¿Qué es el SOC como servicio (SOCaaS)?

El centro de operaciones de seguridad como servicio (SOCaaS) es un modelo de suscripción en la nube para la detección y respuesta gestionadas a las amenazas que incluye funciones y soluciones SOC avanzadas que ayudan a suplir las carencias de los equipos de seguridad internos de la organización.

¿Qué ciberamenazas supervisa el SOCaaS?

Al igual que los SOC locales tradicionales, el SOCaaS ofrece supervisión ininterrumpida, detección de amenazas y prevención y análisis de la superficie de ataque, que incluye el tráfico de internet, las redes corporativas, los equipos de escritorio, los servidores, los dispositivos de endpoint, las bases de datos, las aplicaciones, la infraestructura en la nube, cortafuegos, inteligencia sobre amenazas, prevención de intrusiones y sistemas de gestión de eventos e información de seguridad (SIEM).

Las ciberamenazas pueden ser de ransomware, ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS), malware, phishing, smishing, amenazas internas, robos de credenciales, ataques de día cero, etc.

¿Por qué las organizaciones necesitan servicios gestionados para las operaciones de seguridad?

En su informe SOC Modernization and the Role of XDR (disponible en inglés), Enterprise Strategy Group constató que más de la mitad de las organizaciones (el 55 %) quieren servicios de seguridad para que el personal encargado de la seguridad pueda ocuparse de las iniciativas estratégicas. Otras consideran que los proveedores de servicios gestionados pueden conseguir cosas que no están al alcance de su organización: el 52 % cree que los proveedores de servicios ofrecen unas operaciones de seguridad más eficaces que las de su organización, el 49 % asegura que un proveedor de servicios gestionados puede resultar útil como refuerzo para su equipo del SOC, y el 42 % admite que su organización no está preparada para llevar a cabo las operaciones de seguridad por sí sola.

Fuente: SOC Modernization and the Role of XDR (disponible en inglés) Enterprise Security Group (ESG)

¿Qué ventajas ofrece el SOC como servicio (SOCaaS)?

La externalización de las operaciones de seguridad y la gestión de seguridad de la información brinda ventajas como las siguientes:

• Reducción de los costes
• Detección más rápida y corrección de problemas más eficiente para optimizar los eventos de seguridad
• Acceso a las mejores soluciones de seguridad del mercado
• Reducción de la carga de trabajo de los equipos de SecOps internos
• Supervisión continua
• Aceleración de la detección/respuesta para mostrar alertas muy fiables y reducir el mal de alertas
• Minimización de la rotación de personal y reducción del desgaste de los analistas de seguridad, eliminación de tareas mecánicas
• Menor complejidad
• Reducción de los riesgos cibernéticos
• Aumento de la escalabilidad y la agilidad de la empresa

En cambio, los entornos de SOC obsoletos plantean problemas como los siguientes:

• Falta de visibilidad y contexto
• Mayor complejidad de las investigaciones
• Falta de interoperabilidad de los sistemas
• Falta de automatización y orquestación
• Imposibilidad de recopilar, procesar y contextualizar los datos de inteligencia sobre amenazas
• Mal de alertas/ruido debido a que los controles de seguridad emiten alertas excesivamente numerosas y de baja fidelidad

A continuación se enumeran otras ventajas clave del SOCaaS:

Protección continua

Los analistas de seguridad buscan alertas, eventos e indicadores de riesgo (IoC). Integre inteligencia sobre amenazas de alta fidelidad e informes útiles sobre las amenazas y sus consecuencias. Tenga en cuenta los análisis y la detección de amenazas en todas las fuentes de datos para generar pistas de alta fidelidad que faciliten las tareas de búsqueda.

Tiempos de respuesta más rápidos

La aceleración de los tiempos de respuesta ayuda a reducir el tiempo de permanencia y a mejorar tanto el tiempo medio de investigación (MTTI) como el tiempo medio de corrección (MTTR).

Prevención de amenazas y búsqueda de amenazas

El SOCaaS permite a los equipos examinar los entornos de forma proactiva para detectar tácticas, técnicas y procedimientos (TTP) de ataque con el fin de identificar las nuevas vulnerabilidades que pueda haber en su infraestructura.

Conocimientos especializados en ciberseguridad y cobertura

Aunque los SOC pueden ser de muchos tipos, sus cargos y responsabilidades suelen estar ocupados por un responsable del SOC, un especialista en respuesta a incidentes y uno o varios analistas de seguridad de nivel 1-3, entre otros. A estos se pueden sumar otros cargos especializados, como ingenieros de seguridad, gestores de vulnerabilidades, expertos en búsqueda de amenazas, investigadores forenses y auditores del cumplimiento normativo.

Cumplimiento de normas y reglamentos

Las principales funciones de supervisión del SOC constituyen una parte integral del cumplimiento normativo en la empresa, sobre todo cuando se trata de reglamentos que requieren mecanismos y funciones particulares para supervisar la seguridad, como el RGPD y la CCPA.

Sectores como el sanitario, el financiero y el del comercio minorista cuentan con sus propios sistemas de cumplimiento normativo para gestionar los riesgos de forma proactiva y adaptarse a los cambios de la regulación. Por ejemplo, podemos mencionar la HIPAA, FINRA y PCI, que protegen la integridad de los datos y la información personal.

Optimización de los equipos de seguridad

Por encima de las inversiones en herramientas y soluciones de seguridad, el elemento decisivo para el éxito de un SOC sigue siendo el factor humano.

Aunque sin duda el aprendizaje automático y la automatización están llamados a mejorar cuestiones como los tiempos de respuesta, la precisión y la corrección de problemas (en especial cuando se trata de tareas básicas repetitivas), atraer, formar y conservar a buenos profesionales de la seguridad (ingenieros, analistas, arquitectos, etc.) debe ser parte integral de cualquier estrategia de transformación del SOC cohesionada.

Factores que tener en cuenta a la hora de diseñar un SOC

El diseño y el funcionamiento de un SOC pueden variar. En su estudio Security Operations Center: A Systematic Study and Open Challenges (disponible en inglés), Manfred Vielberth, Fabian Böh, Ines Fichtinger y Günther Pernul detallan varios factores que influyen en los modelos de funcionamiento del SOC y otros que entran en juego a la hora de decidir implementar uno.

• Estrategia de la empresa: conviene tener en cuenta la estrategia general de TI y empresarial para determinar qué modelo operativo encaja mejor. Se debe definir una estrategia para el SOC antes de seleccionar el correspondiente modo operativo.
• Sector industrial: el sector industrial en el que opera principalmente una empresa influye en gran medida en el ámbito de actuación del SOC.
• Tamaño: el tamaño de la empresa también influye en la decisión, pues si es pequeña tal vez no pueda configurar y ejecutar su propio SOC o quizá ni siquiera necesite un SOC muy definido.
• Coste: los costes de implementar y mantener un SOC internamente se deben comparar con los de externalizar las operaciones de seguridad. Al principio, implementar un SOC interno tal vez salga más caro, pero esta opción podría resultar más rentable a largo plazo. El coste de buscar, contratar y formar al personal del SOC podría constituir un factor significativo, sobre todo porque podría aumentar debido a la escasez de personal cualificado, un problema que tiende a aumentar, y al crecimiento de la demanda del mercado.
• Tiempo: configurar un SOC lleva un tiempo considerable, así que hay que respetar los plazos y los planes de la organización. Además, se debería comparar el tiempo necesario para configurar un SOC con lo que se tarda en externalizarlo.
• Normativas: según cuál sea el sector industrial, las normativas que hay que tener en cuenta cambian. Tal vez algunas obliguen a implementar un SOC operativo, mientras que otras podrían prohibir externalizar las operaciones del SOC directamente o, como mínimo, recurrir a ciertos proveedores que no cumplen las normativas pertinentes.
• Privacidad: la cuestión de la privacidad también está regulada y, cuando se manejan datos personales, se debe respetar la correspondiente normativa.
• Disponibilidad: hay que tener en cuenta los requisitos relativos a la disponibilidad. Casi siempre, el objetivo es que el SOC esté operativo de forma ininterrumpida durante todo el año.
• Respaldo de la dirección: el respaldo de la dirección es crucial a la hora de configurar un SOC. Si los directivos no se implican y no se comunican las ventajas del SOC a los altos cargos, tal vez el equipo no consiga los recursos que necesita.
• Integración: cuando el SOC es interno, sus funciones se deben integrar con otros departamentos de TI, mientras que si se opta por un SOC externo, se debe integrar al proveedor para que tenga acceso a todos los datos necesarios.
• Preocupaciones relativas a la pérdida de datos: el SOC suele ser un lugar central en el que se procesa una cantidad considerable de datos confidenciales. Los SOC internos deben contar con una buena protección, mientras que los externos necesitan un proveedor de confianza que garantice que los datos estén protegidos ante posibles robos de propiedad intelectual e industrial o pérdidas accidentales.
• Conocimientos especializados: las competencias especializadas necesarias para ocuparse del funcionamiento de un SOC no son fáciles de conseguir, pues se necesita tiempo y dinero para adquirirlas. La contratación y retención del personal es un factor crucial en el caso de los SOC internos. En cambio, los proveedores de SOC externos ya cuentan con las competencias necesarias. Sobre todo en el contexto de un SOC, el hecho de conocer varias empresas sitúa a los proveedores de SOC en una posición ventajosa. En cualquier caso, las empresas deben tener en cuenta que, al optar por la externalización, se reducen sus conocimientos internos.

Por qué es importante contar con un SOC gestionado

Los SOC gestionados, al igual que los locales y los híbridos, pueden ser de distintos tipos. Todos ellos se ocupan de supervisar las amenazas que afectan a una organización y protegen la red de TI, los dispositivos, las aplicaciones, los endpoints (superficie de ataque) y los datos frente a vulnerabilidades, amenazas y riesgos, tanto si son conocidos como si no.

Por lo general, los servicios de SOC gestionados pueden ajustarse a dos modelos:

• Proveedores de servicios de seguridad gestionados (MSSP) que adoptan centros SOC en la nube y usan procesos automatizados.
• Detección y respuesta gestionadas (MDR), que recurren más a la intervención humana directa más allá de la prevención básica, para hacer posibles actividades proactivas y avanzadas como la búsqueda de amenazas.

Si se opta por un SOC gestionado, se puede reducir la complejidad de gestionar y mantener un SOC interno, lo cual resulta interesante sobre todo en el caso de las pequeñas y medianas empresas.

Lo mismo ocurre en cuanto a la búsqueda de expertos en seguridad que se ocupen de crear y ejecutar un SOC que esté a la altura de los requisitos y normativas relativos a la seguridad de TI, cada vez más exigentes. Al contratar expertos en seguridad externos, las organizaciones amplían su cobertura de inmediato y refuerzan su estrategia de seguridad gracias al acceso a bases de datos de estudios y supervisión de amenazas, lo cual puede redundar en una mayor rentabilidad de la inversión (ROI) en comparación con un SOC interno.

Ahora que los actores de amenazas adoptan sus propias formas de transformación digital y aprovechan la automatización, las organizaciones necesitan operaciones de seguridad con capacidad para defenderse de ellas. Los proveedores de seguridad gestionada ofrecen una cobertura ininterrumpida y garantizan el servicio con acuerdos de nivel de servicio (SLA) que definen el alcance y la prestación de los servicios, como la instalación de las actualizaciones de software y las revisiones requeridas en cuanto están disponibles o la adopción de contramedidas frente a una nueva amenaza en cuanto están listas para implementarse.

Retos del SOC gestionado

Aunque externalizar las operaciones de seguridad brinda muchas ventajas, también existen retos y limitaciones, por lo que resulta crucial comparar servicios, soluciones y SLA con la debida diligencia.

Incorporación

Los proveedores de SOC gestionados suelen contar con su propia tecnología de seguridad, así que estas soluciones se deben configurar e implementar dentro del entorno del cliente antes de que el proveedor empiece a prestar sus servicios. La transición durante el proceso de incorporación puede llevar mucho tiempo y exponer a la empresa a riesgos durante esta fase tan vulnerable.

Intercambio de datos cruciales

El proveedor del SOC como servicio de una organización necesita acceder a información sobre la red de la empresa para detectar amenazas potenciales y responder a ellas. Para ello, la organización necesita enviar grandes cantidades de datos confidenciales e inteligencia a su proveedor de servicios. Sin embargo, el hecho de renunciar al control de la información potencialmente confidencial puede hacer que la seguridad de los datos empresariales y la gestión de riesgos resulten más complicadas, lo cual puede dar lugar a vulnerabilidades durante esta fase.

Almacenamiento de datos fuera de la organización

El almacenamiento externo del análisis y los datos confidenciales sobre amenazas supone un riesgo potencial de filtraciones y pérdidas de datos si las ciberdefensas del SOC fallan o si termina la relación con el proveedor del servicio. Normalmente es posible llevar un seguimiento de las alertas sobre amenazas dentro de la empresa, pero la mayoría de los datos se procesan fuera del perímetro, lo que limita la posibilidad de almacenar y analizar historiales de datos ampliados sobre las amenazas detectadas y las posibles brechas de datos.

Coste de la distribución de logs

Los proveedores de SOC como servicio suelen ejecutar sus soluciones de ciberseguridad in situ usando fuentes de datos y TAP de las redes de sus clientes, lo que significa que los archivos de log y otros datos de alertas se generan y se almacenan en la red y los sistemas del proveedor. Para una organización, puede salir caro acceder a los datos de logs completos que tiene un proveedor de SOC gestionado.

Ausencia de un equipo de seguridad de TI específico

Las funciones, las responsabilidades y el alcance pueden diferir de una organización a otra, lo cual crea una desconexión si se busca un modelo que valga para todo en lugar de formar un equipo que conozca bien los entornos e infraestructuras de cada cliente, con sus diferencias y particularidades. Es posible que un equipo de SOC externo no permita personalizar los servicios, pues tal vez algunos se compartan entre varios clientes, lo cual puede afectar negativamente a la eficiencia.

Conocimientos limitados de la actividad empresarial concreta

Al prestar sus servicios a varios clientes y compartir recursos del SOC, los proveedores de SOC gestionados podrían pasar por alto posibles lagunas en el entorno o no comprender del todo los procesos y procedimientos empresariales de una organización para protegerlos correctamente.

Cuestiones reglamentarias y de cumplimiento normativo

El panorama normativo cada vez es más complejo, y las organizaciones tienen que implementar políticas y controles de seguridad para garantizar y demostrar el cumplimiento normativo. Si bien un proveedor de SOC gestionado puede prestar ayuda en lo que se refiere al cumplimiento normativo, también es cierto que el hecho de recurrir a un proveedor externo podría complicar los requisitos de cumplimiento, pues hay que confiar en que el proveedor del servicio cumpla con sus obligaciones en este sentido.

Opciones limitadas de personalización de servicios

Un SOC externo no suele permitir personalizar por completo los servicios prestados, pues los comparten varios clientes. La limitación en las opciones de personalización puede quitar eficiencia a los distintos departamentos de la organización y hacer que sea imposible proteger en condiciones ciertos endpoints, redes y otras partes de la infraestructura de seguridad.

En general, para asegurarse de hacer las cosas bien, hay que elegir un SOC específico que brinde a las organizaciones ventajas como la supervisión continua de la red, la visibilidad centralizada, la reducción de los costes de ciberseguridad y la mejora de la colaboración. Los ciberdelincuentes nunca descansan, y usted tampoco debería relajarse.

Para saber qué es, a grandes rasgos, un centro de operaciones de seguridad (SOC), lea el artículo ¿Qué es un SOC?