Blog A3Sec

Centro de Operaciones de Seguridad (SOC): Su evolución

Escrito por Javier Díaz Evans, Director General Global | 17 agosto, 2023

De los Logs al IDS

Siempre hemos sabido que los registros de auditoría que generan los sistemas son una fuente de información clave para la ciberseguridad. Lo primero es que se generen, pero lo segundo, y más difícil, era revisarlos. Es por ello que, en 1980 en la NSA se genera un concepto preliminar de lo que conocemos como IDS.

James P. Anderson desarrolló en los años ochenta un conjunto de herramientas que ayudaba a los administradores a verificar los registros de auditoría. Entre estos se encuentran: logs de accesos de usuario, logs de acceso a archivos, logs de eventos de sistema, entre otros. 

El concepto evolucionó rápidamente, hasta empezar a tener los IDS comerciales que conocimos a finales de la década de los noventa. Estos sistemas de detección se basaban en firmas debido a que los sistemas de anomalías generaban mucho ruido y falsos positivos.

 

Del SIEM al Análisis de Seguridad

Con el BOOM de Internet a finales de los años 90, se da un crecimiento acelerado de los controles de ciberseguridad para las organizaciones. Los proyectos de arquitectura de ciberseguridad eran fundamentales para posicionar a las organizaciones en la red de redes y mitigar los riesgos de hacking y malware en la red. 

Los usuarios implementaron diversos controles desde los FW, IDS y Antivirus, entre otros. Cada día eran más elementos y la revisión de los registros de auditoría se volvía más compleja. Surge el primer control para correlacionar logs de herramientas de ciberseguridad, que se enfoca únicamente en ver los logs del FW y del IDS para reducir los falsos positivos de los detectores de intrusos.

Esto abrió la mente de muchos y los llevó a enfocarse en la capacidad de correlacionar cualquier tipo de fuente de información de los controles de ciberseguridad para ser más efectivo en la detección de incidentes. 

En el 2003 Gartner presentó su cuadrante mágico de SIEM. Fue entonces cuando se abrió en el mercado el desarrollo de este nuevo control de la evolución del SIEM, que transformaba la operación de ciberseguridad en una función soportada en datos.

Pero la tecnología evoluciona, y las grandes cantidades de datos y la analítica transforman el control en una plataforma que explota al máximo la telemetría. Además, la enriquece con otras fuentes de información para la toma de decisiones y reacción oportuna. Esta evolución se presenta de forma muy detallada en el análisis realizado por Forrester, que compartimos en este artículo

 

De la Detección de Anomalías al Humano Aumentado con AI

Es claro que el IDS fue el inicio de la ingeniería de detección. Se generaron dos tipos de tecnología: la que fue más difundida, soportada en reglas de detección, y la que generaba una línea base mediante el análisis del tráfico de la red. 

Esa línea base generaba umbrales que se utilizaban para alertar eventos fuera de lo normal. Sin embargo, dicha tecnología no ganó tanto mercado debido a la cantidad de falsos positivos generados, a causa de su falta de madurez en la época. 

Actualmente, incluimos diferentes algoritmos de aprendizaje de máquina en los sistemas de analítica de ciberseguridad, con resultados muy efectivos. Estos algoritmos deben retroalimentarse con los procesos de triage e investigación, lo que hace que la unión de la tecnología y las habilidades de los equipos genere realmente mucho valor.

Con la salida de ChatGPT y otras herramientas de inteligencia artificial, se presentó uno de los casos de uso que más se viene probando, y se apoya  de dichos servicios para dar contexto y un entendimiento más adecuado de las amenazas. Los equipos defensivos y ofensivos vienen utilizando dichos servicios para que sus labores y análisis sean más acertados. Esto es a lo que llamamos el humano aumentado. En este artículo se muestran beneficios y riesgos de la AI.

 

Del SOC a la Operación de Seguridad

Hace varios años era claro los servicios que debíamos adquirir para resolver necesidades como:

  • Colección de logs y resguardo.
  • Correlación de logs, gestión de eventos y alarmas de ciberseguridad.
  • Reportes de cumplimiento.
  • Servicios de triage e investigación.

Estos eran los servicios prestados por los SOC. Las organizaciones entendieron que tercerizar este tipo de servicios proveía beneficios más allá de los costos. La siguiente gráfica muestra algunos aspectos relevantes:

La forma de entregar servicios va más allá de una infraestructura, es necesario:

  1. Comprender el entorno del cliente: Debemos entender que controles de ciberseguridad tiene actualmente la organización para establecer la visibilidad del servicio.
  2. Establecer los procesos operativos y alinear a la estructura del cliente y a los lineamientos de gobierno de seguridad implementados.
  3. Gestionar continuamente el servicio para evolucionar y medir las expectativas del cliente.

En la actualidad, el mercado nos está confundiendo con muchas siglas y opciones para resolver las necesidades de prevención, detección y respuesta a incidentes. A continuación vamos a tratar de describir cada una de las opciones que encontramos en el mercado.

 

SIEMaaS

Desde hace algunos años, se empezó a proveer la herramienta de recolección y correlación de eventos como servicio. Las empresas que tenían su operación de ciberseguridad tomaban la decisión de sacar la solución SIEM on-premise para tener capacidades de elasticidad y escalabilidad, y quitarse la administración de la plataforma y el mantenimiento de la infraestructura. Al ser una solución enfocada en datos, los beneficios de la nube eran claros.

 

SOCaaS

El SOC como servicio se puede definir cómo el monitoreo 7x24 de detección avanzada de amenazas. El servicio se soporta en una herramienta de recolección, correlación de eventos e intervención remota. 

El SIEM es el núcleo del servicio y cuenta con personal de primer nivel para analizar los eventos, así como otros equipos para investigación. Sus procesos se enfocan en la gestión de incidentes de ciberseguridad, donde la gestión de tickets y casos logra apoyar dicho proceso.

 

MDR

El servicio de MDR inicia con la administración y operación de las soluciones EDR. El concepto se forma al entender que el proceso de triage e investigación y mantenimiento de las soluciones de EndPoint Detection & Response requería unas capacidades específicas. 

Los clientes que reemplazaron el antivirus por soluciones EDR comenzaron a contratar estos servicios. Actualmente, el MDR se ha ampliado con el mismo concepto de XDR (este concepto lo vamos a tratar a continuación), que vienen posicionando los fabricantes de EDR

Su objetivo es extenderse a otras fuentes de información, ya que solo con la visibilidad del EndPoint no tenemos una capacidad adecuada para enfrentar las amenazas actuales.

 

M-XDR

El eXtend Detection & Response es una sigla que ha generado muchas discusiones en su definición, las que más comunes son:

- XDR es el Next Generation SIEM

- XDR es un EDR con esteroides

- XDR = EDR + NDR + CDR

Estas discusiones son intensas, pero lo claro es que se estableció para ampliar las fuentes de información y mejorar la capacidad de análisis y visibilidad.

 

La M que le incluyeron se refiere a la administración y operación de esa extensión de fuentes de información. Se observan servicios en los que incluyen un SIEM o DataLake, mientras que otros han desarrollado sus propios playbooks de triage e investigación, los cuales los clientes pueden visualizar en una plataforma.

 

ITDR

Últimamente, se ha empezado a posicionar la sigla Identity Threat Detection & Response (ITDR), la cual se enfoca en casos de uso específicos, tales como:

- Sistemas comprometidos

- Identidades expuestas

- Situaciones en las que se hayan utilizado identidades expuestas

- Proceso para revocar privilegios, rotar credenciales e implementar otros controles de ciberseguridad para contener las amenazas

Para lograr cubrir esta necesidad, es necesario contar con fuentes de información como Directorio Activo, PAM, IdM, entre otros.

 

Operación Unificada de Ciberseguridad por A3Sec

Este es un concepto que está tomando forma, se incluyen los servicios de gestión continua de la superficie de ataque y de la postura de ciberseguridad, adicionando los servicios de detección y respuesta. 

Este servicio integra equipos, procesos y tecnología para cumplir los objetivos de reducir el Dwell Time de los Incidentes. A continuación, describimos lo que conforma este concepto.

 

Tribus

Este tipo de servicios cuenta con equipos altamente especializados que se enfocan en desarrollar una actividad específica en la prestación del servicio. A continuación, comparto algunas de las tribus que integran el servicio de Operación Unificada de Ciberseguridad en A3Sec.

 

  • DevSecOps & ML-Ops

El equipo DevSecOps, compuesto por nuestros arquitectos, se enfoca en:

  • Mantener la infraestructura que soporta nuestros servicios y la operación
  • Despliegue de infra como código
  • Automatización de procesos
  • Integraciones

 

  • Offensive

El equipo ofensivo se enfoca en entender los artefactos y las técnicas utilizadas por los atacantes, con el fin de validar la efectividad de los controles existentes en la operación de nuestros clientes. Su misión es apoyar la mejora continua de la postura de ciberseguridad. Su enfoque se orienta de la siguiente manera:

  • Análisis continuo de las vulnerabilidades publicadas
  • Análisis de los artefactos y herramientas utilizadas por los agentes de amenazas
  • Priorización de las acciones para mitigar de forma efectiva los riesgos detectados

 

  • IT, TH

El equipo de Inteligencia y cazadores de amenazas, junto con el equipo de científicos de datos, busca la creación de inteligencia que ayude a ser más efectivos en la detección de las técnicas, tácticas y procedimientos. Su enfoque se orienta de la siguiente manera:

  • Generación de IoC (Indicadores de Compromiso) e IoA (Indicadores de Ataque)
  • Desarrollo de modelos de detección
  • Reducción de fatiga de alertas

 

  • IR

El equipo de respuesta a incidentes se enfoca en la ejecución de actividades orientadas a la gestión de alarmas e incidentes, mediante la priorización, investigación, escalamiento, contención y recuperación frente a eventos generadores de riesgo para nuestros clientes. Su enfoque se compone de las siguientes tareas: 

    - Generación de conocimiento del cliente: inventario de activos, accesos, apps autorizadas.

    - Triage de alarmas.

    - Priorización y escalamiento.

    - Investigación.

    - Procesos de contención y gestión de crisis.

 

  • Consulting 

Nuestro equipo de consultores y client success son responsables por la gestión de las expectativas de nuestros clientes, gestionan el backlog y coordinan los recursos para exceder las expectativas. Su enfoque se basa en las siguientes actividades:  

    - Recolectar las necesidades de los clientes

    - Gestionar el backlog de requerimientos del cliente

    - Guiar la estrategia de ciberseguridad mediante la priorización de requerimientos de varios clientes

    - Transformar los conceptos técnicos de nuestros servicios a un lenguaje de negocio

    - Apoyar la gestión de riesgo de la organización de acuerdo con la operación de ciberseguridad de nuestros servicios

 

Procesos y Herramientas Clave

Cada tribu tiene a su cargo procesos y herramientas específicas, con la misión de evolucionar dichos procesos y encontrar nuevas formas de hacerlo de forma más eficiente. A continuación, se presenta la tabla que muestra las tribus, sus procesos y las herramientas requeridas para llevar a cabo sus tareas de manera eficiente:

 

Tribu

Procesos y Responsabilidades

Herramientas

DevSepOps & ML-Ops

Ciclo de Vida de Aplicaciones CD/CI: Implementación, operación, mantenimiento, automatización, integraciones y soporte, ML Ops

Ansible, Terraform, WOCU, TensorFlow, Serveress, Microservicios, Phyton

Offensive

Inventario continuo de activos digitales. Gestión continua de la efectividad de los controles. Estrategia de gestión efectiva de vectores de ataque. Mitre Attack y Mitre Defend

Atomic RedTeam, ASV,

IT, TH

Ingeniería de Detección. Metodología de threat hunting. Mitre Attack

TIP, SIEM, EDR, NDR, Sandbox

IR

Gestión de Eventos de Seguridad. Gestión de Incidentes de Seguridad. Gestión de Crisis

SIEM, TIP, Herramienta de Tickets, SOAR, EDR, NDR.

Consulting

Gestión de Proyectos Ágiles. Gestión de Riesgos e Incertidumbre de Ciberseguridad. Mitre Defend

Herramienta de Gestión de Proyectos.

 

¿Cuáles son los nuevos requerimientos que desean cubrir nuestros clientes con nuestros servicios de Operación Unificada de Seguridad?

Hemos generado una lista de requerimientos tanto para clientes en LATAM como para clientes en Europa, que han expresado su interés en los servicios de Operación Unificada de Ciberseguridad. Creemos que esta lista puede ser de gran valor a la hora de elaborar un pliego o implementar este tipo de servicios en nuestras organizaciones.