Consejos para transformar la comunicación de SecOps para una resolución de incidentes más rápida

La manía de los analistas de seguridad

A medida que las organizaciones de seguridad se vuelven más complejas e interconectadas, los profesionales de seguridad suelen convertirse en el punto central de colaboración con quienes están fuera de sus respectivos equipos. Esta responsabilidad de la comunicación interdisciplinaria recae sobre sus ya ajetreadas actividades diarias.

Un día en la vida de un centro de operaciones de seguridad (SOC) el analista se desarrolla de la siguiente manera:

1. El automatización de la seguridad La plataforma recibe una alerta. La procesa y la optimiza automáticamente antes de notificar al analista. Esto le proporciona la mayor cantidad de información relevante posible para la próxima investigación.

2. Tras revisar el caso, el analista debe confirmar el propósito y la naturaleza prevista de la actividad del usuario. En este ejemplo, el usuario se encuentra dentro de la empresa, pero fuera del departamento de seguridad.
   
3. A continuación, el analista de seguridad se comunica con el usuario y actualiza el caso, pero debe esperar su respuesta antes de continuar la investigación. Mientras tanto, Analista de SOC pasa a la siguiente alerta.
   
4. Después de un tiempo arbitrario, el usuario ve el mensaje del analista y responde.

5. Solo entonces, el analista de seguridad puede continuar la investigación. Tras el cambio de tareas, el analista necesita repasar los detalles del caso.

Este proceso resulta frustrante para los analistas y provoca retrasos en la resolución de la alerta. Los analistas no tienen claro el tiempo que tarda el usuario en responder, lo que aumenta su carga de trabajo, ya que necesitan familiarizarse con el caso.

Poder para el profesional: El valor de una comunicación fluida 

Turbina de carriles de natación Ofrece un módulo de colaboración como extensión de las capacidades de su plataforma de automatización de seguridad. Esta extensión utiliza componentes modulares y reutilizables para crear plantillas predefinidas y enviar mensajes contextuales a sistemas de mensajería externos, como correo electrónico, Slack o Microsoft Teams. Estos mensajes pueden activar una acción según una cantidad arbitraria de opciones definidas por el usuario, como aprobar, confirmar, denegar o solicitar contacto. Estas capacidades incluidas en la extensión de colaboración permiten que los usuarios que no utilizan Swimlane respondan fácilmente a los mensajes generados por Turbine y participen en flujos de trabajo de seguridad.

Sigue leyendo para aprender más sobre Las 3 mejores formas de aprovechar la extensión de colaboración de Turbine.

1. Mejore las señales de detección con un triaje centrado en el usuario

En primer lugar, conviene explicar el concepto y el alcance de la "detección". La detección consiste en la agregación y correlación de uno o varios eventos para generar una alerta procesable. Con la introducción de la automatización de la seguridad en las operaciones de seguridad modernas (Operaciones de seguridad) En la pila tecnológica, existe una fase adicional llamada "decoración de alertas". Se realizan búsquedas adicionales, enriquecimientos y otras actividades automatizadas para mejorar la comprensión de la alerta por parte de los analistas.  

La extensión de colaboración Turbine añade una capa adicional de análisis de detección a las capacidades modernas de SecOps: la capa de triaje centrada en el usuario. El sistema carga automáticamente una plantilla predefinida, mejorada con el contexto de la alerta. El usuario afectado de la organización recibe un mensaje con preguntas como "¿Realizó esta actividad?" o "¿Inició sesión desde esta ubicación a esta hora?". Las actividades de automatización posteriores se activan según la selección del usuario de una lista predefinida de opciones.

Esta interacción del usuario amplía el alcance de la detección, a la vez que ahorra tiempo y esfuerzo al analista del SOC. Este ejemplo por sí solo puede ahorrarles horas de trabajo a los analistas cada semana.

2. Automatizar las acciones aprobadas

No solo una organización de seguridad está cada vez más interconectada, sino también el departamento de tecnologías de la información (TI) en su conjunto. El creciente uso de microservicios dificulta comprender completamente cómo los esfuerzos individuales para reducir los problemas afectan al sistema en su conjunto. Debido a esta interconectividad y complejidad, es común que las actividades de mitigación de amenazas provoquen interrupciones en el negocio. Un analista de SOC no puede ser el experto en esta infraestructura interconectada. Por lo tanto, muchos equipos de seguridad deben proponer acciones de mitigación a las partes interesadas clave antes de actuar. Este lapso entre la pregunta, la obtención de una respuesta y la acción basada en ella aumenta el tiempo crítico para la mitigación de amenazas. 

La extensión de colaboración Turbine permite a los analistas enviar solicitudes de aprobación automatizadas a expertos en la materia de forma rápida y eficiente. Al recibir una respuesta de una lista predefinida de opciones, Turbine puede ejecutar automáticamente la acción mitigada, sin necesidad de intervención adicional del analista.

3. Optimice las notificaciones del equipo

El rol del analista, con la ayuda de las detecciones automatizadas, es como encontrar una aguja en un pajar. Sin embargo, a medida que las fuentes de telemetría y su volumen siguen creciendo, también aumenta el número de detecciones automatizadas, lo que convierte el desafío de encontrar una aguja en un pajar en una aguja en un montón de agujas. Por ello, es muy difícil para un analista identificar la aguja más crítica.
El Turbina La extensión de colaboración permite a los analistas del SOC enviar mensajes a un canal de comunicación externo a la plataforma de automatización de seguridad, como Slack o Microsoft Teams. Esto permite tomar decisiones iniciales rápidas a partir de una lista de opciones predefinidas. ¡Detectar, validar, escalar!

Véalo en acción

Para una guía más detallada, vea nuestra demostración en video. Sea testigo de cómo... Turbina de carriles de natación La extensión de colaboración hace que la comunicación sea mucho más fácil.

En conclusión, Turbine reinventa la colaboración desde su esencia, priorizando la mejora y la aceleración de la comunicación y los tiempos de respuesta. Este cambio empodera a los profesionales al devolverles el control. La automatización de Turbine capta la atención de los analistas, lo que contribuye a su eficacia en el entorno operativo.

Si aún no ha tenido la oportunidad de explorar Swimlane Turbine, le recomendamos que solicite una Demostración aquí.