El Centro de Operaciones de Seguridad, más conocido como SOC, se refiere al equipo que es responsable de garantizar la seguridad de la información en un entorno TI dentro de una organización.
Cada vez estamos más expuestos a las amenazas de seguridad, por diversos motivos. Hablamos de malware (ransomware, principalmente, pero también otros tipos de software malicioso), de phishing, de ataques de fuerza bruta o de DDoS, entre otras muchas amenazas. Los usuarios finales son un objetivo claro de los atacantes, que utilizarán todos los medios a su alcance para tratar de robar las credenciales de acceso, datos bancarios o cualquier otra información que pueda ser de provecho para estos delincuentes.
Por un lado, los servicios de antivirus tratan de proteger a estos usuarios finales y a sus dispositivos, pero en un entorno tan dinámico como lo es el actual, se hace necesario contar con controles de seguridad que tengan en cuenta el contexto de identidad para anticipar, prevenir, detectar y reaccionar mejor ante las amenazas.
Qué es el SOC y qué objetivos tiene
La función de un equipo de operaciones de seguridad y, por extensión, de un centro de operaciones de seguridad (SOC), es vigilar, detectar, investigar y responder a las ciberamenazas las 24 horas del día, sin descanso.
Los equipos de operaciones de seguridad se encargan de supervisar y proteger activos como la propiedad intelectual, los datos personales, los sistemas empresariales y la integridad de la marca. Estos equipos de operaciones de seguridad actúan como punto central de colaboración en los esfuerzos coordinados para supervisar, evaluar y defenderse de los ciberataques.
Los SOC constan de variedad de sistemas, como soluciones de evaluación de vulnerabilidades, sistemas de gobernanza, riesgo y cumplimiento (GRC), escáneres de aplicaciones y bases de datos, sistemas de prevención de intrusos (IPS), análisis del comportamiento de usuarios y entidades (UEBA), detección y corrección de puntos finales (EDR) y plataformas de inteligencia de amenazas (TIP).
El objetivo de un SOC es detectar, analizar y corregir incidentes de ciberseguridad utilizando las soluciones tecnológicas al alcance. Entre otras cosas, el SOC analizará la actividad en redes, servidores y terminales; bases de datos, aplicaciones y sitios web; así como cualquier otro sistema involucrado. De esta manera, la mínima señal o comportamiento anómalo será detectada con rapidez, y será posible atajar rápidamente cualquier incidente de seguridad, o descartar una falsa alarma.
El SOC debe garantizar la identificación de los incidentes, así como analizarlos e investigarlos, y también documentarlos. Otras capacidades son el análisis avanzado, el criptoanálisis y la ingeniería inversa del malware.
Principales funciones del SOC
Inventariado de los recursos disponibles
El SOC es responsable de, por un lado, los distintos dispositivos, procesos y aplicaciones que proteger; y, por otro, de las herramientas defensivas. El SOC debe tener visibilidad completa sobre las posibles amenazas a la empresa, incluyendo no sólo los distintos tipos de puntos finales, servidores y software, sino también los servicios de terceros y el tráfico que fluye entre estos activos. Por otro lado, también debe tener un conocimiento completo de todas las herramientas de ciberseguridad disponibles y de todos los flujos de trabajo.
Preparación y mantenimiento preventivo
Los miembros del SOC deben mantenerse al día sobre las últimas innovaciones en seguridad, las últimas tendencias en ciberdelincuencia y en nuevas amenazas. De esta manera, podrán orientar mejor los esfuerzos de ciberseguridad de la empresa de cara al futuro, y diseñar lo mejor posible el plan de recuperación de desastres.
Además, es necesario apostar por el mantenimiento predictivo para poner las máximas trabas a las amenazas: actualización periódica de los sistemas; actualización de las políticas de cortafuegos; parches para «cerrar» el acceso a las vulnerabilidades; listas blancas y negras y protección de aplicaciones.
Supervisión proactiva continua
Una de las funciones principales del SOC es escanear la red continuamente, las 24 horas al día, 7 días a la semana, para detectar cualquier anomalía o actividad sospechosa.
Clasificar y gestionar las alertas
Es responsabilidad del SOC examinar cada una y descartar los falsos positivos, determinar el grado de amenaza real y conocer sus posibles objetivos. De esta manera, se pueden clasificar perfectamente las amenazas, tratando primero los problemas más urgentes.
Responder a las amenazas
Ante una amenaza, el SOC es el primer interviniente con el objetivo de responder con el menor impacto posible en la continuidad del negocio.
Recuperación y corrección
El SOC trabajará para restaurar los sistemas y recuperar los datos perdidos o comprometidos empleando todas las herramientas a su alcance. En el caso de ataques de ransomware, será necesario desplegar copias de seguridad viables, por ejemplo. Para cada caso, el SOC empleará las técnicas más apropiadas.
Gestión de registros
Este equipo estará encargado de recopilar, mantener y revisar periódicamente el registro de toda la actividad de la red y las comunicaciones en la organización. Así se puede determinar cuál es el uso normal de la red, lo que redunda en una mejor detección de amenazas ante actividad inusual.
Investigación de las amenazas y perfeccionamiento de los protocolos de seguridad
Tras un incidente, el SOC es responsable de averiguar qué, cuándo, cómo y por qué sucedió. Con este aprendizaje, sumado a la investigación constante en nuevas amenazas y técnicas, para adelantarse a ellos, los protocolos de seguridad estarán siempre en mejora continua.