La construcción de un SOC de próxima generación comienza con …



La plantilla adecuada para un equipo de SOC modernizado es aquella que opera sin problemas en todos los dominios con una vista única de un extremo a otro.

Los líderes en ciberseguridad saben que una organización de operaciones de seguridad bien construida implica la combinación adecuada de arquitectura, procesos, análisis y tecnología en sintonía con el panorama de amenazas.

Hoy en día, muchos centros de operaciones de seguridad (SOC) separan el manejo de alertas de correo electrónico, pink y terminales. Ya sea de forma interna o parcialmente subcontratada a un proveedor de seguridad administrada, prevalece la lógica de que la especialización de equipos o roles enfocados en dominios técnicos aumenta la efectividad.

En teoría, es un buen enfoque. Pero en la práctica, la especialización de roles de SOC pierde la visión de un ataque de un extremo a otro, que es de critical importancia en los ataques comerciales de alto impacto que atraviesan múltiples dominios técnicos. A saber: ¿Qué sucede cuando se make una intrusión entre modelos, como la reciente ola creciente de ransomware operado por humanos y compromisos de la cadena de suministro? Estos ataques de teclado prácticos involucran a actores humanos familiarizados con la administración de sistemas y errores de configuración de seguridad comunes. Sus movimientos laterales saltan destructivamente a través de las brechas en los silos técnicos, desde el correo electrónico hasta el punto last y la identidad, y es casi imposible que un SOC segmentado coordine las defensas.

A medida que los operadores de ataque avanzan a través de los dominios, recopilan credenciales, comprometen los puntos finales y aprovechan las aplicaciones, adaptándose a lo que descubren y, finalmente, cifran los datos de la organización para obtener un rescate. El impacto incluye un tiempo de inactividad asombroso, pérdidas financieras e interrupción de la continuidad del negocio. (Para referencia, consulte Orientación de Microsoft para estos ataques.)

Los SOC renovados de hoy en día reúnen a equipos dispares para contrarrestar las intrusiones, proporcionando a todos una vista coordinada, holística y en tiempo real. Esta táctica permite a los analistas evitar las cosas, «desplazándose a la izquierda» en la cadena de muerte cibernética para identificar el alcance completo del ataque mientras está ocurriendo y bloquearlo rápidamente tan arriba como sea posible (idealmente usando investigación y respuesta automatizadas). Consideramos que esta es la única forma que tienen los SOC de abordar las nuevas amenazas a tiempo para evitar importantes impactos comerciales. Es hora de potenciar su SOC con equipos centrales multidominio.

Es más que herramientas para diferenciar un SOC reactivo de uno ágil, proactivo y exitoso. La modernización de las operaciones de seguridad requiere un modelo operativo que impulse la integración de tecnología cruzada para que coincida con el modus operandi del atacante. Darle poder a su SOC para implementar contramedidas rápidas y efectivas significa que los atacantes peligrosos se ralentizarán o disuadirán, lo que reducirá el daño a su negocio y ahorrará tiempo y dinero valiosos.

La plantilla adecuada para un equipo de SOC modernizado funciona sin problemas en todos los dominios con una vista de un extremo a otro. Considere la oposición de su SOC: los malos actores sofisticados ven la imagen completa, saben a dónde van y a quién están involucrando, y entienden cómo explotar las debilidades. Están enfocados con láser en su objetivo remaining. El handbook operativo de su SOC debe estar tan centrado en el valor de su negocio, limitando el tiempo necesario para expulsar a los atacantes.

Encuentros cercanos de un nuevo tipo
Los profesionales de la seguridad deben evolucionar hacia una postura holística de alto nivel. Si cada dominio en su empresa solo está capacitado contra un tipo de intrusión, y si cada uno no sabe si otros dominios están afectados actualmente, los intrusos obtienen la ventaja.

Una defensa bien conectada sabe si prepararse para un incidente o tomar medidas preventivas. Los equipos de TI deben tener la capacidad de comprender adónde ha viajado una infracción, cómo obtuvo su ventaja y su objetivo. Para su SOC, podría significar cambiar la postura de seguridad de la organización justo a tiempo para reducir la superficie de ataque. El beneficio de este modelo es que incluso si los ciberdelincuentes rompen su organización, no todo está perdido. Su SOC puede identificar, aislar y detener el asalto.

Todos en la cadena deben saber cómo llegó un ataque a su sector y qué está sucediendo en tiempo serious. Cuando comprenden completamente un incidente, pueden coordinar una respuesta unificada.

De manera equivalent, los SOC de dominios cruzados deben navegar juntos en el viaje. Es una buena práctica ver de forma transparente todas las acciones tomadas de forma automática y handbook por los productos de protección, y medir el compromiso con las amenazas para clasificar la gravedad en todos los dominios. Esto genera más eficiencia en el tiempo y el presupuesto para remediar incidentes y brinda una visión de lo que podría suceder a continuación.

Más fuertes juntos
Un proceso integrado eleva la seguridad sólida para todo su ecosistema. Los productos deben extenderse a través de la seguridad, el cumplimiento y la identidad, lo que fortalece colectivamente su empresa.

¿Por qué? Porque las campañas de ransomware operadas por humanos comienzan con malware básico o vectores de ataque poco sofisticados, lo que desencadena múltiples alertas. Pero estos se clasifican como poco importantes y no se investigan ni se remedian en profundidad. Incluso si las cargas útiles iniciales son detenidas por las soluciones antivirus, los delincuentes las implementan de manera diferente o usan el acceso administrativo para deshabilitar el antivirus. Busque herramientas de próxima generación que brinden salvaguardas listas para usar, como protecciones entre dominios, para brindar a su organización una protección integral, continua y en tiempo actual en todo el application y en la nube. También desea capacidades que combinen aprendizaje automático, análisis de macrodatos e investigación en profundidad de resistencia a amenazas para proteger su empresa. Los mejores componentes le permiten construir a medida que su organización crece y evoluciona.

En última instancia, sus soluciones deberían ayudar al personalized de SOC a comprender los impactos del ataque, permitiéndoles compartir aprendizajes y prácticas. Este enfoque le ahorra tiempo de reacción crítico a su empresa su empresa gastará menos dinero en componentes autónomos y su SOC está listo para enfrentar los desafíos operando en el siguiente nivel de command.

Moti Gindi es el vicepresidente corporativo de Microsoft Defender Advanced Danger Safety (ATP). En su cargo, administra un equipo de ingeniería que es responsable de la seguridad de endpoints de Microsoft, específicamente Microsoft Defender ATP (recientemente reconocido como líder en … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first