A medida que las organizaciones se embarcan en nuevas iniciativas digitales que amplían su superficie de ataque, a menudo tienen dificultades para mantenerse a la vanguardia de las últimas amenazas. Los atacantes siempre adaptan sus tácticas a las últimas medidas de seguridad, utilizan campañas de varias etapas e imitan actividades legítimas.
Y debido a la escasez global de habilidades en ciberseguridad, la mayoría de las empresas ahora tienen más trabajo que personas para todos.
Según el Informe de investigación global sobre la brecha de habilidades en ciberseguridad 2023 del Fortinet Training Institute, el 68% de las organizaciones enfrentan riesgos cibernéticos adicionales como resultado de la escasez de habilidades cibernéticas. Con una brecha global de fuerza laboral en ciberseguridad de 3,4 millones de personas, la mayoría de las organizaciones tienen dificultades para contratar y retener profesionales de seguridad con experiencia para operaciones de seguridad críticas 24 horas al día, 7 días a la semana. Encontrar, pagar y retener trabajadores calificados es más difícil y costoso que subcontratar servicios de seguridad, donde es más fácil lograr economías de escala.
Una tendencia notable es el aumento de las empresas de SOC como servicio.
Muchas empresas no tienen los recursos para construir u ofrecer un centro de operaciones de seguridad (SOC) completamente operativo y buscan la flexibilidad de precios y el tiempo de servicio que conlleva una respuesta de detección administrada. Un SOC como servicio (SOCaaS) ayuda a las organizaciones a enfrentar estos desafíos subcontratando algunos o todos sus procesos de monitoreo de ciberseguridad y respuesta a incidentes. Las soluciones SOCaaS pueden ayudar rápidamente a llenar los vacíos para ayudar a las empresas a prevenir, mantener y responder a las amenazas.
¿Qué es SOC como servicio?
Ya sea independiente o parte de una amplia oferta de servicios de seguridad, la definición de SOCaaS se refiere a un centro de operaciones de seguridad subcontratado que recopila, agrega, correlaciona y analiza datos de seguridad en tiempo real en todo el entorno digital de una organización. Utilizando una combinación de profesionales capacitados y tecnologías de detección y automatización, los proveedores de SOCaaS monitorean el entorno para identificar, priorizar y responder a las amenazas a la seguridad.
Mediante un modelo de pago de suscripción, las organizaciones subcontratan la operación y el mantenimiento 24 horas al día, 7 días a la semana de un centro de operaciones de seguridad totalmente administrado a un proveedor de servicios externo.
Entonces, ¿para qué se utiliza SOCaaS? Un proveedor de SOCaaS ofrece capacidades de monitoreo de seguridad administrado, detección de amenazas y respuesta a incidentes. A medida que las organizaciones buscan mejorar su postura de seguridad y mitigar el riesgo, muchas recurren a un proveedor de servicios con la tecnología y el equipo de expertos en ciberseguridad necesarios para:
Reúna y analice inteligencia sobre amenazas para obtener visibilidad de nuevas ciberamenazas.
Ayude a desarrollar una estrategia integral para abordar las infracciones y mantener los datos seguros
Mejore la seguridad de la red mediante el uso de firewalls de próxima generación (NGFW)
Supervise el acceso de usuarios y dispositivos a los recursos empresariales
Recopile y analice los datos forenses necesarios para lograr resultados de cumplimiento.
Fig. 1: ejemplo de flujo de trabajo de una organización SOCaaS
Aunque algunas organizaciones subcontratan todas las actividades de seguridad a un proveedor de SOCaaS, muchas empresas de distintos tamaños utilizan las soluciones para aumentar las capacidades actuales de su equipo de seguridad interna. Con SOCaaS, las organizaciones se benefician de expertos en seguridad que gestionan las actividades de seguridad diarias que actúan como base de un programa de seguridad sólido.
Tendencias del mercado que impulsan SOCaaS para las empresas
Hoy en día, muchas organizaciones luchan por encontrar y retener personal certificado en ciberseguridad.
A medida que aumentan los desafíos de la ciberseguridad, muchas organizaciones recurren a proveedores de SOC como servicio en busca de asistencia experta para mitigar y gestionar las ciberamenazas. Encontrar analistas de seguridad experimentados que puedan gestionar entornos complejos e interconectados puede resultar difícil, y muchas organizaciones recurren a la automatización para superar desafíos como:
Altos volúmenes de alertas
Largos procesos manuales
Falta de colaboración en equipo.
Al mismo tiempo, los ciberataques continúan evolucionando y siguen siendo tan omnipresentes como siempre. Las organizaciones se enfrentan a un panorama de amenazas en constante y rápida evolución que incluye tácticas más agresivas y un aumento de los ataques debido al ransomware como servicio (RaaS) y la utilización de la inteligencia artificial (IA) como arma. Con cambios regulares en tácticas, técnicas y procedimientos (TTP), los equipos de seguridad y la organización en general deben permanecer alerta a las tácticas de la etapa de reconocimiento que son un punto de apoyo temprano para el ransomware. Las ciberamenazas suelen estar diseñadas específicamente para eludir las tecnologías de seguridad tradicionales orientadas a la prevención, como firmas, heurísticas y reputaciones. Ahora, los ciberdelincuentes incluso están utilizando la IA para reducir el tiempo que lleva establecer un punto de apoyo, encontrar sus objetivos y ejecutar un ataque. Las organizaciones que todavía utilizan tácticas manuales de investigación y respuesta se enfrentan a desafíos derivados de campañas sofisticadas de varias etapas y costos crecientes. Al implementar la automatización de la seguridad con detección de brotes, las organizaciones pueden identificar y responder automáticamente a las amenazas antes de que puedan causar tanto daño, limitando el impacto y el costo de una infracción. ¿Dónde encaja SOCaaS dentro del SOC de una organización? SOCaaS puede reemplazar o respaldar el SOC existente de una organización. Con SOCaaS, las organizaciones pueden establecer una base de SOC y gestionar el lado de respuesta de SOC del negocio y las operaciones. O una organización puede ampliar o escalar su SOC actual. SOCaaS amplía el proceso de gestión de incidentes de una organización con herramientas y personal adicionales, esencialmente subcontratando las operaciones de SOC que no tienen el personal para administrar.
Fig. 2: Cómo puede encajar SOCaaS dentro de una organización
Con un proveedor de SOCaaS, las organizaciones pueden mapear su superficie de ataque para mitigar los riesgos asociados con las actividades de reconocimiento de los actores de amenazas mediante la identificación de configuraciones erróneas, el descubrimiento de brechas de visibilidad y la localización de problemas de registro y detección de herramientas de seguridad, incluido el ajuste de configuraciones.
SOCaaS puede permitir a las organizaciones implementar mejores reglas de detección para alertas de alta fidelidad que identifican actividades maliciosas como phishing y actividades anómalas que surgen de ataques basados en credenciales y malware instalado en los sistemas.
Para las organizaciones que necesitan personal adicional con experiencia especializada, SOCaaS les brinda el apoyo necesario para investigar las actividades en curso de los actores de amenazas a lo largo de la cadena de ciberataque , incluida la identificación de si los atacantes:
Obtuvo acceso a los sistemas mientras evadía la detección.
Explotación de debilidades, configuraciones erróneas y vulnerabilidades del sistema para obtener permisos de sistema de nivel superior
Software de seguridad comprometido o procesos de confianza abusados para ocultarse en los sistemas
Usó credenciales robadas para obtener acceso a los sistemas y pasar desapercibido
Adquirió conocimientos sobre sistemas y redes para explorar lo que pueden controlar.
Se movió a través de múltiples sistemas para encontrar su objetivo o usó múltiples cuentas para obtener acceso a él.
Información recopilada sobre fuentes de destino, como capturas de pantalla o registros de entradas de teclado.
Comunicados con sus propios sistemas desde el interior de la red comprometida.
Datos transferidos desde el sistema comprometido
SOCaaS también ayuda a la organización a responder al impacto de un ataque al recopilar evidencia forense, garantizar que los adversarios hayan sido erradicados de los sistemas y ayudar a restaurar los servicios interrumpidos. Beneficios principales de SOCaaS
El principal beneficio es la naturaleza práctica y de servicio completo de SOCAAS, lo que significa que estas soluciones brindan a las empresas todas las herramientas y el personal de soporte necesarios para mitigar los riesgos de violación de datos.
Al considerar los costos de comprar las herramientas para defenderse contra amenazas, contratar y retener personal, y el tiempo que lleva identificar falsos positivos y abordar incidentes, SOCaaS es una opción económica para las organizaciones que buscan reducir sus riesgos de ataques cibernéticos. SOCaaS puede ser una alternativa rentable con monitoreo y detección de eventos de seguridad 24 horas al día, 7 días a la semana para identificar amenazas potenciales y actividades sospechosas. También puede ayudar a las organizaciones a reducir el costo total de propiedad (TCO) de la seguridad, compensar la brecha de habilidades en ciberseguridad y mejorar la visibilidad en entornos complejos.
SOCaaS puede mejorar los tiempos de detección y remediación. Las alertas se pueden clasificar rápidamente utilizando IA avanzada y aprendizaje automático (ML), lo que ayuda a mitigar el volumen de alertas y falsos positivos y notifica a las organizaciones sobre cualquier actividad anómala que requiera una respuesta. Y al utilizar un portal basado en la nube, los analistas pueden realizar un seguimiento de las alertas escaladas, ver información sobre los incidentes y amenazas detectados y comunicarse en tiempo real con expertos mientras mejoran continuamente la eficacia de su SOC.
Con clasificación de incidentes asistida por IA las 24 horas del día, SOCaaS proporciona monitoreo, detección y respuesta activos rápidos y precisos las 24 horas del día, los 7 días de la semana, los 365 días del año, con cobertura global y recomendaciones de expertos.
SOCaaS puede reducir los costos de detección y respuesta con tecnologías avanzadas de operaciones de seguridad automatizadas.
A medida que las empresas avanzan hacia arquitecturas de confianza cero , necesitan soluciones que combinen seguridad y redes. Los servicios SOCaaS ayudan a habilitar estas iniciativas mediante la implementación y el mantenimiento de políticas, reglas y configuraciones de firewall.
En algunos casos, las organizaciones utilizan SOCaaS para aumentar o subcontratar operaciones de seguridad para que su personal interno pueda centrarse en otros elementos críticos de seguridad. Con una SOCaaS las empresas se benefician de:
Operaciones simplificadas al descargar casos de uso de un extremo a otro, minimizar la exposición y reducir la carga de trabajo.
Reenfocar los recursos calificados en escenarios comerciales prioritarios
Descargar todo el análisis de nivel uno de los eventos de seguridad generados por el firewall
Monitoreo y clasificación continuos 24 horas al día, 7 días a la semana
Cuando las organizaciones implementan herramientas de seguridad, a menudo carecen de recursos para actualizar las configuraciones y operaciones de seguridad cuando agregan nuevas tecnologías. Un SOCaaS proporciona una opción rentable para acelerar las operaciones de seguridad al proporcionar un servicio listo para el consumo.
Factores decisivos entre SOCaaS y SOC interno
Al intentar determinar si mantener un SOC interno o subcontratar capacidades, muchas empresas sienten que deben elegir uno u otro. Sin embargo, como ocurre con todo lo relacionado con la ciberseguridad, la respuesta no es binaria. Es importante considerar los requisitos de seguridad de la organización y sus posibles vulnerabilidades.
Aunque algunas organizaciones utilizan SOCaaS para subcontratar todas sus operaciones de seguridad, otras lo utilizan para aumentar sus equipos internos . Al intentar determinar los tipos de soporte SOCaaS necesarios, las organizaciones deben considerar si:
Contar con personal con las habilidades especializadas necesarias para la respuesta a incidentes.
Tener cobertura de personal 24x7
Puede permitirse el lujo de contratar y retener talentos con la experiencia necesaria.
Puede afrontar los costos específicos de la respuesta
Tiene inquietudes sobre compartir acceso e información.
Planificar la construcción o ampliación de un SOC
Puede permitirse el lujo de contratar empleados a tiempo completo para apoyar sus iniciativas.
Contar con asistencia experta para ampliar un SOC puede ayudar a reducir el agotamiento del personal y proporcionar recursos y habilidades adicionales. Ampliar el SOC con herramientas y personal adicionales esencialmente subcontrata las operaciones del SOC que la organización no tiene personal para administrar, liberando tiempo al personal de seguridad para tareas críticas necesarias para proteger la empresa. Comparación de servicios de seguridad: SIEM frente a SOCaaS Con una sopa de letras de soluciones de seguridad, las organizaciones necesitan comprender cómo SOCaaS se relaciona y se diferencia de la tecnología, la ciberseguridad y las ofertas de servicios más amplias. Con una solución de gestión de eventos e información de seguridad ( SIEM ), la empresa contrata personal de ciberseguridad y paga los costos por adelantado. Con SOCaaS, la empresa subcontrata el personal que utiliza la orquestación, automatización y respuesta de seguridad (SOAR) , SIEM y otras herramientas sin tener que poseer las tecnologías o los procesos. Esto es crucial para empresas con altas exigencias técnicas y redes complejas. Qué buscar en un proveedor SOCaaS Al explorar las opciones de SOCaaS, las organizaciones deben comenzar identificando si el proveedor posee la tecnología de extremo a extremo. Cuando los proveedores invierten en capital, recursos y tecnología, sus servicios suelen costar menos porque la pila de seguridad está bien integrada. Después de determinar cuánto o poco soporte necesita la organización de una solución SOCaaS, debe comparar las capacidades de los proveedores a lo largo del ciclo de vida del incidente de seguridad. Al hacer esta comparación, una organización debería considerar cinco áreas clave. Supervisión Las capacidades de monitoreo continuo son la base de SOCaaS. Al evaluar a un proveedor, las organizaciones deben determinar cómo proporcionan monitoreo 24 horas al día, 7 días a la semana. ¿Tienen SOC en todo el mundo? ¿Utilizan un “enfoque de seguir el sol” para garantizar que cuando termine un cambio en América del Norte, comience otro en APAC? Detección Para superar la fatiga de alertas y los grandes volúmenes de falsos positivos, un SOCaaS debe proporcionar capacidades avanzadas de detección de amenazas . Los proveedores deben tener una solución sólida de inteligencia sobre amenazas con tecnologías de seguridad estrechamente integradas. Las organizaciones también deben descubrir cómo el proveedor reduce el ruido causado por falsos positivos y alertas y con qué rapidez notifican a los clientes después de descubrir actividad sospechosa. Investigación Cuanto más rápido identifique un SOCaaS la causa raíz de un incidente, menos daño podrán causar los atacantes. Al evaluar a un proveedor, las organizaciones deben observar las tecnologías que utilizan y determinar el nivel de experiencia del personal. ¿Combinan el análisis humano con la automatización, como un SOAR, para reducir los tiempos de investigación? Respuesta Después de identificar la causa raíz, el SOCaaS debe contener al atacante, remediar las vulnerabilidades y restaurar los sistemas. Las organizaciones deben comprender los procedimientos y procesos de respuesta a incidentes. ¿Cómo coordina el proveedor una respuesta con los equipos de seguridad internos? ¿Pueden identificar la huella del atacante en la red? ¿Pueden identificar si el atacante incrementó privilegios? ¿Cómo determinan si los atacantes han sido erradicados? ¿Cómo recopilan pruebas forenses? Gestión La ciberseguridad es un proceso interminable de revisión e iteración, y SOCaaS proporciona información sobre áreas de mejora. Las organizaciones deben comprender cómo el proveedor ayuda a los equipos internos a mejorar sus capacidades. ¿Cómo identifican formas de mejorar los procesos? ¿Cómo ayudan a la organización a perfeccionar las tecnologías? ¿Cuáles son sus indicadores clave de desempeño para medir la efectividad del programa de ciberseguridad? Cómo puede ayudar Fortinet Con FortiGuard SOCaaS , las empresas pueden obtener de forma rápida y asequible el monitoreo y la detección necesarios sin inversiones iniciales sustanciales en personal, tiempo o herramientas. El equipo de expertos en seguridad de Fortinet aprovecha las tecnologías de IA y ML, como instancias de Fortinet FortiAnalyzer y FortiSOAR, junto con el análisis humano para detectar amenazas potenciales las 24 horas del día, los 7 días de la semana. Si se detecta una amenaza, se proporcionan notificaciones oportunas según la gravedad del incidente, información detallada sobre lo que está sucediendo, por qué está sucediendo y recomendaciones sobre cómo solucionar rápidamente el problema. Además, un panel intuitivo, informes personalizados y reuniones trimestrales permiten obtener más información y debates sobre escalamientos, rendimiento de SLA y cómo fortalecer el entorno frente a amenazas y reducir el ruido.
Fig. 3: Cómo SOCaaS de FortiGuard puede ayudar a los equipos SOC existentes a analizar eventos de seguridad
Al asociarse con expertos en seguridad de Fortinet, las empresas pueden liberarse de las demandas del monitoreo de seguridad y concentrarse en el futuro de su negocio, sabiendo que sus defensas de ciberseguridad están siendo monitoreadas y administradas de manera proactiva. Las organizaciones que utilizan FortiGuard SOCaaS también obtienen acceso a FortiGuard Labs, la organización de investigación e inteligencia sobre amenazas más completa de la industria, diseñada para protegerlas de ataques cibernéticos sofisticados. FortiGuard Labs, compuesto por más de 500 cazadores de amenazas, investigadores, analistas, ingenieros y científicos de datos, monitorea continuamente la superficie de ataque mundial utilizando millones de sensores de red y más de 480 socios que comparten inteligencia. Analiza y procesa esta información utilizando inteligencia artificial y otras tecnologías innovadoras para extraer esos datos en busca de nuevas amenazas. Con esta inteligencia de amenazas oportuna y procesable de Fortinet, las organizaciones pueden comprender y defender mejor su panorama de amenazas.
Comments