Por: Dula Hernández, Systems Engineering Manager de Palo Alto Networks en México
Es un hecho que el funcionamiento en un Centro de Operaciones de Seguridad (SOC) ha cambiado debido al aumento de los ciberataques, detener un ataque es tan difícil como siempre y ahora se deben considerar investigaciones para averiguar rápidamente lo que ha ocurrido, cómo han entrado los atacantes, qué sistemas se han visto afectados y qué datos se han extraído, ante ello ¿están realmente preparadas las empresas para garantizar su protección?
Para garantizar la mejor SIEM (Administración de eventos e información de seguridad) y un óptimo SOC se requiere de un gran esfuerzo humano reactivo después de cada incidente, lo que genera tiempos de investigación más prolongados, eventos perdidos y, en última instancia, mayores tiempos de respuesta.
Al mismo tiempo, los ingenieros y arquitectos de seguridad luchan por integrar productos puntuales, fuentes de datos y crear contenidos y guías de detección, dando como resultado fatiga de los analistas, investigaciones lentas y agotamiento.
La automatización es la mejor forma para tener un SOC más eficaz, es la base del trabajo de los analistas en un pequeño conjunto de incidentes de alto riesgo. Un SOC dirigido por la automatización maneja la mayor parte de las alertas repetidas de bajo riesgo, las tareas de análisis y las mitigaciones.
Así, se libera a los analistas para que trabajen en los incidentes urgentes y de alto impacto, a la vez que la plataforma dirige automáticamente el SOC hacia resultados seguros, aprendiendo de cada actividad y ofreciendo información y recomendaciones eficaces a los responsables de tomar medidas de protección.
Para ello deben considerarse los siguientes principios:
- Datos y análisis inteligentes
La base de un potente análisis de seguridad basado en el aprendizaje automático requiere cantidades masivas de datos útiles más allá de los registros y las alertas. Se deben considerar soluciones que proporcionen una imagen completa extrayendo datos de puntos finales, redes, nubes y sistemas de identidad, normalizándolos y uniéndolos todos juntos, para que los modelos de aprendizaje automático puedan procesarlos con una comprensión de cómo se conecta todo.
- Antes que nada, la automatización
Las SIEM tradicionales se construyeron en torno al analista humano. Los analistas de SOC pueden estudiar minuciosamente cientos de alertas por día, clasificarlas manualmente mediante la recopilación de datos contextuales y dedicar la mayor parte de su tiempo a falsos positivos y esfuerzo manual. Se debe cambiar a un modelo con una mentalidad que priorice la automatización, liberando a los analistas para trabajar en incidentes urgentes y de alto impacto mientras la plataforma subyacente pilotea automáticamente el SOC para obtener resultados seguros.
- Seguridad proactiva
Se debe contar con soluciones para liberar capacidad del SOC para que las acciones proactivas, en lugar de reactivas, se conviertan en la norma. Más allá de la automatización, debe de incorporar inteligencia de amenazas y capacidades de gestión de superficies de ataque para permitir a los analistas de seguridad pensar y actuar de forma más proactiva, como parchar las vulnerabilidades antes de que un atacante pueda encontrar la exposición.
La solución debe incluir y unir de manera automática los datos de los endpoints, la red, la nube y la identidad, para poder detectar las amenazas avanzadas con precisión y simplificar las investigaciones con información de datos cruzados en una plataforma integrada, reduciendo los costos, mejorando las operaciones y aumentando la productividad de los analistas.
A diferencia de las soluciones de SOC heredadas, en las que la operatividad y optimización del producto es un ejercicio que se deja en manos del cliente, la propuesta de valor que entregamos se beneficia de las continuas actualizaciones del equipo de investigación de Unit 42 de Palo Alto Networks.
La diferencia radica en el análisis de la información sobre amenazas de más de 85,000 clientes, que actualizan los modelos de detección de aprendizaje automático (ML) y distribuyen automáticamente las últimas protecciones para proteger a los clientes de las amenazas avanzadas y en rápido movimiento. Al fusionar tecnología líder con inteligencia e investigación compartidas, en Palo Alto Networks compartimos la responsabilidad de proteger las operaciones continuas de nuestros clientes.
