Las 5 habilidades principales que los equipos SOC modernos necesitan para tener éxito



La seguridad está cambiando rápidamente y nunca ha sido más crítico garantizar que los equipos tengan las habilidades necesarias para defender la infraestructura y los datos confidenciales de su empresa. Pero, en normal, las organizaciones subestiman la ciberseguridad. Los equipos del centro de operaciones de seguridad (SOC) a menudo carecen de particular, están sobrecargados de trabajo y reciben poca visibilidad. Con el panorama de amenazas en constante evolución, se requieren nuevas habilidades para adelantarse a los ciber adversarios.

Estas son las cinco habilidades principales que un equipo de SOC moderno necesita para tener éxito en el futuro de la detección y respuesta a gran escala.

1. Codificación básica
Todo como código, un término utilizado para expresar la práctica de extender la thought de cómo las aplicaciones se tratan como código a los sistemas operativos, configuraciones de purple y canalizaciones, ha cambiado significativamente la forma en que operan los equipos de seguridad y las habilidades que necesitan. Donde trabajar en un SOC de antaño no requería habilidades de codificación, hoy son esenciales.

La detección como código, una forma moderna y sistemática de escribir detecciones utilizando principios de ingeniería de software, significa que los equipos necesitan la capacidad de crear reglas personalizadas que se puedan probar, versionar y administrar mediante programación en el regulate de versiones. La flexibilidad y la naturaleza robusta de los lenguajes de programación completos permiten a los equipos detectar comportamientos simples o avanzados, además de buscar el contexto, enriquecer y contar la historia completa de lo que sucedió.

Los equipos de seguridad deben invertir en aprender los conceptos básicos del desarrollo de software program resolviendo los problemas reales que enfrentan, como el análisis de grandes cantidades de datos sin procesar. Deben adoptar la escritura de código que primero sea funcional y luego volver a aprender las mejores prácticas, pruebas unitarias y otras técnicas que ayuden a la sostenibilidad de un buen código. Los equipos de seguridad también pueden aprender de los miembros de varios equipos de software program dentro de su organización para ayudar en el entrenamiento cruzado. Comience con lenguajes interpretados, como Python o Ruby, que tienen una sintaxis basic de seguir con compensaciones de rendimiento.

2. Tecnología en la nube
Podría decirse que todas las empresas de tecnología moderna se basan en servicios en la nube como Amazon Net Companies o Google Cloud. Los servicios en la nube se están moviendo continuamente hacia arriba en la pila de infraestructura para simplificar conceptos complejos. A medida que ocurre este cambio, los equipos de seguridad deben asegurarse continuamente de que están recopilando los conjuntos de datos relacionados para mantenerse informados y están instalando controles estrictos para evitar la exposición accidental de datos o del sistema.

Los profesionales de la seguridad deben comenzar por aprender servicios básicos como almacenamiento en la nube, computación, administración de identidades y accesos, y más. Al igual que con la codificación, comience resolviendo problemas del mundo genuine, como el almacenamiento, el procesamiento y la retención de datos de seguridad, o trabaje reforzando la infraestructura existente de su empresa. También existen muchas arquitecturas de referencia que pueden servir como modelos útiles de aprendizaje.

3. Canalizaciones de registro de seguridad
Todos los equipos utilizan software program como servicio en lugar de soluciones locales que se encuentran detrás de un firewall, lo que significa que los datos de seguridad se distribuyen en varios servicios con un handle mucho menos centralizado. El auge de herramientas como Google Workspaces, Auth0, Okta, Duo, Jamf y muchas más genera la necesidad de centralizar estos datos. El desafío es que los registros tienen diferentes formatos, API y métodos para autenticar y recopilar los datos.

Los equipos deben recopilar la mayor cantidad de datos posible para mantenerse informados y a la defensiva. Deben construir tuberías de registro internas con herramientas como rsyslog, vector, fluentd o logstash. Los equipos de seguridad deben estar familiarizados con la forma en que estas herramientas están configuradas, escalables y conectables a otros sistemas, como el almacenamiento en la nube y los SIEM.

4. TTP de atacantes
Tener un buen conocimiento de las técnicas, tácticas y procedimientos (TTP) recientes de los atacantes puede ayudar a los equipos a desarrollar un conjunto sólido de detecciones que gestionen múltiples vectores dentro de su entorno. Mantenerse al día con las brechas recientes puede ayudarlos a comprender los modelos y técnicas de amenazas modernos que podrían poner en peligro su organización. Un buen ejemplo es el aumento de los ataques de ransomware. Las detecciones deben ser de alta fidelidad para no generar demasiadas alertas y, al usar lenguajes de programación, los equipos pueden probar y expresar ataques más complejos.

5. Caza de amenazas
A medida que los adversarios cibernéticos se vuelven más sofisticados, los equipos de seguridad deben adoptar un enfoque más proactivo para identificar amenazas previamente desconocidas o en curso no reparadas dentro de la infraestructura de nube de su organización. Debido a que las amenazas persistentes avanzadas complejas pueden acechar durante semanas o incluso meses, los equipos de SOC modernos deben estar capacitados para complementar los sistemas automatizados y buscar malware o atacantes ocultos mediante la búsqueda de patrones de actividad sospechosa.

Los equipos de seguridad suelen ser pequeños, con poco particular y, por lo common, sin experiencia en DevOps o ingeniería de computer software. Sin embargo, el seguimiento a gran escala requiere estas habilidades. Además, los profesionales de la seguridad deben comprender cómo utilizar la instrumentación del sistema para obtener los datos que necesitan y construir canales de procesamiento de datos confiables, tolerantes a fallas y elásticos para manejar estos datos.

Desde aprender los conceptos básicos de la programación hasta comprender la infraestructura de la nube, los profesionales de la seguridad deben mejorar sus habilidades. Los adversarios preparados para atacar sus sistemas son realmente formidables, pero las herramientas modernas y una fuerza laboral de seguridad altamente capacitada pueden enfrentar los desafíos de la protección.



Enlace a la noticia original