¿Qué es un centro de operaciones de seguridad (SOC)?
Un centro de operaciones de seguridad (SOC), también llamado centro de operaciones de seguridad de la información (ISOC), es una instalación dedicada en la que los profesionales de la seguridad supervisan, analizan y mitigan las posibles ciberamenazas. Debido a la naturaleza distribuida de las organizaciones modernas, se suele utilizar «SOC» para describir al equipo de ingenieros y analistas de seguridad que lleva a cabo estas funciones.
Aunque la arquitectura de un SOC varía de una organización a otra, cumple varias funciones clave:
- Realizar un seguimiento de la actividad en redes, servidores, bases de datos y dispositivos
- Investigar y responder a las amenazas
- Garantizar el cumplimiento y mejorar las posturas de seguridad
Lo habitual es que una organización dependa de un único SOC interno para gestionar y solucionar las amenazas, pero las grandes empresas pueden mantener varios SOC en distintos países (a veces conocido como centro global de operaciones de seguridad, o GSOC) u optar por contratar a un grupo externo de analistas e ingenieros de seguridad.
¿Cómo protege un SOC a las organizaciones de las amenazas?
Un SOC se puede configurar de muchas formas distintas, y es probable que cambie en función de las necesidades y capacidades de una organización. En general, sus responsabilidades se dividen en tres categorías:
de datos
Inventario de activos: para proteger a una organización de las amenazas e identificar las brechas de seguridad, un SOC necesita una visibilidad total de sus sistemas, aplicaciones y datos, así como de las herramientas de seguridad que los protegen. Se puede usar una herramienta de descubrimiento de activos para realizar el proceso de inventario.
Evaluación de vulnerabilidades: para medir el potencial impacto de un ataque, un SOC puede realizar pruebas periódicas en el hardware y el software de una organización, y usar esos resultados para actualizar sus políticas de seguridad o desarrollar un plan de respuesta a incidentes.
Mantenimiento preventivo: una vez que un SOC ha detectado vulnerabilidades en la infraestructura de una organización, puede tomar medidas para reforzar su postura de seguridad. Entre ellas, actualizar los firewalls, mantener listas de permitidos y listas de bloqueados, aplicar parches al software y pulir los protocolos y procedimientos de seguridad.
Detección
Recopilación y análisis de registros: un SOC recopila datos de registro generados por eventos en la red de una organización (como aquellos documentados por firewalls, sistemas de prevención y detección de intrusos, etc.), y luego analiza esos registros para detectar cualquier anomalía o actividad sospechosa. En función del tamaño y la complejidad de la infraestructura de una organización, puede ser un proceso que requiera muchos recursos, y se puede llevar a cabo con una herramienta automatizada.
Supervisión de amenazas: un SOC usa datos de registro para crear alertas de actividades sospechosas y otros indicadores de riesgo (IOC). Los IOC son anomalías en los datos (irregularidades en el tráfico de red, cambios inesperados en los archivos del sistema, uso no autorizado de aplicaciones, solicitudes DNS extrañas u otros comportamientos) que indican que es probable que se vaya a producir una fuga u otro suceso malicioso.
Administración de eventos e información de seguridad (SIEM): un SOC suele trabajar con una solución SIEM para automatizar la protección y la solución de amenazas. Entre las funciones habituales de un SIEM se incluyen:
- Agregación de datos de registro
- Supervisión de alertas
- Información sobre amenazas avanzada
- Análisis de incidentes de seguridad
- Informes de cumplimiento
Protección
Respuesta a incidentes y solución: cuando se produce un ataque, un SOC suele tomar varias medidas para mitigar los daños y restaurar los sistemas afectados. Como aislar los dispositivos infectados, eliminar los archivos en riesgo, ejecutar software antimalware y llevar a cabo una investigación de la raíz del problema. Los SOC pueden usar estos resultados para mejorar las políticas de seguridad existentes.
Informes de cumplimiento: después de un ataque, un SOC ayuda a las organizaciones a seguir cumpliendo la normativa sobre privacidad de datos (por ejemplo, el RGPD) al notificar a las autoridades competentes el volumen y tipo de datos protegidos que se han puesto en riesgo.
¿Cuáles son los tipos habituales de SOC?
Al crear un SOC, las organizaciones tienen varias opciones. Las categorías más habituales de SOC son:
- El SOC interno, o SOC exclusivo, lo posee y gestiona la organización que lo utiliza. Entre las ventajas de los SOC internos se pueden incluir tiempos de respuesta a incidentes más rápidos, y funciones de detección y respuesta de seguridad personalizados, aunque también pueden ser más caros y necesitar más recursos para su mantenimiento que otros SOC.
- El SOC gestionado, o SOC como servicio, permite que las organizaciones externalicen las responsabilidades del SOC a un proveedor de seguridad externo. La mayoría de los SOC gestionados se encuadran en una de estas dos categorías: proveedores de servicios de seguridad gestionados (MSSP) y detección y respuesta gestionadas (MDR).
- MSSP es un servicio SOC gestionado que supervisa los sistemas y datos. La función principal de un MSSP es alertar a las organizaciones cuando se detecta una actividad maliciosa. Lo hace catalogando los sucesos de la red y detectando anomalías.
- MDR es un servicio SOC gestionado que amplía las funciones periciales de un MSSP. Además de realizar un seguimiento de la actividad de la red y crear alertas, también investiga las amenazas potenciales, elimina los falsos positivos de las alertas, ofrece análisis avanzados e información sobre amenazas, y ayuda a solucionar los incidentes de seguridad.
¿Qué es un centro de operaciones de red (NOC)?
Un centro de operaciones de red, o NOC, supervisa la actividad de la red y las amenazas. Un equipo de NOC es responsable de supervisar el estado de la red de una organización, anticiparse y prevenir las interrupciones, defenderse de los ataques y realizar comprobaciones rutinarias de mantenimiento de los diversos sistemas y el software.
A diferencia de un SOC, que rastrea y mitiga la actividad maliciosa en toda la infraestructura de una organización, un NOC se centra únicamente en el rendimiento y la seguridad de la red.
