Es innegable que el funcionamiento en un Centro de Operaciones de Seguridad (Security Operations Center, SOC) ha cambiado debido al aumento de los ciberataques. Detener un ataque es tan difícil como siempre, pero ahora se deben considerar investigaciones para averiguar rápidamente lo que ha ocurrido, cómo han entrado los atacantes, qué sistemas se han visto afectados y qué datos se han extraído. Ante ello ¿están realmente preparadas las empresas para garantizar su protección?

Para garantizar la mejor administración de eventos e información de seguridad (Security Information And Event Management, SIEM) y un óptimo SOC se requiere de un gran esfuerzo humano reactivo después de cada incidente. Ello genera tiempos de investigación más prolongados, eventos perdidos y, en última instancia, mayores tiempos de respuesta.

Al mismo tiempo, los ingenieros y arquitectos de seguridad luchan por integrar productos puntuales, fuentes de datos y crear contenidos y guías de detección. El resultado es fatiga de los analistas, investigaciones lentas y agotamiento.

Automatizar los SOC

La automatización es la mejor forma para tener un Centro de Operaciones de Seguridad más eficaz. Eso es la base del trabajo de los analistas en un pequeño conjunto de incidentes de alto riesgo. Un SOC dirigido por la automatización maneja la mayor parte de las alertas repetidas de bajo riesgo, las tareas de análisis y las mitigaciones.

Así, se libera a los analistas para que trabajen en los incidentes urgentes y de alto impacto. A su vez, la plataforma dirige automáticamente el SOC hacia resultados seguros, aprendiendo de cada actividad y ofreciendo información y recomendaciones eficaces a los responsables de tomar medidas de protección.

Para ello deben considerarse los siguientes principios:

Datos y análisis inteligentes. La base de un potente análisis de seguridad basado en el aprendizaje automático requiere cantidades masivas de datos útiles más allá de los registros y las alertas. Se deben considerar soluciones que proporcionen una imagen completa. Para ello, extraen datos de puntos finales, redes, nubes y sistemas de identidad. Luego, los normaliza y unen para que los modelos de aprendizaje automático puedan procesarlos con una comprensión de cómo se conecta todo.

SOC

Antes que nada, la automatización. Las SIEM tradicionales se construyeron en torno al analista humano. Los analistas de SOC pueden estudiar minuciosamente cientos de alertas por día, clasificarlas manualmente mediante la recopilación de datos contextuales y dedicar la mayor parte de su tiempo a falsos positivos y esfuerzo manual. Se debe cambiar a un modelo que priorice la automatización, liberando a los analistas para trabajar en incidentes urgentes y de alto impacto. En tanto, la plataforma subyacente puede pilotear automáticamente el SOC para obtener resultados seguros.

Evitar las exposiciones

Seguridad proactiva. Se debe contar con soluciones para liberar capacidad del SOC para que las acciones proactivas, en lugar de reactivas, se conviertan en la norma. Más allá de la automatización, debe de incorporar inteligencia de amenazas y capacidades de gestión de superficies de ataque. Eso permite a los analistas de seguridad pensar y actuar de forma más proactiva. Pueden así parchar las vulnerabilidades antes de que un atacante pueda encontrar la exposición.

La solución debe incluir y unir de manera automática los datos de los endpoints, la red, la nube y la identidad. El propósito es detectar las amenazas avanzadas con precisión y simplificar las investigaciones con información de datos cruzados en una plataforma integrada. Eso reduce los costos, mejora las operaciones y aumenta la productividad de los analistas.

A diferencia de las soluciones de SOC heredadas, en las que la operatividad y optimización del producto se deja en manos del cliente, la propuesta de valor que entregamos se beneficia de las continuas actualizaciones del equipo de investigación de Unit 42, de Palo Alto Networks.

La diferencia radica en el análisis de la información sobre amenazas de más de 85,000 clientes. Éstos actualizan los modelos de detección de aprendizaje automático (ML) y distribuyen automáticamente las últimas protecciones. Eso salvaguarda a los clientes de las amenazas avanzadas y en rápido movimiento.