SOC Centro de Operaciones Servicio Administrado.

En un momento en el que los usuarios son cada vez más móviles y las redes periféricas están migrando a la nube, los recursos de TI están más expuestos a las amenazas (malware, ransomware, phishing, ataque DDOS, ataque de fuerza bruta...).

Las empresas necesitan controles de seguridad coherentes que cubran tanto los entornos Cloud como On-Premise. Estos controles deben tener en cuenta el contexto de identidad para anticipar, prevenir, detectar y reaccionar mejor ante las amenazas, con el objetivo de hacer su información más segura.

Definición de un SOC

El Centro de Operaciones de Seguridad, SOC, se refiere al equipo responsable de garantizar la seguridad de la información.El SOC es una plataforma que permite la supervisión y administración de la seguridad del sistema de información a través de herramientas de recogida, correlación de eventos e intervención remota. El SIEM (Security Information Event Management) es la principal herramienta del SOC ya que permite gestionar los eventos de un SI.

El objetivo de un SOC es detectar, analizar y corregir incidentes de ciberseguridad utilizando soluciones tecnológicas y enfoques diferentes. Supervisan y analizan la actividad en redes, servidores, terminales, bases de datos, aplicaciones, sitios web y otros sistemas en busca de señales débiles o comportamientos anormales que puedan indicar un incidente de seguridad o un compromiso.

El SOC debe garantizar que los posibles incidentes de seguridad se identifiquen, analicen, defiendan, investiguen e informen adecuadamente. Los SOC están generalmente compuestos por analistas e ingenieros de seguridad, así como por gerentes que supervisan las operaciones de seguridad. Las capacidades adicionales de algunas SOC pueden incluir el análisis avanzado, el criptoanálisis y la ingeniería inversa del malware para analizar los incidentes. Los equipos de SSC trabajan en estrecha colaboración con los equipos de respuesta para garantizar que el problema de seguridad se aborde adecuadamente una vez que se ha descubierto.

¿Cómo funciona un SOC?

El primer paso para establecer un SOC es definir claramente una estrategia que integre los objetivos específicos de la empresa de los distintos departamentos. Una vez desarrollada la estrategia, se establece la infraestructura necesaria para apoyarla. Una infraestructura SOC típica incluye cortafuegos, IPS/IDS, soluciones de detección de brechas, sondas y un sistema de gestión de eventos e información de seguridad (SIEM).

Debe existir la tecnología para recolectar datos a través de flujos de datos, mediciones, entrada de paquetes, syslog y otros métodos para que la actividad de datos pueda ser correlacionada y analizada por los equipos de OSC. El Centro de Operaciones de Seguridad también supervisa las vulnerabilidades de la red y de los puntos finales para proteger los datos confidenciales y cumplir con las normativas de la industria o gubernamentales.

¿Por qué instalar un SOC?

La principal ventaja de disponer de un centro de operaciones de seguridad es la mejora de la detección de incidentes de seguridad mediante la supervisión y el análisis continuos de la actividad de los datos. Sin embargo, la creación y operación de un SOC es complicada y costosa.

Las empresas los establecen por varias razones, tales como:

*Proteger los datos confidenciales

*Cumplir con las normas de la industria, como PCI DSS

*Cumplir con las normas gubernamentales como la GPG53 CESG

La supervisión ininterrumpida de la actividad de datos en las redes, terminales, servidores y bases de datos de una organización ofrece a las organizaciones una ventaja a la hora de defenderse de incidentes e intrusiones, independientemente de la fuente, la hora del día o el tipo de ataque. Un centro de operaciones de seguridad ayuda a las empresas a salvar la distancia entre el tiempo que tarda el hacker en comprometer el sistema y el tiempo que tarda en detectar la amenaza, así como en mantener a su entorno al tanto de las amenazas.

¿Cómo se organiza el SOC?

Para la consecución de estos objetivos, un SOC se divide por niveles en función del grado de especialización de los analistas que lo conforman:

Nivel 1, se encuentran los analistas de alertas, que monitorizan continuamente las alertas que recibe el SOC. Los analistas evalúan estas alertas de seguridad y, si alcanzan el umbral predefinido según la política del SOC, se escalan al nivel 2.

Nivel 2 determinan si los datos o el sistema se han visto afectados y, de ser así, recomendarán una respuesta.

Nivel 3 está compuesto por profesionales altamente capacitados, que se encargan de resolver los incidentes, pero también de buscar posibles incidentes con el fin de prevenirlos.

A diferencia de un departamento de TI tradicional, el personal de un SOC incluye principalmente un equipo de analistas y técnicos de ciberseguridad altamente experimentados y especializados, con certificaciones muy puntuales.

La especialización de estos analistas, aunque han de compartir una base técnica común, varía mucho, la diversificacion es lo que beneficia al SOC y, por consiguiente, a la organización, ya que es de gran utilidad que los analistas tengan perfiles provenientes de diferentes disciplinas.

¿Qué actividades realiza el SOC?

A través de su vigilancia y análisis activos, los SOC utilizan metodologías y procesos estratégicos para construir y mantener las defensas de seguridad cibernética de la empresa. Estos procedimientos se desglosan en las siguientes tareas identificables:

Establecimiento conciencia de los activos

Desde un primer momento los SOC cuentan con un amplio conocimiento y experiencia de las herramientas y tecnología a su disposición.

Monitorización continua y proactiva

Los SOC toman medidas intencionales para detectar actividades maliciosas antes de que puedan causar un daño, en lugar de enfocarse en medidas reactivas una vez que tiene lugar una amenaza.

Clasificación de alertas

Una de las principales tareas de un SOC es clasificar las alertas conforme las van recibiendo.

Ajuste de las defensas

La gestión de vulnerabilidades y el aumento de la concienciación sobre las amenazas son partes esenciales de la prevención de violaciones de seguridad. Eso incluye la vigilancia constante del perímetro y las operaciones internas, ya que ocasionalmente pueden producirse brechas dentro de la organización.

Comprobación del cumplimiento

Algo esencial para la continuidad de un SOC es cumplir con los reglamentos de cumplimiento esenciales.

Los SOC trabajan diariamente para mantenerse el día con las medidas de protección obligatorias, dando siempre un paso más para evitar daños a la empresa.

Además, también podemos encontrar Centros de Operaciones de Seguridad que cuenta con equipos especializados en la prestación de servicios tales como:

Monitorización de seguridad.

Gestión de incidentes de seguridad.

Análisis forense digital y de seguridad.

Inteligencia de amenazas.

Gestión de vulnerabilidades.

Gestión de Logs.

La tendencia futura es que las amenazas sigan creciendo, no solo en cantidad, sino también en sofisticación. Por ello, la incógnita de estos centros ya no recae sobre si se implementan o no, o sobre la forma de implementarlos, sino en la optimización y eficiencia de éstos y hoy la opción es mantener un Servicio Administrado, las alternativas hoy son mucho mas accesibles para acercarte a este servicio.

Te invito a conocer mas de este tema :