El SOC 1.0, o el SOC SIEM, nace de la necesidad de crear una capacidad de supervisión de la seguridad en una organización. El objetivo es recoger todos los registros de los cortafuegos, proxies, servidores de autenticación, aplicaciones y estaciones de trabajo, para agregarlos a una plataforma SIEM en la que los datos pueden ser fácilmente consultados y correlacionados. Además, se ingieren indicadores de compromiso (IoC) o información sobre amenazas que pueden compararse con los datos de registro.

A partir de ahí comienza la construcción de consultas o casos de uso para encontrar acciones maliciosas o de riesgo. Normalmente se empieza a pensar en cómo crear alertas cuando se superan ciertos eventos, combinaciones de estos o umbrales. Así los analistas pueden responder a las alertas y utilizar el sistema SIEM (junto con otras herramientas y recursos) para investigar los eventos.

Este modelo permite replantearse qué ingerir, ya que las detecciones no se basan solo en registros

Lo que suele ocurrir es que esto se configura de forma aislada, es decir, los analistas deben ir de consola en consola, y de herramienta en herramienta, para intentar triangular manualmente las alertas y averiguar qué está ocurriendo. En general, este enfoque se considera como el estándar de facto en la mayoría de las organizaciones. Sin embargo, el modo comporta varios retos.

• No se dispone de registros adecuados y estos no contienen suficientes datos para realizar una detección precisa de las amenazas.
• El coste de crear y mantener los casos de uso o las reglas de detección, al que se suma el de almacenar los registros en un SIEM.
• El enfoque basado en reglas de consulta y análisis estadístico no permite detectar atacantes sigilosos.
• El SOC suele está sobrecargado de alertas, la mayoría de las cuales son detecciones falsas.
• Los analistas del SOC tienen dificultades para obtener suficiente información sobre el contexto de la alerta, y su clasificación e investigación requiere mucho trabajo manual.

En resumen, el actual modelo de SOC ya no es la respuesta más adecuada teniendo en cuenta el actual volumen y amplitud de las amenazas. Los desafíos más importantes están relacionados con:

• El alto coste de propiedad ligado a la creación de casos de uso (SIEM) y también el desgaste del personal de mantenimiento en las funciones de analista de los niveles 1 y 2 (procesos de recruiting y formación).
• Ineficiencias. Dificultad para obtener una cobertura del 100 % de los registros y casos de uso, ya sea por los costes de consumo de los registros, por los retos técnicos y operativos, o por una capacidad limitada para realizar un análisis forense de la progresión de un incidente.
• Fatiga de alertas. Los registros o sistemas tradicionales basados en firmas están generando demasiadas alertas y falsos positivos, así como dificultad para descubrir y comprender el contexto de las alertas.
• Los costes de funcionamiento de un SOC 1.0 son cada vez más elevados, mientras que la superficie de ataque contra la que hay que protegerse no deja de crecer. Al mismo tiempo, la ciberdelincuencia va en aumento, los atacantes son cada vez más sofisticados y los ataques más específicos, sigilosos y mejor adaptados a la organización objetivo.

Transformar el SOC

Debido a los retos que plantea este enfoque SOC 1.0, muchas organizaciones están transformando sus operaciones hacia el enfoque SOC 2.0, con un coste de ejecución menor y en el que se reduce la dependencia del número de personas involucradas. Además, introducir la automatización y combinarla con nuevas técnicas analíticas permite detectar las agresiones más rápidamente y prepararse para ataques nunca vistos.

Este nuevo enfoque no significa que el sistema SIEM se esté volviendo obsoleto. Tanto el SIEM como los análisis basados en registros siguen siendo un elemento clave. De hecho, el cambio a SOC 2.0 utiliza el SIEM para aquello que es más adecuado: detectar riesgos conocidos que pueden articularse fácilmente en reglas de consulta.

La transformación del SOC es clave en el actual escenario de ciberseguridad, y en su progresión futura, ya que permite detectar a los cibercriminales y neutralizar sus acciones en cualquier superficie de ataque.

En el SOC 2.0, el SIEM se constituye en un panel único, que se alimenta de detecciones de puntuación preanalizadas procedentes de fuentes de detección y respuesta de puntos finales (EDR), detección y respuesta de redes (NDR) y análisis del comportamiento de usuarios y entidades (UEBA).

Para los objetivos de detección, en los que la cobertura de los registros es inexistente y está más relacionada con el reconocimiento de los patrones matizados del comportamiento de los usuarios y las aplicaciones, el SOC 2.0 aprovecha el aprendizaje automático junto con los datos de la red y los puntos finales. Con un modelo básico de aprendizaje automático, el reconocimiento de patrones se convierte en una actividad trivial. Lo mismo ocurre con el análisis de los patrones de los atacantes en la red, la nube, el SaaS o las aplicaciones.

Los modelos de aprendizaje automático pueden ser entrenados para distinguir los patrones maliciosos en las aplicaciones y el tráfico de red. Una vez creado el modelo, el algoritmo se entrena por sí mismo, de modo que estas soluciones requieren pocos ajustes o personalizaciones.

El siguiente nivel

Con el SOC 2.0, los algoritmos de IA enriquecen el contexto del análisis y de las correlaciones, y puntúan las detecciones. El papel del analista del SOC se eleva para trabajar en los incidentes priorizados, aquellos en los que puede aplicar sus conocimientos y experiencia, así como las habilidades forenses que permitan construir una línea de tiempo y un caso para clasificar los comportamientos observados. También puede proporcionar orientación al equipo de respuesta para que tome las medidas adecuadas.

Este modelo permite replantearse qué ingerir, ya que el total de las detecciones no se basa solo en registros. Es más, las soluciones EDR y NDR proporcionarán las detecciones de alerta priorizadas al SIEM en lugar de los datos en bruto.

Además, el SOC 2.0 ya no depende de los sistemas IDS: los datos de información sobre amenazas (IP, dominios) se analizan en la solución NDR; los cortafuegos aplican reglas sobre la marcha; los antivirus y la protección del correo electrónico se encargan de aplicar firmas a los archivos y cargas útiles (aplicar firmas en el tráfico de red tiene cada vez menos sentido).

Por último, a medida que se aplica la automatización a la respuesta ante incidentes, siempre y cuando una detección de amenazas se considere verdadera y grave, las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) pueden ir tomando el relevo para realizar las acciones que permitan detener la progresión de los ataques de acuerdo con los libros de jugadas establecidos.

La transformación del SOC es clave en el actual escenario de ciberseguridad, y en su progresión futura, ya que permite detectar a los cibercriminales y neutralizar sus acciones en cualquier superficie de ataque.