Un refrán común entre los profesionales de la seguridad dice que "hay dos tipos de empresas en el mundo: los que saben que han sido hackeadas, y los que han sido hackeadas y aún no lo saben". Todas las organizaciones se ven involucradas en una batalla constante con los criminales para evitar ser vulneradas, e implementan soluciones de firewall, IDS/IPS, anti-malware, entre otras, las cuales detectan diariamente millones de incidentes. Sin embargo, como indicábamos en una entrada anterior, la seguridad de hoy necesita un enfoque donde la inteligencia de amenazas sea la prioridad. La gran pregunta es ¿quién debe hacerlo y de que forma?.
Las agencias de seguridad de los estados son las precursoras de los centros dedicados a realizar análisis e inteligencia de amenazas, comúnmente llamados Centro de Operaciones de Seguridad (SOC, por sus siglas en ingles). Debido al crecimiento de los incidentes de seguridad de la información, inicialmente dirigidas casi que exclusivamente a grandes organizaciones, entidades gubernamentales e instituciones financieras, estas crearon los primeros SOCs enfocados en amenazas digitales.
Pero las cosas han cambiado, actualmente todas las organizaciones están en riesgo, los criminales están mejor organizados y las amenazas son más sofisticadas, lo que hace necesario para todos contar con capacidades para realizar inteligencia de amenazas. Las buenas noticias son que hoy por hoy tener un SOC es una meta alcanzable para muchas organizaciones pues lo que solía costar millones de dólares se logra ahora por una cifra sumamente inferior, y las capacidades técnicas requeridas no son exclusivas de un pequeño grupo de expertos.
Si bien ya tenemos conciencia que impedir todos los ataques es una meta prácticamente imposible, lo que hace la diferencia al contar con un SOC, es la capacidad de reducir el tiempo en que se da respuesta a incidentes y contenerlos; ya se trate de un ataque DDoS o malware que pueda propagarse a través de una red corporativa, cada segundo cuenta en la identificación de estos ataques y en su mitigación antes de que puedan causar daño adicional.
¿Cómo hacerlo?
La función de un SOC va más allá del monitoreo, pues provee la información necesaria a las organizaciones con la que pueden hacer detección de amenazas eficientemente, pero además permite hacer un análisis en tiempo real y contener amenazas de seguridad que puedan impactar el negocio, mediante la gestión de eventos e incidentes, gestión de vulnerabilidades y gestión de plataformas de seguridad. Para lograr esto existen tres requisitos clave: personas calificadas, tecnología correcta y procesos adecuados.
El primer factor es contar con procesos debidamente definidos que le permitan al personal del SOC tener claras las acciones que se deben ejecutar en cada momento. Los procesos sirven como engranaje para que el equipo del SOC actúe de forma coordinada, se informe adecuadamente y se aumente la efectividad de sus acciones. SANS (SysAdmin Audit, Networking and Security Institute) tiene un catálogo amplio de documentos que seguramente le pueden ser de ayuda para establecer estos procesos.
Lo siguiente que debe tener en cuenta es asegurarse de tener personal capacitado. Son especialistas trabajando las 24 horas del día, siete días de la semana. De ellos depende gran parte del funcionamiento de un SOC, pues son los encargados de dar sentido a la información proveniente de las diferentes tecnologías de seguridad y otras fuentes de datos. Deben ser personas con pensamiento critico y razonamiento deductivo que entiendan los ataques para responder adecuadamente.
Finalmente, debe identificar las tecnologías de seguridad requeridas para lograr visibilidad de lo que esta pasando en su organización. Seguramente requerirá de herramientas de monitoreo, correlación y alertamiento como un SIEM, Breach Detection Systems (DBS) para proteger su red frente a amenazas dirigidas avanzadas y herramientas automatizadas de escaneo de vulnerabilidades, entre otras. Si además de monitorear y alertar, el SOC se encargara de hacer mitigación, debe asegurarse de tener control sobre otras tecnologías clave como firewalls, IDS, IPS o antivirus.
Tenga en cuenta que laimplementación de unSOC no debe confundirse con una estrategia de seguridad completa, es solo una parte de esta; toma tiempo y esfuerzo, no es algo que se ejecuta en un día, debe ser planeado y analizado con anticipación, dependiendo del presupuesto, alcance y riesgos de una organización.Referencias: Sans, Tech Republic, Fortinet, Trend Micro, Logrhythm
