El SOC moderno exige nuevas habilidades



La automatización y otras tecnologías están mejorando la estructura organizativa del centro de operaciones de seguridad. En última instancia, esto es para mejor, pero significa que los roles también cambiarán.

El centro de operaciones de seguridad (SOC) de hoy se está ahogando en alertas. Miles de millones de ellos: alertas que ocultan amenazas legítimas y agotan a los equipos de ciberseguridad con tedioso trabajo manual. Los analistas están tratando de reducir o refinar el volumen de eventos, pero los SOC aún tienen que reducir los eventos de manera significativa.

Pero eso está a punto de cambiar. La automatización y las tecnologías emergentes están mejorando y cambiando la estructura organizativa del SOC. En última instancia, todo esto es para mejor, pero significa que los roles también cambiarán Los trabajos de analista de Nivel 1 y Nivel 2 como los conocemos actualmente van a desaparecer. Echemos un vistazo a lo que podría significar un nuevo paradigma SOC para su organización.

El nuevo SOC significa nuevos roles
Un reciente informe de Ponemon, «Economía de los centros de operaciones de seguridad: ¿Cuál es el verdadero costo para obtener resultados efectivos?,«descubrió que uno de los problemas más importantes con el funcionamiento de un SOC interno proviene del agotamiento y la rotación del own. El setenta por ciento de los encuestados estuvo de acuerdo en que sus analistas de SOC se agotan rápidamente debido al entorno de alta presión y la carga de trabajo. Los encuestados enumeraron los principales factores estresantes como sobrecarga de información y ser forzado a perseguir demasiadas alertas.

El viejo modelo SOC es una batalla constante de humanos contra alertas, y no está funcionando. En el nuevo SOC, un nuevo paradigma cambia el juego. Requiere un enfoque automatizado. Tome el analista de Nivel 1 SOC, para empezar. Es un rol operativo de nivel de entrada, que se centra en el monitoreo de eventos de seguridad en tiempo authentic y la investigación de incidentes de seguridad, monitoreando continuamente la infraestructura de los clientes para identificar incidentes de seguridad y alertas de seguridad de triaje. La automatización de este trabajo es unavoidable.

Esto significa que no habrá más analistas de SOC de nivel inferior. En cambio, surgirán tres roles clave en el SOC moderno: los recolectores, analistas / respondedores de incidentes y líderes senior (es decir, CIO). Los coleccionistas son esencialmente ingenieros que configuran sensores de seguridad. Podrías llamarlos los recolectores de inteligencia son las personas que recopilan la inteligencia que usará para tomar decisiones.

Un segundo papel a surgir en el nuevo SOC es el de respuesta al incidente. Estas personas recibirán alertas escaladas de sus productos de seguridad y gestionarán el incidente. Este será un papel clave en el futuro.

El tercer papel clave recaerá en los tomadores de decisiones, que están más en el lado comercial. Manejarán las decisiones macro. Los analistas y los respondedores de incidentes tomarán las micro decisiones. Si descubren que tienen una estación de trabajo comprometida, abrirán un ticket de soporte para limpiar ese sistema y volver a poner al usuario en su camino. No necesitan un CIO para ayudarlos a tomar esa decisión. Pero si hay un evento de seguridad a nivel corporativo que afecta las operaciones comerciales, la cuestión de cómo se resuelve ese evento probablemente necesitará la decisión de un CIO.

Nuevos roles significan nuevas habilidades
La automatización es una forma significativa de abordar este problema. A medida que las organizaciones continúen avanzando hacia la automatización y la inteligencia artificial esté disponible de una manera más práctica, el SOC moderno cambiará las reglas del juego. Las soluciones automatizadas se hacen cargo de tareas tediosas y mundanas, por lo que los SOC necesitan menos analistas humanos. Los que permanecen pueden hacer un trabajo más significativo, lo que aumenta tanto la satisfacción laboral como la retención para este grupo difícil de encontrar de expertos calificados.

Las organizaciones están recurriendo a la automatización para abordar los desafíos en las operaciones de ciberseguridad. En una encuesta reciente, más del 19% de las empresas ya habían implementado la automatización (u orquestación) «extensa» dentro de sus programas de operaciones de seguridad. El 39% lo había hecho de manera limitada, y el 26% tenía proyectos planificados o en proceso.

Entonces, ¿qué nuevas habilidades necesitarán saber los ex analistas de nivel 1 de SOC? Para funcionar bien en el nuevo SOC, deberán conocer los lagos de datos y cómo las personas recopilan información y luego aplican análisis a los datos.

Y cuando empiezas a pensar en aplicar análisis, te das cuenta de que necesitas científicos de datos y especialistas en redes de sensores. El último papel implica una defensa activa. Ahora que los trabajadores están libres de mirar pantallas todo el día, pueden hacer cosas que antes no podían hacer, como pasar tiempo defendiendo activamente la pink.

Un ejemplo sería configurar honeypots, redes de engaño, señuelos o señuelos. Los miembros del equipo de SOC enviarán piratas informáticos a esas trampas para que puedan detectarlos, adelantarse y erradicarlos del medio ambiente. Actualmente, las organizaciones no tienen mucho tiempo para hacer eso. Se requerirán habilidades de búsqueda de amenazas y escaneo de vulnerabilidades por la misma razón, junto con el monitoreo del cumplimiento.

El nuevo SOC también necesita personas con habilidades que puedan ayudar a las organizaciones a automatizar aún más: personas que pueden aprovechar las herramientas de orquestación de seguridad, automatización y respuesta (SOAR) para construir y ejecutar proyectos de automatización como procesos de flujo de trabajo, por ejemplo, o procesos de remediación.

Adaptarse al éxito
Con la forma en que los SOC están estructurados actualmente, las organizaciones están atrapadas en un ciclo de contratación-entrenamiento-reemplazo con analistas de seguridad. Incluso cuando el SOC tiene own completo, las alertas son tan intensas y rápidas que no hay forma de contratar suficientes humanos para abordarlas a todas. La mala seguridad es el resultado. Pero con la creciente adopción de la automatización, es posible una reforma radical y necesaria del COS. Esto crea nuevos roles y la necesidad de nuevas habilidades. Evalúe su desempeño precise de SOC y considere los beneficios de cambiar a procesos más automatizados.

Contenido relacionado:

La experiencia en seguridad de Chris Triolo incluye la creación de organizaciones de servicios profesionales de clase mundial como vicepresidente de servicios profesionales en ForeScout y vicepresidente international de servicios profesionales y soporte para productos de seguridad empresarial (ESP) de HP Program. La profundidad de Chris en seguridad … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia primary