Mejores prácticas para gestionar un SOC remoto



Los expertos comparten lo que se necesita para lograr que sus analistas de seguridad contrarresten efectivamente las amenazas de sus oficinas domésticas.

A pesar de que las organizaciones de seguridad se esfuerzan por proteger a una gama mucho más amplia de usuarios finales remotos que nunca antes, también se les pide que resuelvan sus propios problemas internos de trabajo remoto. El principal de ellos es descubrir cómo habilitar operaciones SOC remotas efectivas.

Los veteranos de seguridad dicen que lo primero que hay que tener en cuenta es que ninguno de los fundamentos debe salir por la ventana cuando mueves los analistas a lugares remotos.

«Ya sea remoto o en el sitio, los principios de mantener un SOC siguen siendo los mismos», dice Curtis Fechner, director técnico, gestión de amenazas, en Optiv. «Todos los estándares formales, procedimientos u otras reglas deberían aplicarse. La forma en que los analistas de SOC acceden a sus diversas consolas puede, por supuesto, cambiar si están trabajando desde casa, al igual que los medios por los cuales colaboran y comparten inteligencia».

Con eso en mente, esto es lo que los expertos recomiendan para mantener un equipo SOC disperso que rastrea las amenazas y maneja los incidentes sin problemas.

Harden Analyst Machines
Por lo basic, un SOC in situ se aloja en un entorno con seguridad física avanzada debido a la naturaleza de la información que maneja, dice Isidoros Monogioudis, director de seguridad de la información en Digital Shadows.

«Esto hace que el trabajo remoto para un SOC sea un poco desafiante ya que la protección física tradicional tiene que transferirse a los hogares de los analistas de SOC», dice. «Eso significa que los dispositivos de los analistas que acceden a los recursos de un SOC deben configurarse, endurecerse y protegerse con mucho cuidado para mantener los niveles de seguridad en altos estándares».

Rendimiento de conexión seguro y reforzado
Como parte de garantizar que su own de SOC esté trabajando en un espacio de trabajo seguro en el hogar, las organizaciones también deberían implementar controles estrictos sobre el acceso y la autenticación de los dispositivos de los analistas. No hay que decirlo, pero requerir autenticación multifactorial para acceder a recursos remotos debería ser absolutamente esencial, dice Fechner.

«En el lado operativo, asegure todas las conexiones: VPN, 2FA, cajas de salto, and many others.», dice. «Asegúrese de que las herramientas y redes de la organización tengan el ancho de banda adecuado. Elimine las IP en la lista negra y vuelva a capacitar las herramientas de monitoreo para los nuevos comportamientos de los usuarios».

Mayor comunicación y documentación
La comunicación y la colaboración son siempre ingredientes esenciales para las operaciones exitosas de SOC y los programas de respuesta a incidentes relacionados, dice Chris Scott, CTO y líder de remediación world-wide en IBM X-Power IRIS. El trabajo remoto solo sube la apuesta, explica.

«A medida que las personas comienzan a trabajar de manera más remota, estos elementos son aún más críticos para el éxito», dice Scott. «Asegurarse de que la información se comparta en el chat grupal, las hojas de seguimiento compartidas y las llamadas de conferencia del equipo son esenciales ya que las conversaciones en la oficina disminuyen en respuesta a una crisis global».

En ese último punto, la videoconferencia demuestra ser un canal valioso, dice Matt Mellen, director del SOC de Palo Alto Networks.

«La videoconferencia y tener al menos un examine-in diario con su equipo es esencial para hacer que un SOC remoto funcione», dice, y agrega que algunos días su equipo necesita hacer más de un check-in para asegurarse de que la unidad funcione de manera coherente .

Independientemente de la plataforma que utilice, solo asegúrese de que sea segura, dice Fechner de Optiv.

«Asegúrese de que todas las plataformas de chat internas sean seguras tanto para la colaboración entre los empleados remotos de SOC como para otros empleados que puedan necesitar informar algo al equipo de seguridad», dice.

Documentación de actualización y approach IR para nueva normalidad
A largo plazo, debe haber un enfoque en el SOC en la planificación de la respuesta, el modelado de amenazas adversas y la gestión de vulnerabilidad / parche / remediación. Evalúe el pasado contra la «nueva normalidad» y vea dónde deben realinearse los recursos. Las estrategias de respuesta a incidentes de seguridad cibernética (IR) pueden necesitar cambiar para reflejar la descentralización de muchos puntos finales a medida que los usuarios trabajan desde casa, particularmente cuando se trata de evaluar eventos y recolectar evidencia o artefactos a escala. Considere los datos o la telemetría que pueden ser necesarios para IR, algunos de los cuales pueden no estar disponibles cuando los usuarios trabajan de forma remota. Los analistas de SOC respaldan directamente las actividades de IR y deben estar preparados para recopilar estos datos para apoyar a los demás respondedores de incidentes.

Si su equipo se está preparando a largo plazo para manejar un SOC remoto, ahora es el momento de asegurarse de que toda su documentación y planes de IR estén actualizados.

«La documentación es realmente importante para que el equipo sepa cómo responder a un incidente según sus procesos», dice Devin Johnston, ingeniero de operaciones de seguridad del own de Palo Alto Networks.

Los libros de jugadas, automatizados o no, serán cruciales para optimizar la forma en que trabajan los analistas remotos, dice. El approach IR más amplio con todas esas políticas de proceso también debe actualizarse para tener en cuenta las nuevas amenazas, dados los riesgos adicionales de los usuarios finales que operan de forma remota. Además, las organizaciones deben asegurarse de verificar tres veces que la información de contacto para los árboles de llamadas y la escalada de disaster esté completamente actualizada.

«Eso debería ser algo que debería estar ocurriendo regularmente para sus operaciones de SOC, pero especialmente una vez que pasa a operaciones remotas, es de vital importancia asegurarse de que el contenido esté actualizado», dice Johnstone.

Contenido relacionado:

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Dim Reading. Ver biografía completa

Más tips





Enlace a la noticia unique