Estado del SOC y uso de SIEM

El pasado, presente y futuro de SOAR Parte 1

Los centros de operaciones de seguridad (SOC) deben ser capaces de responder a cualquier tipo de alerta, ataque o incidente con rapidez y eficacia, gestionando equipos reducidos y garantizando el retorno de la inversión (ROI) a sus ejecutivos. Lograr esto requiere personal altamente cualificado y capacitado, procesos bien documentados y tecnologías optimizadas. Desafortunadamente, no muchos SOC cuentan con esta combinación mágica. En cambio, deben gestionar un aluvión diario de alertas provenientes de un panorama de amenazas en constante evolución y de actores maliciosos sofisticados, con una rotación constante de personal y herramientas y procesos dispares. En este entorno típico, un analista tarda demasiado en recibir una alerta, leer y comprender sus detalles clave, copiar y pegar los datos en otras herramientas para verificar que no se trata de un falso positivo y, a continuación, tomar medidas para detener el ataque e iniciar la remediación. Las organizaciones no pueden permitirse el lujo de permanecer vulnerables durante tanto tiempo.

Pero tenemos un SIEM.

A Sistema de gestión de eventos e información de seguridad (SIEM) Es lo que la mayoría de los SOC utilizan ahora para combatir los graves problemas descritos anteriormente. El problema con un SIEM es que suele generar un volumen masivo de información, lo que dificulta que los SOC se mantengan al día. De hecho, según Investigación reciente de Enterprise Management Associates (EMA), 64% de las multas de seguridad generadas por día no se investigan por falta de personal.

Si bien una solución SIEM ayuda a capturar datos de alerta, no es una herramienta de Big Data. Los equipos de seguridad necesitan herramientas de Big Data para extraer los grandes conjuntos de datos que acompañan a las alertas SIEM, tomar decisiones rápidas e identificar patrones y tendencias. Las organizaciones analizan las herramientas y los recursos disponibles, ya sea gestión de datos, canalización de datos o incluso computación en la nube, y se preguntan por qué no tienen acceso a herramientas similares en el ámbito de la seguridad. A medida que las organizaciones migran cada vez más recursos a la nube, especialmente la agregación y gestión de registros y el análisis de datos, comienzan a considerar SIEM junto con las herramientas disponibles de forma nativa en esas infraestructuras. Idealmente, los equipos aprovecharían la misma pila tecnológica y los mismos recursos internos desde una perspectiva de desarrollo e ingeniería para las operaciones de seguridad.

Entra la automatización.

Para mantenerse al día con las alertas SIEM, los SOC están implementando la automatización. Los equipos automatizan tareas como la estandarización, la gestión y la agregación de registros, así como la investigación y revisión de los datos de registro mediante alertas correlacionadas, por nombrar solo algunas. Obviamente, no es posible revisar todas las alertas de registro. El objetivo es automatizar la agregación y el análisis de la información de registro. Y sí, las organizaciones han implementado la automatización a este nivel con relativa éxito durante la última década.

Sin embargo, esto solo limitó la parte superior del embudo en relación con la cantidad de trabajo que las personas debían realizar, debido a la limitada automatización del componente humano de las operaciones de seguridad (SecOps). Al automatizar al máximo, las organizaciones se centraron principalmente en la priorización o la deduplicación. Para aprovechar al máximo la automatización, debemos replantear nuestro enfoque e identificar oportunidades en las primeras etapas del ciclo de vida de un ataque. Por ejemplo, ¿existen indicadores clave de rendimiento (KPI) que identifiquen algo que no requiera correlación ni análisis y sobre el cual podamos actuar? Las organizaciones están empezando a comprender que las tecnologías que alimentan su SIEM o su data lake son de alta fidelidad y procesables en su estado original, y no requieren tanto procesamiento.

Entonces, el SOC actual necesita una mejor automatización. ¿Eso es todo?

A medida que una organización amplía sus recursos, ¿qué sucede cuando se detectan errores y se requieren acciones? Considerando la cantidad de recursos en la nube y de otro tipo que se agregan constantemente, ¿dónde deben gestionarse las detecciones y las acciones? El área de superficie se expande constante y rápidamente con una gran cantidad de nuevos dispositivos del Internet de las Cosas (IoT), virtualización, dispositivos móviles, contenerización y otros cambios e incorporaciones que deben monitorearse. Cada una de estas tecnologías tiene sus propios requisitos de infraestructura, monitoreo, seguridad, parches y evaluación de vulnerabilidades. Si observamos la cantidad proyectada de dispositivos con IP que se moverán hasta 100 mil millones de dispositivos en los próximos 5 a 10 años, la cantidad de medidas que debemos tomar para mantener esa seguridad es abrumadora. La flexibilidad y la capacidad de escalar en toda esa área de superficie son cruciales para las organizaciones que buscan desarrollar operaciones de seguridad con visión de futuro. En resumen, la respuesta es "no". Mejorar la automatización en el SOC no lo es todo.

En las próximas dos entregas de esta serie de blogs de tres partes, analizaremos cómo la orquestación, automatización y respuesta de seguridad (SOAR) está funcionando para aliviar los problemas descritos aquí en el estado actual del SOC y lo que las organizaciones deben tener en cuenta para una nueva década de SecOps.