Los Expertos Opinan: "La evolución del SOC responde a tus preguntas" (Devo)

Publicado el 03-05-2022      Notícia sobre: Artículos

 

Gunter Ollmann, CSO en Devo.


La evolución del SOC responde a tus preguntas

Los ciberataques están creciendo de forma exponencial y diversa. Los entornos, las plataformas, los servicios, las regiones y las zonas horarias que constituyen las operaciones de las empresas modernas e impulsan la transformación digital de los negocios siguen requiriendo una especialización y una experiencia cada vez mayores que no están disponibles internamente.

Mientras tanto, la contratación y retención de expertos en seguridad a nivel mundial sigue siendo un reto, y el acceso directo a los conocimientos y experiencia especializados en seguridad es cada vez más difícil y costoso. Además, el volumen, la duración, el ritmo y la sofisticación de los ataques sigue aumentando y exigen una aceleración significativa de los tiempos de respuesta y la durabilidad de los SOC, así como de los subsiguientes sistemas de respuesta autónoma.

El enigma es un eufemismo

El sector de la seguridad se enfrenta a una evolución forzada de los SOC, impulsada por la presión de todas las direcciones. Han sucedido muchas cosas que han intentado parecer una evolución. Durante la última década, el sector de la seguridad que impulsa los SOC se ha fijado en la automatización como la clave para aliviar algunas de las presiones. Pero ¿qué ha cambiado realmente?

El SOAR fue una breve luz que llegó y desapareció, tras ser absorbido por el SIEM, ya que los proveedores -para compensar sus deficiencias en la automatización del flujo de trabajo humano- adquirieron proveedores dedicados al SOAR. Esto dejó a los analistas en la estacada. Se enfrentaban a los mismos retos de integración de la automatización, sólo que estaban atrapados en un único proveedor (mientras que antes un SOAR "independiente" ofrecía la perspectiva de conectores multiproveedor y flexibilidad para operar independientemente del bloqueo del SIEM).

La automatización, en su mejor momento, sigue estando demasiado orientada al juego. Para hacer las cosas, los expertos deben, esencialmente, escribir scripts para cada nuevo sistema, conector y aplicación en una empresa. Estamos atrapados en un ciclo lineal de desarrollo de scripts y la automatización no ha producido la tan necesaria reducción de la carga de trabajo de los analistas.

Romper el ciclo

Dos grandes avances acelerarán la evolución de los SOC. En primer lugar, los SOC deben implementar y utilizar con éxito sistemas de orquestación "inteligentes" de IA. Es probable que muchos analistas de SOC y CISO estén cansados de promesas pasadas, pero la realidad es que los enfoques de IA y ML han madurado significativamente durante el último año, alcanzando el punto de inflexión de su trayectoria de utilidad de "palo de hockey" y el valor que pueden aportar. El sector debe superar el miedo a poner en marcha las capacidades de respuesta y protección automatizadas impulsadas por esta nueva generación de IA y ML. Al adoptarla, los SOC serán mucho más eficaces en la detección, lo que reducirá el número de alertas distintas y de falsos positivos, y reducirá la carga de trabajo de los analistas.

El segundo avance es la capacidad de aprovechar una comunidad global de colaboradores a través de ecosistemas de mercado. La detección como código, la política como código, etc., han redefinido el desarrollo de contenidos y el contenido dependiente del producto del proveedor. El contenido independiente de la plataforma (que va desde las alertas, la detección de amenazas, los libros de jugadas, etc.) está fácilmente disponible en fuentes de todo el mundo. La capacidad de aprovechar un grupo global de expertos es más frecuente que nunca y parece que la economía colaborativa está llegando finalmente al mundo de la seguridad a través del SOC.

Es el momento de ponerse en marcha

Tanto la inteligencia de las máquinas "inteligentes" como los mercados de contenidos abordan directamente los puntos de presión mencionados anteriormente, pero aún es pronto para la evolución del SOC. Las organizaciones deben analizar su SOC y decidir cómo van a reorganizar y priorizar para descubrir e implementar las personas, las herramientas y los socios necesarios para iniciar la evolución.

Hay que superar algunos obstáculos filosóficos, pero las necesidades empresariales impulsarán el ritmo del cambio. En un tiempo, las pruebas de penetración eran sólo internas, luego se extendieron a proveedores de confianza gestionados bajo acuerdos restrictivos, y después a proveedores acreditados por la industria. Ahora las empresas pueden recurrir a amplias comunidades de contratistas individuales basados en la recompensa de errores y a simuladores de ataques automatizados basados en la nube. El sector gestionó con éxito esos cambios, y es razonable que pueda hacer lo mismo con la respuesta a incidentes así como la investigación de los mismos.

Global Gold Sponsor