No es ningún secreto que el trabajo de los equipos SOC sigue siendo cada vez más difícil. El aumento del volumen y la sofisticación de los ataques están afectando a los equipos con recursos insuficientes con falsos positivos y agotamiento de los analistas.
Sin embargo, como muchas otras industrias, la seguridad cibernética ahora está comenzando a apoyarse y beneficiarse de los avances en automatización no solo para mantener el status quo, sino también para lograr mejores resultados de seguridad.
Automatización en múltiples fases del flujo de trabajo SOC
La necesidad de automatización es clara y es evidente que se está convirtiendo en una apuesta en la mesa para la industria. De todas las organizaciones resistentes a la cibernética, IBM estima que 62% han implementado herramientas y procesos de automatización, inteligencia artificial y aprendizaje automático.
Hasta ahora, gran parte de estos avances en automatización se han centrado en la respuesta, con SOAR y herramientas de respuesta a incidentes que desempeñan un papel fundamental para abordar la fase más urgente del flujo de trabajo SOC.
Sin embargo, centrar el enfoque solo en la respuesta significa que estamos tratando los síntomas en lugar de la causa raíz de la enfermedad. Al dividir el flujo de trabajo del SOC en fases, es fácil ver más instancias en las que la automatización puede mejorar la velocidad y la eficacia de los equipos de seguridad.
Las cuatro fases en las que es posible ampliar la cobertura de la automatización incluyen:
- Ingestión y normalización de datos: Automatizar la ingesta y la normalización de datos puede empoderar a los equipos para manejar grandes cantidades de datos de múltiples fuentes, sentando las bases para procesos automatizados adicionales.
- Detección: La descarga de la creación de un porcentaje significativo de las reglas de detección puede liberar tiempo para que los analistas de seguridad se centren en las amenazas que son exclusivas de su organización o segmento de mercado.
- Investigación: Descarga de trabajo manual y tedioso para acortar los procesos de investigación y clasificación
- Respuesta: Respuesta automática a amenazas conocidas y descubiertas para una mitigación rápida y precisa
Datos: sentando las bases para la automatización
Ingerir grandes cantidades de datos puede parecer abrumador para muchos equipos de seguridad. Históricamente, los equipos han tenido dificultades para conectar fuentes de datos o simplemente han tenido que ignorar los volúmenes de datos que no podían manejar debido a modelos de costos prohibitivos de herramientas heredadas que cobran por la cantidad de datos que almacenan.
Con el mundo migrando continuamente a la nube, es imperativo que los equipos de seguridad no rehuyan los datos masivos. En su lugar, necesitan promulgar soluciones que les ayuden a administrarlo y, a su vez, lograr mejores resultados de seguridad al tener una mayor visibilidad en toda la superficie de ataque.
Los lagos de datos de seguridad han traído consigo un cambio de paradigma en las operaciones de seguridad. Admiten la ingesta de volúmenes masivos y variedad de datos, a la velocidad de la nube, y permiten que las plataformas de seguridad ejecuten análisis sobre ellos con una complejidad reducida y a un costo predecible.
Detección: Automatizando el 80%
A medida que se ingieren más datos, inherentemente se descubrirán más alertas. Una vez más, esto puede sonar intimidante para los equipos de seguridad con exceso de trabajo, pero los procesos automatizados, como las reglas de detección listas para usar en los vectores de ataque, son otro ejemplo perfecto en el que la automatización puede conducir a una mejora en la cobertura.
En términos generales, existen muchas similitudes en la forma en que se atacan las redes, con aproximadamente 80% de las señales de amenaza siendo común en la mayoría de las organizaciones.
Una plataforma SOC moderna ofrece reglas de detección listas para usar que cubren este 80 % al conectarse a fuentes de inteligencia de amenazas, bases de conocimiento de código abierto, redes sociales o foros de la web oscura, para crear una lógica que proteja contra las amenazas más comunes. Al combinarlas con reglas adicionales escritas por equipos de seguridad internos, las plataformas pueden mantenerse al día con las técnicas de amenazas y utilizar la detección automática a su alrededor.
Investigación: Separar la señal del ruido
La fase de investigación del flujo de trabajo SOC no suele asociarse con la automatización. Tradicionalmente, está atascado por numerosas herramientas e investigaciones manuales que limitan la eficiencia y precisión de los equipos de seguridad.
Los procesos que se pueden reforzar con la automatización dentro de la fase de investigación incluyen:
- Agrupación de alertas centrada en amenazas: Las herramientas de seguridad le darán miles de alertas, pero en realidad se reducen a solo unas pocas amenazas. A escala, esto se convierte en una enorme fuga de recursos. Si el las alertas se agrupan automáticamente en función de su contexto de amenazaentonces los analistas de seguridad pueden comprender y responder más fácilmente a incidentes individuales en lugar de perseguir cientos de alertas y falsos positivos.
- Enriquecimiento: Al enriquecer automáticamente las entidades asociadas con cada señal o alerta con información adicional de muchas fuentes de datos diferentes, los equipos obtienen todo el contexto disponible para comprender el riesgo de la alerta.
- Correlación: La correlación automática de eventos conduce a una mejor visibilidad de la ruta de los atacantes dentro de la red de la organización.
- Visualización: Una vez correlacionadas, las “historias” de ataques se pueden mapear y visualizar en una línea de tiempo fácil de leer, lo que facilita a los analistas y otras partes interesadas obtener información clara.
Juntas, estas tareas automatizadas ofrecen a los analistas indicaciones rápidas de qué incidentes son de mayor prioridad y necesitan más investigación. Esta es una mejora drástica en comparación con los sistemas heredados donde los analistas verifican y vuelven a verificar constantemente los incidentes, investigan las redundancias y juntan los eventos manualmente.
La investigación automatizada, cuando se combina con prácticas de búsqueda manual, puede llevar a que se investiguen, clasifiquen y comprendan más incidentes reales con mayor precisión.
Respuesta: Actúe con rapidez y confianza.
Una vez que se identifica una amenaza, el próximo paso obvio sería responder a ella. Como se mencionó anteriormente, los SOAR hacen un buen trabajo al automatizar la fase de respuesta con amenazas conocidas.
Sin embargo, la eficiencia de esta automatización depende en gran medida de los datos proporcionados por otras fuentes, es decir, cuando las fases anteriores del flujo de trabajo del SOC pueden generar resultados utilizables y confiables que se pueden enviar a un software de respuesta.
La integración de datos más precisos que han sido normalizados e investigados por una automatización diseñada por expertos hace que las herramientas de respuesta sean mucho más confiables y efectivas.
Obviamente, no todas las respuestas se pueden automatizar ya que los atacantes continúan evolucionando sus métodos. En muchos casos, es necesario que los analistas investiguen los incidentes a fondo y promulguen respuestas manualmente. Pero al igual que las otras fases del flujo de trabajo, cuanto más se puedan automatizar estas tareas, más equipos de seguridad estarán libres para abordar ataques más complejos.
Entonces, ¿por qué no hay más empresas que utilicen la automatización?
Muchos equipos saben que la automatización aumentará su productividad, pero cambiar los procesos y el software suele ser difícil por varias razones:
- Reemplazar el software heredado lleva mucho tiempo, es costoso y potencialmente riesgoso
- Obtener la aprobación de las partes interesadas para implementaciones importantes es un desafío y un proceso lento
- Educar a los analistas sobre el uso de software nuevo requiere tiempo y recursos
- Las técnicas de ataque en constante evolución mantienen a los equipos de seguridad ocupados con el “aquí y ahora”
Estos obstáculos apilados sobre la escasez extrema de personal pueden hacer que la tarea parezca abrumadora.
Pero, a medida que la automatización continúa ocupando un lugar central, la industria seguirá viendo reducciones significativas en el costo total de propiedad (TCO), el tiempo medio de detección/respuesta (MTTD/MTTR), el agotamiento de los analistas y la frustración del CISO.
Plataformas SOC al rescate
Cuando se combinan y automatizan varias piezas del flujo de trabajo SOC, el peso y la presión de la carga de trabajo normal comienzan a disolverse. Los analistas podrán decir adiós a pasar largas horas saltando de una herramienta a otra, persiguiendo falsos positivos o simplemente manteniendo las soluciones SIEM tradicionales.
La nueva generación de plataformas SOC tiene mucho que ofrecer, en cada etapa del flujo de trabajo SOC. Habiendo nacido en la nube, las plataformas SOC pueden utilizar arquitecturas de datos modernas para desarrollar funciones y mejoras adicionales más fácilmente. Esto, junto con la ventaja de poder ingerir todos los datos de seguridad a una fracción del costo de las herramientas heredadas, ha resultado en una tendencia hacia una mayor automatización integrada en ellas.
 |
| Un ejemplo de resumen de investigación automática en la plataforma Hunters SOC que muestra las entidades clave de una alerta generada después de que un usuario inició sesión en la consola web de Okta desde un dispositivo no supervisado sin un agente de EDR activo, así como el Puntuación de riesgo asociado a ello |
Un ejemplo de eso puede ser la investigación de amenazas: la mayoría de los analistas saben que esto es una tarea manual y tediosa, que implica clasificar un sinfín de falsos positivos. Pero las plataformas SOC de hoy han introducido la automatización, mejorando significativamente el proceso de investigación. Han surgido mejoras como la correlación entre fuentes automatizada, los modelos ML y las consultas de interrogación de datos integradas para ayudar a los analistas en las tareas de investigación de amenazas más repetitivas y laboriosas.
Ahora es el momento de comenzar a aprovechar la automatización a medida que continúa cambiando la industria. Los equipos que no adopten activamente estas innovaciones se encontrarán rezagados, lo que podría dejar a sus organizaciones vulnerables y a su personal abrumado.
Obtenga más información sobre cómo Hunters SOC Platform puede ayudar a su SOC: www.cazadores.ai