Funciones de operaciones de seguridad (SecOps)

El objetivo principal de una función de operaciones de seguridad (SecOps) en la nube es detectar, responder y recuperarse de ataques activos a los recursos empresariales.

A medida que SecOps madura, las operaciones de seguridad deben cumplir estos requisitos:

• Responder de forma reactiva a los ataques detectados por las herramientas
• Buscar de forma proactiva ataques que han superado detecciones reactivas anteriores

Modernización

La detección y respuesta a las amenazas está actualmente en un importante proceso de modernización en todos los niveles.

• Elevación a la administración de riesgos empresariales: el SOC está creciendo y convirtiéndose en un componente clave de la administración de riesgo empresariales dentro de la organización.
• Métricas y objetivos: El seguimiento de la eficacia del SOC está evolucionando del "tiempo de detección" a estos indicadores clave.
  • Capacidad de respuesta a través del tiempo medio de confirmación (MTTA).
  • Velocidad de corrección a través del tiempo medio para corregir (MTTR).
• Evolución tecnológica: la tecnología SOC está evolucionando a partir del uso exclusivo del análisis estático de registros en un SIEM para agregar el uso de herramientas especializadas y técnicas de análisis sofisticadas. Esto proporciona información detallada sobre los activos que proporcionan una experiencia de investigación y alertas de alta calidad que complementan la visión completa del SIEM. Ambos tipos de herramientas usan cada vez más la IA y el aprendizaje automático, el análisis de comportamientos y la inteligencia sobre amenazas integrada para ayudar a detectar y priorizar acciones anómalas que podrían ser un atacante malintencionado.
• Búsqueda de amenazas: los SOC están agregando la búsqueda de amenazas controlada por hipótesis para identificar de forma proactiva a los atacantes avanzados y eliminar las alertas de las colas de los analistas que están en primera línea.
• Administración de incidentes: la disciplina se está volviendo formalizada para coordinar los elementos no técnicos de incidentes con los departamentos legales, de comunicaciones y otros equipos. Integración del contexto interno: para ayudar a priorizar las actividades del SOC, como las puntuaciones de riesgo relativas de las cuentas de usuario y los dispositivos, la confidencialidad de los datos y las aplicaciones, y los límites de aislamiento de seguridad clave para defenderse eficazmente.

Para más información, vea:

• Vídeos y diapositivas de procedimientos recomendados de operaciones de seguridad
• Módulo de taller para CISO 4b: estrategia de protección contra amenazas
• Serie de blogs del Centro de operaciones de defensa cibernética (CDOC), parte 1, parte 2a, parte 2b, parte 3a, parte 3b, parte 3c y parte 3d
• Guía del NIST para controlar incidentes de seguridad en equipos
• Guía del NIST para recuperarse de eventos de ciberseguridad

Composición del equipo y relaciones clave

El centro de operaciones de seguridad en la nube se compone normalmente de los siguientes tipos de roles.

• Operaciones de TI (contacto cercano y periódico)
• Información sobre amenazas
• Arquitectura de seguridad
• Programa de riesgos de Insider
• Recursos legales y humanos
• Equipos de comunicaciones
• Organización de riesgos (si existe)
• Asociaciones, comunidades y proveedores específicos del sector (antes de que se produzca el incidente)

Pasos siguientes

Revise la función de la arquitectura de seguridad.