Funciones de operaciones de seguridad (SecOps)
El objetivo principal de una función de operaciones de seguridad (SecOps) en la nube es detectar, responder y recuperarse de ataques activos a los recursos empresariales.
A medida que SecOps madura, las operaciones de seguridad deben cumplir estos requisitos:
- Responder de forma reactiva a los ataques detectados por las herramientas
- Buscar de forma proactiva ataques que han superado detecciones reactivas anteriores
Modernización
La detección y respuesta a las amenazas está actualmente en un importante proceso de modernización en todos los niveles.
- Elevación a la administración de riesgos empresariales: el SOC está creciendo y convirtiéndose en un componente clave de la administración de riesgo empresariales dentro de la organización.
- Métricas y objetivos: el seguimiento de la eficacia del SOC está evolucionando a partir del tiempo de detección a estos indicadores clave.
- Capacidad de respuesta a través del tiempo medio de confirmación (MTTA).
- Velocidad de corrección a través del tiempo medio para corregir (MTTR).
- Evolución tecnológica: la tecnología SOC está evolucionando a partir del uso exclusivo del análisis estático de registros en un SIEM para agregar el uso de herramientas especializadas y técnicas de análisis sofisticadas. Esto proporciona información detallada sobre los activos que proporcionan una experiencia de investigación y alertas de alta calidad que complementan la visión completa del SIEM. Ambos tipos de herramientas usan cada vez más la IA y el aprendizaje automático, el análisis de comportamientos y la inteligencia sobre amenazas integrada para ayudar a detectar y priorizar acciones anómalas que podrían ser un atacante malintencionado.
- Búsqueda de amenazas: los SOC están agregando la búsqueda de amenazas controlada por hipótesis para identificar de forma proactiva a los atacantes avanzados y eliminar las alertas de las colas de los analistas que están en primera línea.
- Administración de incidentes: la disciplina se está volviendo formalizada para coordinar los elementos no técnicos de incidentes con los departamentos legales, de comunicaciones y otros equipos. Integración del contexto interno: para ayudar a priorizar las actividades del SOC, como las puntuaciones de riesgo relativas de las cuentas de usuario y los dispositivos, la confidencialidad de los datos y las aplicaciones, y los límites de aislamiento de seguridad clave para defenderse eficazmente.
Para más información, consulte:
- Disciplina de las operaciones de seguridad
- Vídeos y diapositivas de procedimientos recomendados de operaciones de seguridad
- Módulo de taller para CISO 4b: estrategia de protección contra amenazas
- Serie de blogs del Centro de operaciones de defensa cibernética (CDOC), parte 1, parte 2a, parte 2b, parte 3a, parte 3b, parte 3c y parte 3d
- Guía del NIST para controlar incidentes de seguridad en equipos
- Guía del NIST para recuperarse de eventos de ciberseguridad
Composición del equipo y relaciones clave
El centro de operaciones de seguridad en la nube se compone normalmente de los siguientes tipos de roles.
- Operaciones de TI (contacto cercano y periódico)
- Información sobre amenazas
- Arquitectura de seguridad
- Programa de riesgos de Insider
- Recursos legales y humanos
- Equipos de comunicaciones
- Organización de riesgos (si existe)
- Asociaciones, comunidades y proveedores específicos del sector (antes de que se produzca el incidente)
Pasos siguientes
Revise la función de la arquitectura de seguridad.