Una visión del primer año de operaciones de automatización SOC

Ha pasado un poco más de un año desde que SOC Prime se embarcó en su misión actual: traer eficiencia a las tecnologías de ciberseguridad más sofisticadas mediante la automatización, la consolidación de conocimientos y la fusión de tecnologías líderes del mercado. Usando frases de moda, afirmamos que haríamos que la ‘Ciberseguridad sea accionable’ a través de la automatización de la detección de amenazas conocidas y proporcionando herramientas y liberando FTE para combatir las desconocidas. Y aunque muchas empresas intentan lo mismo, creemos que ninguna solución u organización puede enfrentarse sola a los adversarios y claramente hay una necesidad de un sistema de defensa colectiva. Bueno, me enorgullece anunciar que hoy terminamos nuestros primeros pasos para hacer realidad este objetivo. Es hoy cuando SOC Prime anuncia la unificación de nuestros dos productos principales, Mantenimiento Predictivo para SIEM y Marco de Integración, bajo una sola plataforma para la Gestión de Seguridad e Inteligencia.

Hoy en día podemos afirmar con firmeza que la velocidad actual de detección de violaciones de seguridad puede mejorarse y puede ser drásticamente inferior a los 200 días nefastos. Y una de las primeras respuestas radica en automatizar muchas operaciones rutinarias de un SOC moderno y fusionar las tecnologías que se han establecido durante mucho tiempo en la industria. Al igual que muchos de ustedes, nuestro equipo ha pasado años en operaciones de primera línea de implementaciones de SIEM y, como muchos de ustedes, hemos pasado por todas las cosas divertidas y desafiantes de escribir analizadores, desarrollo de Casos de Uso, dimensionamiento, alcance, encontrar soluciones alternativas y hacer que todos estos sistemas complejos hagan lo que se supone que deben hacer: ¡detectar incidentes de seguridad! Ahora bien, si pensamos en esto por un momento, una detección precisa depende de múltiples factores, incluyendo: disponibilidad de Datos de Registro y fuentes externas, calidad de los datos consumidos por el SIEM que comienza con un análisis correcto desde el momento en que se extrae del origen del registro y termina con la categorización y enriquecimiento, rendimiento de la plataforma que necesita la atención constante de su administrador, precisión de la información de activos y red y, por último, pero no menos importante, la seguridad del propio sistema SIEM.

Todo esto ha sido un trabajo manual minucioso durante más de una década, y todo esto está cambiando ahora al aplicar conjuntos de herramientas más avanzadas para facilitar nuestro trabajo diario y hacer uso de nuestros recursos de manera más eficiente. Para esto está diseñado nuestro módulo de Mantenimiento Predictivo: mejorar la visibilidad en el corazón de su SOC y darle una visión completa y respuestas al instante, justo cuando las necesita. Ya no habrá espacio para dudas o conjeturas sobre si un SIEM ha capturado los datos que necesita y puede proporcionarlos cuando sea necesario, ahora puede confiar en los hechos y ver una imagen completa en cualquier momento.

Sin embargo, el SIEM en sí mismo es solo una pieza de una infraestructura de seguridad sólida y necesita interconectarse con una multitud de dispositivos y tecnologías de seguridad. Como señaló SANS a principios de 2015, más del 52% de las empresas respondieron a la encuesta del SOC que tienen poca visibilidad de las configuraciones y vulnerabilidades de sus activos, lo que a su vez reduce la eficiencia de la respuesta a incidentes. Si bien los sistemas de gestión de vulnerabilidades y evaluación de cumplimiento han estado disponibles desde 1999 y han logrado un gran éxito tanto en precisión como en velocidad al realizar sus trabajos, aún existe una brecha en operacionalizarlos cuando se trata de SOC. Y esta brecha se cierra mediante la integración completa de las tecnologías de Gestión de Vulnerabilidades con SIEM, y esta es una de las primeras cosas que abordamos a través de nuestro Marco de Integración.

Junto con nuestros primeros clientes y socios, ahora demostramos en la práctica que el marco es la base para el Monitoreo Continuo de Vulnerabilidades y Activos. Ahora cualquier empresa en el mundo puede automatizar la Gestión de Vulnerabilidades, las operaciones de la plataforma de Evaluación de Cumplimiento y Configuración en su SOC. Dado que no todas las empresas son iguales en cuanto a tamaño, infraestructura, especificidades de la industria y regulaciones, hemos desarrollado nuestra plataforma para que esté disponible para todos a través de ediciones puras SaaS y on-premise, desplegables en las plataformas de virtualización VMware ESXi, Microsoft HyperV, Amazon AWS, KVM y Proxmox. Sin embargo, ¿la integración y la automatización llevarán la seguridad en su conjunto al próximo nivel de evolución? Aún no, y tenemos mucho más que está por venir en los próximos meses. ¡Esté atento a las actualizaciones!