• perezrinconclaudia

¿Cómo selecciono una solución SOC virtual para mi negocio?

Claudia Rincón Pérez

Además del modelo tradicional de SOC (centro de operaciones de seguridad), que ofrece monitoreo continuo del sistema para mejorar la posición de seguridad de una organización, también existe una solución de SOC virtual, que ofrece las mismas capacidades, pero es una herramienta basada en la web que se puede subcontratar Simplifique y acelere el trabajo del equipo de seguridad interno.


Para seleccionar una solución de SOC virtual adecuada para su negocio, debe pensar en una variedad de factores.


Hemos hablado con varios profesionales de la industria para conocer su opinión sobre el tema.


Andrew Buldyzhov, CIO, HX Technologies

Un SOC virtual debería, por supuesto, ser más económico que un SOC dedicado, pero también debe proporcionar la misma funcionalidad.


Aquí hay algunas funcionalidades esenciales que uno debe esperar al elegir una solución SOC virtual:


Auditorías de seguridad y pentesting

Seguimiento y respuesta

Recopilación, almacenamiento y análisis de registros

Investigación del incidente

Entrenamiento de seguridad

Cumplimiento de seguridad

Seguridad en la nube y en las aplicaciones.

Al elegir su proveedor de SOC como servicio, verifique si proporciona:


Cumplimiento de los estándares y requisitos reglamentarios que debe cumplir su organización (PCI DSS, etc.).

Almacenamiento de troncos sin procesar durante el período que necesite.

Flexibilidad en la ubicación del personal de SIEM y SOC según sus preferencias y restricciones.

Servicios de refuerzo de la seguridad.

Plataforma SIEM de su preferencia.

Consolas de administración de múltiples inquilinos.

Seguro de riesgo cibernético.

Preste atención al SLA, por ejemplo:


Nivel 1: analistas de alerta: la detección de incidentes y la notificación inicial deben realizarse en 1 hora. Posibilidad de recibir notificaciones de nivel 1 iniciales.

Nivel 2: personal de respuesta a incidentes: verificación y notificación de incidentes en 2 horas. En caso de un SOC sin autoridad (solo monitoreo), porcentaje máximo de falsos positivos. En caso de un SOC con autoridad total, recuperación completa en 72 horas.

Nivel 3 - expertos en la materia y cazadores de amenazas - el número de indicadores de compromiso compartidos; la cantidad de fuentes abiertas, fuentes de análisis de amenazas patentadas y fuentes de la web profunda y la web oscura.



Justin Foster, director de tecnología, Cysiv

Con el costo, la complejidad y la fatiga de alerta asociados con los SIEM tradicionales, el componente más esencial de un SOC virtual es una plataforma moderna nativa de la nube que integra tecnologías esenciales (SIEM, SOAR, UEBA, plataforma de inteligencia de amenazas, administración de casos) en una sola SaaS unificado. Al aprovechar la ciencia de datos, el aprendizaje automático y la automatización, esta plataforma mejora drásticamente el proceso de detección, investigación y respuesta de amenazas. Otros diferenciadores importantes de SOCaaS:


Transparencia : proporciona una visibilidad completa de los procesos del proveedor, no simplemente informes resumidos y paneles de control de alto nivel. Poder participar activamente en las investigaciones junto con los analistas de SOC virtuales, y crear sus propias reglas, lo mantiene en control.


Extensión flexible de su equipo de seguridad : más allá del monitoreo 24/7, un SOC virtual también debe incluir búsqueda e investigación de amenazas, ingeniería y ciencia de datos, y arquitectos de soluciones que funcionen como una extensión perfecta para su equipo. Esto mejora los resultados y le permite concentrarse en otras prioridades de seguridad y cumplimiento.


Amplio soporte de datos : para una visibilidad completa de todo su entorno, incluida la nube / multinube, IoT / IIoT / OT, ​​busque un proveedor que pueda ingerir datos de prácticamente cualquier fuente y luego normalizarlos y enriquecerlos sin costos adicionales. Esto es especialmente importante a medida que su negocio evoluciona para respaldar nuevas iniciativas.


Respuesta activa : recomendar una respuesta adecuada no es suficiente en estos días. Elija un proveedor de SOCaaS que pueda implementar un conjunto de medidas de contención o respuesta preautorizadas en su nombre.




Jason Lawrence, director asociado, AT&T Cybersecurity

A medida que se amplían los requisitos para proteger todo, es fundamental identificar un proveedor de servicios que pueda ofrecer servicios de seguridad muy necesarios, como un SOC virtual.


Al buscar un proveedor de SOC virtual, es importante evaluar lo siguiente:


Disponibilidad : ¿El SOC virtual proporciona cobertura 24/7/365 con un tiempo de actividad esperado del 99,999%?

Ubicaciones : si bien muchos proveedores de SOC virtuales utilizan soluciones basadas en la nube, la principal propuesta de valor de un SOC virtual es su gente. Busque un proveedor con varias ubicaciones, al menos a 200 millas de distancia.

Soporte de analistas : cada SOC virtual tendrá operadores que monitorean el entorno, pero un analista dedicado o un cazador de amenazas brinda un nivel más alto de servicio para necesidades específicas.

Capacidades de la plataforma : ¿La tecnología utilizada por el SOC virtual admite la incorporación gradual de las fuentes de datos? Uno de los principales objetivos de un SOC virtual es una implementación rápida y un cambio de seguimiento rápido. Una vez que haya suficientes fuentes de registro enviadas al proveedor, debe comenzar el monitoreo.

Alertas de inteligencia de amenazas : los SOC virtuales tienen visibilidad de la acción contradictoria en toda su base de clientes, lo que genera inteligencia procesable que debe compartirse con los clientes.

Los SOC virtuales brindan muchos beneficios y mejoran la postura de seguridad de una organización. Por lo tanto, la selección de un proveedor de servicios debe complementar y mejorar la seguridad y mitigar los riesgos.




Mark Nicholls, director de tecnología de Redscan

Al elegir una solución de SOC virtual para su negocio, es importante elegir un proveedor que no solo detecte sino que también ayude a responder a las amenazas.


Para asegurarse de lograr los mejores resultados, evalúe a los proveedores en función de los siguientes aspectos:


Visibilidad de amenazas : la detección de amenazas exige cada vez más una mayor visibilidad. Determine si una solución de SOC virtual es compatible con el monitoreo de redes, terminales y nube y si puede unificar la visibilidad en estas áreas para maximizar la precisión de detección.


Casos de uso admitidos : para ayudar a evaluar las soluciones, establezca qué riesgos de seguridad representan la mayor amenaza para su organización. Pregunte a los proveedores sobre la cobertura que brindan contra las amenazas enumeradas en el marco MITRE ATT & CK y si se incluye la creación personalizada de reglas de detección.


Nivel de respuesta a incidentes : muchas soluciones de SOC virtuales varían en términos del nivel de soporte que ofrecen para ayudar a remediar incidentes. Priorice a los proveedores que brindan información de alta calidad sobre incidentes y consejos de remediación, así como acciones automatizadas para interrumpir amenazas.


Tiempo de implementación : algunas soluciones de SOC virtuales pueden tardar meses en implementarse. Los servicios llave en mano suelen ser mucho más rápidos de implementar, pero es posible que no sean compatibles con sus conjuntos de herramientas de seguridad existentes.


Cobertura fuera del horario de atención : los ataques cibernéticos pueden ocurrir en cualquier momento, así que asegúrese de que la solución elegida brinde soporte las 24 horas, los 7 días de la semana. Si ya tiene un SOC, algunos proveedores podrán aumentar las capacidades y los flujos de trabajo existentes.




Joe Partlow, director de tecnología de ReliaQuest

A lo largo de los años, el enfoque de la subcontratación del SOC ha evolucionado. El modelo tradicional de MSSP aumentó los programas de seguridad de las organizaciones al arrojar más cuerpos al problema. Desafortunadamente, este enfoque no se escala y, lo que es peor, no mejora los resultados de seguridad. Muchos proveedores abordan este problema con un enfoque de extracción y reemplazo de la tecnología administrado por su equipo de servicios. Depender de un solo proveedor para la detección y respuesta aún deja vacíos en las defensas.


Para los clientes que buscan un SOC virtual, deben centrarse en tres elementos clave:


Abra la tecnología y las capacidades de XDR para obtener más valor de sus herramientas existentes y proporcionar una visibilidad completa de su infraestructura de seguridad y operaciones.

Habilite nuevas capacidades como la búsqueda de amenazas y la simulación de violaciones y ataques para pasar a una postura de seguridad proactiva que se adelanta a las amenazas.

Respaldado por la experiencia en seguridad habilitada por tecnología para aumentar los equipos internos con cobertura, nuevos conjuntos de habilidades y protección basada en la comunidad basada en las últimas amenazas que afectan a otras organizaciones.

La buena noticia es que estamos viendo que este nuevo enfoque funciona. Con la capa adecuada de tecnología XDR, podemos reducir el ruido y trabajar con los clientes para enfocarnos en las amenazas más impactantes para su organización. Además, con menos ruido y trabajo, podemos evolucionar la seguridad cibernética de un programa reactivo a proactivo para minimizar el impacto de las amenazas, incluso cuando aumenta el volumen de amenazas.




Bruce Potter, CISO, Expel

Cuando busca un centro de operaciones de seguridad de terceros para asociarse con su equipo de seguridad interno, hay dos preguntas que debe hacer de inmediato que le permitirán saber de inmediato si desea continuar hablando con ese proveedor: su equipo detecta las cosas que me importan? " y "¿Investigarán las alertas de manera oportuna?"


Si se siente bien con las respuestas del proveedor a esas dos preguntas, profundice. Averigüe si están dispuestos a usar la tecnología de seguridad que ya tiene y si lo ayudarán a evaluar y adquirir nueva tecnología para llenar cualquier brecha de detección. Debe determinar si su estrategia de detección y respuesta difiere entre la tecnología local, la infraestructura en la nube y las aplicaciones en la nube. Y asegúrese de saber cómo su equipo se relacionará con usted cuando suceda algo malo ... porque así será.


Comprender cómo se comunicarán con usted, cuándo se comunicarán en la investigación y qué canales usarán es esencial para prepararse para el éxito cuando hay un incidente que usted y su SOC virtual deben perseguir.




Drew Sanford, director sénior, operaciones globales de SOC, ConnectWise

Una solución de SOC virtual asume el peso de identificar, capacitar y reentrenar talentos para brindarle un equipo listo para vigilar a los atacantes en la puerta.


Dada la importancia de este rol, a continuación se explica cómo identificar las áreas clave a tener en cuenta al evaluar un SOC virtual:


Necesita un equipo de SOC que comprenda su negocio y sus herramientas . Cuando llegan los ataques, es fundamental poder determinar qué es real y qué es un falso positivo.

Asegúrese de tener una definición clara de lo que hará el SOC . Es importante considerar dónde termina su trabajo y comienza el tuyo. ¿A quién alertarán y hasta dónde llegarán contigo en un problema?

Considere si tienen un equipo de soporte de incidentes que pueda ayudarlo cuando los tiempos se pongan difíciles . ¿Hacen más que alertarlo sobre un ataque al proporcionar expertos que pueden ayudarlo a atravesar algunos de los momentos más desafiantes en su negocio?

Los ataques ocurren todo el día . Cualquier cantidad menor a 24x7x365 no es aceptable para ningún SOC. No puede confiar en las alertas por correo electrónico y en las personas que, con suerte, se despiertan para proteger su negocio.



Brad Taylor, director ejecutivo de Proficio

Dado que los recursos necesarios para ejecutar sus propias operaciones de seguridad las 24 horas del día, los 7 días de la semana, son escasos y, a menudo, tienen un costo prohibitivo, muchos líderes de TI consideran el uso de un SOC virtual o SOC como servicio. El resultado deseado: proteger mejor su organización y minimizar el riesgo empresarial mediante la detección y corrección precisas de amenazas críticas.


Pero, ¿cómo se encuentra el socio SOC adecuado? Tenga en cuenta las personas, los procesos y la tecnología.


Personas

Como extensión de su equipo, es fundamental que su socio cuente con las habilidades y la experiencia necesarias para mantener la seguridad de su organización. Considere cosas como:


Ubicaciones y disponibilidad de SOC

Experiencia y certificaciones del equipo de seguridad

Tiempos de respuesta y SLA

Procesos

Igualmente importantes son los procesos implementados para su entorno. Preguntas que hacer:


¿Están utilizando estándares de la industria, como el marco MITRE ATT & CK?

¿Filtran el ruido y solo envían alertas procesables relevantes para el contexto de su negocio?

¿Pueden automatizar la respuesta, conteniendo rápidamente amenazas creíbles?

Tecnología

Esta es la última pieza de esta tríada de servicios de seguridad. Busque cosas como:


¿Qué productos de seguridad internos están empleando?

¿Pueden ayudarlo a maximizar su inversión en sus propias herramientas de seguridad?

¿Mejorarán su postura de seguridad general?

Si bien la razón principal por la que busca subcontratar es el monitoreo y las alertas las 24 horas del día, los 7 días de la semana, muchas organizaciones desean una solución de seguridad más completa. Mi mejor consejo: no se conforme, busque el socio SOC que realmente comprenda y se adapte a sus necesidades.



6 visualizaciones0 comentarios