En la era de la transformación digital, los servicios automatizados se han asegurado un lugar destacado en la agenda de la mayoría de las organizaciones. Sin embargo, hasta hace poco, la seguridad informática ha permanecido en un segundo plano.  

Por otro lado, los profesionales del sector están sobrecargados de trabajo y faltos de personal. Las dificultades comienzan en los centros de operaciones de seguridad (SOC), que en demasiados casos se gestionan según dinámicas anticuadas. La complejidad de los dispositivos modernos, los trabajadores remotos y los entornos multicloud han llevado el funcionamiento de estos centros a niveles de imprevisibilidad sin precedentes. Estas transformaciones, combinadas con los métodos avanzados utilizados en el ransomware y los ataques a la cadena de suministro, probablemente resulten en un desastre a punto de ocurrir para cualquier organización que no se proponga modernizar su infraestructura de seguridad.

Los procedimientos tradicionales abren el camino a nuevos ataques

Podríamos llamarlo SOC 1.0. El centro de seguridad tradicionalmente orientado a los logs y las firmas (SIEM e IDS) está resultando obsoleto para responder a las ciberamenazas modernas. Las herramientas que suele emplear cuestan mucho dinero, pero producen resultados limitados, no detectan los ataques en curso y se centran más en la prevención de las amenazas que en la creación de defensas resistentes contra ellas.

Además, como las tecnologías utilizadas hoy en día se han alejado de la concepción tradicional del SOC, los analistas se esfuerzan por gestionarlas manualmente a través de fuentes de datos limitadas, con lo que sólo llegan a conclusiones parciales. En última instancia, lo que le queda a la empresa es una falta de visibilidad y un equipo de seguridad que trabaja en flujos de trabajo ineficientes con un alto coste.

Por lo tanto, ha llegado el momento del cambio. A menudo hemos visto cómo las técnicas de prevención fallan a la hora de detectar el ransomware: se trata de ataques de origen humano -el malware sólo se libera en la última fase del ataque en el punto final (endpoint)-, lo que significa que la única manera de detenerlos es detectar y bloquear los movimientos de los atacantes dentro del propio entorno de la organización. Hoy en día, los ciberdelincuentes conocen más de una forma de eludir los sistemas de autenticación multifactor, y aunque la detección de puntos finales es importante, no tiene ninguna posibilidad contra un atacante astuto con credenciales robadas.

La buena noticia, sin embargo, es que defenderse de las ciberamenazas actuales es posible. Y no tiene por qué ser tan complicado.

Desarrollar un SOC moderno

Pensemos, en primer lugar, en los profesionales de la seguridad. Mientras que antes de la pandemia, la experiencia del cliente estaba de moda, hoy las organizaciones sitúan la experiencia del empleado en lo más alto de la lista de prioridades. La eficacia demostrada del trabajo a distancia permite a los cibertalentos trabajar donde quieran: a la hora de diseñar un nuevo SOC, la empresa está llamada a imaginar un ecosistema que aligere la carga de trabajo de los perfiles técnicos. De lo contrario, corre el riesgo de perder a los candidatos más cualificados en favor de otras organizaciones.

La necesidad de retener a los mejores talentos es una razón más para modernizar el SOC y adoptar un enfoque de futuro que dé prioridad a la visibilidad y los flujos de trabajo. El centro de seguridad moderno sigue utilizando los registros y análisis del SIEM, pero los enriquece con datos de los puntos finales y de la red. Reúne la detección y respuesta a los puntos finales (EDR), la detección y respuesta frente a amenazas en la red (NDR) mejorada con inteligencia artificial y el análisis del comportamiento de usuarios y entidades (UEBA). El nuevo SOC 2.0 crea una red entre las aplicaciones in situ, en la nube y nativas de la nube, lo que permite detectar actividades sospechosas hasta ahora desconocidas y movimientos laterales de los atacantes.

¿Por dónde empezar a construir el nuevo SOC? La Inteligencia Artificial (IA) puede resultar una valiosa aliada. Mejorar la precisión de las alertas, optimizar las investigaciones, localizar nuevas amenazas y priorizar las respuestas es posible con la plataforma de IA adecuada. La inteligencia artificial es increíblemente hábil para procesar grandes conjuntos de datos de forma rápida y eficaz, mientras que las personas son excepcionales para contextualizar la información. Por ello, la IA puede ayudar al SOC a sacar el máximo partido de sus componentes.

La ayuda de la IA y Aprendizaje Automático

El analista, por tanto, tiene que dotarse de capacidades de IA y Aprendizaje Automático (Machine Learning) que identifiquen el comportamiento asociado a un riesgo, mientras que otros sistemas de IA automatizan la mayoría de las tareas tradicionales encomendadas al centro de seguridad. De este modo, los falsos positivos se reducen drásticamente, eliminando el estrés de estar sometido a constantes alertas.

La modernización del SOC es el futuro de cualquier organización que quiera desarrollar un centro de operaciones de seguridad eficiente y sostenible. Las investigaciones sobre ciberamenazas dan mucho más fruto cuando se apoyan en un análisis sólido y preciso, realizado por sistemas inteligentes y verificado por profesionales formados que analizan una lista de comportamientos sospechosos.

Este tipo de SOC también puede mejorar la gobernanza e infundir confianza a los reguladores, los inversores y los clientes. La capacidad de detectar, evaluar y priorizar las amenazas en tiempo real garantiza la resolución rápida y eficaz de los problemas y evita las costosas y embarazosas infracciones.

Vectra es pionera en la transformación del SOC

Vectra AI es miembro de la alianza CrowdXDR Alliance, lo que evidencia nuestra posición de líder. La CrowdXDR Alliance es un círculo de innovadores de la ciberseguridad centrados en el futuro, no en el obsoleto pasado del SIEM. Vectra AI participa en este ecosistema XDR que reúne potentes fuentes de telemetría de todas las partes de la infraestructura para mejorar la seguridad y supone un cambio de juego. Las alianzas que colaboran para lograr integraciones más eficaces y eficientes son esenciales para alcanzar la visión de Vectra AI de un mundo más seguro y justo.

Los resultados de la transformación del SOC: resiliencia, eficiencia y certidumbre

  • Resiliencia: porque la organización resiste y repele mejor los sofisticados ataques modernos.
  • Eficiencia: porque los responsables de la seguridad se liberan de las herramientas y la tecnología heredadas que no funcionan de forma conjunta o no dan resultados en el entorno actual, y los retos de cumplimiento de todo tipo son más fáciles de afrontar.
  • Certidumbre: que los atacantes no tienen dónde esconderse, las amenazas críticas se elevan al primer plano con el contexto, y el aprendizaje automático mantiene al SOC al tanto del panorama de amenazas en constante evolución.

La transformación del SOC es clave para la ciberseguridad actual y futura, y Vectra AI ofrece los mejores análisis de su clase, creados específicamente para apoyar la transición, detectando a los adversarios en cualquier superficie de ataque y neutralizando sus ataques.

About Author

Country Manager para España y Portugal de Vectra AI

Deja un comentario