Krypton Solid

La última tecnología en raciones de 5 minutos

¿Qué es SecOps? Todo lo que necesitas saber

SecOps, formado a partir de una combinación de personal de operaciones de seguridad y TI, es un equipo altamente capacitado que se enfoca en monitorear y evaluar el riesgo y proteger los activos corporativos, que a menudo opera desde un centro de operaciones de seguridad o SOC.

Los ataques de ciberseguridad están en aumento, y el nuevo desafío de apoyar a una fuerza laboral en gran parte remota en medio de la pandemia y más allá solo dificulta la detección y prevención de amenazas. Mantenerse por delante de los atacantes es una batalla constante, y el costo es insostenible, según el 69% de los ejecutivos encuestados para el informe Estado de la resiliencia cibernética 2020 de Accenture Security. Por lo tanto, las organizaciones dependen cada vez más de equipos de SecOps dedicados para buscar, detectar, prevenir y mitigar las ciberamenazas. Esta guía cuidadosamente seleccionada, completa con enlaces a más información, explica los beneficios de crear un equipo de SecOps dedicado, cómo construir un centro de operaciones de seguridad para respaldar las SecOps, las herramientas que sustentan las SecOps y las mejores prácticas de implementación.

Beneficios y objetivos de SecOps

Los equipos de operaciones de seguridad y de TI a menudo trabajan separados unos de otros, lo que hace que la tarea de identificar las amenazas de ciberseguridad y defenderse de ellas, o, si se convierten en ataques, mitigarlas, sea increíblemente difícil. La combinación de la seguridad y las operaciones de TI en un equipo de SecOps dedicado permite a las organizaciones predecir y abordar los problemas de seguridad de manera rápida e inteligente.

SecOps tiene los siguientes objetivos y beneficios comerciales:

  • protección continua;
  • una respuesta rápida y eficaz;
  • menores costos de infracciones y operaciones;
  • prevención de amenazas;
  • experiencia en seguridad;
  • cumplimiento;
  • comunicación y colaboración; y
  • una reputación empresarial mejorada.

Funciones clave en un equipo de SecOps

La forma en que una organización reúne a su equipo SecOps determina el éxito que tendrá en la prevención de ataques cibernéticos. Poner los roles juntos por partes, sin una estrategia general, conducirá a una respuesta inconexa. Lo que los CISO necesitan es un equipo de SecOps cohesionado con roles y responsabilidades claros que cubran la gama de amenazas y ataques de ciberseguridad.

Hay cinco roles clave que todo equipo de SecOps necesita:

  1. respuesta a incidentes
  2. investigador de seguridad
  3. analista de seguridad avanzada
  4. Gerente de SOC
  5. ingeniero / arquitecto de seguridad

Han surgido algunos nuevos roles de ciberseguridad que podrían impulsar los esfuerzos de SecOps de una organización: especialista en seguridad en la nube, especialista en riesgos de terceros y profesional en ética digital. Estos puestos abordan la influencia de la nube y las vulnerabilidades de la cadena de suministro, así como las preocupaciones de socios y privacidad.

Las organizaciones que desean migrar empleados a roles de SecOps pueden consultar estas certificaciones y cursos de capacitación de SecOps.

Roles y responsabilidades del equipo SOC

¿Qué hace un centro de operaciones de seguridad?

Un SOC es una instalación del centro de comando para el equipo de SecOps. Si bien el equipo de SecOps puede interactuar con otros equipos o departamentos, generalmente es autónomo con personal altamente calificado (interno o subcontratado). La mayoría, pero no todos, los SOC funcionan las 24 horas del día, los 7 días de la semana, con equipos de SecOps que trabajan en turnos para registrar la actividad y mitigar las amenazas.

Las organizaciones pueden optar por implementar uno de los cuatro modelos SOC:

  1. a SOC virtual que opera en línea y es administrado por personal o profesionales de SecOps externos;
  2. a SOC multifunción que tiene un espacio físico dedicado, pero el equipo interno que ejecuta el SOC es compartido y trabaja en SecOps y otras tareas de TI;
  3. a SOC híbrido con personal, contratistas externos o una combinación para realizar tareas de SecOps a tiempo completo o parcial en una instalación dedicada, espacio virtual o una combinación de ambos; y
  4. a SOC dedicado con un espacio físico con personal interno que funciona las 24 horas y se centra únicamente en las funciones de SecOps.

Un SOC virtual como servicio permite a las empresas subcontratar algunas o todas las responsabilidades de SOC a un proveedor de servicios gestionados, lo que tiene numerosos beneficios, según Ashwin Krishnan, comunicador jefe de SecureDynamics. Al subcontratar un SOC, las empresas con presupuesto limitado o habilidades internas pueden abordar mejor el cumplimiento y las regulaciones, cerrar la brecha de talento y aprovechar las experiencias y los recursos agregados de un proveedor.

Independientemente del modelo que seleccione una organización, las capacidades técnicas del SOC deben ser las mismas, lo que permite al equipo de SecOps realizar la detección de amenazas y la respuesta a incidentes. El SOC también debe proporcionar notificaciones y alertas; orquestación, automatización y respuesta de seguridad (SOAR); y caza inteligente de amenazas.

Nemertes Research descubrió en su «Estudio de investigación sobre la nube y la ciberseguridad» 2019-2020 que las organizaciones exitosas de ciberseguridad (aquellas con un tiempo total medio para contener incidentes de seguridad de 20 minutos o menos) tenían un 52% más de probabilidades de tener un SOC que las organizaciones sin éxito (aquellas con un MTTC superior a 20 minutos).

Herramientas comunes de SecOps

Los cortafuegos y las VPN alguna vez se consideraron defensas sólidas y adecuadas contra los ataques cibernéticos. Ya no. Kevin Tolly, fundador de The Tolly Group, escribió que estas tecnologías «ya no son un escudo contra amenazas de seguridad más modernas y sofisticadas».

Para combatir las amenazas actuales, las organizaciones necesitan el software SecOps para cubrir cinco áreas:

  1. Seguridad DNS;
  2. detección y respuesta de la red;
  3. anti-phishing;
  4. descubrimiento de datos; y
  5. visibilidad a nivel de paquete.

Incluso las herramientas de gestión de eventos e información de seguridad (SIEM) son solo un comienzo en la construcción de una estrategia de SecOps sólida: las organizaciones necesitarían agregar orquestación, análisis de comportamiento de usuarios y entidades y más para crear una defensa más sofisticada y proactiva.

Gestione la seguridad en la nube

La gestión de la seguridad en entornos de nube puede ser algo diferente a la gestión de la seguridad en una empresa tradicional, por lo que los equipos de SecOps deben adaptar sus herramientas y estrategias en consecuencia. Dave Shackleford, consultor principal de Voodoo Security, escribió que habilitar un SOC en la nube requiere que los equipos de SecOps hagan lo siguiente:

  1. Establezca una cuenta en la nube separada o una suscripción totalmente bajo su control.
  2. Cree cuentas con privilegios mínimos para realizar acciones específicas en la nube cuando sea necesario.
  3. Implemente la autenticación multifactor para todas las cuentas.
  4. Habilite el almacenamiento de una sola escritura para registros y pruebas.

Herramientas de automatización e inteligencia artificial

La automatización y la inteligencia artificial se han abierto camino en las herramientas de SecOps, y las organizaciones deberían intentar automatizar tantas funciones como sea posible.

Los casos de uso de automatización de SecOps y SOC son abundantes, incluida la detección de incidentes, la respuesta y el análisis, el análisis del paisaje, la mitigación de amenazas emergentes, el aumento del analista de SOC humano y la gamificación de la capacitación en seguridad.

Las funciones automatizadas permiten a los equipos extraer datos sobre incidentes de seguridad, asignar puntajes de riesgo, agrupar los puntos en común, diferenciar y priorizar diferentes clases de amenazas, recomendar pasos de respuesta o corrección y más.

Con la automatización, los equipos de SecOps obtienen conocimiento del estado actual, información sobre lo que podría suceder y un plan de acción. El aumento de los vectores de amenazas, como los dispositivos de IoT, exigen que los equipos de SecOps tengan la perspectiva que la IA puede proporcionar: información que ayuda a mejorar la detección y la prevención. La automatización también libera a los humanos de las tediosas tareas manuales para centrarse más en la estrategia SecOps.

Beneficios y riesgos de la automatización de SOC

Mejores prácticas de implementación

El concepto de emparejar las operaciones de seguridad y TI está ganando popularidad entre empresas de todos los tamaños, y están surgiendo las mejores prácticas para estructurar los equipos SecOps y los SOC.

A continuación, se muestra una muestra de las mejores prácticas:

Definir el alcance de SecOps

Las organizaciones deben determinar qué funciones están dentro del alcance del equipo de SecOps, teniendo en cuenta los casos de uso, los requisitos de seguridad y las brechas de seguridad de la organización. El hecho de que una tarea esté fuera del alcance del equipo no significa que no pueda ser abordada, solo que no por equipos internos. Algunas tareas podrían subcontratarse inmediatamente o asignarse para subcontratarlas más tarde.

Construir o comprar

Considere detenidamente si crear un SOC o comprar servicios de SOC. Es posible que la subcontratación no brinde a las empresas la atención dedicada que necesitan en función de su tolerancia al riesgo de ciberseguridad. Es posible que necesiten personal interno íntimamente familiarizado con el negocio para ayudar a tomar decisiones clave.

Las empresas más pequeñas no deben tener miedo de subcontratar sus SOC, especialmente si siguen este criterio de selección de SOC para evaluar proveedores potenciales.

Invierta en talento de SecOps

Las personas pueden ser uno de los mayores desafíos para la implementación de SOC, especialmente debido a la escasez de personal y habilidades, según John Burke, CIO y principal analista de investigación de Nemertes Research. Las organizaciones deben crear una estrategia destinada a reclutar y retener el talento de SecOps.

Realizar ejercicios del equipo rojo contra el equipo azul

Los equipos de SecOps deben mantener afiladas sus habilidades de inteligencia de amenazas, incluida la capacidad de detectar y prevenir ataques. Una forma de hacerlo es realizando ejercicios de equipo rojo contra equipo azul, donde el equipo rojo es el agresor y el equipo azul es el defensor. El equipo rojo utiliza tácticas como pruebas de penetración, phishing, ingeniería social u otros mecanismos de robo de credenciales, escaneo de puertos y escaneo de vulnerabilidades para infiltrarse en la red. El equipo rojo también suele crear herramientas personalizadas para probar la capacidad del equipo azul para detectar problemas de seguridad. Una vez en la red, el equipo rojo intentará escalar los privilegios y acceder o robar identidades o activos.

Mientras tanto, el equipo azul lleva a cabo las actividades normales de SecOps, incluido el análisis de los sistemas empresariales, la identificación de vulnerabilidades y la evaluación de la eficacia de las herramientas y políticas de seguridad.

Cada equipo genera informes sobre sus actividades, y los equipos de SecOps más avanzados también tendrán un equipo morado para revisar esos informes y mejorar su postura de seguridad, ya que a menudo los equipos rojos y los equipos azules no quieren compartir secretos entre ellos.

El futuro de SecOps

El futuro de SecOps hará que la inteligencia artificial y el aprendizaje automático se conviertan en una parte más central de la estrategia de SecOps. Los SOC serán más automatizados, personalizados, inteligentes, dinámicos y proactivos. En el futuro, las organizaciones también dedicarán más tiempo a desarrollar métricas de éxito para sus SOC a fin de evaluar el desempeño y mejorar los tiempos de respuesta.

Además, los equipos de SecOps deberán poner un mayor énfasis en la búsqueda de amenazas para mantenerse por delante de los atacantes, según Johna Till Johnson, presidenta y socia fundadora principal de Nemertes Research. Los equipos de SecOps probablemente también necesitarán dedicar más tiempo a monitorear y evaluar las amenazas en el entorno externo mediante la revisión de los servicios de inteligencia de amenazas en el futuro.

Las organizaciones deben comenzar ahora a lanzar o expandir los esfuerzos de SecOps, ya que los ataques cibernéticos inevitablemente continuarán amenazando las operaciones empresariales.

Ventajas de los SOC de próxima generación

Esto se actualizó por última vez en Diciembre de 2020

Continuar leyendo sobre ¿Qué es SecOps? Todo lo que necesitas saber

Deja un comentario

También te puede interesar...

Cómo deshabilitar el Google Home Mini

Después de leer mi guía sobre cómo funciona Google Home, también decidió comprar el altavoz inteligente «Big G», eligiendo el modelo Google Home Mini. Siguiendo mis instrucciones, pudo completar la primera configuración de su dispositivo y ponerlo

Definición de ingresos estandarizados y ejemplos

¿Qué son las ganancias normalizadas? Las ganancias normalizadas se ajustan para eliminar efectos estacionales, ingresos y gastos que son influencias inusuales o únicas. Los ingresos estandarizados ayudan a los dueños de negocios, analistas financieros y

Enseñar periodismo antiguo en un mundo nuevo

Fui el primero en dar una buena noticia a la noticia del árbol muerto. ¿Se doblan los periódicos? ¡Bien! Después de todo, estamos en 2009. Si no puede encontrarlo en la web, ¿realmente vale la

Cómo se gravan los artículos de colección

Invertir en artículos de colección puede ser gratificante e incluso puede generar ganancias significativas, pero existen muchos riesgos. Incluso si evita estos riesgos, aún debe tener en cuenta todos los impuestos, tarifas y costos. Sin

Cómo envejecer una foto | Krypton Solid

Una vez que haya descubierto cómo usar Instagram en iPhone y Android, ¿ha tenido la necesidad de crear fotos de aspecto antiguo incluso en su computadora? Entonces debes intentarlo retro instantaneoun servicio online muy divertido

Las diferencias entre XDR abierto y XDR nativo

Acuñado por Palo Alto Networks en 2018, la detección y respuesta extendidas es una evolución de la detección y respuesta de endpoints. La firma de analistas Enterprise Strategy Group, una división de Krypton Solid, predijo

Definición de macromarketing

¿Qué es el Macromarketing? El macromarketing se puede definir como la influencia que las políticas, estrategias y objetivos de marketing tienen sobre la economía y la sociedad en su conjunto. Específicamente, el macromarketing se refiere