Muchas empresas confían en los Centros de Operaciones de Seguridad (SOC) como un recurso valioso para detectar eficazmente los incidentes de seguridad.
Tiempo de lectura: 3 mn
En un momento en el que los usuarios son cada vez más móviles y las redes periféricas están migrando a la nube, los recursos de TI están más expuestos a las amenazas (malware, ransomware, phishing, ataque DDOS, ataque de fuerza bruta...). Las empresas necesitan controles de seguridad coherentes que cubran tanto los entornos Cloud como On-Premise. Estos controles deben tener en cuenta el contexto de identidad para anticipar, prevenir, detectar y reaccionar mejor ante las amenazas, con el objetivo de hacer su información más segura.
El Centro de Operaciones de Seguridad, SOC, se refiere al equipo responsable de garantizar la seguridad de la información.
El SOC es una plataforma que permite la supervisión y administración de la seguridad del sistema de información a través de herramientas de recogida, correlación de eventos e intervención remota. El SIEM (Security Information Event Management) es la principal herramienta del SOC ya que permite gestionar los eventos de un SI.
El objetivo de un SOC es detectar, analizar y corregir incidentes de ciberseguridad utilizando soluciones tecnológicas y enfoques diferentes. Supervisan y analizan la actividad en redes, servidores, terminales, bases de datos, aplicaciones, sitios web y otros sistemas en busca de señales débiles o comportamientos anormales que puedan indicar un incidente de seguridad o un compromiso. El SOC debe garantizar que los posibles incidentes de seguridad se identifiquen, analicen, defiendan, investiguen e informen adecuadamente. Los SOC están generalmente compuestos por analistas e ingenieros de seguridad, así como por gerentes que supervisan las operaciones de seguridad. Las capacidades adicionales de algunas SOC pueden incluir el análisis avanzado, el criptoanálisis y la ingeniería inversa del malware para analizar los incidentes. Los equipos de SSC trabajan en estrecha colaboración con los equipos de respuesta para garantizar que el problema de seguridad se aborde adecuadamente una vez que se ha descubierto.
El primer paso para establecer un SOC es definir claramente una estrategia que integre los objetivos específicos de la empresa de los distintos departamentos. Una vez desarrollada la estrategia, se establece la infraestructura necesaria para apoyarla. Una infraestructura SOC típica incluye cortafuegos, IPS/IDS, soluciones de detección de brechas, sondas y un sistema de gestión de eventos e información de seguridad (SIEM). Debe existir la tecnología para recolectar datos a través de flujos de datos, mediciones, entrada de paquetes, syslog y otros métodos para que la actividad de datos pueda ser correlacionada y analizada por los equipos de OSC. El Centro de Operaciones de Seguridad también supervisa las vulnerabilidades de la red y de los puntos finales para proteger los datos confidenciales y cumplir con las normativas de la industria o gubernamentales.
La principal ventaja de disponer de un centro de operaciones de seguridad es la mejora de la detección de incidentes de seguridad mediante la supervisión y el análisis continuos de la actividad de los datos. Sin embargo, la creación y operación de un SOC es complicada y costosa. Las empresas los establecen por varias razones, tales como:
La supervisión ininterrumpida de la actividad de datos en las redes, terminales, servidores y bases de datos de una organización ofrece a las organizaciones una ventaja a la hora de defenderse de incidentes e intrusiones, independientemente de la fuente, la hora del día o el tipo de ataque. Un centro de operaciones de seguridad ayuda a las empresas a salvar la distancia entre el tiempo que tarda el hacker en comprometer el sistema y el tiempo que tarda en detectar la amenaza, así como en mantener a su entorno al tanto de las amenazas.
Oracle tiene un portafolio de varias herramientas para construir un SOC, incluyendo: