La automatización y la integración de tecnologías en el SOC, claves en su evoluciónEquipo de Cytomic, unit of Panda Security 19 diciembre, 2019 El pasado mes de julio, el instituto SANS publicó los resultados de su encuesta anual sobre las prácticas, tecnologías y desafíos con los que se encuentran los SOCs. Como no era de extrañar, los tres desafíos principales citados por las más de 300 organizaciones participantes en la encuesta para lograr el máximo aprovechamiento del SOC, fueron: La falta de personal cualificadoLa falta de automatización y orquestaciónLa falta de integración de las múltiples herramientas que utilizan. Fuente: SANS Institute ¿A qué se debe esta situación? Esta situación se debe, en parte, al cambio gradual en la naturaleza de las amenazas que estamos viviendo, de amenazas basadas en malware o en exploits (que continúan siendo los más frecuentes) a amenazas basadas en comportamiento humano (usuarios comprometidos o usuarios internos maliciosos). Este cambio hace que la tecnología necesaria para combatirlas necesite también adaptarse. La sofisticación de la analítica requerida para identificar comportamientos maliciosos, cuando el usuario utiliza software legítimo, y no existe malware de por medio, es mucho mayor (debido a la propia variabilidad del comportamiento humano, muy dependiente de cada contexto particular y no determinista por naturaleza). Por tanto, resulta todavía más difícil contar con personal capacitado para implementarla, o para automatizar los procesos de investigación. Machine Learning e Inteligencia Artificial, ¿son la solución? En este contexto, tecnologías como el Machine Learning, Deep Learning y la Inteligencia Artificial, en general, fuertemente publicitadas por la industria, parecían apuntar hacia la resolución del problema. Sin embargo, nos encontramos en una fase de ajuste de expectativas, tal vez demasiado altas. De hecho, según el informe de SANS, los profesionales encuestados otorgaban a la Inteligencia Artificial y el Machine Learning los puntajes más bajos en cuanto a satisfacción con la tecnología, con más de la mitad (el 53 %) declarando no estar satisfecho con ellas. Al mismo tiempo, el ritmo de adquisiciones de empresas de soluciones de orquestación, automatización y respuesta de seguridad tipo SOAR no ha parado. Desde 2016, se han producido 8 adquisiciones relevantes en el sector, con las promesas de reducir el tiempo de detección, respuesta y contención, mediante la automatización del proceso de triage, la centralización y expansión de la visibilidad de toda la infraestructura, la integración de fuentes de inteligencia de amenazas de forma eficiente, etc. No obstante, está por ver hasta qué punto estas promesas se materializan. Los retos de los SOCs Más allá de las innovaciones en tecnología, cabe destacar que hay una serie de retos a los que se enfrentan los SOCs hoy y que deben ser capaces de abordar. En primer lugar, destaca la escasez de talento, algo especialmente relevante habida cuenta del conocimiento especializado que requieren estos profesionales en campos como el análisis de malware, la analítica de datos o la respuesta a incidentes.Otra de las barreras a las que se enfrenta el SOC actual es la falta de automatización, que obliga a los analistas a dedicar más tiempo del necesario a tareas rutinarias que podrían destinar a analizar y responder a incidentes verdaderamente complejos.A esto se suman la conocida como “fatiga de alerta” por los analistas, como consecuencia de la falta de capacidad de priorizar dichas alertas y los elevados tiempos de respuesta ante un ataque. Para poder hacer frente a esta nueva realidad, los SOCs necesitan seguir procesos perfectamente documentados, implementar tecnologías innovadoras y conectadas entre sí y crear equipos de especialistas capaces de adaptarse continuamente, e incluso en ir un paso por delante, para responder a los cambios constantes en el panorama de amenazas. Si se integra un stack tecnológico completo, servicios automatizados que filtrar y descargan buena parte de la actividad rutinaria del SOC, y permitiendo integraciones directas con la infraestructura presente, se podrá conseguir importantes ganancias en eficiencia, escalabilidad, y por lo tanto en rentabilidad de la operación, ya sea para la propia organización, o frente a terceros. Stack SMS: ejemplo IoT con Raspberry Pi y actualización del repositorioLos mejores posts del año sobre ciberseguridad
Telefónica Tech Boletín semanal de ciberseguridad, 24 — 30 de septiembre Explotadas dos vulnerabilidades 0-day en Microsoft Exchange El equipo de ciberseguridad vietnamita GTSC informó hace tres semanas, a través Zero Day Initiative (ZDI), de dos vulnerabilidades 0-day en Microsoft Exchange...
Marta Mallavibarrena La importancia del factor humano en ciberseguridad En el panorama actual se descubren decenas de vulnerabilidades cada día (una media de 50 en 2021), y los atacantes encuentran nuevas e ingeniosas formas de aprovecharlas. Es obvio...
Telefónica Tech Boletín semanal de ciberseguridad, 17 — 23 de septiembre Ransomware Quantum y BlackCat utilizan emotet como vector de entrada El equipo de investigadores de AdvIntel ha publicado los resultados de una investigación en la que informan que los operadores...
Jennifer González Ciberestafas en el mundo de las criptomonedas: tipologías, cómo protegerte y qué hacer si eres víctima Recomendaciones para no ser víctima de una ciberestafa y que hacer en el caso serlo
Emilio Moreno Latencia y Edge Computing: ¿Por qué es importante? Durante muchos años hemos vivido una carrera por conseguir en nuestras conexiones velocidades cada vez más altas. Desde aquellos módems que nos obsequiaban con una sinfonía de pitidos, cuyo...
Telefónica Tech Boletín semanal de ciberseguridad, 9 — 16 de septiembre Microsoft corrige dos 0-day y otras 63 vulnerabilidades en su Patch Tuesday Microsoft ha corregido, en su Patch Tuesday correspondiente al mes de septiembre, 63 vulnerabilidades entre las que se...
