La automatización y la integración de tecnologías en el SOC, claves en su evolución

Equipo de Cytomic, unit of Panda Security    19 diciembre, 2019

El pasado mes de julio, el instituto SANS publicó los resultados de su encuesta anual sobre las prácticas, tecnologías y desafíos con los que se encuentran los SOCs. Como no era de extrañar, los tres desafíos principales citados por las más de 300 organizaciones participantes en la encuesta para lograr el máximo aprovechamiento del SOC, fueron:

  • La falta de personal cualificado
  • La falta de automatización y orquestación
  • La falta de integración de las múltiples herramientas que utilizan.
Challenges to Full integration and utilization of a centralized SOC service model year-over-year
Fuente: SANS Institute

¿A qué se debe esta situación?

Esta situación se debe, en parte, al cambio gradual en la naturaleza de las amenazas que estamos viviendo, de amenazas basadas en malware o en exploits (que continúan siendo los más frecuentes) a amenazas basadas en comportamiento humano (usuarios comprometidos o usuarios internos maliciosos). Este cambio hace que la tecnología necesaria para combatirlas necesite también adaptarse. La sofisticación de la analítica requerida para identificar comportamientos maliciosos, cuando el usuario utiliza software legítimo, y no existe malware de por medio, es mucho mayor (debido a la propia variabilidad del comportamiento humano, muy dependiente de cada contexto particular y no determinista por naturaleza). Por tanto, resulta todavía más difícil contar con personal capacitado para implementarla, o para automatizar los procesos de investigación.

Machine Learning e Inteligencia Artificial, ¿son la solución?

En este contexto, tecnologías como el Machine Learning, Deep Learning y la Inteligencia Artificial, en general, fuertemente publicitadas por la industria, parecían apuntar hacia la resolución del problema. Sin embargo, nos encontramos en una fase de ajuste de expectativas, tal vez demasiado altas. De hecho, según el informe de SANS, los profesionales encuestados otorgaban a la Inteligencia Artificial y el Machine Learning los puntajes más bajos en cuanto a satisfacción con la tecnología, con más de la mitad (el 53 %) declarando no estar satisfecho con ellas.

Al mismo tiempo, el ritmo de adquisiciones de empresas de soluciones de orquestación, automatización y respuesta de seguridad tipo SOAR no ha parado. Desde 2016, se han producido 8 adquisiciones relevantes en el sector, con las promesas de reducir el tiempo de detección, respuesta y contención, mediante la automatización del proceso de triage, la centralización y expansión de la visibilidad de toda la infraestructura, la integración de fuentes de inteligencia de amenazas de forma eficiente, etc. No obstante, está por ver hasta qué punto estas promesas se materializan.

Los retos de los SOCs

Más allá de las innovaciones en tecnología, cabe destacar que hay una serie de retos a los que se enfrentan los SOCs hoy y que deben ser capaces de abordar.

  • En primer lugar, destaca la escasez de talento, algo especialmente relevante habida cuenta del conocimiento especializado que requieren estos profesionales en campos como el análisis de malware, la analítica de datos o la respuesta a incidentes.
  • Otra de las barreras a las que se enfrenta el SOC actual es la falta de automatización, que obliga a los analistas a dedicar más tiempo del necesario a tareas rutinarias que podrían destinar a analizar y responder a incidentes verdaderamente complejos.
  • A esto se suman la conocida como “fatiga de alerta” por los analistas, como consecuencia de la falta de capacidad de priorizar dichas alertas y los elevados tiempos de respuesta ante un ataque.

Para poder hacer frente a esta nueva realidad, los SOCs necesitan seguir procesos perfectamente documentados, implementar tecnologías innovadoras y conectadas entre sí y crear equipos de especialistas capaces de adaptarse continuamente, e incluso en ir un paso por delante, para responder a los cambios constantes en el panorama de amenazas. Si se integra un stack tecnológico completo, servicios automatizados que filtrar y descargan buena parte de la actividad rutinaria del SOC, y permitiendo integraciones directas con la infraestructura presente, se podrá conseguir importantes ganancias en eficiencia, escalabilidad, y por lo tanto en rentabilidad de la operación, ya sea para la propia organización, o frente a terceros.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *