Los equipos de seguridad tienen un papel desafiante y siempre cambiante. Así es como un SOC puede mantenerse al día


Los equipos de seguridad deben coordinarse y operar según las prácticas estándar para garantizar que sus esfuerzos rindan los mejores resultados. Aprenda algunos consejos de un experto de la industria sobre cómo hacerlo realidad.

«data-credit =» Imagen: SARINYAPINNGAM, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Desarrollador programador Desarrollo Diseño de sitios web y tecnologías de codificación que trabajan en la oficina de la compañía de software

Imagen: SARINYAPINNGAM, Getty Photos / iStockphoto

Un centro de operaciones de seguridad (SOC) consta de un equipo dedicado de personas dedicadas a manejar la seguridad de la información para proteger el negocio. Si bien no todas las empresas tienen un SOC (ni los recursos para establecer uno), a menudo se encuentran en organizaciones y empresas medianas y grandes que manejan transacciones financieras.

He desempeñado dos funciones como administrador del sistema y analista de ciberseguridad trabajando para organizaciones pequeñas, pero no he tenido la oportunidad de trabajar en un SOC. Uno de los muchos desafíos que enfrenté al manejar las operaciones de seguridad fue lidiar con el gran volumen de alertas que recibí y separar los falsos positivos de las amenazas genuinas.

VER: El estafador de Mastermind detrás de Capture Me If You Can habla de ciberseguridad (Descarga de TechRepublic)

Chateé con Gaurav Banga, CEO y fundador de la firma de seguridad cibernética AI Balbix, para obtener su opinión sobre el trabajo de los SOC y cómo está cambiando la ciberseguridad.

Scott Matteson: ¿Cuáles son los objetivos principales de un SOC?

Gaurav Banga: Un SOC es responsable de mantener una organización protegida contra amenazas las 24 horas, los 7 días de la semana. Cuando se alerta a un SOC de una vulnerabilidad o incidente en progreso, debe ponerse en acción lo antes posible para minimizar o negar el daño causado, mientras se mantiene el tiempo de actividad de las operaciones críticas para el negocio.

Scott Matteson: ¿Cuáles son los desafíos que enfrenta un SOC típico?

Gaurav Banga: Algunos SOC pueden recibir más de un millón de alertas por día. y la mayoría de los analistas de SOC solo pueden administrar alrededor de 20 a 25 alertas por día. Lo que es peor, la cantidad de se espera que los empleos no cubiertos de ciberseguridad sean 1.8 millones para 2022, un aumento del 20% desde 2015. Como resultado, los SOC tradicionales no cuentan con los recursos y las herramientas necesarias para manejar de manera efectiva todas las alertas de seguridad de sus registros de información de seguridad y gestión de eventos (SIEM).

Scott Matteson: ¿Por qué las organizaciones luchan con el volumen de alertas producidas por sus controles de seguridad?

Gaurav Banga: Los SOC tradicionales luchan con el volumen de alertas diarias producidas por sus registros SIEM. La selección de estas alertas eat mucho esfuerzo, y es esencialmente un ejercicio reactivo, ya que un ataque puede haber comprometido algunos sistemas empresariales. También tenemos muchos falsos positivos en estas alertas, lo que exacerba aún más la situación. Como las organizaciones suelen retrasarse en parchear sus sistemas y reparar otras vulnerabilidades, esto les permite a los ciberdelincuentes buscar cualquiera de las varias brechas de seguridad en la red de la compañía y obtener acceso no autorizado.

Scott Matteson: ¿Cómo pueden las organizaciones resolver este problema?

Gaurav Banga: Los SOC deben ser inteligentes y de autoaprendizaje para desarrollar un enfoque proactivo de la seguridad. Para hacer esto, los SOC deben adoptar herramientas modernas que usen algoritmos especializados de IA para poder descubrir automáticamente todos los activos y usuarios de TI, monitorearlos en busca de riesgos en cientos de vectores de ataque. Dichas herramientas pueden ayudar a encontrar, contextualizar y priorizar las amenazas que necesitan ser remediadas en función del riesgo.

VER: Lo que las empresas deben saber sobre la Ley de Privacidad del Consumidor de California (TechRepublic Premium)

Scott Matteson: ¿Cómo funciona la promulgación de GDPR y CCPA SOC de impacto?

Gaurav Banga: La promulgación de GDPR y CCPA debería estimular a los SOC a adoptar un enfoque proactivo para la defensa cibernética, si aún no lo han hecho. Las consecuencias de sufrir una violación de datos deben hablar por sí mismas. Las empresas serán responsables de sanciones del 4% de la facturación world anual o de € 20 millones por incumplimiento GDPR. Aplicación de CCPA será a través de un derecho de acción privado por violaciones de datos, y el resto del acto estará sujeto a la ejecución por parte del Fiscal General de California a un máximo de $ 2,500 por violación.

Scott Matteson: ¿Qué herramientas o plataformas de seguridad utiliza un SOC efectivo?

Gaurav Banga: Los SOC efectivos utilizan herramientas de seguridad automatizadas y plataformas impulsadas por IA que pueden descubrir todos los activos y usuarios, monitorear continuamente cientos de vectores de ataque, mantener visibilidad en tiempo genuine a través del inventario de dispositivos, aplicaciones y usuarios, así como superficies de ataque, y proporcionar Una evaluación de riesgos continua e integral. Esto permitirá que los SOC corrijan las vulnerabilidades en función del riesgo comercial, conceptualicen las amenazas para tomar medidas proactivas, atenuantes y mejoren la relevancia standard de los informes que los CIO y CISO deben entregar a la junta.

Scott Matteson: ¿Qué necesita incorporar el SOC del futuro para mantenerse al día con las amenazas de seguridad en evolución?

Gaurav Banga: Un SOC del futuro será predictivo y proactivo. Tendrá que contar con herramientas automáticas de autoaprendizaje para medir y administrar continuamente la postura normal de seguridad cibernética de la pink de una empresa, antes de que el adversario pueda atacar. Dichos SOC tendrán un conocimiento situacional integral y en tiempo actual de su inventario, vulnerabilidades, exposición, amenazas relevantes, cualquier management compensatorio activo y la relativa importancia comercial de los diferentes activos.

Scott Matteson: ¿Qué elementos profesionales son útiles para el private de SOC?

Gaurav Banga: Encontrar el personalized adecuado, con la capacitación y experiencia adecuadas, puede ser un desafío.

Los mejores analistas de SOC piensan como sus adversarios y se entrenan para contrarrestar las amenazas y los ataques utilizando una combinación de razonamiento inductivo y deductivo, así como un buen conocimiento técnico y comercial.

La mayoría de los COS están organizados en dos grupos operativos. El primero es el equipo de operaciones que monitorea continuamente las pantallas en busca de posibles anomalías, eventos y riesgos que se detectan. Es clave un buen conocimiento de los elementos de riesgo de incumplimiento, vectores de ataque y familiaridad con las herramientas modernas de inteligencia artificial y automatización.

El segundo es el equipo de respuesta a incidentes, que aborda los eventos de incumplimiento reales. Estos ingenieros tienen habilidades más avanzadas y generalmente son responsables de la investigación forense, el análisis avanzado de malware y la capacitación y tutoría del personal más junior.

Scott Matteson: ¿Cómo aconseja que el individual de SOC mantenga educados a los empleados de la organización?

Gaurav Banga: Los CISO y los SOC han encontrado que la gamificación es una estrategia efectiva para educar a los empleados de su organización sobre seguridad cibernética y reducir la propiedad de la gestión del riesgo cibernético. La gamificación de los procesos de ciberseguridad de una empresa implica aprovechar los deseos naturales de las personas para la competencia, el aprendizaje, el logro y el reconocimiento para reducir el riesgo de incumplimiento de la empresa.

Ver también





Enlace a la noticia unique