Según el FBI, el número de Ataques ciberneticos informado a su División Cibernética es un 400 por ciento superior en comparación con niveles prepandémicosy los ataques están empeorando. Desde sitios financieros hasta sitios de atención médica, sitios gubernamentales e industrias de la cadena de suministro, nadie está a salvo de estos ataques. La defensa tradicional contra estas amenazas es la Centro de Operaciones de Seguridad (SOC) – una sala llena de analistas que buscan alertas de seguridad en las pantallas de televisión – pero esta defensa no está funcionando muy bien – solo pregunte al los riesgos de seguridad cibernética equipos en Continental Pipeline, Target, TransUnion o cualquiera de los cientos de otras empresas que han experimentado ataques significativos.
Como un SOC Funciona y no funciona
La teoría operativa detrás de un SOC es que si recopila suficientes datos en toda la empresa a través de varios Herramientas de seguridad y TI, luego use plataformas de análisis para clasificar y visualizar las alertas de diferentes herramientas, luego, finalmente, implemente un equipo de analistas por niveles para administrar y responder a las alertas, luego, seguramente, la mayoría o todos los ataques cibernéticos se detectarán rápidamente y se manejarán antes de que causen un daño real. La experiencia del mundo real nos dice lo contrario.
Hay varias razones por las que SOC modelo está roto. En primer lugar, todas esas herramientas de seguridad emiten MUCHAS alertas, miles de ellas, muchas de las cuales son benignas. Por ejemplo, un usuario que normalmente se encuentra en la oficina iniciando sesión desde una ubicación remota podría desencadenar una alerta, o un usuario que inicia sesión fuera del horario comercial podría desencadenar una alerta. Los analistas de seguridad deben lidiar con cientos o miles de estas alertas de "falsos positivos" cada día.
Otra razón por la cual SOCs El error es que cada una de las herramientas discretas de ciberseguridad en uso tiene su propio formato de datos y, a menudo, su propia consola y, en última instancia, solo representa un aspecto único de la postura de seguridad de la organización. En el mundo actual, muchos ataques cibernéticos complejos ocurren a través de dos o más vectores: no es solo que alguien golpee contra un firewall, podría ser un ataque de phishing a través del correo electrónico o un virus descargado durante una actualización de programa de rutina (como con el Ataque SolarWinds). El problema es que en un SOCNadie ve el panorama completo de forma nativa; ese panorama debe ser correlacionado manualmente entre miles de alertas por equipos de analistas. Al ser manual, este proceso no permite una automatización robusta ni permite que cada alerta reciba atención.
Por lo tanto, hay demasiadas alertas, demasiadas herramientas y no hay suficiente correlación automática de datos entre herramientas. Pero también hay otro problema: no hay suficientes analistas. Un estudio global de los profesionales de la ciberseguridad realizado por Asociación de Seguridad de los Sistemas de Información (AISS) y firma analista de la industria Grupo de estrategia empresarial (ESG) informa que la inversión insuficiente en herramientas de seguridad cibernética, combinada con el desafío de las cargas de trabajo adicionales para los analistas, está provocando una escasez de habilidades que genera puestos vacantes y un alto agotamiento entre el personal de seguridad de la información. Y eso también aumenta los costos de los analistas: un analista de seguridad cibernética de primer nivel puede ganar $ 200,000 por año.
Por supuesto, todo esto está sucediendo en un mundo donde los ciberataques son cada vez más sofisticados y numerosos cada mes.
SOCmenos – Otra manera
Pero, ¿y si las empresas abandonaran el SOC ¿ocurrencia? ¿Qué pasaría si distribuyeran sus defensas cibernéticas geográficamente y entre un equipo de expertos en infraestructura? ¿Qué pasaría si una plataforma automatizara el trabajo mundano de responder a alertas de baja prioridad y el trabajo complejo de correlacionar todas las herramientas de TI y seguridad? ¿Qué pasaría si los analistas dedicaran su tiempo a buscar amenazas de manera proactiva e implementar políticas de mejores prácticas? ¿Y si no existiera la fatiga de alerta? es posible?
Está. Podemos buscar en los equipos de desarrollo de software un ejemplo de cómo podría funcionar. En DevOps, un enfoque moderno para el desarrollo de software, las mejores empresas de software del mundo no alinean a sus desarrolladores en filas en una sala: tienen sistemas que permiten colaboraciones asincrónicas de personas distribuidas en todo el mundo. Pero hay mucho más que solo dónde se sienta la gente.
En DevOps, la innovación y la corrección de errores es una operación continua las 24 horas del día, los 7 días de la semana, construida sobre sistemas de integración continua y entrega continua (CI/CD). El CI/CD moderno permite a los desarrolladores centrarse en la construcción y permite que los equipos más pequeños construyan productos que definen el mercado. Las tareas mundanas y complejas están completamente automatizadas en CI/CD, y los desarrolladores deben realizar pruebas proactivas para todas las funciones que implementan. Esto reduce significativamente los errores y fallas en los sistemas, lo que permite a los desarrolladores concentrarse en lo que más importa.
El trabajo tradicional de un SOC está enfrentando a un equipo dedicado de humanos contra miles de alertas. Pero las principales empresas de tecnología han adoptado un nuevo modelo: las alertas confiables, bien documentadas y de alta fidelidad llaman la atención, pero la mayoría de las alertas pueden ignorarse debido a la automatización. Las plataformas de ciberseguridad más avanzadas envían automáticamente alertas de rutina a la infraestructura o al propietario de la aplicación responsable de esa área en particular, ya sea un firewall, un usuario final, una aplicación o un servidor, junto con un conjunto de respuestas recomendadas. Como Alex Maestretti (actual CISO en Remily, ex gerente de ingeniería en Netflix, donde se encuentra el equipo de SecOps) SOCmenos) ponlo, esto es lo que se entiende por SOCless – descentralizar el triaje de alertas a los expertos del sistema. La solución para alertar la fatiga no es más humanos o más datos, son sistemas autónomos robustos con procesos descentralizados.
Migrando a SOCMenos
Para hacer esto SecOps trabajo modelo, el departamento de seguridad necesita personas que contribuyan continuamente con cambios de política significativos, estrategias de detección y libros de jugadas, sin mirar los monitores en busca de alertas. Se necesita trabajo y compromiso para llegar a ese estado, pero si los analistas siempre están monitoreando alertas, nunca se adelantarán al problema. Para habilitar la proactividad, los equipos de seguridad necesitan la CI / CD equivalente para la infraestructura de seguridad.
El primer requisito es tener controles básicos de gestión de riesgos con mejores prácticas de higiene que se apliquen fácilmente. Un buen ejemplo de esto es la implementación completa de Zero Trust; esto no solo mejora su postura de seguridad, sino que también reduce las alertas y el ruido, lo que simplifica el problema de los datos. El segundo requisito es una ciberseguridad. plataforma de detección y respuesta donde las estrategias y los libros de jugadas se pueden implementar rápidamente. La implementación y configuración rápidas son primordiales: el tiempo desde la idea de detección y respuesta hasta la implementación de producción debe ser lo más cercano a cero posible. Cualquier plataforma de detección y respuesta que admita esto será fácil de usar y tendrá un contenido significativo listo para usar, incluidas las detecciones basadas en inteligencia artificial y aprendizaje automático, porque las reglas no son suficientes.
Diriges SOCless Sin embargo, se necesita más que tecnología. Se necesita un equipo comprometido y procesos reinventados: sentirse cómodo con una automatización significativa, hacer que los propietarios de la infraestructura reciban alertas relevantes directamente y dedicar la mayor parte del tiempo al trabajo de seguridad proactivo. Sin embargo, siempre habrá una necesidad de personas, y para muchas empresas aumentar el personal interno con un proveedor de servicios de seguridad administrados es una forma rentable de mantenerse proactivo. Una empresa necesita personas para garantizar que las estrategias correctas se implementen continuamente, y un MSSP con una implementación cogestionada de una plataforma de detección y respuesta permite a las empresas ampliar el soporte según sea necesario. Al igual que las empresas recurrieron a la nube para ofertas como servicio, pueden recurrir a MSSP para preguntas de SOC-as-un-servicio ofrendas Esto ayudará a muchos a completar el proceso interno SOCless transición.
Por lo tanto, al observar detenidamente las funciones de DevOps distribuidas y asignarlas a las operaciones de seguridad distribuidas (SecOps), las empresas pueden comenzar a adelantarse a los piratas informáticos en términos de detección y remediación de ataques complejos. Se necesita un cambio real en la percepción para lograrlo, pero muchas de las empresas más grandes y avanzadas del planeta ya se han ido. SOCless. Tal vez sea hora de que todas las demás empresas también lo hagan.
