La automatización y la integración de tecnologías en el SOC, claves en su evoluciónEquipo de Cytomic, unit of Panda Security 19 diciembre, 2019 El pasado mes de julio, el instituto SANS publicó los resultados de su encuesta anual sobre las prácticas, tecnologías y desafíos con los que se encuentran los SOCs. Como no era de extrañar, los tres desafíos principales citados por las más de 300 organizaciones participantes en la encuesta para lograr el máximo aprovechamiento del SOC, fueron: La falta de personal cualificadoLa falta de automatización y orquestaciónLa falta de integración de las múltiples herramientas que utilizan. Fuente: SANS Institute ¿A qué se debe esta situación? Esta situación se debe, en parte, al cambio gradual en la naturaleza de las amenazas que estamos viviendo, de amenazas basadas en malware o en exploits (que continúan siendo los más frecuentes) a amenazas basadas en comportamiento humano (usuarios comprometidos o usuarios internos maliciosos). Este cambio hace que la tecnología necesaria para combatirlas necesite también adaptarse. La sofisticación de la analítica requerida para identificar comportamientos maliciosos, cuando el usuario utiliza software legítimo, y no existe malware de por medio, es mucho mayor (debido a la propia variabilidad del comportamiento humano, muy dependiente de cada contexto particular y no determinista por naturaleza). Por tanto, resulta todavía más difícil contar con personal capacitado para implementarla, o para automatizar los procesos de investigación. Machine Learning e Inteligencia Artificial, ¿son la solución? En este contexto, tecnologías como el Machine Learning, Deep Learning y la Inteligencia Artificial, en general, fuertemente publicitadas por la industria, parecían apuntar hacia la resolución del problema. Sin embargo, nos encontramos en una fase de ajuste de expectativas, tal vez demasiado altas. De hecho, según el informe de SANS, los profesionales encuestados otorgaban a la Inteligencia Artificial y el Machine Learning los puntajes más bajos en cuanto a satisfacción con la tecnología, con más de la mitad (el 53 %) declarando no estar satisfecho con ellas. Al mismo tiempo, el ritmo de adquisiciones de empresas de soluciones de orquestación, automatización y respuesta de seguridad tipo SOAR no ha parado. Desde 2016, se han producido 8 adquisiciones relevantes en el sector, con las promesas de reducir el tiempo de detección, respuesta y contención, mediante la automatización del proceso de triage, la centralización y expansión de la visibilidad de toda la infraestructura, la integración de fuentes de inteligencia de amenazas de forma eficiente, etc. No obstante, está por ver hasta qué punto estas promesas se materializan. Los retos de los SOCs Más allá de las innovaciones en tecnología, cabe destacar que hay una serie de retos a los que se enfrentan los SOCs hoy y que deben ser capaces de abordar. En primer lugar, destaca la escasez de talento, algo especialmente relevante habida cuenta del conocimiento especializado que requieren estos profesionales en campos como el análisis de malware, la analítica de datos o la respuesta a incidentes.Otra de las barreras a las que se enfrenta el SOC actual es la falta de automatización, que obliga a los analistas a dedicar más tiempo del necesario a tareas rutinarias que podrían destinar a analizar y responder a incidentes verdaderamente complejos.A esto se suman la conocida como “fatiga de alerta” por los analistas, como consecuencia de la falta de capacidad de priorizar dichas alertas y los elevados tiempos de respuesta ante un ataque. Para poder hacer frente a esta nueva realidad, los SOCs necesitan seguir procesos perfectamente documentados, implementar tecnologías innovadoras y conectadas entre sí y crear equipos de especialistas capaces de adaptarse continuamente, e incluso en ir un paso por delante, para responder a los cambios constantes en el panorama de amenazas. Si se integra un stack tecnológico completo, servicios automatizados que filtrar y descargan buena parte de la actividad rutinaria del SOC, y permitiendo integraciones directas con la infraestructura presente, se podrá conseguir importantes ganancias en eficiencia, escalabilidad, y por lo tanto en rentabilidad de la operación, ya sea para la propia organización, o frente a terceros. Stack SMS: ejemplo IoT con Raspberry Pi y actualización del repositorioLos mejores posts del año sobre ciberseguridad
Cristina del Carmen Arroyo Siruela ¿Qué distingue a una Mujer Hacker? Qué tiene de especial una Mujer Hacker es algo que he ido descubriendo a lo largo de mi vida, a lo largo de mis distintas vivencias con la tecnología. Mi primera experiencia, como muchas de...
ElevenPaths #MujeresHacker: apuesta por tu pasión #MujeresHacker, la iniciativa global de Telefónica que persigue visibilizar el papel de la mujer dentro del sector tecnológico y concienciar a nuestras niñas sobre su potencial para estudiar carreras...
ElevenPaths Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy...
ElevenPaths Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de...
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TLS ¿Qué es un certificado digital? Un Certificado digital SSL/TLS (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
Carlos Ávila Tu sistema macOS también es objetivo del cibercrimen, ¡fortalécelo! Según statcounter, el sistema operativo de Apple, en concreto macOS (OSX anteriormente), tiene una cuota de mercado de alrededor del 17%, siendo el segundo sistema operativo de escritorio más...
