Los piratas informáticos nunca duermen, entonces, ¿por qué deberían las defensas empresariales? Los actores de amenaza prefieren dirigirse a las empresas durante las horas fuera de horario. Fue entonces cuando pueden contar con menos sistemas de monitoreo de personal de seguridad, retrasando la respuesta y la remediación.
Cuando el gigante minorista Marks & Spencer experimentó un evento de seguridad durante el fin de semana de Pascua, se vieron obligados a cerrar sus operaciones en línea, que representan aproximadamente un tercio de la ropa y las ventas de viviendas del minorista.
Como la mayoría del personal está fuera durante las horas y vacaciones, lleva tiempo reunir un equipo de respuesta a incidentes e iniciar contramedidas. Esto les da a los atacantes más tiempo para moverse lateralmente dentro de la red y causar estragos antes de que el equipo de seguridad reaccione.
Si bien no todas las organizaciones pueden estar listas para el personal de un equipo interno durante todo el día, construir un SoC 24/7 sigue siendo una de las formas más robustas y proactivas de proteger contra los ataques fuera de horas. En el resto de esta publicación, exploraremos por qué la vigilancia 24/7 es tan importante, los desafíos de lograrlo y seis pasos prácticos el éxito de SOC 24/7.
Importancia y desafíos de un SOC 24/7
Un SOC es fundamental para la defensa cibernética de una organización. Desempeña un papel clave en la detección, la investigación y la respuesta a posibles amenazas durante todo el día, proporcionando detección y resolución de amenazas en tiempo real. Agregue la automatización, y solo mejora, especialmente cuando todos están fuera celebrando o concentrándose en sus tareas de fin de semana.
Pero ejecutar un SoC 24/7 no es sencillo. Requiere un equilibrio perfecto de procesos probados, herramientas avanzadas y profesionales calificados.
La planificación y la automatización adecuadas son clave
Donde sea que los profesionales de la seguridad no puedan mantenerse al día con las demandas de una superficie de ataque cambiante, la IA puede marcar la diferencia. Junto con las personas y procesos adecuados en su lugar, la IA permite la eficiencia al automatizar la detección de amenazas, lo que resulta en tiempos de respuesta más rápidos y mejora su postura de seguridad general. Veamos la construcción de los procesos correctos y dónde encaja la IA.
Enfoque de 6 pasos para construir un SOC 24/7
Ejecutar un SOC exitoso se reduce a las siguientes seis medidas que su organización necesitará realizar.
1. Construya una base específica para su organización
El establecimiento de un SOC robusto las 24 horas, los 7 días de la semana, comienza con la definición de una misión y un alcance claros que está alineado con los objetivos comerciales generales. Tener una estrategia clara ayuda a determinar los requisitos de cobertura de seguridad.
Como los presupuestos dictarán quién es contratado y qué herramientas de seguridad están integradas, es fundamental para el monitoreo de seguridad 24/7. Dados ejemplos recientes de ataques cibernéticos con consecuencias devastadoras, esto no debería ser difícil.
El mejor modelo SOC para su negocio dependerá de su perfil de riesgo, cumplimiento y requisitos de la industria, y los recursos disponibles. El alcance y los objetivos del SOC también serán específicos de los negocios y la industria. Por ejemplo, un proveedor de atención médica priorizará la protección de los datos del paciente para garantizar el cumplimiento de HIPAA, mientras que un minorista se concentrará en PCI DSS.
Además, ya sea que elija un modelo interno, híbrido o subcontratado, los equipos de seguridad deben aprovechar la IA. Puede escalar su modelo para optimizar las operaciones de seguridad y ayudar a defenderse de las amenazas en rápida evolución. Por ejemplo, un SOC híbrido con análisis SOC con AI puede ser altamente eficiente.
2. Construya el equipo correcto y entrenarlos bien
Las organizaciones tienen que crear un equipo que estén a la altura de la tarea de enfrentar desafíos de seguridad. Los gerentes de contratación deben centrarse en una combinación de analistas junior y respondedores experimentados, ya que la diversidad ayuda a fomentar la colaboración.
Los equipos de SOC a menudo siguen una estructura de tres niveles de Analistas de nivel 1 para el triaje de alerta; Analistas de nivel 2 responsable de la investigación y la respuesta; y Analistas de nivel 3 para estrategia, caza de amenazas avanzadas, detección proactiva y optimización de herramientas de IA. Si los recursos son limitados, un modelo de dos niveles también puede ser efectivo: Tier 1 maneja el triaje y la investigación inicial, mientras que el Nivel 2 adquiere un análisis más profundo, respuesta y funciones estratégicas. Este enfoque aún puede ofrecer una fuerte cobertura con las herramientas y procesos adecuados en su lugar.
También es mejor contratar internamente siempre que sea posible. Desarrolle una tubería de talento interna y un presupuesto para la capacitación y certificación continuas para aquellos que desean mejorar. Por ejemplo, los miembros del equipo pueden aprender a usar herramientas de IA para superar la costosa administración de registros de SIEM y los complejos desafíos de configuración de SOAR.
3. Sea inteligente sobre las rotaciones de turnos para evitar el agotamiento
Se sabe que los equipos de SOC se queman rápidamente. Es importante desarrollar rotaciones de cambios sostenibles con cambios de 8 o 12 horas. Por ejemplo, un equipo de SOC puede trabajar en un horario de 4 contra 4 apagados para mantenerse alerta, mientras que las multinacionales pueden extender los cambios a través de las zonas horarias para reducir el riesgo de fatiga.
Contrata más analistas de los que crees que necesitarás—Man se pagan por turno, y tener un banco asegura que pueda girar de manera efectiva, cubrir ausencias inesperadas y reducir la presión sobre su equipo central. Este enfoque le brinda flexibilidad sin extender demasiado a su personal.
Los profesionales de la seguridad también necesitan variedad para mantener las cosas interesantes y mantenerse comprometidos. Entonces, rotar regularmente las responsabilidades como el triaje de alerta, la revisión del libro de jugadas y la caza de amenazas.
Nota: Asegúrese de establecer protocolos de transferencia claros para fomentar los períodos de entrega superpuestos. Esto ayuda a fomentar un entorno de intercambio de contexto entre equipos.
Como la fatiga a menudo conduce a un éxodo de personal, la automatización puede desempeñar un papel vital en la retención de los mejores talentos de seguridad. Use AI para reducir la carga de trabajo del equipo, automatizando tareas repetitivas como el análisis de registro o el triaje de phishing.
Los programas de bienestar también pueden ofrecer un gran impulso. Fomentar el equilibrio entre el trabajo y la vida y el establecimiento de canales de retroalimentación anónima mejorará la retención. Además, programen el tiempo de inactividad y fomente los descansos reales. Asegúrese de enfatizar que no hay razón para trabajar a través de descansos programados a menos que haya un incidente activo.
Por último, los miembros del equipo gratificantes y el reconocimiento de victorias son importantes. Estos impulsan la satisfacción laboral, ayudándole a retener el talento.
4. Elija las herramientas correctas
Investigue y elija a fondo las herramientas de seguridad impulsadas por la IA que se ajusten a sus necesidades comerciales específicas y requisitos de seguridad. También es imperativo considerar diferentes variables como el costo y la complejidad antes de establecerse en una herramienta.
Por ejemplo, se sabe que SIEM como Splunk tienen desafíos de escala y altos costos de gestión de registros. Esto puede ser insostenible en entornos de múltiples nubes. También se sabe que el descubrimiento de ataque de Elastic tiene muchos falsos positivos, lo que obliga a los analistas a validar los resultados manualmente.
Aunque muchas herramientas con IA minimizan el esfuerzo manual, aún requieren una configuración significativa, ajuste de reglas, información de datos y personalización del tablero. Algunas características también pueden requerir que los analistas configuren fuentes de datos e interpreten los resultados. Muchas herramientas SOC son estáticas, con modelos previamente capacitados para solo un puñado de casos de uso.
Los SOAR existentes también requieren una configuración y mantenimiento considerables, mientras que sus libros de jugadas estáticos no pueden aprender de manera adaptativa a lidiar con nuevas amenazas.
Radiant es una alternativa. Su plataforma adaptativa de AI SoC ingiere, trianges y se intensifica cuando una alerta se considera un verdadero positivo. Luego responderá rápidamente a las amenazas reales y varios casos de uso de seguridad.
Además de ser rentable y no exigir mantenimiento, Radiant se integra en los entornos de los clientes para una remediación de 1 clic o totalmente automática (una vez que el equipo de SOC confía en las recomendaciones de Radiant). Además, no requiere auditorías o capacitación para mantenerse al tanto del último malware.
5. Cultive una cultura de aprendizaje continuo
Si bien el liderazgo de seguridad debe alentar las autopsias, deben evitar asignar la culpa. Cada evento de seguridad tiene mucho que enseñarnos, y las organizaciones deben almacenar activamente esta información en una base de conocimiento.
El aprendizaje continuo es su boleto para mantenerse por delante de las amenazas. Por lo tanto, asegúrese de ofrecer un acceso perfecto a la investigación y la capacitación, y las certificaciones de patrocinador como la Certificación GIAC Intrusion Analyst (GCIA) y el profesional ofensivo certificado por seguridad (OSCP).
Cree una cultura de equipo donde los miembros polinizan el conocimiento y creen confianza. Mantenga sesiones informativas regulares de amenazas y simulacros de seguridad (p. Ej., Red Team vs. Blue Team Simulations) para identificar las brechas de procesos y mejorar las rutas de escalada.
Estos ejercicios ayudarán a cada miembro del equipo a actuar rápidamente si la organización es atacada. También es importante practicar la coordinación con los equipos legales, de relaciones públicas y de TI. Los ejercicios de mesa para ejecutivos, es decir, probar el proceso de toma de decisiones bajo presión, también son una gran idea.
6. Gobierno, métricas e informes
Defina las métricas de éxito, incluidas MTTD/MTTR, precisión de IA y tasa de falsos positivos. La detección más rápida limita el daño, y la respuesta rápida minimiza el impacto de un incidente. Si la IA es muy precisa, ayuda a generar confianza en la automatización. Al mismo tiempo, los bajos falsos positivos reducen la carga de trabajo de los analistas.
La distribución de carga de trabajo equitativa y el volumen de alerta a través de los cambios de SOC aseguran el equilibrio y reducen el riesgo de agotamiento. El seguimiento de las estadísticas de incidentes no es suficiente. También debe monitorear continuamente el bienestar de los empleados: un equipo de SOC saludable significa una alta moral y un rendimiento constante.
Para todo lo anterior, los paneles en tiempo real y las revisiones mensuales son imprescindibles. Proporcione imágenes siempre que sea posible e incluya inmersiones profundas para los líderes del equipo. Los gerentes de SOC y los analistas de T3 necesitan información integral para optimizar las herramientas, alinear mejor el cumplimiento y el riesgo comercial, y administrar la salud del equipo.
Conclusión
La sinergia del personal calificado, los procesos simplificados, la IA avanzada y las herramientas integradas es la fuerza subyacente que mantiene el nombre de su empresa fuera de los titulares.
Un SOC a la IA 24/7 protege a las organizaciones de amenazas persistentes en rápida evolución, avanzada y persistente. Le ayudará a abordar con éxito las limitaciones de SIEM, SOAS, EDRS y copilotos de SOC a través de la integración perfecta de la automatización, las personas, los procesos y las herramientas.
La única plataforma adaptativa AI SoC de Radiant agiliza los procesos y empodera a los analistas, cazadores de amenazas y especialistas en seguridad. La automatización sin retraimiento de la plataforma y la precisión del 95% ayudan a los equipos de SOC a superar una variedad de obstáculos: el alcance limitado de EDR, la dependencia del analista de los copilotos, la costosa complejidad de SIEM y los libros de jugadas manuales de SOAR, por nombrar algunos.
También es escalable y rentable con una amplia gama de integraciones.
Si quieres ver a Radiant en acción, está a solo un clic de distancia. Reserve una demostración hoy.