Un Centro de operaciones de seguridad (SOC, por sus siglas en inglés), a veces denominado Centro de operaciones de seguridad de la información (ISOC), es un equipo interno o subcontratado de profesionales de seguridad de TI que supervisa toda la infraestructura de TI de una organización, 24/7 (las 24 horas, 7 días a la semana), para detectar incidentes de ciberseguridad en tiempo real y abordarlos de la forma más rápida y eficaz posible.
Un SOC también selecciona, opera y realiza el mantenimiento de las tecnologías de ciberseguridad de la organización y analiza continuamente los datos de amenazas para encontrar formas de mejorar la situación de seguridad de la organización.
El principal beneficio de tener o de subcontratar un SOC es que unifica y coordina las herramientas y las prácticas de seguridad y las respuestas a los incidentes de seguridad de una organización. Esto generalmente resulta en una mejora de las medidas preventivas y de las políticas de seguridad, una detección más rápida de amenazas y una respuesta más rápida, más efectiva y más rentable a las amenazas de seguridad. Un SOC también puede mejorar la confianza de los clientes, así como simplificar y reforzar el cumplimiento de la normativa de privacidad por parte de la organización a nivel sectorial, nacional y global.
Las actividades y responsabilidades del SOC se dividen en tres categorías generales.
Inventario de activos. Un SOC debe mantener un inventario exhaustivo de todo lo que hay que proteger, dentro o fuera del centro de datos (por ejemplo, aplicaciones, bases de datos, servidores, servicios de nube, puntos finales, etc.) y de todas las herramientas utilizadas para llevar a cabo esta protección (cortafuegos, herramientas antivirus/antimalware/antiransomware, software de supervisión, etc.). Muchos SOC utilizan una solución de descubrimiento de activos para esta tarea.
Mantenimiento y preparación de rutinas. Para maximizar la eficacia de las herramientas y medidas de seguridad de que dispone, el SOC realiza un mantenimiento preventivo, como por ejemplo la aplicación de parches y actualizaciones de software y la actualización continua de cortafuegos, listas blancas y listas negras, así como de las políticas y los procedimientos de seguridad. También puede crear copias de seguridad del sistema, o ayudar a crear políticas o procedimientos de copia de seguridad, para garantizar la continuidad del negocio en caso de una vulneración de datos, un ataque de ransomware u otro incidente de ciberseguridad.
Planificación de la respuesta ante incidentes. El SOC es responsable de desarrollar el plan de respuesta ante incidentes de la organización, que define las actividades, los roles y las responsabilidades en caso de una amenaza o incidente, y las métricas por las cuales se medirá el éxito de la respuesta ante cualquier incidente.
Pruebas regulares. El equipo del SOC realiza evaluaciones de vulnerabilidad (evaluaciones integrales para identificar la vulnerabilidad de cada recurso ante amenazas potenciales) y los costes asociados. También realiza pruebas de penetración que simulan ataques específicos en uno más sistemas. El equipo corrige o ajusta las aplicaciones, las políticas de seguridad, las prácticas recomendadas y los planes de respuesta ante incidentes en base a los resultados de estas pruebas.
Estar al día. El SOC debe dominar las últimas soluciones y tecnologías de seguridad, y la última información sobre amenazas (noticias e información sobre ciberataques y sobre los piratas informáticos que los perpetran) recopilándola de las redes sociales, de fuentes del sector y de la web oscura.
Supervisión de seguridad continua las 24 horas. El SOC supervisa toda la infraestructura de TI extendida (aplicaciones, servidores, software del sistema, dispositivos informáticos, cargas de trabajo en la nube, la red) las 24 horas del día, 7 días a la semana, y 365 días al año (24/7/365) en busca de señales en vulnerabilidades conocidas o de cualquier actividad sospechosa.
Para muchos SOC, la principal tecnología de supervisión, detección y respuesta es la Gestión de Eventos e Información de Seguridad, o SIEM por sus siglas en inglés. SIEM supervisa y agrega alertas y telemetría del software y el hardware en la red en tiempo real, y luego analiza los datos para identificar amenazas potenciales. Más recientemente, algunos SOC también han adoptado la tecnología de detección y respuesta extendida (XDR), que proporciona una telemetría y supervisión más detallada y la posibilidad de automatizar la detección y respuesta ante incidentes.
Gestión de registros. La gestión de registros (recopilación y análisis de los datos de registro generados por cada suceso de la red) es una parte del trabajo de supervisión que merece un párrafo aparte. Si bien la mayoría de los departamentos de TI recopilan los datos de registro, es en el análisis cuando se establece cuál es la actividad normal o de referencia y se revelan anomalías que indican actividad sospechosa. De hecho, muchos hackers cuentan con el hecho de que las empresas no siempre analizan los datos de registro, lo que puede permitir que sus virus y su malware se ejecuten durante semanas o incluso meses en los sistemas de la víctima sin ser detectados. La mayoría de las soluciones SIEM incluyen la funcionalidad de gestión de registros.
Detección de amenazas. El equipo del SOC separa las señales del ruido (las indicaciones de amenazas cibernéticas y los abusos de piratas informáticos reales de los falsos positivos) y luego clasifica las amenazas según su gravedad. Las soluciones SIEM modernas incluyen inteligencia artificial (IA) que automatiza estos procesos y 'aprende' de los datos para mejorar con el tiempo en la detección de actividad sospechosa.
Respuesta ante incidentes. Como respuesta a una amenaza o incidente real, el SOC intenta limitar los daños. Las acciones pueden incluir:
• Investigar las causas raíz, para determinar las vulnerabilidades técnicas que dieron acceso a los hackers al sistema, y de otros factores (como por ejemplo una higiene de contraseñas incorrecta o una mala implantación de las políticas) que contribuyeron al incidente
• Cerrar puntos finales en peligro o desconectarlos de la red
• Aislar áreas en peligro de la red o desviar el tráfico de red
• Pausar o detener aplicaciones o procesos en peligro
• Eliminar archivos dañados o infectados
• Ejecutar software antivirus o antimalware
• Retirar de servicio contraseñas de usuarios internos y externos.
Muchas soluciones XDR permiten a los SOC automatizar y acelerar estas y otras respuestas a incidentes.
Recuperación y corrección. Una vez contenido el incidente, el SOC erradica la amenaza y luego trabaja para devolver los activos afectados al estado en el que se hallaban antes del incidente (p.ej., borrar, restaurar y reconectar discos, dispositivos de usuarios finales y otros puntos finales; restaurar el tráfico de red; reiniciar aplicaciones y procesos). En caso de una vulneración de datos o de un ataque de ransomware, la recuperación también puede implicar la migración a sistemas de copia de seguridad y el restablecimiento de contraseñas y credenciales de autenticación.
Balance y mejoras. Para impedir que se repita, el SOC utiliza cualquier nueva información obtenida del incidente para tratar mejor las vulnerabilidades, actualizar los procesos y las políticas, elegir nuevas herramientas de ciberseguridad o revisar el plan de respuesta a incidentes. A un nivel superior, el equipo del SOC también puede intentar determinar si el incidente revela una nueva o cambiante tendencia de ciberseguridad para la cual el equipo necesita prepararse.
Gestión de la conformidad. Es trabajo del SOC asegurarse que todas las aplicaciones, sistemas y herramientas y procesos de seguridad cumplen las normativas de protección de datos como el RGDP (Reglamento General de Protección de Datos), la CCPA (California Consumer Privacy Act o Ley de privacidad del consumidor de California), el PCI DSS (Estándar de Seguridad de Datos para la Industria de las Tarjetas de Pago) y la HIPAA (Health Insurance Portability and Accountability Act o Ley de Portabilidad y Responsabilidad de Seguros Médicos). Después de un incidente, el SOC se asegura de que se informe a los usuarios, los reguladores, los cuerpos de seguridad y otras partes de acuerdo con la normativa y de que se hayan conservado los datos del incidente necesarios para indicios y auditorías.
En general, los roles principales en un equipo de un SOC incluyen:
• El director del SOC, que dirige el equipo, supervisa todas las operaciones de seguridad y reporta al CISO (director general de seguridad de la información) de la organización.
• Ingenieros de seguridad, que crean y gestionan la arquitectura de seguridad de la organización. La mayor parte de este trabajo consiste en evaluar, probar, recomendar, implementar y mantener herramientas y tecnologías de seguridad. Los ingenieros de seguridad también trabajan con los equipos de desarrollo (DevOps/DevSecOps) para asegurarse de que se incluya la arquitectura de seguridad de la organización en los ciclos se desarrollo de aplicaciones.
• Analistas de seguridad, también llamados investigadores de seguridad o personal de respuesta ante incidentes, que son esencialmente los primeros en responder a las amenazas o incidentes de ciberseguridad. Los analistas detectan, investigan y clasifican (priorizan) las amenazas; después identifican los hosts, los puntos finales y los usuarios que se han visto afectados y toman las acciones apropiadas para mitigar y contener el impacto de la amenaza o el incidente. (En algunas organizaciones, los investigadores y los miembros del personal de respuesta ante incidentes tienen roles separados, clasificados como analistas de Nivel 1 y Nivel 2 respectivamente).
• Los cazadores de amenazas (también llamados expertos en seguridad) están especializados en detectar y contener amenazas avanzadas (nuevas amenazas o variantes de amenazas que consiguen pasar las defensas automáticas).
El equipo del SOC puede incluir otros especialistas, según el tamaño de la organización o del sector en que trabaje. Las empresas más grandes pueden incluir un Director de Respuesta a Incidentes, responsable de comunicar y coordinar la respuesta ante incidentes. Y algunos SOC incluyen investigadores forenses, que se especializan en recuperar datos (pistas o pruebas) de los dispositivos dañados o afectados por un incidente de ciberseguridad.
DevOps
DevSecOps
IBM Security QRadar XDR es la primera solución integral XDR del sector de la seguridad de TI creada con estándares abiertos y automatización que unifica la detección y respuesta de puntos finales (EDR), la detección y respuesta de red (NDR) y las prestaciones de SIEM en un mismo flujo de trabajo. Con QRadar XDR, los SOC pueden ahorrar un tiempo valioso y eliminar las amenazas más rápidamente, ya que les permite conectar información, optimizar los flujos de trabajo y aprovechar la IA para automatizar la respuesta.
La suite de soluciones de IBM Security QRadar XDR incluye:
• QRadar XDR Connect, que integra herramientas de seguridad, agiliza los flujos de trabajo, se adapta a las capacidades y necesidades de los equipos de seguridad y automatiza el SOC.
• QRadar SIEM, con análisis inteligente de la seguridad que analiza automáticamente los datos de registro y del flujo de trabajo de miles de dispositivos, puntos finales y aplicaciones en la red, proporcionando información útil sobre las amenazas más críticas.
• QRadar Network Insights, que proporciona un análisis en tiempo real del tráfico en la red, ofreciendo la visibilidad profunda que los equipos de SOC necesitan para detectar amenazas ocultas antes de que sea demasiado tarde.
• QRadar SOAR (orquestación, automatización y respuesta de seguridad), que codifica los procesos de respuesta ante incidentes en dinámicos manuales prácticos que ayudan a los equipos de seguridad a dar una respuesta confiada, automatizar de forma inteligente y colaborar consistentemente.
Regístrese en el Taller de descubrimiento y formulación de seguridad de IBM
Gartner nombró a IBM líder en el Cuadrante Mágico de 2021 para SIEM
Cómo empezar en IBM Security