Cómo los líderes de seguridad pueden ayudar a los analistas de SOC a adaptarse al trabajo desde casa


Los expertos de RSA discutieron cómo recrear el entorno colaborativo en persona en el que generalmente trabajan los equipos de seguridad cuando no hay una pandemia.

rsasummit2020.jpg

Amy Blackshaw, directora de promoting de productos de RSA, explicó los cambios estratégicos que los equipos de seguridad deben hacer ahora que trabajar de forma remota puede convertirse en la nueva norma.

Imagen: RSA

En la Cumbre de Seguridad Cibernética 2020 de RSA el martes, los expertos en seguridad explicaron cómo repensar el centro de operaciones de seguridad cuando los analistas trabajan desde casa en lugar de lado a lado. Dos líderes de RSA compartieron consejos sobre cómo hacer esto durante una conversación sobre cómo el cambio al trabajo 100% remoto ha afectado a los equipos de seguridad que tienen los mismos desafíos que todos los demás trabajadores remotos.
Michael Adler, vicepresidente de producto de RSA, dijo que los analistas están acostumbrados a trabajar en un espacio físico específico con múltiples monitores y colegas en la misma sala.

«Con todos trabajando desde casa, no tenemos esa inversión que invertimos en la construcción de instalaciones físicas que ayudaron a los analistas a tener éxito e hicieron que el SO (centro de operaciones de seguridad) fuera más eficiente», dijo. «Ahora los analistas son como cualquier otro empleado remoto que trabaja desde casa».

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Adler dijo que los analistas necesitan un nuevo conjunto de controles y herramientas diseñados para que el trabajo remoto sea tan eficiente como antes de que comenzara la pandemia.

Amy Blackshaw, directora de advertising and marketing de productos de RSA y socia de Adler en la sesión, tenía cinco recomendaciones para los equipos de seguridad que trabajan de forma remota. Algunos de estos cambios ya están en proceso y otros se están acelerando:

  1. Automatizar flujos de trabajo: los analistas deberían poder colaborar y trabajar desde el mismo libro de jugadas, especialmente cuando no están en la misma sala.
  2. Detección y respuesta a amenazas: el SOC debe centrarse en anticipar ataques que puedan eludir los controles de seguridad, especialmente en el punto last y la pink, y durante la reintroducción para trabajar en la oficina en persona.
  3. Reimaginando la pink corporativa: los analistas deben redefinir cómo se ve el tráfico normal durante esta fase de trabajo desde casa, cómo se verá cuando se reabran las oficinas y qué significa reducir el riesgo en ambos contextos.
  4. Reevaluar el análisis de comportamiento y el riesgo de amenazas internas: los modelos analíticos también deben reajustarse para comprender cómo se comportan los empleados en este mundo de trabajo desde el hogar para comprender cómo se ven las anomalías en la versión true de lo typical.
  5. Visibilidad en las cargas de trabajo en la nube: los equipos de SOC necesitan comprender entornos de nube de terceros y agregar esos datos a los modelos analíticos existentes.

Adler dijo que hacer estos cambios requiere tomar las herramientas SOC existentes y usarlas de manera diferente, incluido el registro, el análisis del tráfico de la red y la protección del punto final. Por ejemplo, los analistas necesitan una forma de investigar puntos finales que ahora son a menudo dispositivos personales en lugar de máquinas proporcionadas por un empleador.

«Es posible que no pueda tener acceso directo al punto ultimate, pero puede estar razonablemente seguro de que puede monitorearlo y tener visibilidad en él», dijo.

Adler dijo que otro elemento nuevo que los analistas deben considerar es cómo los empleados acceden a las herramientas de program como servicio (SaaS).

«El SOC necesita acceso al conjunto apropiado de registros de las aplicaciones SaaS para comenzar a hacer análisis de comportamiento del usuario y mapear los perfiles de acceso», dijo.

Esta es una oportunidad para utilizar el aprendizaje automático en el SOC para revisar y analizar esos registros de acceso.
Adler también recomendó aplicar análisis al tráfico de crimson para restablecer los modelos de datos, volver a aprender normal y detectar las anomalías.

Adler dijo que la orquestación (procesos estandarizados y respuestas a amenazas) es una forma de garantizar que los empleados de diferentes niveles de habilidades que están separados pero que trabajan juntos trabajan desde el mismo libro de jugadas.

«De esa manera, todos los analistas pueden aprovechar las mejores prácticas y seguir los estándares y las pautas cuando trabajan solos», dijo.

Ver también



Enlace a la noticia unique