Un centro de operaciones de seguridad (SOC) permite a las organizaciones defenderse de incidentes e intrusiones maliciosas. La vigilancia ininterrumpida de la actividad de los datos en los sistemas informáticos (redes, terminales, bases de datos y servidores) es una tarea esencial actualmente.
Según los expertos del portal Digital Biz, los SOC ayudan a las empresas a tener un mayor control sobre toda su información estratégica o confidencial. Señalan que actualmente estos centros están en pleno proceso de transformación. Esta evolución se ha dado gracias a avances tecnológicos como Inteligencia Artificial y automatización.
El SOC basado en la plataforma SIEM
Muchas organizaciones siguen utilizando el SOC 1.0, también conocido como SOC SIEM, que nació de la necesidad de supervisar la seguridad de una organización. Su función principal es la de registrar los datos de los cortafuegos, aplicaciones, proxies, estaciones de trabajo y servidores de autenticación. Esa información se agrega a una plataforma SIEM para ser consultados y correlacionados.
Los datos se combinan con Indicadores de Compromiso (IoC) e información sobre amenazas para establecer una comparación. Con todos estos elementos se trabaja para encontrar acciones maliciosas o que pudiesen representar un riesgo. La principal característica del SOC SIEM es que trabaja de forma reactiva, creando acciones defensivas tras la superación de ciertos eventos.
Otras deficiencias de este modelo es que este SOC suele configurarse de manera aislada. Los analistas deben ir de consola en consola para evaluar todo un sistema. Así mismo, la disposición de datos es muchas veces inadecuada e insuficiente y su arquitectura genera saturación de alertas, muchas de ellas falsos positivos. Estas limitaciones suelen ser críticas en el escenario de la ciberseguridad actual.
La transformación del SOC
El equipo de Digital Biz sostiene que la transformación del centro de operaciones de seguridad es clave para afrontar los retos que impone la ciberseguridad. Esa necesaria evolución del SOC constituye el siguiente nivel en supervisión de los sistemas, todo ello ligado a las nuevas funciones que debe incorporar el SIEM para volver a recuperar su rol en cuanto al análisis y respuesta ante incidentes.
Los SOC 2.0 no recopilan datos al azar o basados en registros. Con el aprendizaje automático, fija los objetivos reconociendo los patrones de comportamiento de los usuarios. Junto con los datos de la red y de los puntos finales el sistema aprende qué buscar gracias a la Inteligencia Artificial.
Debido a este aprendizaje progresivo aplica la automatización a las respuestas ante incidentes y amenazas, identificando aquellas que son verdaderas y graves. En ese contexto las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) realizan las acciones que permiten detener el avance de la amenaza. En pocas palabras, los SOC 2.0 permiten una respuesta no solo más rápida, sino también asertiva, elementos esenciales para enfrentar los retos actuales de ciberseguridad.