La organización de un SOC debe ser la adecuada para poder predecir, prevenir, detectar y neutralizar ciberataques. De este modo podrá proteger a las organizaciones, en torno a las cuales giran su diseño, composición y funcionamiento.
Un SOC es el centro de operaciones de seguridad donde los analistas de ciberseguridad trabajan monitorizando los sistemas corporativos. Así defienden a la organización de los ciberataques e identifican, investigan y minimizan las amenazas a la ciberseguridad de una organización.
La actividad de SOC tiene dos vertientes complementarias
- Análisis de datos. Extraer datos internos de la organización y obtener datos externos de comportamiento de la ciberdelincuencia para realizar los análisis que permitan predecir e identificar los ataques y la evolución de los mismos.
- Estrategias de actuación. A partir de esos análisis, establecer las estrategias de actuación para proteger los sistemas de la organización, evitar que un ciberataque tenga éxito y, en el caso de que lo tenga, minimizar sus efectos y recuperar en el menor tiempo posible la normalidad.
De estas dos líneas derivan los seis pilares que forman la base de un programa de seguridad cibernética eficaz y que han de proporcionar a la organización capacidades para la protección reactiva como para la protección proactiva.
- Protección reactiva: respuesta tras el intento o la materialización del ciberataque.
- Protección proactiva: adelantarse a las amenazas, impidiendo que sucedan.
Bases de un programa de ciberseguridad
Los seis pilares que sostienen la actividad de un SOC son:
- Identificación. Definición de las funciones críticas de la organización y los riesgos de ciberseguridad que podrían interrumpirlas.
- Protección. Determinación del impacto potencial de un ciberataque y desarrollo de un plan para minimizar el daño causado.
- Detección. Tipificación permanentemente actualizada de los posibles incidentes de seguridad cibernética y de las formas de identificar su materialización en tiempo real.
- Respuesta. Desarrollo de un plan de respuesta rápida a cualquier incidente de ciberseguridad para evitar que se propague.
- Recuperación. Restauración de cualquier dato, actividad o capacidad que se hayan visto afectados por un incidente de ciberseguridad, para que la organización recupere el normal funcionamiento en el menor tiempo posible.
- Prevención. Investigación y realización de simulacros como base de la protección proactiva de la organización.
Niveles de organización de un SOC
Nivel 1: Monitorización y análisis.
Equivale a disponer de un SIEM (Security Information and Event Management). La actividad principal de este nivel es la de monitorizar los registros de eventos para detectar la actividad sospechosa. Los especialistas del nivel 1 se encargan de abrir los partes de incidentes, desestimar los falsos positivos, dar la alarma y realizar acciones básicas de mitigación. En el caso de que el incidente no pueda resolverse en este nivel, escalan la acción al siguiente nivel.
Nivel 2: Estudio y respuesta.
En este nivel, la investigación tiene un papel principal. Se profundiza en la actividad sospechosa para determinar la naturaleza de la amenaza y su grado de penetración en la infraestructura corporativa. A su vez, se coordina la respuesta que pueda contener el ciberataque. Esta es una actividad de mayor impacto.
Los profesionales de este nivel están especializados en:
- Análisis forense de redes avanzadas.
- Procedimientos de respuesta a ciberataques.
- Evaluación de malware e inteligencia de amenazas.
Nivel 3: Investigación profunda y prevención.
Realiza las labores más importantes de contención y anulación de ciberataques, pero también las de análisis de datos y establecimiento de estrategias en los SOC más avanzados. Su cometido es articular y llevar a cabo la respuesta a incidentes complejos, capaces de tener una gran penetración y causar daños importantes en el funcionamiento de la organización. Para ello, efectúan una profunda investigación de datos forenses y de contrainteligencia. El objetivo es identificar las amenazas que los sistemas de detección puedan pasar por alto y sean susceptibles de causar grandes daños. Con esta información, los especialistas del nivel 3 llevan a cabo simulacros de ataques en la infraestructura de TI de la organización a través de los test de intrusión. De este modo se podrá comprobar su vulnerabilidad, preparar al personal, optimizar las herramientas de monitoreo y defensa y facilitar la ejecución de las medidas de prevención oportunas.
Los profesionales de este nivel tienen un grado muy alto de preparación para la resolución o mitigación de los incidentes, así como la de detección y caza de potenciales ciberataques que pudieran dañar la infraestructura TI de la organización.
El SOC Sothis ERIS-CERT®
SOC Sothis ERIS-CERT® es el centro de operaciones de seguridad de la información responsable de la realización de las actividades de seguridad analítica y seguridad operativa. En Sothis ponemos este servicio a disposición de nuestros clientes para la entrega de servicios de ciberseguridad, utilizando herramientas líderes en el mercado y ofrecidas as-a-service, según sus necesidades.
Alrededor de este centro neurálgico, hemos desarrollado un portfolio de soluciones de ciberprotección, cibervigilancia y ciberrespuesta para adaptarnos a las necesidades de seguridad de cada cliente y con especialistas formados específicamente para cada nivel y con capacidad para realizar Test de Intrusión. Además, este test se realiza siguiendo una metodología propia diseñada por el Departamento Red Team de Sothis.
Este departamento Red Team de Sothis está formado por un grupo de profesionales altamente especializados en la emulación realista de los comportamientos y técnicas usadas por los ciberdelincuentes.
ERIS-CERT® se construye bajo los cimientos de las actividades de SecOps con el fin de llevar a nuestros clientes una nueva etapa en la evolución de los actuales SOC que les permita disponer de capacidades de detección avanzadas. Todo esto asegura respuesta rápida y precisa.