Hoy en día se espera que las empresas tengan al menos entre 6 y 8 herramientas de detección, ya que la detección se considera una inversión estándar y la primera línea de defensa. Sin embargo, los líderes de seguridad luchan por justificar la dedicación de recursos a sus superiores en etapas más avanzadas del ciclo de vida de la alerta.
Como resultado, las inversiones en seguridad de la mayoría de las organizaciones son herramientas de detección sólidas y asimétricas combinadas con un SOC con recursos insuficientes, su última línea de defensa.
Un estudio de caso reciente demuestra cómo las empresas con un SOC estandarizado impidieron un sofisticado ataque de phishing que eludió las principales herramientas de seguridad del correo electrónico. En este estudio de caso, una campaña de phishing entre empresas se dirigió a ejecutivos de alto nivel en varias empresas. Ocho herramientas de seguridad de correo electrónico diferentes en estas organizaciones no lograron detectar el ataque y los correos electrónicos de phishing llegaron a las bandejas de entrada de los ejecutivos. Sin embargo, el equipo SOC de cada organización detectó el ataque inmediatamente después de que los empleados informaron sobre los correos electrónicos sospechosos.
¿Por qué las ocho herramientas de detección fallaron de manera idéntica cuando el SOC tuvo éxito?
Lo que todas estas organizaciones tienen en común es una inversión equilibrada a lo largo del ciclo de vida de las alertas, que no descuida su SOC.
Este artículo examina cómo invertir en el SOC es indispensable para las organizaciones que ya han asignado importantes recursos a herramientas de detección. Además, una inversión SOC equilibrada es crucial para maximizar el valor de sus inversiones en detección existentes.
Las herramientas de detección y el SOC operan en universos paralelos
Comprender esta desconexión fundamental explica cómo surgen las brechas de seguridad:
Las herramientas de detección funcionan en milisegundos. Deben tomar decisiones instantáneas sobre millones de señales todos los días. No tienen tiempo para matices; la velocidad es esencial. Sin él, las redes se paralizarían, ya que cada correo electrónico, archivo y solicitud de conexión se retendría para su análisis.
Las herramientas de detección se acercan. Son los primeros en identificar y aislar amenazas potenciales, pero carecen de una comprensión del panorama más amplio. Mientras tanto, los equipos SOC operan con una vista de 30.000 pies. Cuando las alertas llegan a los analistas, tienen algo de lo que carecen las herramientas de detección: tiempo y contexto.
En consecuencia, el SOC aborda las alertas desde una perspectiva diferente:
- Pueden analizar patrones de comportamiento, como por qué un ejecutivo inicia sesión repentinamente desde una dirección IP de un centro de datos cuando normalmente trabaja desde Londres.
- Pueden unir datos entre herramientas. Pueden ver un dominio de correo electrónico de reputación limpia junto con intentos de autenticación posteriores e informes de usuario.
- Pueden identificar patrones que sólo tienen sentido cuando se ven en conjunto, como la focalización exclusiva en ejecutivos financieros combinada con tiempos que se alinean con los ciclos de nómina.
Tres riesgos críticos de un SOC con financiación insuficiente
En primer lugar, puede hacer que sea más difícil para el liderazgo ejecutivo identificar la raíz del problema. Los CISO y los responsables del presupuesto de las organizaciones que implementan diversas herramientas de detección a menudo asumen que sus inversiones los mantendrán seguros. Mientras tanto, el SOC vive esto de manera diferente, abrumado por el ruido y sin recursos para investigar adecuadamente las amenazas reales. Debido a que el gasto en detección es obvio, mientras que los problemas del SOC ocurren a puerta cerrada, a los líderes de seguridad les resulta difícil demostrar la necesidad de una inversión adicional en su SOC.
En segundo lugar, la asimetría abruma la última línea de defensa. Las importantes inversiones en múltiples herramientas de detección producen miles de alertas que inundan el SOC todos los días. Con SOC sin fondos suficientes, los analistas se convierten en porteros que enfrentan cientos de tiros a la vez, obligados a tomar decisiones en fracciones de segundo bajo una inmensa presión.
En tercer lugar, socava la capacidad de identificar amenazas matizadas. Cuando el SOC se ve abrumado por las alertas, se pierde la capacidad de realizar un trabajo de investigación detallado. Las amenazas que escapan a la detección son aquellas que las herramientas de detección nunca detectarían en primer lugar.
De soluciones temporales a operaciones SOC sostenibles
Cuando las herramientas de detección generan cientos de alertas diariamente, agregar algunos analistas de SOC más es tan efectivo como intentar salvar un barco que se hunde con un balde. La alternativa tradicional ha sido la subcontratación a MSSP o MDR y la asignación de equipos externos para manejar el desbordamiento.
Pero para muchos, las compensaciones siguen siendo demasiadas: altos costos continuos, investigaciones superficiales de analistas que no están familiarizados con su entorno, demoras en la coordinación y comunicación interrumpida. La subcontratación no soluciona el desequilibrio; simplemente transfiere la carga a otra persona.
Hoy en día, las plataformas AI SOC se están convirtiendo en la opción preferida para las organizaciones con equipos SOC eficientes que buscan una solución eficiente, rentable y escalable. Las plataformas AI SOC operan en la capa de investigación donde ocurre el razonamiento contextual, automatizan la clasificación de alertas y muestran solo incidentes de alta fidelidad después de asignarles contexto.
Con la ayuda de AI SOC, los analistas ahorran cientos de horas cada mes, ya que las tasas de falsos positivos a menudo caen en más del 90%. Esta cobertura automatizada permite a los pequeños equipos internos brindar cobertura las 24 horas del día, los 7 días de la semana, sin personal adicional ni subcontratación. Las empresas presentadas en este estudio de caso invirtieron en este enfoque a través de Radiant Security, una plataforma AI SOC agente.
Dos formas en las que la inversión en SOC da sus frutos, ahora y en el futuro
- Las inversiones en SOC hacen que el costo de las herramientas de detección valga la pena. Sus herramientas de detección son tan efectivas como su capacidad para investigar sus alertas. Cuando el 40 % de las alertas no se investigan, no se obtiene el valor total de cada herramienta de detección que posee. Sin suficiente capacidad SOC, está pagando por capacidades de detección que no puede utilizar por completo.
- La perspectiva única de la última línea será cada vez más crítica. El SOC será cada vez más esencial a medida que las herramientas de detección fallen con mayor frecuencia. A medida que los ataques se vuelven más sofisticados, la detección necesitará más contexto. La perspectiva del SOC significará que sólo ellos podrán conectar estos puntos y ver el panorama completo.
3 preguntas para guiar su próximo presupuesto de seguridad
- ¿Su inversión en seguridad es simétrica? Comience evaluando su asignación de recursos para detectar desequilibrios. El primer indicio de seguridad asimétrica es tener más alertas de las que su SOC puede manejar. Si sus analistas están abrumados por las alertas, significa que su línea frontal está superando a su línea trasera.
- ¿Es su SOC una red de seguridad calificada? Todo líder del SOC debe preguntarse: si la detección falla, ¿está el SOC preparado para detectar lo que pasa? Muchas organizaciones nunca preguntan esto porque no consideran que la detección sea responsabilidad del SOC. Pero cuando las herramientas de detección fallan, las responsabilidades cambian.
- ¿Está subutilizando las herramientas existentes? Muchas organizaciones descubren que sus herramientas de detección producen señales valiosas que nadie tiene tiempo de investigar. La asimetría significa carecer de la capacidad de actuar sobre lo que ya posee.
Conclusiones clave de Radiant Security
La mayoría de los equipos de seguridad tienen la oportunidad de asignar recursos para maximizar el retorno de la inversión de sus inversiones actuales en detección, respaldar el crecimiento futuro y mejorar la protección. Las organizaciones que invierten en herramientas de detección pero descuidan su SOC crean puntos ciegos y agotamiento.
Radiant Security, la plataforma SOC de IA agente destacada en el estudio de caso, muestra éxito a través de una inversión equilibrada en seguridad. Radiant trabaja en la capa de investigación de SOC, clasificando automáticamente cada alerta, reduciendo los falsos positivos en aproximadamente un 90% y analizando las amenazas a la velocidad de la máquina, como un analista superior. Con más de 100 integraciones con herramientas de seguridad existentes y funciones de respuesta con un solo clic, Radiant ayuda a los equipos de seguridad eficientes a investigar cualquier alerta, conocida o desconocida, sin necesidad de aumentos imposibles de personal. Radiant Security pone las capacidades SOC de nivel empresarial a disposición de organizaciones de cualquier tamaño.