Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > SecOps necesita más democratización, no menos SOC
SecOps Needs More Democratization, Not Less SOC

SecOps necesita más democratización, no menos SOC

by Sergej Epp updated noviembre 23, 2024 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

Un aumento en la complejidad de las tecnologías, así como un número creciente de fallos y ataques seguido de una creciente dependencia de los objetivos empresariales, está cambiando la forma en que operamos los Centros de Operaciones de Seguridad.

Anteriormente discutí el concepto de un Centro de Fusión como una necesidad para responder a la segunda tendencia. Aunque integrar expertos en negocios en una función de SOC podría ayudar a los profesionales de seguridad a alinearse mejor con el negocio y a planificar estratégicamente el SOC, no resolverá todos los problemas de escalabilidad y agilidad inherentes a un SOC.

Cómo Implementar la Automatización de Ciberseguridad en SecOps con SOAR

La automatización es la solución obvia. Y esa es la razón por la que vemos que la mayoría de los SOCs priorizan los proyectos de Orquestación, Automatización y Respuesta de Seguridad (SOAR) como una gran base para automatizar tus manuales de SOC.

Algunos CISOs incluso ven SOAR como la base clave para DevSecOps. Para mí, esto tiene sentido, ya que la mayoría de los analistas de SOC tradicionales carecen de un trasfondo en ingeniería de software o desarrollo. En este caso, una plataforma SOAR de bajo o nulo código es la solución táctica perfecta para automatizar los manuales de SOC y mantener el ritmo con DevOps o la creciente demanda empresarial de monitoreo y respuesta a incidentes.

“Introducir la automatización en el SOC cambiará tu modelo operativo de seguridad por completo.”

La primera pregunta en el viaje de automatización suele ser: ¿Cómo enfoco la atención? Desafortunadamente, veo con demasiada frecuencia que los SOCs toman sus manuales existentes y los integran en plataformas automatizadas sin hacer muchos cambios. Quizás los manuales existentes son lo suficientemente buenos para automatizar sin mucho cambio, tal vez debido a algunos requisitos regulatorios u otros compromisos.

Por otro lado, este enfoque tiene un defecto fundamental, que ya vimos con algunos otros viajes de transformación en el pasado. Por ejemplo, la prisa por la nube pública y la urgencia de entregar llevó a muchos CIOs a adoptar una estrategia de “levantar y cambiar”, en lugar de refactorizar las aplicaciones para heredar todas las ventajas de la nube pública. El resultado fue una entrega rápida, pero solo se arañó la superficie de los posibles beneficios.

Introducir la automatización en el SOC cambiará tu modelo operativo de seguridad por completo. Un SOC que puede automatizar la mayoría de sus tareas no solo tiene el potencial de volverse más eficiente al hacer todo mucho más rápido, sino que tiene el potencial de revolucionar la forma en que funcionan tus operaciones de seguridad. Con la automatización, puedes ejecutar tus manuales a la velocidad de la luz en lugar de horas y mantener una escalabilidad infinita para proporcionar una experiencia personalizada para cada empleado y cliente.

“Con el tiempo, la ‘O’ y la ‘C’ en ‘SOC’ desaparecerán lentamente.”

Estado de SecOps

La evolución de SecOps ha sido impulsada por la necesidad de mejorar la efectividad de la ciberseguridad, particularmente en grandes organizaciones. SecOps ha evolucionado de un enfoque reactivo a la seguridad a un enfoque más proactivo que se centra en la automatización y la orquestación.

Los desafíos de SecOps incluyen la complejidad del entorno y la necesidad de integrarse con los procesos y sistemas existentes. Las organizaciones deben asegurarse de que están gestionando de manera segura sus activos y datos, al mismo tiempo que cumplen con los requisitos de cumplimiento y regulación. Además, el equipo de SecOps debe ser capaz de detectar y responder rápidamente a los eventos de seguridad.

En el pasado, las organizaciones solo respondían a los eventos de seguridad después de que ocurrían, a menudo con procesos manuales. Hoy en día, los equipos de SecOps están utilizando la automatización para reducir la cantidad de trabajo manual y permitirles identificar, responder y minimizar los eventos de seguridad más rápidamente.

Veamos algunos ejemplos de cómo los centros de operaciones de seguridad líderes en la industria están abordando este viaje de automatización.

  • Amazon AWS ha afirmado durante un tiempo que no tienen un SOC centralizado. Todas las alertas se escalan directamente a los miembros del personal y hay solo un ingeniero de guardia para vigilar los sistemas de monitoreo. Esto suena como fantasía para la mayoría de las organizaciones, pero la mayoría tampoco tiene el privilegio de comenzar con un enfoque de campo verde y un ejército de ingenieros.
  • En Palo Alto Networks, tenemos un pequeño grupo de ingenieros de operaciones de seguridad que aplican lo que llamamos el modelo 30/30/30. Los analistas pasan el 30% de su tiempo en la clasificación de señales de alta fidelidad, el 30% construyendo y ajustando análisis de detección, y el 30% cazando amenazas y realizando análisis retrospectivos. La mayoría de las alertas van inicialmente a los empleados afectados para su clasificación y el analista de SOC no se involucra a menos que se alcance un umbral específico de retroalimentación o alerta. Este método tiene ventajas de costo distintas; no necesariamente necesitas un modelo de rotación costoso 24/7. La mayoría de las alertas están cubiertas por la automatización, y en caso de que una alerta alcance el umbral fuera del horario laboral, hay un analista de guardia para cubrirla.
  • Por último, pero no menos importante, Google, conocido por su fuerte y diverso grupo de expertos en seguridad, publicó recientemente un documento técnico sobre este tema. Compartieron sus lecciones aprendidas al gestionar la seguridad internamente y transformar los SOCs tradicionales en Operaciones de Seguridad Autónomas. En este documento técnico, Anton Chuvakin y sus colegas argumentan que la adopción de la nube es un impulsor clave para la transformación de las estrategias de operaciones de seguridad. Con el tiempo, la “O” (operaciones) y la “C” (centro) en “SOC” desaparecerán. Los resultados serán bastante similares a los conceptos anteriores: una organización sin SOC.

Desafíos de Automatización en SecOps

La comunidad de seguridad ha estado discutiendo este tema de la automatización durante un tiempo. Entonces, ¿por qué sigue siendo un gran problema para los SOCs automatizar? Pregunta a algunos CISOs reacios y te dirán que su vacilación es de naturaleza técnica, por ejemplo, “todavía estamos tratando de instrumentar nuestros controles” o “según nuestros manuales, la automatización podría causar algunos problemas de estabilidad.” Sin embargo, la retroalimentación se centra principalmente en los requisitos del propio SOC y no en los requisitos de los equipos de negocio o la fuerza laboral.

Este podría ser el núcleo del problema de la automatización. Con demasiada frecuencia olvidamos ampliar la perspectiva y revalidar los problemas y requisitos establecidos por nuestros clientes internos. Como héroes de SecOps, creemos (incorrectamente) que la mayoría de los empleados no entienden el problema y asumimos arrogantemente que solo nosotros podemos hacerlo bien; somos los magos y todos los empleados son los muggles. Pero no olvidemos que la mayoría de los problemas con los SOCs tradicionales están asociados con un solo problema: alertas sin contexto empresarial.

“Con demasiada frecuencia olvidamos ampliar la perspectiva y revalidar los problemas y requisitos establecidos por nuestros clientes internos.”

Entonces, ¿cómo podemos considerar una visión más centrada en el cliente en el viaje de automatización? Uno de mis colegas CISO lo resumió de esta manera: “Hoy en día, los empleados o funciones empresariales quieren tener la libertad de elección sobre la visibilidad y la cantidad de alertas que reciben de sus equipos de seguridad. Siempre que se mantengan responsables y comprendan los riesgos, les proporcionaremos este confort, pero aún haremos nuestras verificaciones puntuales para verificar.”

En la práctica, un modelo de SOC democratizado podría verse muy diferente para cada organización, pero hay algunos buenos ejemplos para esta estrategia:

  • Detección de fugas de datos es potencialmente el control de ciberseguridad más difícil de implementar y a menudo el más ruidoso que jamás haya existido. La revisión central de alertas de DLP no solo es ineficaz y costosa, sino que también impacta significativamente en la privacidad de los datos. Las estadísticas nos dicen que la mayoría de las filtraciones de datos no son intencionales, por lo que escalar esas alertas directamente a los empleados respectivos y a su gerente y ayudarles a entender el problema eventualmente creará el mejor retorno de inversión para la empresa. Mejorar tu cultura de seguridad de datos puede ser un cambio radical.
  • Fallos de aplicaciones o problemas de configuración. ¿Realmente crees que tus analistas de SOC pueden cerrar consistentemente la brecha entre los problemas de seguridad de aplicaciones y los equipos de DevOps? Cada equipo de DevOps entiende el principio simple: lo construyes, lo ejecutas. Como CISO, tenemos que añadir “lo aseguras” a este principio.
  • Los CISOs y sus equipos añaden valor al SOC definiendo y configurando las políticas y guías prioritarias correctas como parte del SDLC o la canalización CI/CD. Todas las alertas van directamente a los respectivos equipos de DevOps para revisión y manejo. Ejemplo: Un nuevo proyecto que se pone en marcha en Google Cloud con una mala configuración será automáticamente cerrado y escalado de nuevo al equipo de DevOps para su corrección. ¡Sin excepciones!
  • Phishing. Sí, es 2021 y todos deberían estar al tanto del phishing y cómo manejarlo. Empoderar a los empleados y escalar las alertas de vuelta a ellos para correos electrónicos de phishing no bloqueados, por ejemplo, a través de una interfaz en tu programa de correo, correos electrónicos adicionales, llamadas automáticas o mensajes corporativos, etc., no solo liberará a tu analista para realizar tareas más importantes, sino que también aumentará la conciencia entre tus empleados.
  • Monitoreo de cumplimiento. Algunos reguladores de la industria exigen el monitoreo de la actividad de los administradores de sistemas o los intentos de acceso a aplicaciones críticas. Aunque hay riesgos obvios como la amenaza interna de escalar esas alertas directamente al equipo respectivo, argumentaría que es una locura asumir que tu SOC centralizado alguna vez estará en posición de interpretar estas actividades sin la ayuda de un SME. Entonces, ¿por qué no escalar esas alertas directamente a los líderes de tribu o expertos en seguridad dedicados en esos equipos?
  • Al final, todavía te quedan las alertas tradicionales de SOC como intrusión de red y eventos de malware, que solo pueden ser manejados por tu experto en SOC. Por otro lado, la mayoría de las tecnologías modernas de IPS/sandbox están en posición de traducir esas alertas directamente en firmas preventivas. En consecuencia, no hay necesidad de revisar y clasificar cada alerta individual. La única función operativa centralizada que tu SOC podría mantener es la respuesta a incidentes y un equipo dedicado a la caza de amenazas/forense que mire retrospectivamente los datos y el malware para intrusiones exitosas y mejore tus políticas y análisis.

La lista de casos de uso de SOC democratizado puede continuar, pero el punto que intento hacer es que un SOC automatizado siempre tendrá que comenzar su viaje reevaluando el problema que intenta resolver con sus clientes. Democratizar un proceso siempre requiere un enfoque bidireccional. Educa a tu fuerza laboral, consigue su aceptación en el alcance, y solo entonces comienza a aprovecharlos como tus analistas extendidos de SecOps.

Idealmente, haces esto antes de introducir la automatización en el SOC. Te sorprenderás de lo que haces de manera diferente o no haces en absoluto. Como resultado, algunas organizaciones podrían incluso lograr la visión de una organización sin SOC, pero la realidad es que la mayoría de las organizaciones aún requerirían un equipo centralizado para gestionar su infraestructura o procesos heredados.

Al mismo tiempo, más y más responsabilidades tradicionales de SOC se trasladarán a la fuerza laboral de tu empresa, haciéndolos responsables de sus propias operaciones de seguridad. Esto es un SOC democratizado.

El Futuro de SecOps

SecOps continuará evolucionando hacia una gestión de seguridad más proactiva. Esto incluirá más automatización de procesos de seguridad, detección de amenazas potenciales y prevención de violaciones de datos. La inteligencia artificial (IA) y el aprendizaje automático (ML) se utilizarán para identificar amenazas potenciales, analizar datos y ayudar en los tiempos de respuesta. Además, las organizaciones utilizarán servicios basados en la nube para centralizar las operaciones de seguridad, reduciendo los procesos manuales y liberando tiempo para los equipos de seguridad. Los equipos de seguridad seguirán necesitando ser multidisciplinarios, con una combinación de habilidades técnicas, analíticas y de comunicación, para tener éxito en SecOps.

Recursos Adicionales

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks