Red Seguridad 091

red seguridad cuarto trimestre 2020 35 Cuando pienso en el tipo de auto- matización adecuado para los SOC, se trata de automatizar el flujo de trabajo de los incidentes para propor- cionar a los analistas más contexto y reducir el tiempo de detección a respuesta. Haciendo eso, el equipo SOC puede reducir significativamente o eliminar los daños de un ataque. Y ese es el objetivo final para cualquier equipo de este tipo y la organización a la que apoya. Un ejemplo de esto lo ilustra el caso de uno de nuestros mayores clientes empresariales. Este fabricante inter- nacional de ropa deportiva reemplazó su actual solución de seguridad y registro porque no podía ofrecer infor- mación en tiempo real de la actividad en el sitio web de la empresa. Al cambiar a Devo, fue capaz de realizar la detección y respuesta de seguridad en tiempo real y la caza de amenazas a través de su sitio web, indepen- dientemente de la carga de tráfico. La compañía ahora puede detectar y detener en tiempo real a los robots que compran nuevos productos para venderlos en el mercado negro. Las personas, procesos y tecnolo- gías que trabajan juntas para mante- ner la organización segura son la clave de un equipo SOC eficaz y sostenible que puede hacer frente a los retos de seguridad de hoy y de mañana. Haciendo estas cosas, los analistas de primer nivel no se quemarán persi- guiendo todo lo que aparezca en sus pantallas. Podrán trabajar en horario de 9 a 18 horas sin que haga falta llamarlos regularmente a altas horas de la noche para continuar traba- jando en una investigación. También serán capaces de trabajar a distancia con bastante eficacia, e incluso redu- ciendo el agotamiento. Además, esto ayudará a escalar el SOC a medida que el negocio crece, y así recom- pensar a los analistas merecedores con promociones y mayores respon- sabilidades. La fatiga de alerta es un verda- dero problema para los analistas de seguridad en todas las industrias y regiones. Una rama del ejército de una potencia mundial necesitaba una nueva solución SIEM para hacer frente a la creciente sofisticación de los actores de la amenaza y los hackers de estado-nación. Los líde- res de seguridad de la organización sabían que sus analistas del SOC tenían un tiempo medio de respuesta (MTTR) de menos de 19 minutos para detener las amenazas antes de que pudieran comprometer sus datos, que aumentan en 50 TB cada día. Esta rama militar seleccionó a Devo Security Operations como su nuevo SIEM por su capacidad de escalar, automatizar el flujo de trabajo y enriquecer los datos. Igualmente importante es que Devo está hacien- do una contribución significativa a la reducción de la fatiga de alerta en el equipo SOC al reducir las más de 20.000 horas humanas de tiem- po que los operadores cibernéticos dedican actualmente al aislamiento de amenazas, a la selección y a los procesos de investigación. Esto libera a los analistas para que se centren en la búsqueda de amenazas críticas y en los esfuerzos de resolución. El proceso es crítico Si las personas son el activo más importante de un SOC experimenta- do, entonces el proceso es la base necesaria para que las personas ten- gan éxito. El proceso da vida a los objetivos que se quieren poner en marcha y es la forma de medir el éxito. También es la manera de evaluar lo bien que las personas interactúan con la tecnología para lograr esas medicio- nes. Puedes desplegar el SIEM más avanzado u otras tecnologías, pero, a menos que tengas los procesos adecuados para usarlos eficazmente, así como los profesionales con las habilidades oportunas para operarlos, no te darás cuenta del valor total. Cada analista del SOC quiere tra- bajar en lo que es interesante en relación a lo que está sucediendo en el momento. El objetivo de los SOC es construir un entorno en el que los analistas puedan centrarse en lo más importante –que suele ser lo más complejo– y no en lo que rutinaria- mente debe manejar la tecnología. La automatización, un aliado Cuando se habla de la palabra "auto- matización" en términos de equi- pos de operaciones de seguridad, a menudo se llega a la conclusión de que se refiere a automatizar los traba- jos de los analistas. No es así como yo lo veo. La automatización puede ser una gran ventaja para ayudar a los SOC a lidiar con las alertas y los indi- cadores de compromiso de manera rápida y efectiva. opinión servicios esenciales monográfico