SOCwise: un recurso del centro de operaciones de seguridad (SOC) para marcar


El núcleo de cualquier organización es la gestión del riesgo cibernético con una función de operaciones de seguridad, ya sea interna o externamente. McAfee ha mantenido y continúa su compromiso de proteger los activos cibernéticos. Estamos dedicados a potenciar las operaciones de seguridad y con esta dedicación viene la experiencia y la pasión. Presentamos SOCwise, una serie mensual de weblogs, podcasts y charlas dirigidas por dos profesionales de operaciones de seguridad dedicados y con gran experiencia. Este es un recurso continuo de consejos útiles sobre temas de SOC, lecciones funcionales de SOC distintas, mejores prácticas aprendidas de una variedad de proyectos y clientes y perspectivas sobre el futuro de las operaciones de seguridad. Además, invitaremos a los invitados a contribuir a esta serie.

Conoce a SOCwise

De Michael Leland, director técnico de operaciones de seguridad, McAfee

Desde la perspectiva de un tipo «SIEM heredado», puedo decirle que no hay nada más importante para un analista de seguridad que la inteligencia. Observe que no dije «datos» ni «información», ni siquiera dije «inteligencia de amenazas». Me refiero a la «conciencia situacional». Me refiero específicamente al contexto empresarial, del usuario y de los datos que aporta una comprensión y una orientación críticas para ayudar a tomar decisiones más oportunas, precisas o informadas relacionadas con un evento de seguridad determinado. Un analista de SOC típico podría lidiar con docenas de incidentes en cada turno, algunos de los cuales no requieren más de unos minutos e incluso menos clics para determinar de manera rápida y precisa el riesgo y el impacto de posibles actividades maliciosas. Algunos incidentes requieren mucho más esfuerzo para clasificarlos con la esperanza de comprender la intención, el impacto y la atribución.

Más a menudo, encontramos que el papel del analista de SOC es el de un manipulador de datos: hacer y responder preguntas clave de los «datos» para determinar si un ataque es evidente y, de ser así, cuál es el alcance y el impacto del compromiso contradictorio. El SOC moderno de hoy está evolucionando desde una recopilación de datos centralizada, diseminación de información y coordinación de inteligencia, una en la que cada interesado en la seguridad period parte del conjunto predeterminado de expectativas a lo largo del proceso de evaluación e implementación, a un elenco de propietarios completamente distribuido. / creadores (desarrollo de aplicaciones, operaciones, analistas, arquitectos de transformación, administración) donde las líneas de autoridad, expectativa y responsabilidad se han desdibujado a veces más allá del reconocimiento.

¿Cómo puede un SOC moderno mantener los niveles más altos de detección avanzada de amenazas, respuesta a incidentes y eficacia de cumplimiento cuando es posible que ya no tengan todo (o incluso parte) del contexto necesario para convertir los datos en inteligencia? ¿Se parecerán los centros de operaciones de seguridad del futuro a los que construimos en años anteriores? Desde la migración masiva del trabajo desde casa provocada por una pandemia inesperada hasta las iniciativas de transformación de la nube que están revolucionando nuestra empresa moderna, toda la premisa de un SOC tal como lo conocemos se está erosionando lentamente. Estas son solo algunas de las preguntas que intentaremos responder en esta serie de weblogs.

De Ismael Valenzuela, ingeniero principal sénior, McAfee

He trabajado durante 20 años en esta industria que solíamos llamar seguridad de la información. Durante este tiempo, he tenido la oportunidad de estar tanto en el lado de la ofensiva como en el de la defensa de la moneda de la ciberseguridad, como practicante y consultor, como arquitecto e ingeniero, como estudiante y como autor de SANS. e instructor. Quiero creer que he aprendido algunas cosas en el camino. Por ejemplo, como probador de penetración y equipo rojo, he aprendido que siempre hay una manera de entrar, que la prevención es ideal y que la detección es imprescindible. Como arquitecto de seguridad, he aprendido que una arquitectura defendible tiene que ver con el equilibrio adecuado entre prevención, monitoreo, detección y respuesta. Como respuesta a incidentes, aprendí que contener a un adversario es cuestión de tiempo, planificación y estrategia. Como analista de seguridad, he aprendido el poder de la automatización y del trabajo en equipo humano-máquina para hacer más análisis y menos recopilación de datos. Como cazador de amenazas, he aprendido a centrarme en los comportamientos adversarios y no en las vulnerabilidades. Y como consultor de gobernanza, riesgo y cumplimiento, esa seguridad se trata de compensaciones, de costos y beneficios, de ser flexibles, adaptables y de darse cuenta de que para la mayoría de nuestros clientes, la seguridad no es su negocio principal, sino algo que hacen. para permanecer en el negocio. Resumir 20 años en pocas frases es un reto, pero nadie lo ha resumido mejor que Bruce Schneier en mi opinión, quien escribió, precisamente hace 20 años: “la seguridad es un proceso, no un producto”.

Y estoy seguro de que estará de acuerdo conmigo en que los procesos han cambiado mucho en los últimos 20 años. Esta transformación que ya había comenzado con la adopción de tecnologías Cloud y DevOps ahora está creando una circunstancia interesante e imprevista. Justo cuando las operaciones de seguridad apenas encontraron su equilibrio, y justo cuando finalmente salía del ámbito de la TI, obteniendo respeto y presupuesto para lograr los resultados deseados, justo cuando sentimos que lo logramos, se nos dice que empacamos nuestras cosas, deje los límites físicos del SOC y haga que todos trabajen a distancia.

Si esto no introdujo suficiente incertidumbre, leí que Gartner predice que el 85% de los centros de datos desaparecerán para 2025. Entonces, no puedo evitar preguntarme: ¿es este el remaining? ¿Está muerto el SOC como lo conocemos? ¿Cuál es el futuro de SecOps en este nuevo paradigma? ¿Cómo cambiarán los roles? ¿Los desarrolladores serán dueños de la seguridad en un estilo de «usted lo codifica, usted es el propietario»? ¿Es realista esperar un SOC completamente automatizado en el corto plazo?

Únase a nosotros en esta nueva serie de SOCwise mientras Michael y yo exploramos las respuestas a estas y más preguntas sobre el futuro y la democratización de SOC y SecOps.





Enlace a la noticia authentic