios del SIEM nativo de la nube.

Reducción de costo

Aprovechar un SIEM nativo de la nube le evita instalar y mantener una

infraestructura física. Desde una perspectiva financiera, también le permite pasar
de gastos de capital a gastos operativos, en los que paga solo por lo que usa.
Con las reservas de recursos, puede aprovechar los precios predecibles y, con la
elasticidad de la nube, puede adaptar y administrar sus costos de mes a mes.

Escalabilidad y elasticidad

Un SIEM nativo de la nube puede manejar fácilmente los mayores volúmenes de

registros provenientes de su perímetro en expansión, incluidos los datos generados
en la nube que se pueden ingerir cerca de donde fueron generados. Los recursos
informáticos y de almacenamiento se adaptan automáticamente para usted y se
escalan a medida que usted escala su empresa.

Implementación más rápida y perenne

Es mucho más rápido implementar un SIEM nativo de la nube que uno local
tradicional. Los nuevos servicios se suministran más rápido y las últimas
tecnologías están disponibles automáticamente, lo que le permite mantener una
solución actualizada y de vanguardia.

Beneficios comunitarios

El proveedor de su SIEM nativo de la nube tiene una óptica única acerca de las
amenazas, lo que beneficia a todos sus clientes al compartir sus conocimientos
sobre el panorama actual de amenazas. Se pueden actualizar algunas reglas
de análisis o análisis de comportamiento para que todos los participantes
se beneficien y aprendan de situaciones de ataque anteriores, sin tener que
soportarlas personalmente.

Una guía completa para modernizar su centro de operaciones de seguridad 12

CENTRADO EN AUTOMATIZACIÓN Y ORQUESTACIÓN
Hay tantos aspectos del funcionamiento del SOC
que las computadoras pueden hacer mejor que
los humanos. Pero el concepto de creatividad,
la capacidad de pensar lateralmente, encontrar
soluciones innovadoras para nuevos tipos de ataques
y la capacidad de tomar decisiones reflexivas, sigue
siendo exclusivamente humano.
El advenimiento de los bots inteligentes en el SOC:
En un SOC cada vez más automatizado, la interacción
entre humanos y bots (habilitada y ejecutada por
libros de jugadas) debe unificarse cuidadosamente.
Esta crucial área de colaboración debe definirse en
los libros de jugadas y en el desarrollo de enfoques
basados en Orquestación, Automatización y Respuesta
de Seguridad (SOAR) a la operación SOC que requiere
nuevos flujos de trabajo y casos de uso.
Por cada alerta recibida en el SOC,
una serie de actividades de triaje
inicial podrían ser
llevadas a cabo por el bot
inteligente. En el punto en el que
un bot inteligente no sea capaz
de continuar con las actividades
de respuesta, la alerta debe
transferirse a los analistas de
seguridad humanos.
La investigación de CyberProof muestra que se puede
automatizar entre el 95% y el 98% de la clasificación
de alertas de SOC, lo que reduce el esfuerzo humano.
Pero las alertas restantes necesitan soporte humano.
Aprovechar las capacidades automatizadas permite
que un equipo de seguridad acelere su respuesta y
maneje las amenazas emergentes lo suficientemente
Una guía completa para modernizar su centro de operaciones de seguridad
rápido como
para asegurar la
resistencia de sus
sistemas.
El uso de bots inteligentes significa que
un SOC puede automatizar tareas tales
como: enriquecer datos de eventos, consultar
fuentes externas de manera proactiva,
responder a las solicitudes de los analistas
proporcionando información contextualizada
y procesable, creando incidentes
automáticamente sin
intervención humana (en base a recopilación y
contexto) y la ejecución automática de pasos no
intrusivos en los libros de jugadas digitalizados.
Al automatizar algunas de las actividades de nivel
1 y 2 del SOC, los bots inteligentes pueden ayudar
a reducir los falsos positivos y reducir el tiempo
de permanencia, es decir, el período que empieza
cuando un actor de amenazas tiene acceso no
detectado a una red y termina cuando una amenaza
se elimina por completo.
Casos de uso y libros de jugadas
Para mejorar constantemente las capacidades de
detección y mantenerse al día con las amenazas
emergentes, los SOC deben diseñar y construir
continuamente casos de uso y libros de jugadas
sólidos. Cada organización necesita casos de uso
personalizados, que deben reflejar los requisitos
únicos y el perfil de amenazas de la organización,
el panorama de amenazas en función de su industria
vertical, los tipos de activos que posee, sus regiones
operativas, aplicaciones y servicios utilizados, y más.
La integración del flujo de trabajo es fundamental
para garantizar que las alertas se prioricen y escalen
adecuadamente para una remediación oportuna.
Los casos de uso ayudan a enriquecer las alertas
de seguridad para una mejor contextualización,
desarrollar libros de jugadas y flujos de trabajo
de respuesta a incidentes, y a automatizar las
respuestas al permitir la integración con la red y
los controles de seguridad.
13
CONCLUSIONES
Obtener una mayor eficiencia en ciberseguridad a través de la implementación de un SOC más
inteligente se reduce a tres atributos clave:

• Visibilidad de lo que importa: ¿Cómo obtengo visibilidad continua de las amenazas más
importantes?

• Colaboración con las habilidades adecuadas, en el momento adecuado: ¿cómo accedo a la

experiencia que necesito para resolver problemas complejos rápidamente?

• Mejora continua: ¿cómo puedo preparar mis defensas para el futuro?

Para las empresas que no desean construir un SOC interno 24x7, un MSSP avanzado como CyberProof
puede proporcionar estas capacidades. Los MSSP pueden crear y administrar el SOC y agregar
componentes de SOC de próxima generación para ayudarle a madurar sus procesos de seguridad.

Si está trabajando con un MSSP, siempre debe definir SLA y procesos de comunicación que aseguren que
el MSSP no opere en una "caja negra".

Por ejemplo, CyberProof utiliza su plataforma CyberProof Defense Center (CDC) para ofrecer una
colaboración completa entre los clientes y el equipo SOC CyberProof. Los clientes acceden a la
plataforma para monitorear, revisar y definir los formatos de informes del cliente y los paneles de control
que rastrean los niveles de servicio y el éxito.

Cuando una organización no tiene un flujo de trabajo de SOC eficiente, esto aumenta la vulnerabilidad a
los ataques de ciberseguridad a la vez que hace imposible mitigar los riesgos de manera efectiva.

Trabajar con un MSSP le permite mejorar las estrategias de seguridad y mantenerse un paso por delante
de los actores malintencionados, permitiéndole acceder a capacidades de seguridad más recientes y
mejorar su postura de ciberseguridad.

Una guía completa para modernizar su centro de operaciones de seguridad 14

ACERCA DE MICROSOFT
Durante más de 35 años, nos hemos comprometido a promover la seguridad
en nuestros productos y servicios, desde ayudar a nuestros clientes y socios a
proteger sus activos hasta trabajar para ayudar a garantizar que sus datos se
mantengan seguros y privados. Nuestro enfoque en la seguridad y la identidad,
especialmente los ecosistemas de protección de la información, junto con una
asociación activa con muchos proveedores y empresas consultoras de todo
el mundo, ha impulsado cambios en nuestros productos y servicios que han
beneficiado a las organizaciones con protección y ayuda a promover la seguridad
de sus activos intelectuales.

ACERCA DE CYBERPROOF
CyberProof es una empresa de servicios de seguridad que gestiona de forma
inteligente la detección y respuesta a incidentes. Nuestra solución proporciona
completa transparencia y reduce drásticamente el costo y el tiempo necesarios
para responder a las amenazas de seguridad y minimizar el impacto en la
empresa.

SeeMo, nuestro analista virtual, automatiza y acelera las operaciones cibernéticas

aprendiendo y adaptándose a partir de un sinfín de fuentes de datos y responde
a las solicitudes proporcionando contexto e información procesable. Esto
permite que nuestros expertos cibernéticos de los estados nacionales y el equipo
de usted prioricen los incidentes más urgentes e identifiquen y respondan de
manera proactiva a las amenazas potenciales. Colaboramos con nuestros clientes
globales, con el mundo académico y con el ecosistema tecnológico para avanzar
continuamente en el arte de la ciberdefensa.

CyberProof es parte de la familia UST. Algunas de las empresas más grandes del
mundo confían en nosotros para crear y mantener ecosistemas digitales seguros
utilizando nuestra plataforma integral de ciberseguridad y nuestros servicios de
mitigación.

Para obtener más información, visite: www.cyberproof.com

UBICACIONES

Barcelona | California | Londres | París | Singapur | Tel Aviv | Trivandrum

© 2021 CyberProof Inc. All Rights Reserved. 15